Integra BigQuery en Google SecOps
En este documento, se explica cómo integrar BigQuery con Google Security Operations (Google SecOps).
Versión de integración: 15.0
Esta integración usa uno o más componentes de código abierto. Puedes descargar una copia comprimida del código fuente de esta integración desde un bucket de Cloud Storage.
Casos de uso
En la plataforma de SecOps de Google, la integración de BigQuery puede ayudarte a resolver los siguientes casos de uso:
Enriquecimiento de la inteligencia sobre amenazas: Enriquecimiento automático de las alertas de seguridad con datos de inteligencia sobre amenazas almacenados en BigQuery para evaluar la gravedad y la credibilidad de las posibles amenazas.
Por ejemplo, puedes configurar Google SecOps para que consulte una tabla de BigQuery que contenga direcciones IP maliciosas conocidas cada vez que una dirección IP sospechosa active una alerta. Google SecOps busca una coincidencia en la tabla de BigQuery y recupera contexto adicional, como las familias de malware asociadas.
Análisis del comportamiento del usuario: Identifica la actividad anómala del usuario analizando los registros históricos de actividad del usuario almacenados en BigQuery para detectar amenazas internas y cuentas comprometidas.
Por ejemplo, puedes configurar Google SecOps para que consulte BigQuery en busca de intentos de acceso fuera de la ubicación geográfica habitual de un usuario y active una respuesta ante incidentes automatizada para la actividad sospechosa detectada.
Análisis de data lake de seguridad: Usa las capacidades de consulta de BigQuery para analizar grandes volúmenes de datos de seguridad de diversas fuentes agregados en un data lake para mejorar la búsqueda de amenazas y la investigación de incidentes.
Por ejemplo, puedes configurar Google SecOps para que consulte BigQuery en busca de todos los eventos relacionados con un hash de archivo específico en los registros de varias herramientas de seguridad que se almacenan en el data lake.
Conservación de datos de seguridad a largo plazo: Usa el almacenamiento de BigQuery para conservar grandes volúmenes de registros de seguridad durante períodos prolongados y, así, respaldar el análisis histórico, los informes de cumplimiento y las investigaciones forenses.
Por ejemplo, puedes configurar Google SecOps para que archive automáticamente los datos de incidentes resueltos en BigQuery para el almacenamiento a largo plazo y ayudar a garantizar la disponibilidad de los datos para futuras auditorías o investigaciones.
Antes de comenzar
Para usar la integración, necesitas una cuenta de servicio de Google Cloud .
Crea y configura una cuenta de servicio
Para integrar BigQuery con Google SecOps, puedes usar una cuenta de servicio existente o crear una nueva. Para obtener orientación sobre cómo crear una cuenta de servicio, consulta Crea cuentas de servicio.
Si no usas un correo electrónico de identidad de cargas de trabajo para configurar la integración, crea una clave de cuenta de servicio en JSON después de crear una cuenta de servicio. Cuando configures los parámetros de integración, deberás proporcionar el contenido completo del archivo de claves JSON descargado.
Por motivos de seguridad, te recomendamos que uses direcciones de correo electrónico de identidades para cargas de trabajo en lugar de claves JSON de cuentas de servicio. Para obtener más información sobre las identidades para cargas de trabajo, consulta Identidades para cargas de trabajo.
Parámetros de integración
La integración de BigQuery requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Account Type |
Opcional. Es el tipo de cuenta de BigQuery. Proporciona el valor que se establece en el parámetro El valor predeterminado es |
Project ID |
Opcional. Es el ID del proyecto de la cuenta de BigQuery. Proporciona el valor que se establece en el parámetro |
Private Key ID |
Opcional. ID de la clave privada de la cuenta de BigQuery. Proporciona el valor que se establece en el parámetro |
Private Key |
Opcional. La clave privada de la cuenta de BigQuery. Proporciona el valor que se establece en el parámetro |
Client Email |
Opcional. Es la dirección de correo electrónico del cliente de la cuenta de BigQuery. Proporciona el valor que se establece en el parámetro |
Client ID |
Opcional. Es el ID de cliente de la cuenta de BigQuery. Proporciona el valor que se establece en el parámetro |
Auth URI |
Opcional. Es el URI de autenticación de la cuenta de BigQuery. Proporciona el valor que se establece en el parámetro El valor predeterminado es |
Token URI |
Opcional. Es el URI del token de la cuenta de BigQuery. Proporciona el valor que se establece en el parámetro El valor predeterminado es |
Auth Provider X509 URL |
Opcional. Es la URL X.509 del proveedor de autenticación de la cuenta de BigQuery. Proporciona el valor que se establece en el parámetro El valor predeterminado es |
Client X509 URL |
Opcional. Es la URL del certificado X.509 del cliente de la cuenta de BigQuery. Proporciona el valor que se establece en el parámetro El valor predeterminado es |
Service Account Json File Content |
Opcional. Es el contenido del archivo JSON de la clave de la cuenta de servicio. Puedes configurar este parámetro o el parámetro Para configurar este parámetro, proporciona el contenido completo del archivo JSON de la clave de la cuenta de servicio que descargaste cuando creaste una cuenta de servicio. Si configuras este parámetro, la integración ignorará otros parámetros de conexión. |
Workload Identity Email |
Opcional. Es la dirección de correo electrónico del cliente de tu cuenta de servicio. Puedes configurar este parámetro o el parámetro Si estableces este parámetro, configura el parámetro Para actuar como cuentas de servicio con la federación de identidades para cargas de trabajo, otorga el rol de |
Quota Project ID |
Opcional. El ID del proyecto Google Cloud que usas para las APIs y la facturación. Google Cloud Este parámetro requiere que otorgues el rol Si no configuras un valor para este parámetro, la integración recupera el ID del proyecto de tu cuenta de servicio de Google Cloud . |
Verify SSL |
Opcional. Si se selecciona, la integración valida el certificado SSL cuando se conecta a Google Cloud. Esta opción se selecciona de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes de Tu Workdesk y Cómo realizar una acción manual.
