Versión de la integración1.0.0
Google Cloud Armor ayuda a proteger los despliegues de Google Cloud frente a múltiples tipos de amenazas, incluidos los ataques de denegación de servicio distribuidos (DDoS) y los ataques a aplicaciones como cross-site scripting (XSS) e inyección de SQL (SQLi).
Managed Protection de Armor es el servicio gestionado de protección para aplicaciones que ayuda a proteger las aplicaciones y los servicios web frente a ataques DDoS distribuidos y otras amenazas de Internet. Managed Protection cuenta con protecciones siempre activas para los balanceadores de carga y proporciona acceso a las reglas WAF.
Google Cloud Armor se integra automáticamente con Security Command Center y exporta dos hallazgos al dashboard del Security Command Center: pico de tráfico permitido e índice de denegación creciente.
Habilita esta integración junto con la integración del Security Command Center con Google Cloud para visualizar las amenazas DDoS a tu entorno Google Cloud en Datadog. Con esta integración, Datadog recopila importantes eventos de seguridad de tus configuraciones y métricas de seguridad de red de Google Cloud desde Google Cloud Armor.
Esta integración ofrece información de la actividad de los usuarios sobre cambios en recursos de nube y en cada solicitud evaluada por una política de seguridad, desde logs de auditoría a logs de solicitudes.
Configuración
Instalación
- Antes de empezar, asegúrate de que las siguientes API están habilitadas para los proyectos de los que quieres recopilar eventos de Google Cloud Armor:
Dado que los eventos de Google Cloud Armor se simplifican como hallazgos en el Google Security Command Center, asegúrate de que Google Cloud Armor esté habilitado en el Security Command Center de tu consola de Google Cloud. Para obtener más información, consulta Configuración del Security Command Center.
A continuación, habilita la recopilación de hallazgos de seguridad en la integración principal de Google Cloud Platform.
Configuración
Para recopilar métricas de Google Cloud Armor, configura la principal integración Google Cloud.
Para recopilar eventos de Google Cloud Armor, debes añadir el rol de Visor de hallazgos del Security Center a la cuenta de servicio.
Instala la integración del Security Command Center de Google Cloud y habilita la recopilación de hallazgos de seguridad en la principal integración de Google Cloud.
Para configurar el reenvío de logs desde tu entorno de Google Cloud a Datadog, consulta la sección Recopilación de logs.
Los logs de auditoría pueden reenviarse utilizando el reenvío estándar de logs. Estos logs de auditoría utilizan los tipos de recursos
gce_backend_service y network_security_policy de Google Cloud. Para incluir únicamente logs de auditoría,
utiliza filtros como protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" al
crear el sumidero de logs.
Los logs de solicitudes pueden reenviarse utilizando el reenvío estándar de logs. Estos logs se recopilan automáticamente
en logs de balanceo de carga de Google Cloud. Utiliza filtros como
jsonPayload.enforcedSecurityPolicy.outcome="DENY" al crear el sumidero de logs para ver las solicitudes
denegadas por una política de seguridad.
Datos recopilados
Métricas
| |
|---|
gcp.networksecurity.dos.ingress_bytes_count
(count) | El número total de bytes recibidos, desglosado por estado de caída (permitido o caído).
Se muestra como byte |
gcp.networksecurity.dos.ingress_packets_count
(count) | El número total de paquetes recibidos, desglosados por estado de caída (permitidos o descartados).
Se muestra como paquete |
gcp.networksecurity.firewall_endpoint.received_bytes_count
(count) | Total de bytes recibidos del endpoint de firewall.
Se muestra como byte |
gcp.networksecurity.firewall_endpoint.received_packets_count
(count) | Total de paquetes recibidos por el endpoint de firewall.
Se muestra como paquete |
gcp.networksecurity.firewall_endpoint.sent_bytes_count
(count) | Total de bytes enviados por el endpoint de firewall.
Se muestra como byte |
gcp.networksecurity.firewall_endpoint.sent_packets_count
(count) | Total de paquetes enviados por el endpoint de firewall.
Se muestra como paquete |
gcp.networksecurity.firewall_endpoint.threats_count
(count) | Total de amenazas detectadas en los endpoints de firewall. |
gcp.networksecurity.https.previewed_request_count
(count) | Consultas que se verían afectadas por las reglas actualmente en modo “vista previa”, si dichas reglas se convirtieran en no vistas previas.
Se muestra como solicitud |
gcp.networksecurity.https.request_count
(count) | Número real de consultas afectadas por la aplicación de la política de consultas.
Se muestra como solicitud |
gcp.networksecurity.l3.external.packet_count
(count) | Número estimado de paquetes por regla coincidente y acción de aplicación.
Se muestra como paquete |
gcp.networksecurity.l3.external.preview_packet_count
(count) | Número estimado de paquetes que se verían afectados por la regla actualmente en modo de vista previa, si dicha regla se convirtiera en no vista previa.
Se muestra como paquete |
gcp.networksecurity.tcp_ssl_proxy.new_connection_count
(count) | Nuevas conexiones afectadas por la aplicación de la política.
Se muestra como conexión |
gcp.networksecurity.tcp_ssl_proxy.previewed_new_connection_count
(count) | Nuevas conexiones que se verían afectadas por las reglas actualmente en modo “vista previa”, si dichas reglas se convirtieran en no vistas previas.
Se muestra como conexión |
Checks de servicio
La integración Google Cloud Armor no incluye checks de servicios.
Eventos
La integración Google Cloud Armor no incluye eventos.
Solucionar problemas
¿Necesitas ayuda? Ponte en contacto con el soporte de Datadog.
Referencias adicionales
Documentación útil adicional, enlaces y artículos:
