Ingerir datos de registro de Google Cloud Platform en Microsoft Sentinel

Las organizaciones se están moviendo cada vez más a arquitecturas multinube, ya sea por diseño o debido a los requisitos continuos. Un número creciente de estas organizaciones usan aplicaciones y almacenan datos en varias nubes públicas, incluida Google Cloud Platform (GCP).

En este artículo se describe cómo ingerir datos de GCP en Microsoft Sentinel para obtener una cobertura de seguridad completa y analizar y detectar ataques en el entorno multinube.

Con los conectores GCP Pub/Sub , basados en nuestro marco de conectores sin código (CCF), puede ingerir registros desde el entorno de GCP mediante la funcionalidad GCP Pub/Sub:

El conector de registros de auditoría pub/sub de Google Cloud Platform (GCP) recopila pistas de auditoría de acceso a los recursos de GCP. Los analistas pueden supervisar estos registros para realizar un seguimiento de los intentos de acceso a los recursos y detectar posibles amenazas en el entorno de GCP.
El conector del Centro de comandos de seguridad de Google Cloud Platform (GCP) recopila los resultados del Centro de comandos de seguridad de Google, una sólida plataforma de administración de riesgos y seguridad para Google Cloud. Los analistas pueden ver estos hallazgos para obtener información sobre la posición de seguridad de la organización, incluidos el inventario y la detección de recursos, las detecciones de vulnerabilidades y amenazas, y la mitigación y corrección de riesgos.
El conector de Google Kubernetes Engine recopila registros de Google Kubernetes Engine (GKE). Los analistas pueden supervisar estos registros para realizar un seguimiento de la actividad del clúster, el comportamiento de la carga de trabajo y los eventos de seguridad, lo que permite a los analistas supervisar las cargas de trabajo de Kubernetes, analizar el rendimiento y detectar posibles amenazas en los clústeres de GKE.

Requisitos previos

Antes de comenzar, compruebe que tiene lo siguiente:

La solución Microsoft Sentinel está habilitada.
Existe un área de trabajo Microsoft Sentinel definida.
Existe un entorno GCP y contiene recursos que producen uno de los siguientes tipos de registro que desea ingerir:
- Registros de auditoría de GCP
- Conclusiones del Centro de comandos de seguridad de Google
El usuario Azure tiene el rol colaborador de Microsoft Sentinel.
El usuario de GCP tiene acceso para crear y editar recursos en el proyecto GCP.
Tanto GCP Identity and Access Management API (IAM) como GCP Cloud Resource Manager API están habilitados.

Configuración del entorno de GCP

Hay dos cosas que debe configurar en el entorno de GCP:

Configure Microsoft Sentinel autenticación en GCP mediante la creación de los siguientes recursos en el servicio IAM de GCP:
- Grupo de identidades de carga de trabajo
- Proveedor de identidades de carga de trabajo
- Cuenta de servicio
- Role
Configure la recopilación de registros en GCP y la ingesta en Microsoft Sentinel mediante la creación de los siguientes recursos en el servicio GCP Pub/Sub:
- Tema
- Suscripción para el tema

Puede configurar el entorno de una de estas dos maneras:

Creación de recursos de GCP a través de la API de Terraform: Terraform proporciona API para la creación de recursos y para Identity and Access Management (consulte Requisitos previos). Microsoft Sentinel proporciona scripts de Terraform que emiten los comandos necesarios a las API.
Configure el entorno de GCP manualmente y cree los recursos usted mismo en la consola de GCP.

Nota:

No hay ningún script de Terraform disponible para crear recursos de GCP Pub/Sub para la recopilación de registros desde Security Command Center. Debe crear estos recursos manualmente. Todavía puede usar el script de Terraform para crear los recursos de IAM de GCP para la autenticación.

Importante

Si va a crear recursos manualmente, debe crear todos los recursos de autenticación (IAM) en el mismo proyecto GCP; de lo contrario, no funcionará. (Los recursos pub/sub pueden estar en un proyecto diferente).

Configuración de autenticación de GCP

Necesario para todos los conectores GCP.

Configuración de la API de Terraform
Configuración manual

Abra GCP Cloud Shell.
Seleccione el proyecto con el que desea trabajar; para ello, escriba el siguiente comando en el editor:
```
gcloud config set project {projectId}  
```
Copie el script de autenticación de Terraform proporcionado por Microsoft Sentinel desde el repositorio de GitHub de Sentinel en el entorno de GCP Cloud Shell.
1. Abra el archivo de script GCPInitialAuthenticationSetup de Terraform y copie su contenido.
  