Ping
Usa la acción Ping para probar la conectividad a BigQuery.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully connected to the Google BigQuery server with
the provided connection parameters! |
La acción se completó correctamente. |
Failed to connect to the Google BigQuery server! Error is
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ejecutar consulta personalizada
Usa la acción Ejecutar consulta personalizada para ejecutar consultas personalizadas en BigQuery.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Ejecutar consulta personalizada requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Query |
Obligatorio. Es la consulta en SQL que se ejecutará. |
Max Results To Return |
Opcional. Es la cantidad de resultados que se devolverán en cada respuesta. El valor predeterminado es |
Resultados de la acción
La acción Run Custom Query proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Run Custom Query:
{
"Airport_Code": "CODE",
"Airport_Name": "NAME",
"Time_Label": "2015/05",
"Time_Month": 5,
"Time_Month_Name": "May",
"Time_Year": 2015,
"Statistics___of_Delays_Carrier": 351,
"Statistics___of_Delays_Late_Aircraft": 546,
"Statistics___of_Delays_National_Aviation_System": 292,
"Statistics___of_Delays_Security": 2,
"Statistics___of_Delays_Weather": 100,
"Statistics_Carriers_Names": "Example Air Lines Inc., Example Airlines Co.",
"Statistics_Carriers_Total": 3,
"Statistics_Flights_Cancelled": 88,
"Statistics_Flights_Delayed": 1289,
"Statistics_Flights_Diverted": 32,
"Statistics_Flights_On_Time": 6182,
"Statistics_Flights_Total": 7591,
"Statistics_Minutes_Delayed_Carrier": 19332,
"Statistics_Minutes_Delayed_Late_Aircraft": 34376,
"Statistics_Minutes_Delayed_National_Aviation_System": 12346,
"Statistics_Minutes_Delayed_Security": 48,
"Statistics_Minutes_Delayed_Total": 76163,
"Statistics_Minutes_Delayed_Weather": 100061
}
Mensajes de salida
La acción Ejecutar consulta personalizada puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully executed query in Google BigQuery! |
La acción se completó correctamente. |
Error executing action "Run Custom Query". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Ejecutar consulta personalizada:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ejecutar consulta de SQL
Usa la acción Ejecutar consulta de SQL para ejecutar consultas en BigQuery.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Ejecutar consulta en SQL requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
Dataset Name |
Obligatorio. Nombre del conjunto de datos que se usará cuando se ejecuten consultas. |
Query |
Obligatorio. Es la consulta en SQL que se ejecutará. |
Max Results To Return |
Opcional. Es la cantidad de resultados que se devolverán en cada respuesta. El valor predeterminado es |
Resultados de la acción
La acción Ejecutar consulta en SQL proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Ejecutar consulta SQL:
{
"Airport_Code": "CODE",
"Airport_Name": "NAME",
"Time_Label": "2015/05",
"Time_Month": 5,
"Time_Month_Name": "May",
"Time_Year": 2015,
"Statistics___of_Delays_Carrier": 351,
"Statistics___of_Delays_Late_Aircraft": 546,
"Statistics___of_Delays_National_Aviation_System": 292,
"Statistics___of_Delays_Security": 2,
"Statistics___of_Delays_Weather": 100,
"Statistics_Carriers_Names": "Example Airlines Inc.,Example Airlines Co.",
"Statistics_Carriers_Total": 3,
"Statistics_Flights_Cancelled": 88,
"Statistics_Flights_Delayed": 1289,
"Statistics_Flights_Diverted": 32,
"Statistics_Flights_On_Time": 6182,
"Statistics_Flights_Total": 7591,
"Statistics_Minutes_Delayed_Carrier": 19332,
"Statistics_Minutes_Delayed_Late_Aircraft": 34376,
"Statistics_Minutes_Delayed_National_Aviation_System": 12346,
"Statistics_Minutes_Delayed_Security": 48,
"Statistics_Minutes_Delayed_Total": 76163,
"Statistics_Minutes_Delayed_Weather": 100061
}
Mensajes de salida
La acción Ejecutar consulta en SQL puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully executed query in the BigQuery dataset
DATASET_NAME. |
La acción se completó correctamente. |
Error executing action "Run SQL Query". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Ejecutar consulta SQL:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.