Carregue Google Cloud dados para o Google Security Operations

Compatível com:

Esta página descreve como ativar e desativar Google Cloud a obtenção de dados no Google SecOps. Isto permite-lhe armazenar, pesquisar e examinar informações de segurança agregadas para a sua empresa, retrocedendo meses ou mais, de acordo com o seu período de retenção de dados.

Vista geral

Existem duas opções para enviar Google Cloud dados para o Google SecOps. A escolha da opção certa depende do tipo de registo.

Opção 1: carregamento direto

Pode configurar um filtro especial do Cloud Logging no Google Cloud para enviar tipos de registos específicos para o Google SecOps em tempo real. Estes registos são gerados pelos serviços Google Cloud . Os registos são recolhidos a partir do momento em que o filtro é configurado. Os registos gerados antes da configuração não estão incluídos. Este encaminhamento em tempo real aplica-se ao Cloud Logging, aos metadados de recursos do Google Cloud e às conclusões do Security Command Center Premium.

O Google Security Operations só carrega tipos de registos suportados. Os tipos de registos disponíveis incluem:

  • Cloud Audit Logs
  • NAT na nuvem
  • Cloud DNS
  • Firewall de próxima geração da nuvem
  • Sistema de deteção de intrusões do Cloud
  • Cloud Load Balancing
  • Cloud SQL
  • Registos de eventos do Windows
  • Syslog do Linux
  • Linux Sysmon
  • Zeek
  • Google Kubernetes Engine
  • Audit Daemon (auditd)
  • Apigee
  • reCAPTCHA Enterprise
  • Registos do Cloud Run (GCP_RUN)
  • Google Cloud Eventos de abuso

Para ver detalhes sobre os filtros de registos específicos e mais detalhes de carregamento, consulte o artigo Exporte Google Cloud registos para o Google SecOps.

Também pode enviar Google Cloud metadados de recursos usados para o enriquecimento de contexto. Para ver detalhes, consulte o artigo Exporte Google Cloud metadados de recursos para o Google SecOps.

Opção 2: Google Cloud armazenamento

O Cloud Logging pode encaminhar registos para o Cloud Storage do Google SecOps de forma agendada.

Para ver detalhes sobre como configurar o Cloud Storage para o Google SecOps, consulte o artigo Gestão de feeds: Cloud Storage.

Antes de começar

Antes de poder carregar Google Cloud dados para uma instância do Google SecOps, tem de concluir os seguintes passos:

  1. Conceda as seguintes funções de gestão de identidade e acesso (IAM) ao nível da organização para aceder à secção Google SecOps:

    • Administrador do serviço Chronicle (roles/chroniclesm.admin): função de IAM para realizar todas as atividades.
    • Visualizador do serviço Chronicle (roles/chroniclesm.viewer): função do IAM para ver apenas o estado do carregamento.
    • Editor de administrador do Centro de segurança (roles/securitycenter.adminEditor): necessário para ativar o carregamento de metadados de recursos do Google Cloud.

  2. Se planeia ativar os metadados de recursos na nuvem, tem de integrar a organização no Security Command Center. Consulte o artigo Vista geral da ativação ao nível da organização para mais informações.

Conceder funções de IAM

Pode conceder as funções de IAM necessárias através da Google Cloud consola ou da CLI gcloud.

Para conceder funções da IAM através da Google Cloud consola, conclua os seguintes passos:

  1. Inicie sessão na Google Cloud organização à qual quer estabelecer ligação e aceda ao ecrã do IAM através de Produtos > IAM e administração > IAM.

  2. No ecrã IAM, selecione o utilizador e clique em Editar membro.

  3. No ecrã Editar autorizações, clique em Adicionar outra função e pesquise Google SecOps para encontrar as funções do IAM.

  4. Depois de atribuir as funções, clique em Guardar.

Para conceder funções do IAM através da Google Cloud CLI, conclua os seguintes passos:

  1. Execute gcloud init para verificar se tem sessão iniciada na organização e no projeto corretos.

  2. Para conceder a função do IAM de administrador do serviço Chronicle através da gcloud, execute o seguinte comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.admin

    Substitua o seguinte:

    • ORGANIZATION_ID: o ID numérico da organização.
    • USER_EMAIL: o endereço de email do utilizador.

  3. Para conceder a função de IAM Chronicle Service Viewer através da gcloud, execute o seguinte comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member "user:USER_EMAIL" \
--role roles/chroniclesm.viewer

  4. Para conceder a função do IAM Editor de administração do centro de segurança através da gcloud, execute o seguinte comando:

     gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
 --member "user:USER_EMAIL" \
 --role roles/securitycenter.adminEditor`

Ative o carregamento direto a partir de Google Cloud

Os passos para ativar o carregamento direto a partir do Google Cloud variam consoante a propriedade do projeto ao qual a sua instância do Google SecOps está associada.

