En esta página, se muestran filtros de ejemplo que puedes usar con la función de notificaciones de la API de Security Command Center y los mensajes que exporta a Pub/Sub o BigQuery. Puedes filtrar las notificaciones por cualquier campo de resultado, incluidos los siguientes:
parent
state
resource_name
category
source_properties
security_marks
También puedes usar operadores estándar como parte de la string de filtro:
AND
para incluir campos que contengan todo un conjunto de valoresOR
para incluir campos que contengan un conjunto de valores-
para excluir los campos que contengan un valor específicoParéntesis para agrupar un conjunto de valores, por ejemplo:
(category = \"BUCKET_LOGGING_DISABLED\" OR category = \"CLUSTER_LOGGING_DISABLED\") AND state = \"ACTIVE\"
Configura un filtro fuente
Cada resultado de Security Command Center incluye el ID de origen del proveedor de fuentes de seguridad. Por ejemplo, un resultado de las estadísticas del estado de la seguridad incluye un ID de origen que es único para ellas. El ID de fuente se usa en un filtro NotificationConfig
para especificar los resultados del proveedor que deseas enviar al tema de notificaciones de Pub/Sub o al conjunto de datos de BigQuery.
Paso 1: Obtén el ID de la fuente
Usa la consola de Google Cloud o Google Cloud CLI para obtener el ID de origen de un proveedor.
Console
- Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
Ir a la página Resultados - Selecciona la organización para la que deseas crear notificaciones filtro. Se abre la página Hallazgos.
- En el panel Filtros rápidos, desplázate hacia abajo hasta Nombre visible de la fuente. y selecciona el nombre del proveedor que quieras usar para filtrar los resultados de las notificaciones.
- En la columna Categoría del panel Resultados de la búsqueda, haz lo siguiente: ver el panel de detalles de los hallazgos haciendo clic en el nombre de uno de los de los resultados de búsqueda.
- En el panel de detalles de los resultados, haz clic en la pestaña JSON. El archivo JSON completo del hallazgo.
En el archivo JSON, copia el valor del atributo
parent
. Por ejemplo:"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID"
Los IDs se representan de la siguiente manera:
ORGANIZATION_ID
: Es el ID de la organización. del proveedor de origen principal.SOURCE_ID
: Es el ID del proveedor de origen superior.
gcloud
Para recuperar un ID de la fuente, ejecuta el siguiente comando:
gcloud scc sources describe ORGANIZATION_ID --source-display-name="SOURCE_NAME"
Reemplaza lo siguiente:
- ORGANIZATION_ID: Es el ID de tu organización.
- SOURCE_NAME: El nombre del servicio para el que deseas el ID de origen. Usa el nombre de cualquier proveedor de resultados, incluidos los servicios integrados de Security Command Center, las estadísticas del estado de la seguridad, Web Security Scanner, Event Threat Detection y Container Threat Detection.
El resultado del comando de la CLI de gcloud se parece al siguiente y también incluye el ID de origen:
{
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"displayName": "example-source",
"description": "A source that creates findings."
}
A continuación, usa el ID de la organización y el ID de fuente para crear un filtro de notificaciones.
Paso 2: Crea un filtro
Para crear un filtro de notificaciones, crea un NotificationConfig
nuevo.
Puedes agregar un filtro al archivo NotificationConfig
para incluir o excluir una fuente específica:
Filtra los resultados para enviar notificaciones solo desde la fuente especificada:
state = \"ACTIVE\" AND parent = \"organizations/$ORGANIZATION_ID/sources/$SOURCE_ID\"
Filtra los resultados para enviar notificaciones desde todas las fuentes, excepto la fuente especificada:
state = \"ACTIVE\" AND -parent = \"organizations/$ORGANIZATION_ID/sources/$SOURCE_ID\"
Para obtener más ejemplos de filtros que puedes usar, consulta Enumera los resultados de la seguridad con la API de Security Command Center.
