Migrar agentes remotos a Google Cloud

Migrar agentes remotos a Google Cloud

Disponible en:

En este documento se describe cómo migrar agentes remotos a Google Cloud y usar una Google Cloud cuenta de servicio para la autenticación y la comunicación.

Antes de empezar

Asegúrate de que tienes lo siguiente:

  • Permisos necesarios para crear cuentas de servicio en Google Cloud.
  • Roles necesarios para crear claves de cuentas de servicio.
  • Versión mínima requerida del agente remoto: 2.6.0 y posteriores.

Crear una cuenta de servicio

Una cuenta de servicio es un tipo especial de cuenta de Google que usa una aplicación para hacer llamadas a la API autorizadas. Para crear una cuenta de servicio, sigue estos pasos:

  1. En la consola de Google Cloud , ve a la página Cuentas de servicio.
    2. Ir a Cuentas de servicio
  2. Haz clic en Create Service Account (Crear cuenta de servicio).
  3. En la sección Detalles de la cuenta de servicio, haz lo siguiente:
    1. Escribe un nombre para la cuenta de servicio.
    2. Escribe una descripción de la cuenta de servicio.
    3. Haz clic en Crear y continuar.
  4. En la sección Permisos, haga lo siguiente:
    1. En la lista Selecciona un rol, elige el rol Agente remoto de Chronicle SOAR.
    2. Haz clic en Continuar.
  5. En la sección Conceder a los usuarios acceso a esta cuenta de servicio, haz clic en Hecho.

Crear una clave de cuenta de servicio

La clave de la cuenta de servicio es obligatoria para autenticar el agente remoto. Para crear esta clave, sigue estos pasos:

  1. En la consola de Google Cloud , ve a la página Cuentas de servicio.
    2. Ir a Cuentas de servicio
  2. Haz clic en el nombre de la cuenta de servicio que has creado.
  3. Haga clic en la pestaña Claves.
  4. Haz clic en Añadir clave > Crear clave.
  5. Selecciona JSON como tipo de clave y haz clic en Crear.

    A JSON file containing the key is downloaded to your computer.

  6. Haz clic en Cerrar.

Almacena el archivo de clave de forma segura

Después de descargar la clave de la cuenta de servicio, debes moverla al host en el que se ejecutará el agente remoto.

Docker

  1. Busca el archivo JSON descargado en tu ordenador.
  2. Almacena el archivo en una ubicación segura de la máquina host a la que pueda acceder el proceso del agente.
  3. Introduce la ruta completa de la clave de la cuenta de servicio de tu agente en la máquina host. 
    AGENT_SERVICE_ACCOUNT_PATH

Instalador

  1. Busca el archivo JSON descargado en tu ordenador.
  2. Guarda el archivo en la siguiente ubicación: 
    /opt/SiemplifyAgent/agent-key.json
  3. Anota la ruta completa de este archivo, ya que la necesitarás cuando configures el agente remoto.

Preparar la variable de entorno REP para el agente

  1. Consulta tu endpoint de servicio regional (REP) en la referencia de la API de Chronicle. Usa este REP como dominio base.
  2. Introduce tu REP en el siguiente comando. La usarás en el procedimiento de migración. 
    REP

  3. Ve a Configuración de SOAR > Avanzado > Agentes remotos y selecciona el agente remoto que necesites.

    .
  4. Copia los siguientes valores del campo Comando de Docker y pégalos en los siguientes comandos. Los usarás en el procedimiento de migración:
    • ONE PLATFORM URL PROJECT . 
      ONE_PLATFORM_URL_PROJECT
    • ONE PLATFORM URL LOCATION . 
      ONE_PLATFORM_URL_LOCATION
    • ONE PLATFORM URL INSTANCE. 
      ONE_PLATFORM_URL_INSTANCE

Migrar el agente remoto a Google Cloud

Docker

Si vas a implementar un agente nuevo, consulta el artículo Implementar un agente con Docker.

Si vas a actualizar un agente, consulta Actualizar un agente con Docker.

Para migrar el agente remoto, sigue estos pasos:

  1. Lista los contenedores Docker en ejecución. 
    docker ps
  2. Introduce el ID de contenedor de tu agente: 
    CONTAINER_ID

  3. Usa el siguiente comando para copiar la clave de la cuenta de servicio en una ruta específica del contenedor.

    docker cp AGENT_SERVICE_ACCOUNT_PATH CONTAINER_ID:/opt/SiemplifyAgent/agent-key.json

  4. Usa el siguiente comando para cambiar el propietario de la clave de cuenta de servicio en el contenedor:

    docker exec -u 0 CONTAINER_ID chown siemplify_agent:siemplify_agent /opt/SiemplifyAgent/agent-key.json

  5. Pega las siguientes variables de entorno de los procedimientos anteriores y ejecuta este comando:

      docker exec CONTAINER_ID sh -c 'printf "export ONE_PLATFORM_URL_DOMAIN=REP\nexport ONE_PLATFORM_URL_PROJECT=ONE_PLATFORM_URL_PROJECT\nexport ONE_PLATFORM_URL_LOCATION=ONE_PLATFORM_URL_LOCATION\nexport ONE_PLATFORM_URL_INSTANCE=ONE_PLATFORM_URL_INSTANCE\nexport GOOGLE_APPLICATION_CREDENTIALS=/opt/SiemplifyAgent/agent-key.json" >> /home/siemplify_agent/.bash_profile'
  6. Ejecuta el siguiente comando para aplicar los cambios: 
    docker restart CONTAINER_ID

Instalador

Si vas a implementar un agente nuevo, consulta Implementar un agente con CentOS o Implementar un agente con RHEL.

Si vas a actualizar un agente, consulta el artículo Actualizar un agente con CentOS o Actualizar un agente con RHEL .

Para migrar el agente remoto, sigue estos pasos:

  1. Usa el siguiente comando para cambiar el propietario de la clave de cuenta de servicio en el contenedor:

    chown siemplify_agent:siemplify_agent /opt/SiemplifyAgent/agent-key.json

  2. Pega las siguientes variables de entorno de los procedimientos anteriores y ejecuta este comando:

    cat << EOF >> /home/siemplify_agent/.bash_profile
export ONE_PLATFORM_URL_DOMAIN=REP
export ONE_PLATFORM_URL_PROJECT=ONE_PLATFORM_URL_PROJECT
export ONE_PLATFORM_URL_LOCATION=ONE_PLATFORM_URL_LOCATION
export ONE_PLATFORM_URL_INSTANCE=ONE_PLATFORM_URL_INSTANCE
export GOOGLE_APPLICATION_CREDENTIALS=/opt/SiemplifyAgent/agent-key.json
EOF
  3. Ejecuta el siguiente comando para reiniciar el servicio del agente: 
    supervisorctl restart siemplify_agent

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.