Depois de configurar a ingestão direta, os seus Google Cloud dados são enviados para o Google SecOps. Pode usar as funcionalidades de análise do Google SecOps para investigar problemas relacionados com a segurança.

Configure a carregamento quando o projeto for propriedade do cliente

Siga os passos abaixo se for proprietário do Google Cloud projeto.

Pode configurar o carregamento direto de várias organizações através da mesma página de configuração ao nível do projeto. Siga os passos abaixo para criar uma nova configuração e editar uma configuração existente.

Quando migra uma instância existente do Google SecOps para que seja associada a um projeto que lhe pertence, e se a carregamento direto tiver sido configurado antes da migração, a configuração do carregamento direto também é migrada.

  1. Aceda à página Google SecOps > Definições de carregamento na Google Cloud consola.
    Aceda à página do Google SecOps
  2. Selecione o projeto associado à sua instância do Google SecOps.

  3. No menu Organização, selecione a organização a partir da qual os registos vão ser exportados. O menu apresenta as organizações às quais tem autorização de acesso. A lista pode incluir organizações que não estão associadas à instância do Google SecOps. Não pode configurar uma organização que envie dados para uma instância diferente do Google SecOps.

    Selecione uma entidade

  4. Na secção Definição de carregamento do Google Cloud, clique no botão Enviar dados para o Google Security Operations para permitir o envio de registos para o Google SecOps.

  5. Selecione uma ou mais das seguintes opções para definir o tipo de dados enviados para o Google SecOps:

  6. Na secção Definições de filtro de exportação de clientes, configure os filtros de exportação para personalizar os dados do Cloud Logging enviados para o Google SecOps. Consulte os Google Cloud tipos de registos suportados para exportação.

  7. Para carregar registos de uma organização adicional para a mesma instância do Google SecOps, selecione a organização no menu Organização e, de seguida, repita os passos para definir o tipo de dados a exportar e os filtros de exportação. São apresentadas várias organizações no menu Organização.

  8. Para exportar dados de proteção de dados sensíveis (anteriormente denominados dados de prevenção contra a perda de dados da Google Cloud) para o Google SecOps, consulte o artigo Exporte dados de proteção de dados sensíveis.

Configure o carregamento para um projeto gerido pela Google

Se a organização Google Cloud for proprietária do projeto, faça o seguinte para configurar o carregamento direto da sua organização Google Cloud para a sua instância do Google SecOps:

  1. Aceda a Google SecOps > Vista geral > separador Carregamento na consola Google Cloud . Aceda ao separador Carregamento do Google SecOps
  2. Clique no botão Gerir definições de carregamento da organização.
  3. Se for apresentada a mensagem Página não visível para projetos, selecione uma organização e clique em Selecionar.
  4. Introduza o código de acesso único no campo Código de acesso único do Google SecOps.
  5. Selecione a caixa com a etiqueta Aceito os termos de utilização da Google SecOps das minhas Google Cloud informações.
  6. Clique em Associar Google SecOps.
  7. Aceda ao separador Definições de carregamento globais da organização.

  8. Selecione o tipo de dados que vai ser enviado ativando uma ou mais das seguintes opções:

  9. Aceda ao separador Exportar definições de filtros.

  10. Na secção Definições de filtro de exportação de clientes, configure os filtros de exportação para personalizar os dados do Cloud Logging enviados para o Google SecOps. Consulte os Google Cloud tipos de registos suportados para exportação.

  11. Para exportar dados de proteção de dados sensíveis (anteriormente denominados dados de prevenção contra a perda de dados da Google Cloud) para o Google SecOps, consulte o artigo Exporte dados de proteção de dados sensíveis.

Exporte Google Cloud registos

Depois de ativar o Cloud Logging, pode exportar dados de registo para osGoogle Cloud tipos de registo suportados para a sua instância do Google SecOps.

Para exportar Google Cloud registos para o Google SecOps, defina o botão Ativar registos do Google Cloud como Ativado.

Tipos de registos suportados para exportação

Pode personalizar o filtro de exportação dos registos a exportar para o Google SecOps. Inclua ou exclua tipos de registos adicionando ou removendo filtros de exportação suportados, que estão listados nesta secção.

Pode exportar os seguintes Google Cloud tipos de registos para a sua instância do Google SecOps. A lista seguinte está organizada por tipo de registo e etiqueta de carregamento do Google SecOps correspondente:

  • Cloud Audit Logs (GCP_CLOUDAUDIT):

    Isto inclui: atividade de administrador, acesso, evento do sistema, Transparência de acesso e registos de política recusada.

    • log_id("cloudaudit.googleapis.com/activity") (exportado pelo filtro predefinido)
    • log_id("cloudaudit.googleapis.com/system_event") (exportado pelo filtro predefinido)
    • log_id("cloudaudit.googleapis.com/policy")
    • log_id("cloudaudit.googleapis.com/access_transparency")

  • Registos do Cloud NAT (GCP_CLOUD_NAT):

    • log_id("compute.googleapis.com/nat_flows")

  • Registos do Cloud DNS (GCP_DNS):

    • log_id("dns.googleapis.com/dns_queries") (exportado pelo filtro predefinido)

  • Registos da firewall de próxima geração do Google Cloud (GCP_FIREWALL):

    • log_id("compute.googleapis.com/firewall")

  • GCP_IDS:

    • log_id("ids.googleapis.com/threat")
    • log_id("ids.googleapis.com/traffic")

  • GCP_LOADBALANCING:

    Isto inclui registos do Google Cloud Armor e do Cloud Load Balancing.

    • log_id("requests")

  • GCP_CLOUDSQL:

    • log_id("cloudsql.googleapis.com/mysql-general.log")
    • log_id("cloudsql.googleapis.com/mysql.err")
    • log_id("cloudsql.googleapis.com/postgres.log")
    • log_id("cloudsql.googleapis.com/sqlagent.out")
    • log_id("cloudsql.googleapis.com/sqlserver.err")

  • GCP_VPC_FLOW:

    • log_id("compute.googleapis.com/vpc_flows") (apenas para as regiões dos EUA e da UE)

  • NIX_SYSTEM:

    • log_id("syslog")
    • log_id("authlog")
    • log_id("securelog")
    • log_id("osconfig.googleapis.com/patch_job")

  • LINUX_SYSMON:

    • log_id("sysmon.raw")

  • WINEVTLOG:

    • log_id("winevt.raw")
    • log_id("windows_event_log")

  • BRO_JSON:

    • log_id("zeek_json_streaming_conn")
    • log_id("zeek_json_streaming_dhcp")
    • log_id("zeek_json_streaming_dns")
    • log_id("zeek_json_streaming_http")
    • log_id("zeek_json_streaming_ssh")
    • log_id("zeek_json_streaming_ssl")

  • KUBERNETES_NODE:

    • log_id("events")
    • log_id("stdout")
    • log_id("stderr")

  • AUDITD:

    • log_id("audit_log")

  • GCP_APIGEE_X:

    • log_id("apigee.googleapis.com/ingress_instance")
    • log_id("apigee.googleapis.com")
    • log_id("apigee-logs")
    • log_id("apigee")
    • logName =~ "^projects/[\w\-]+/logs/apigee[\w\-\.]*$"

  • GCP_RECAPTCHA_ENTERPRISE:

    • log_id("recaptchaenterprise.googleapis.com/assessment")
    • log_id("recaptchaenterprise.googleapis.com/annotation")

  • GCP_RUN:

    • log_id("run.googleapis.com/stderr")
    • log_id("run.googleapis.com/stdout")
    • log_id("run.googleapis.com/requests")
    • log_id("run.googleapis.com/varlog/system")

  • GCP_NGFW_ENTERPRISE:

    • log_id("networksecurity.googleapis.com/firewall_threat")

  • GCP_ABUSE_EVENTS:

    • log_id("abuseevent.googleapis.com/abuseevent")

Personalize as definições de filtros de exportação

Por predefinição, os registos de auditoria do Cloud (atividade do administrador e evento do sistema) e os registos do Cloud DNS são enviados para a sua instância do Google SecOps. No entanto, pode personalizar o filtro de exportação para incluir ou excluir tipos específicos de registos.

Para definir um filtro personalizado para os seus registos, faça o seguinte:

  1. Identifique os registos do seu filtro personalizado através da ferramenta de âmbito de registos.

  2. Na secção Filtro de registo gerado automaticamente que se segue à ferramenta de âmbito do registo, copie o código do filtro de registo personalizado gerado.

  3. Aceda à página Google SecOps na Google Cloud consola e selecione um projeto.
    Aceda à página do Google SecOps

  4. Inicie o Explorador de registos através do link no separador Definições de filtro de exportação.

  5. Copie a nova consulta para o campo Consulta e clique em Executar consulta para a testar.

  6. Copie a nova consulta para o campo Logs Explorer > Consulta e, de seguida, clique em Executar consulta para a testar.

  7. Verifique se os registos correspondentes apresentados no Explorador de registos são exatamente o que pretende exportar para o Google SecOps. Quando o filtro estiver pronto, copie-o para a secção Definições de filtro de exportação personalizado do Google SecOps.