Filtra los resultados por categoría y estado cuando usas temas de Pub/Sub
En las siguientes secciones, se proporcionan ejemplos de cómo crear un filtro para fuentes y tipos de resultados específicos, y el mensaje de notificación que envía a tu tema de Pub/Sub.
Si usas conjuntos de datos de BigQuery en lugar de temas de Pub/Sub, los resultados y los campos relacionados se describen en Exporta resultados a BigQuery para su análisis.
Security Health Analytics
En este ejemplo de las estadísticas del estado de seguridad, se usan los siguientes filtros:
category = \"OPEN_FIREWALL\" AND state = \"ACTIVE\"
Para obtener más información sobre los tipos de resultados que crea las estadísticas del estado de la seguridad, consulta la página Resultados de las estadísticas del estado de la seguridad.
El mensaje de Pub/Sub para las notificaciones de resultados de las estadísticas del estado de seguridad se ve de la siguiente manera:
{
"notificationConfigName": "organizations/ORGANIZATION_ID/notificationConfigs/security-health-analytics-active-findings",
"finding": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/global/firewalls/<varFIREWALL_ID,
"state": "ACTIVE",
"category": "OPEN_FIREWALL",
"externalUri": "https://console.cloud.google.com/networking/firewalls/details/default-allow-icmp?project\u003PROJECT_ID",
"sourceProperties": {
"ReactivationCount": 0.0,
"Allowed": "[{\"ipProtocol\":\"icmp\"}]",
"WhitelistInstructions": "Add the security mark \"allow_open_firewall_rule\" to the asset with a value of \"true\" to prevent this finding from being activated again.",
"Recommendation": "Restrict the firewall rules at: https://console.cloud.google.com/networking/firewalls/details/default-allow-icmp?project\u003PROJECT_ID",
"AllowedIpRange": "All",
"ActivationTrigger": "Allows all IP addresses",
"SourceRange": "[\"0.0.0.0/0\"]",
"ScanRunId": "2019-04-06T08:50:58.832-07:00",
"SeverityLevel": "High",
"ProjectId": "PROJECT_ID",
"AssetCreationTime": "2019-03-28t17:58:54.409-07:00",
"ScannerName": "FIREWALL_SCANNER",
"Explanation": "Firewall rules that allow connections from all IP addresses or on all ports may expose resources to attackers."
},
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks",
"marks": {
"sccquery152cd5aa66ea4bc8a672d8186a125580": "true",
"sccquerya3cf2270123f4e91b84a3e613d2cac67": "true"
}
},
"eventTime": "2019-09-22T21:26:57.189Z",
"createTime": "2019-03-29T15:51:26.435Z"
}
}
Detección de anomalías
En este ejemplo de notificación de detección de anomalías, se usan los siguientes filtros:
category = \"resource_involved_in_coin_mining\" AND state = \"ACTIVE\"
Para obtener más información sobre los tipos de resultados que crea la detección de anomalías, consulta la página Visualiza vulnerabilidades y amenazas.
El mensaje de Pub/Sub para la notificación de resultado filtrado de detección de anomalías se ve de la siguiente manera:
{
"notificationConfigName": "organizations/ORGANIZATION_ID/notificationConfigs/cloud-anomaly-detection-active-findings",
"finding": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"state": "ACTIVE",
"category": "resource_involved_in_coin_mining",
"sourceProperties": {
"vm_ips": "35.231.191.191",
"end_time_usec": "1569003180000000",
"abuse_target_ips": "54.38.176.231",
"end_datetime_UTC": "2019-09-20 18:13:00 UTC",
"urls": "swap2.luckypool.io, bitcash.luckypool.io",
"vm_host_and_zone_names": "ubuntu-1804-tp100-gminer:us-east1-b",
"finding_type": "Abuse originating from a resource in your organization.",
"start_time_usec": "1569002700000000",
"action_taken": "Notification sent",
"summary_message": "We have recently detected activity on your Google Cloud Platform/APIs project that violates our Terms of Service or Acceptable Use Policy.",
"start_datetime_UTC": "2019-09-20 18:05:00 UTC"
},
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks",
"marks": { "triage": "required",
"teste123": "true",
"sccquery94c23b35ea0b4f8388268415a0dc6c1b": "true"
}
},
"eventTime": "2019-09-20T18:59:00Z",
"createTime": "2019-05-16T14:16:35.674Z"
}
}
Event Threat Detection
En este ejemplo de Event Threat Detection, se usan los siguientes filtros:
category = \"Persistence: Iam Anomalous Grant\" AND state = \"ACTIVE\"
Para obtener más información sobre los tipos de hallazgos que crea la Detección de eventos de amenazas, consulta la página Cómo ver vulnerabilidades y amenazas.