  Nota:
  
  Para ingerir datos GCP en una nube de Azure Government, use este script de configuración de autenticación en su lugar.
2. Cree un directorio en el entorno de Cloud Shell, introdúzcalo y cree un nuevo archivo en blanco.
```
mkdir {directory-name} && cd {directory-name} && touch initauth.tf
```
3. Abra initauth.tf en el editor de Cloud Shell y pegue el contenido del archivo de script en él.
Inicialice Terraform en el directorio que creó escribiendo el siguiente comando en el terminal:
```
terraform init 
```
Cuando reciba el mensaje de confirmación de que terraform se ha inicializado, ejecute el script escribiendo el siguiente comando en el terminal:
```
terraform apply 
```
Cuando el script solicite el identificador de inquilino de Microsoft, cópielo y péguelo en el terminal.

Nota:

Puede encontrar y copiar el identificador de inquilino en la página del conector GCP Pub/Sub Audit Logs en el portal de Microsoft Sentinel o en la pantalla Configuración del portal (accesible en cualquier lugar de la Azure Portal seleccionando el icono de engranaje en la parte superior de la pantalla), en la columna Id. de directorio.
Cuando se le pregunte si ya se ha creado un grupo de identidades de carga de trabajo para Azure, responda sí o no en consecuencia.
Cuando se le pregunte si desea crear los recursos enumerados, escriba sí.

Cuando se muestre la salida del script, guarde los parámetros de recursos para su uso posterior.

Cree y configure los siguientes elementos en el servicio Google Cloud Platform Identity and Access Management (IAM).

Crear un rol personalizado

Siga las instrucciones de la documentación de Google Cloud para crear un rol. Según esas instrucciones, cree un rol personalizado desde cero.
Asigne un nombre al rol para que sea reconocible como un rol personalizado Sentinel.
Rellene los detalles pertinentes y agregue permisos según sea necesario:
- pubsub.subscriptions.consume
- pubsub.subscriptions.get
Puede filtrar la lista de permisos disponibles por roles. Seleccione los roles Pub/Sub Subscriber (Suscriptor de Pub/Sub) y Pub/Sub Viewer (Visor de pub/sub) para filtrar la lista.

Para obtener más información sobre cómo crear roles en Google Cloud Platform, consulte Creación y administración de roles personalizados en la documentación de Google Cloud.

Creación de una cuenta de servicio

Siga las instrucciones de la documentación de Google Cloud para crear una cuenta de servicio.
Asigne un nombre a la cuenta de servicio para que se reconozca como una cuenta de servicio Sentinel.
Asigne el rol que creó en la sección anterior a la cuenta de servicio.

Para obtener más información sobre las cuentas de servicio en Google Cloud Platform, consulte Introducción a las cuentas de servicio en la documentación de Google Cloud.

Creación del proveedor y el grupo de identidades de la carga de trabajo

Siga las instrucciones de la documentación de Google Cloud para crear el proveedor y el grupo de identidades de la carga de trabajo.
En Name (Nombre) y Pool ID (Id. de grupo), escriba el identificador de inquilino de Azure, con los guiones quitados.

Nota:

Puede encontrar y copiar el identificador de inquilino en la pantalla Configuración del portal , en la columna Id. de directorio . La pantalla de configuración del portal es accesible en cualquier lugar de la Azure Portal seleccionando el icono de engranaje en la parte superior de la pantalla.
Agregue un proveedor de identidades al grupo. Elija Open ID Connect (OIDC) como tipo de proveedor.
Asigne al proveedor de identidades un nombre reconocible para su propósito.
Escriba los valores siguientes en la configuración del proveedor (estos no son ejemplos; use estos valores reales):
- Emisor (URL):https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
- Audiencia: el URI del identificador de aplicación: api://2041288c-b303-4ca0-9076-9612db3beeb2
- Asignación de atributos: google.subject=assertion.sub
Nota:

Para configurar el conector para enviar registros de GCP a la nube Azure Government, use los siguientes valores alternativos para la configuración del proveedor en lugar de los anteriores:
- Emisor (URL):https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
- Audiencia: api://e9885b54-fac0-4cd6-959f-a72066026929

Para obtener más información sobre la federación de identidades de carga de trabajo en Google Cloud Platform, consulte Federación de identidades de carga de trabajo en la documentación de Google Cloud.

Conceder acceso al grupo de identidades a la cuenta de servicio

Busque y seleccione la cuenta de servicio que creó anteriormente.
Busque la configuración de permisos de la cuenta de servicio.
Conceda acceso a la entidad de seguridad que representa el grupo de identidades de carga de trabajo y el proveedor que creó en el paso anterior.
- Use el siguiente formato para el nombre principal:
```
principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
```
- Asigne el rol Usuario de identidad de carga de trabajo y guarde la configuración.

Para obtener más información sobre cómo conceder acceso en Google Cloud Platform, consulte Administración del acceso a proyectos, carpetas y organizaciones en la documentación de Google Cloud.

