Cloud Logging

En este documento, se proporciona orientación para integrar Cloud Logging con SOAR de Google Security Operations.

Versión de la integración: 1.0

Antes de comenzar

Para usar la integración, necesitas una cuenta de servicio de Google Cloud . Puedes usar una cuenta de servicio existente o crear una nueva.

Crea una cuenta de servicio

Para obtener orientación sobre cómo crear una cuenta de servicio, consulta Crea cuentas de servicio.

Si usas una cuenta de servicio para autenticarte en Google Cloud, puedes crear una clave de cuenta de servicio en formato JSON y proporcionar el contenido del archivo JSON descargado cuando configures los parámetros de integración.

Por motivos de seguridad, te recomendamos que uses direcciones de correo electrónico de identidad para cargas de trabajo en lugar de una clave de cuenta de servicio. Para obtener más información sobre las identidades para cargas de trabajo, consulta Identidades para cargas de trabajo.

Integra Cloud Logging en Google SecOps SOAR

La integración de Cloud Logging requiere los siguientes parámetros:

Parámetro Descripción
Workload Identity Email Optional

Es la dirección de correo electrónico del cliente de tu identidad de carga de trabajo.

Puedes configurar este parámetro o el parámetro User's Service Account.

Para actuar en nombre de cuentas de servicio con la dirección de correo electrónico de identidad de carga de trabajo, otorga el rol de Service Account Token Creator a tu cuenta de servicio. Para obtener más detalles sobre las identidades de cargas de trabajo y cómo trabajar con ellas, consulta Identidades para cargas de trabajo.
User's Service Account Optional

Es el contenido del archivo JSON de la clave de la cuenta de servicio.

Puedes configurar este parámetro o el parámetro Workload Identity Email.

Para configurar este parámetro, proporciona el contenido completo del archivo JSON de la clave de la cuenta de servicio que descargaste cuando creaste una cuenta de servicio.

Para obtener más información sobre el uso de cuentas de servicio como método de autenticación, consulta Descripción general de las cuentas de servicio.
Quota Project ID Optional

ID del proyecto Google Cloud que usas para las APIs y la facturación. Google Cloud Este parámetro requiere que otorgues el rol Service Usage Consumer a tu cuenta de servicio.

La integración adjunta este valor del parámetro a todas las solicitudes de la API.

Si no configuras un valor para este parámetro, la integración recupera el ID del proyecto de cuota de tu cuenta de servicio de Google Cloud .
Organization ID Optional

Es el ID de la organización que se usará en la integración.

Si no configuras un valor para este parámetro, la integración recupera el ID del proyecto de tu cuenta de servicio de Google Cloud .
Project ID Optional

ID del proyecto que se usará en la integración.

Si no configuras un valor para este parámetro, la integración recupera el ID del proyecto de tu cuenta de servicio de Google Cloud .
Verify SSL Obligatorio

Si se selecciona esta opción, la integración verifica que el certificado SSL para conectarse a Cloud Logging sea válido.

Esta opción se selecciona de forma predeterminada.

Si deseas obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

La integración de Cloud Logging incluye las siguientes acciones:

Ejecutar consulta

Usa la acción Ejecutar consulta para ejecutar consultas personalizadas en Cloud Logging.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Ejecutar consulta requiere los siguientes parámetros:

Parámetro Descripción
Project ID Optional

ID del proyecto que se usará en la integración.

Si no configuras un valor para este parámetro, la integración recupera el ID del proyecto de tu cuenta de servicio de Google Cloud .
Organization ID Optional

Es el ID de la organización que se usará en la integración.

Si no configuras un valor para este parámetro, la integración recupera el ID del proyecto de tu cuenta de servicio de Google Cloud .
Query Obligatorio

Es una consulta para encontrar los registros.
Time Frame Optional

Es un período para recuperar los resultados.

Si seleccionas Custom, también debes configurar el parámetro Start Time.

Los valores posibles son los siguientes:

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom
El valor predeterminado es Last Hour.
Start Time Optional

Es la fecha y hora de inicio para recuperar los resultados.

Este parámetro es obligatorio si seleccionaste la opción Custom para el parámetro Time Frame.

Para configurar este parámetro, usa el formato ISO 8601.
End Time Optional

Es la fecha y hora de finalización para recuperar los resultados.

Si no estableces un valor para este parámetro y seleccionas la opción Custom para el parámetro Time Frame, la acción usará la hora actual como hora de finalización.

Para configurar este parámetro, usa el formato ISO 8601.
Max Results To Return Optional

La cantidad máxima de resultados que se mostrarán.

El valor predeterminado es 50.

Resultados de la acción

La acción Ejecutar consulta proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Ejecutar consulta:

[{
    "protoPayload": {
        "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
        "authenticationInfo": {
            "principalEmail": "system:clouddns"
        },
        "authorizationInfo": [
            {
                "granted": true,
                "permission": "io.k8s.coordination.v1.leases.update",
                "resource": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock"
            }
        ],
        "methodName": "io.k8s.coordination.v1.leases.update",
        "requestMetadata": {
            "callerIp": "192.0.2.6",
            "callerSuppliedUserAgent": "clouddns-leader-election"
        },
        "resourceName": "coordination.k8s.io/v1/namespaces/kube-system/leases/clouddns-lock",
        "serviceName": "k8s.io",
        "status": {
            "code": 0
        }
    },
    "insertId": "ID",
    "resource": {
        "type": "k8s_cluster",
        "labels": {
            "cluster_name": "CLUSTER_NAME",
            "project_id": "PROJECT_ID",
            "location": "us-central1"
        }
    },
    "timestamp": "2024-09-18T09:46:38.647428Z",
    "labels": {
        "authorization.k8s.io/reason": "RBAC: allowed by ClusterRoleBinding \"system:clouddns\" of ClusterRole \"system:clouddns-role\" to User \"system:clouddns\"",
        "authorization.k8s.io/decision": "allow"
    },
    "logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity",
    "operation": {
        "id": "ID",
        "producer": "k8s.io",
        "first": true,
        "last": true
    },
    "receiveTimestamp": "2024-09-18T09:46:39.063264993Z"
}]
Mensajes de salida

La acción Ejecutar consulta proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully executed query "QUERY" in Cloud Logging.

No results were found for the provided query.

 La acción se completó correctamente.
Error executing action "Execute Query". Reason: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ejecutar consulta:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Ping

Usa la acción Ping para probar la conectividad a Cloud Logging.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Ping proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Mensajes de salida

La acción Ping proporciona los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje
Successfully connected to the Cloud Logging server with the provided connection parameters! La acción se completó correctamente.
Failed to connect to the Cloud Logging server! Error is ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ping:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.