El mensaje de Pub/Sub para la notificación del resultado filtrado de Event Threat Detection tiene el siguiente aspecto:
{
"notificationConfigName": "organizations/ORGANIZATION_ID/notificationConfigs/event-threat-detection-active-findings",
"finding": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
"state": "ACTIVE",
"category": "Persistence: IAM Anomalous Grant",
"sourceProperties": {
"sourceId": {
"organizationNumber": "ORGANIZATION_ID",
"customerOrganizationNumber": "ORGANIZATION_ID"
},
"detectionCategory": {
"technique": "persistence",
"indicator": "audit_log",
"ruleName": "iam_anomalous_grant",
"subRuleName": "external_member_added_to_policy"
},
"detectionPriority": "HIGH",
"evidence": [{
"sourceLogId": {
"timestamp": {
"seconds": "1601066317",
"nanos": 4.63E8
},
"insertId": "INSERT_ID"
}
}],
"properties": {
"sensitiveRoleGrant": {
"principalEmail": "PRINCIPAL_EMAIL@gmail.com",
"bindingDeltas": [{
"action": "ADD",
"role": "roles/owner",
"member": "user:USER_EMAIL@gmail.com"
}, {
"action": "REMOVE",
"role": "roles/viewer",
"member": "user:USER_EMAIL@gmail.com"
}],
"members": ["USER_EMAIL@gmail.com"]
}
},
"findingId": "FINDING_ID"
},
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"eventTime": "2020-09-25T20:38:39.441Z",
"createTime": "2020-09-25T20:38:40.667Z"
}
}
Protección de datos sensibles
En este ejemplo de protección de datos sensibles, se usan los siguientes filtros:
category = \"CREDIT_CARD_NUMBER\" AND state = \"ACTIVE\"
Para obtener más información sobre los tipos de hallazgos que crea la Detección de eventos de amenazas, consulta la página Cómo ver vulnerabilidades y amenazas.
El mensaje de Pub/Sub para la notificación de resultado filtrado de Sensitive Data Protection se ve de la siguiente manera:
{
"notificationConfigName": "organizations/ORGANIZATION_ID/notificationConfigs/dlp-data-discovery-active-findings",
"finding": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"state": "ACTIVE",
"category": "CREDIT_CARD_NUMBER",
"externalUri": "https://console.cloud.google.com/dlp/projects/PROJECT_ID/dlpJobs/i-7536622736814356939;source\u003d5",
"sourceProperties": {
"COUNT": 2.0,
"JOB_NAME": "projects/PROJECT_ID/dlpJobs/i-7536622736814356939",
"FULL_SCAN": false
},
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks",
"marks": {
"priority": "p1",
"sccquerya3cf2270123f4e91b84a3e613d2cac67": "true"
}
},
"eventTime": "2019-09-16T23:21:19.650Z",
"createTime": "2019-04-22T23:18:17.731Z"
}
}
¿Qué sigue?
- Obtén más información sobre acceder a Security Command Center con una biblioteca cliente.
- Aprende a hacer lo siguiente: enumera los hallazgos de seguridad con la API de Security Command Center.