Configuración de registros de auditoría de GCP

Las instrucciones de esta sección son para usar el conector de registros de auditoría Microsoft Sentinel GCP Pub/Sub.

Consulte Configuración del Centro de comandos de seguridad de GCP para usar el conector de GCP Pub/Sub Security Command Center de Microsoft Sentinel.

Consulte GKE Logs setup for using the Microsoft Sentinel Google Kubernetes Engine connector (Configuración de registros de GKE) para usar el conector Microsoft Sentinel Motor de Kubernetes de Google.

Configuración de la API de Terraform
Configuración manual

Copie el script de configuración del registro de auditoría de Terraform proporcionado por Microsoft Sentinel del repositorio de GitHub de Sentinel en otra carpeta del entorno de Cloud Shell de GCP.
1. Abra el archivo de script GCPAuditLogsSetup de Terraform y copie su contenido.
  
  Nota:
  
  Para ingerir datos de GCP en una nube de Azure Government, use este script de configuración del registro de auditoría en su lugar.
2. Cree otro directorio en el entorno de Cloud Shell, introdúzcalo y cree un nuevo archivo en blanco.
```
mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
```
3. Abra auditlog.tf en el editor de Cloud Shell y pegue el contenido del archivo de script en él.
Inicialice Terraform en el nuevo directorio escribiendo el siguiente comando en el terminal:
```
terraform init 
```
Cuando reciba el mensaje de confirmación de que terraform se ha inicializado, ejecute el script escribiendo el siguiente comando en el terminal:
```
terraform apply 
```
Para ingerir registros de toda una organización mediante un solo pub/sub, escriba lo siguiente:
```
terraform apply -var="organization-id= {organizationId} "
```
Cuando se le pregunte si desea crear los recursos enumerados, escriba sí.

Cuando se muestre la salida del script, guarde los parámetros de recursos para su uso posterior.

Espere cinco minutos antes de pasar al paso siguiente.

Creación de un tema de publicación

Use el servicio Google Cloud Platform Pub/Sub para configurar la exportación de registros de auditoría.

Siga las instrucciones de la documentación de Google Cloud para crear un tema en el que publicar registros.

Elija un identificador de tema que refleje el propósito de la recopilación de registros para su exportación a Microsoft Sentinel.
Agregue una suscripción predeterminada.
Use una clave de cifrado administrada por Google para el cifrado.

Creación de un receptor de registro

Use el servicio Log Router de Google Cloud Platform para configurar la recopilación de registros de auditoría.

Para recopilar solo los registros de los recursos del proyecto actual:

Compruebe que el proyecto está seleccionado en el selector de proyectos.
Siga las instrucciones de la documentación de Google Cloud para configurar un receptor para recopilar registros.
- Elija un nombre que refleje el propósito de la recopilación de registros para exportar a Microsoft Sentinel.
- Seleccione "Cloud Pub/Sub topic" como tipo de destino y elija el tema que creó en el paso anterior.

Para recopilar registros de recursos en toda la organización:

Seleccione la organización en el selector de proyectos.
Siga las instrucciones de la documentación de Google Cloud para configurar un receptor para recopilar registros.
- Elija un nombre que refleje el propósito de la recopilación de registros para exportar a Microsoft Sentinel.
- Seleccione "Cloud Pub/Sub topic" como tipo de destino y elija el valor predeterminado "Use a Cloud Pub/Sub topic in a project" (Usar un tema de Cloud Pub/Sub en un proyecto).
- Escriba el destino en el formato siguiente: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.
En Elegir registros que se van a incluir en el receptor, seleccione Incluir registros ingeridos por esta organización y todos los recursos secundarios.

Comprobación de que GCP puede recibir mensajes entrantes

En la consola de GCP Pub/Sub, vaya a Suscripciones.
Seleccione Mensajes y seleccione PULL para iniciar una extracción manual.
Compruebe los mensajes entrantes.

Si también está configurando el conector GCP Pub/Sub Security Command Center , continúe con la sección siguiente.

De lo contrario, vaya a Configurar el conector GCP Pub/Sub en Microsoft Sentinel.

Configuración del Centro de comandos de seguridad de GCP

Las instrucciones de esta sección son para usar el conector Microsoft Sentinel GCP Pub/Sub Security Command Center.

Consulte las instrucciones de la sección anterior para usar el conector de registros de auditoría Microsoft Sentinel GCP Pub/Sub.

Configuración de la exportación continua de resultados

Siga las instrucciones de la documentación de Google Cloud para configurar las exportaciones de Pub/Sub de futuras conclusiones de SCC al servicio GCP Pub/Sub.

Cuando se le pida que seleccione un proyecto para la exportación, seleccione un proyecto que creó para este propósito o cree un nuevo proyecto.
Cuando se le pida que seleccione un tema de Pub/Sub en el que desea exportar los resultados, siga las instrucciones anteriores para crear un tema nuevo.