  8. Volte à secção Definições de filtro de exportação personalizadas na página Google SecOps.

  9. Clique no ícone Editar no campo Filtro de exportação e, de seguida, cole o filtro copiado no campo.

  10. Clique em Guardar.

    • Se for apresentada a seguinte mensagem de erro: "O filtro fornecido pode permitir potencialmente tipos de registos não suportados", pode existir um tipo de registo não suportado incluído no filtro de exportação. Remova o tipo de registo não suportado do filtro de exportação. Inclua apenas os tipos de registos indicados em: Google Cloud tipos de registos suportados para exportação.

    • Se a gravação for bem-sucedida, o novo filtro personalizado funciona com todos os novos registos exportados para a sua instância do Google SecOps.

    • Opcional: para repor o filtro de exportação para a versão predefinida, guarde uma cópia do filtro personalizado e, de seguida, clique em Repor para predefinição.

Ajuste os filtros dos registos de auditoria do Cloud

Os registos de acesso a dados escritos pelos registos de auditoria do Cloud podem produzir um grande volume de dados sem muito valor para a deteção de ameaças. Se optar por enviar estes registos para o Google SecOps, deve filtrar os registos gerados por atividades de rotina.

O filtro de exportação seguinte captura registos de acesso aos dados e exclui eventos de volume elevado, como operações de leitura e de lista do Cloud Storage e do Cloud SQL:

( log_id("cloudaudit.googleapis.com/data_access")
  AND NOT protoPayload.methodName =~ "^storage\.(buckets|objects)\.(get|list)$"
  AND NOT protoPayload.request.cmd = "select"  
  AND NOT protoPayload.methodName =~ "^google\.spanner\.v1\.Spanner\.(ExecuteStreamingSql|BeginTransaction|Commit)$" )

Para mais informações sobre a otimização dos registos de acesso aos dados gerados pelos registos de auditoria do Cloud, consulte o artigo Faça a gestão do volume de registos de auditoria de acesso aos dados.

Exemplos de filtros de exportação

Os exemplos de filtros de exportação seguintes ilustram como pode incluir ou excluir determinados tipos de registos da exportação para a sua instância do Google SecOps.

Exemplo de filtro de exportação: inclua tipos de registos adicionais

O seguinte filtro de exportação exporta registos da Transparência de acesso, além dos registos predefinidos:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
log_id("cloudaudit.googleapis.com/access_transparency")

Exemplo de filtro de exportação: inclua registos adicionais de um projeto específico

O filtro de exportação seguinte exporta registos da Transparência de acesso de um projeto específico, além dos registos predefinidos:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "projects/my-project-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemplo de filtro de exportação: inclua registos adicionais de uma pasta específica

O filtro de exportação seguinte exporta registos de transparência de acesso de uma pasta específica, além dos registos predefinidos:

log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event") OR
logName = "folders/my-folder-id/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Exemplo de filtro de exportação: excluir registos de um projeto específico

O filtro de exportação seguinte exporta os registos predefinidos de toda a Google Cloud organização, exceto de um projeto específico:

(log_id("dns.googleapis.com/dns_queries") OR
log_id("cloudaudit.googleapis.com/activity") OR
log_id("cloudaudit.googleapis.com/system_event")) AND
(NOT logName =~ "^projects/my-project-id/logs/.*$")

Exporte Google Cloud metadados de recursos

Pode exportar os metadados dos seus recursos do Google Cloud inventário de recursos do Google Cloud para o Google SecOps. Estes metadados de recursos são extraídos do Cloud Asset Inventory e consistem em informações acerca dos seus recursos e identidades, incluindo o seguinte:

  • Ambiente
  • Location
  • Zona
  • Modelos de hardware
  • Relações de controlo de acesso entre recursos e identidades

Os seguintes tipos de Google Cloud metadados de recursos são exportados para a sua instância do Google SecOps:

  • GCP_BIGQUERY_CONTEXT
  • GCP_COMPUTE_CONTEXT
  • GCP_IAM_CONTEXT
  • GCP_IAM_ANALYSIS
  • GCP_STORAGE_CONTEXT
  • GCP_CLOUD_FUNCTIONS_CONTEXT
  • GCP_SQL_CONTEXT
  • GCP_NETWORK_CONNECTIVITY_CONTEXT
  • GCP_RESOURCE_MANAGER_CONTEXT

Seguem-se alguns exemplos de Google Cloud metadados de recursos:

  • Nome da aplicação: Google-iamSample/0.1
  • Nome do projeto: projects/my-project

Para exportar Google Cloud metadados de recursos para o Google SecOps, defina o botão Metadados de recursos da nuvem como Ativado.