Configuración del conector del motor de Google Kubernetes

Las instrucciones de esta sección son para usar el conector Microsoft Sentinel Motor de Kubernetes de Google.

Consulte Configuración del Centro de comandos de seguridad de GCP para usar el conector de GCP Pub/Sub Security Command Center de Microsoft Sentinel.

Consulte GCP Audit Logs setup for using the Microsoft Sentinel GCP Pub/Sub Audit Logs connector (Configuración de registros de auditoría de GCP para usar el conector de registros de auditoría de GCP Pub/Sub).

Configuración de la API de Terraform

Copie el script de configuración del registro de auditoría de Terraform proporcionado por Microsoft Sentinel del repositorio de GitHub de Sentinel en otra carpeta del entorno de Cloud Shell de GCP.
1. Abra el archivo de script GoogleKubernetesEngineLogSetup de Terraform y copie su contenido.
2. Cree otro directorio en el entorno de Cloud Shell, introdúzcalo y cree un nuevo archivo en blanco.
```
mkdir {other-directory-name} && cd {other-directory-name} && touch gkelog.tf
```
3. Abra gkelog.tf en el editor de Cloud Shell y pegue el contenido del archivo de script en él.
Inicialice Terraform en el nuevo directorio escribiendo el siguiente comando en el terminal:
```
terraform init 
```
Cuando reciba el mensaje de confirmación de que terraform se ha inicializado, ejecute el script escribiendo el siguiente comando en el terminal:
```
terraform apply 
```
Para ingerir registros de toda una organización mediante un solo pub/sub, escriba lo siguiente:
```
terraform apply -var="organization-id= {organizationId} "
```
Cuando se le pregunte si desea crear los recursos enumerados, escriba sí.

Cuando se muestre la salida del script, guarde los parámetros de recursos para su uso posterior.

Espere cinco minutos antes de pasar al paso siguiente.

Configurar el conector GCP Pub/Sub en Microsoft Sentinel

Abra el Azure Portal y vaya al servicio Microsoft Sentinel.
En el centro de contenido, en la barra de búsqueda, escriba Registros de auditoría de Google Cloud Platform.
Instale la solución Registros de auditoría de Google Cloud Platform .
Seleccione Conectores de datos y, en la barra de búsqueda, escriba Registros de auditoría de GCP Pub/Sub.
Seleccione el conector GCP Pub/Sub Audit Logs(Registros de auditoría de GCP Pub/Sub ).
En el panel de detalles, seleccione Abrir página del conector.
En el área Configuración , seleccione Agregar nuevo recopilador.
En el panel Conectar nuevo recopilador , escriba los parámetros de recursos que creó al crear los recursos de GCP.
Asegúrese de que los valores de todos los campos coincidan con sus homólogos en el proyecto de GCP (los valores de la captura de pantalla son ejemplos, no literales) y seleccione Conectar.

Compruebe que los datos de GCP están en el entorno de Microsoft Sentinel

Para asegurarse de que los registros de GCP se ingieren correctamente en Microsoft Sentinel, ejecute la siguiente consulta 30 minutos después de finalizar la configuración del conector.
```
GCPAuditLogs 
| take 10 
```
```
GoogleSCC 
| take 10 
```
```
GKEAudit 
| take 10 
```
Habilite la característica de mantenimiento para los conectores de datos.

Solución de problemas

"Error 409: La entidad solicitada ya existe" Al ejecutar scripts de terraform: importe esos recursos de GCP existentes en el estado de Terraform para que Terraform los administre en lugar de intentar volver a crearlos. Por ejemplo, con el mensaje de error "Error al crear WorkloadIdentityPool: googleapi: Error 409: La entidad solicitada ya existe", busque el identificador del grupo y el identificador del proyecto, ejecute:

terraform import google_iam_workload_identity_pool.<POOL_RESOURCE_NAME> projects/<PROJECT_ID>/locations/global/workloadIdentityPools/<POOL_ID>

Pasos siguientes

En este artículo, ha aprendido a ingerir datos de GCP en Microsoft Sentinel mediante los conectores GCP Pub/Sub. Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:

Obtenga información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas.
- Empiece a detectar amenazas con Microsoft Sentinel.
- Use libros para supervisar los datos.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-23

Ingerir datos de registro de Google Cloud Platform en Microsoft Sentinel

Requisitos previos

Configuración del entorno de GCP

Configuración de autenticación de GCP

Configuración de registros de auditoría de GCP

Configuración del Centro de comandos de seguridad de GCP

Configuración de la exportación continua de resultados

Configuración del conector del motor de Google Kubernetes

Configurar el conector GCP Pub/Sub en Microsoft Sentinel

Compruebe que los datos de GCP están en el entorno de Microsoft Sentinel

Solución de problemas

Pasos siguientes

Comentarios

Recursos adicionales