Para mais informações sobre a exportação de registos de contexto específicos e a sua introdução no Google SecOps, consulte Configuração e introdução do analisador predefinido e pesquise "contexto" ou "análise".

Exporte resultados do Security Command Center

Pode exportar os resultados da deteção de ameaças de eventos do Security Command Center Premium e todos os outros resultados para o Google SecOps.

O Google SecOps suporta as seguintes classes de deteções do Security Command Center:

  • ERROR
  • MISCONFIGURATION
  • OBSERVATION
  • POSITIVE_VALIDATION
  • POSTURE_VIOLATION
  • THREAT
  • TOXIC_COMBINATION
  • UNSPECIFIED
  • VULNERABILITY

Para mais informações sobre as conclusões da ETD, consulte o artigo Vista geral da deteção de ameaças de eventos.

Para exportar as suas conclusões do Security Command Center Premium para o Google SecOps, defina o botão Conclusões do Security Command Center Premium como Ativado.

Exporte dados da Proteção de dados confidenciais

Pode exportar os seus dados da Proteção de dados sensíveis para o Google SecOps.

Para carregar metadados de recursos da Proteção de dados confidenciais (DLP_CONTEXT), faça o seguinte:

  1. Ative a Google Cloud extração de dados concluindo a secção anterior neste documento.
  2. Configure a proteção de dados confidenciais para criar perfis de dados.
  3. Defina a configuração da análise para publicar perfis de dados no Google SecOps.

Consulte a documentação do Sensitive Data Protection para ver informações detalhadas sobre a criação de perfis de dados para dados do BigQuery.

Desative Google Cloud o carregamento de dados

Os passos para desativar a carregamento direto de dados do Google Cloud variam consoante a configuração do Google SecOps. Selecione uma das seguintes opções:

  • Se a sua instância do Google SecOps estiver associada a um projeto que lhe pertence e que gere, siga os passos abaixo:

    1. Selecione o projeto associado à sua instância do Google SecOps.
    2. Na Google Cloud consola, aceda ao separador Carregamento em Google SecOps.
      Aceda à página do Google SecOps
    3. No menu Organização, selecione a organização a partir da qual os registos são exportados.
    4. Defina o botão Enviar dados para o Google Security Operations como Desativado.
    5. Se configurou a exportação de dados de várias organizações e também quer desativá-la, siga estes passos para cada organização.

  • Se a sua instância do Google SecOps estiver associada a um projeto que Google Cloud detém e gere, siga estes passos:

    1. Aceda à página Google SecOps > Carregamento na Google Cloud consola.
      Aceda à página do Google SecOps
    2. No menu de recursos, selecione a organização associada à sua instância do Google SecOps e a partir da qual está a carregar dados.
    3. Selecione a caixa com a etiqueta Quero desassociar o Google SecOps e parar de enviar Google Cloud registos para o Google SecOps.
    4. Clique em Desassociar o Google SecOps.

Controle a taxa de carregamento

Quando a taxa de carregamento de dados de um inquilino atinge um determinado limite, o Google Security Operations restringe a taxa de carregamento de novos feeds de dados para evitar que uma origem com uma taxa de carregamento elevada afete a taxa de carregamento de outra origem de dados. Neste caso, existe um atraso, mas não se perdem dados. O volume de carregamento e o histórico de utilização do inquilino determinam o limite.

Pode pedir um aumento do limite de velocidade contactando o apoio ao cliente do Google Cloud.

Resolução de problemas

  • Se as relações entre recursos e identidades estiverem em falta na sua instância do Google SecOps, desative e, em seguida, reative a ingestão direta de dados de registo no Google SecOps.
  • Google Cloud Os metadados dos recursos são carregados periodicamente para o Google SecOps. Aguarde várias horas para que as alterações apareçam na IU e nas APIs do Google SecOps.

  • Quando adiciona um tipo de registo ao filtro de exportação, pode ver esta mensagem: "O filtro fornecido pode permitir potencialmente tipos de registos não suportados".

    Solução alternativa: inclua apenas tipos de registos no filtro de exportação que apareçam na seguinte lista: Google Cloud tipos de registos suportados para exportação.

O que se segue?

  • Abra a instância do Google SecOps através do URL específico do cliente fornecido pelo representante do Google SecOps.
  • Saiba mais sobre o Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.