Envía datos de Security Command Center a Cortex XSOAR

En esta página, se explica cómo enviar automáticamente los hallazgos, los recursos y los elementos de seguridad de Security Command Center fuentes a Cortex XSOAR. También se describe cómo administrar los datos exportados. Cortex XSOAR es una solución de organización, automatización y respuesta de seguridad (SOAR) que transfiere datos de seguridad de una o más fuentes y permite a los equipos a administrar las respuestas ante incidentes. Puedes usar Cortex XSOAR para ver tu los hallazgos y los recursos de Security Command Center, y para actualizar los hallazgos cuando resuelto.

En esta guía, asegúrate de que los servicios de Security Command Center y estén configurados correctamente y permiten que Cortex XSOAR acceda a los hallazgos y en el entorno de Security Command Center. Algunas instrucciones se compilan de la guía de integraciones de Cortex XSOAR en GitHub.

Antes de comenzar

En esta guía, se da por sentado que tienes una versión funcional de Cortex XSOAR. Para comenzar con Cortex XSOAR, regístrate.

Configura la autenticación y la autorización

Antes de conectarte a Security Command Center para Cortex XSOAR, debes crear una cuenta de servicio de Identity and Access Management (IAM) en cada organización de Google Cloud y otorgarle tanto a nivel de organización como a nivel de proyecto Funciones de IAM que necesita Cortex XSOAR.

Crea una cuenta de servicio y otorga roles de IAM

En los siguientes pasos, se usa la consola de Google Cloud. Para otros métodos, consulta los vínculos al final de esta sección.

Completa estos pasos para cada organización de Google Cloud que desees importar Security Command Center los datos de origen.

1. En el mismo proyecto en el que creas los temas de Pub/Sub, usa el Cuentas de servicio en la consola de Google Cloud para crear una cuenta de servicio. Para obtener instrucciones, consulta Crea y administra cuentas de servicio.

2. Otorga el siguiente rol a la cuenta de servicio:

   • Editor de Pub/Sub (roles/pubsub.editor)

3. Copia el nombre de la cuenta de servicio que acabas de crear.

4. Usa el selector de proyectos de la consola de Google Cloud para cambiar a nivel de la organización.

5. Abre la página IAM de la organización:

   Ir a IAM

6. En la página de IAM, haz clic en Otorgar acceso. El otorgamiento se abre el panel de acceso.

7. En el panel Otorgar acceso, completa los siguientes pasos:

   1. En la sección Agregar principales, en el campo Principales nuevas, pega el nombre de la cuenta de servicio.

   2. En la sección Asignar roles, usa el campo Rol para otorgar la los siguientes roles de IAM a la cuenta de servicio:

      • Editor administrador del centro de seguridad (roles/securitycenter.adminEditor)
      • Editor de configuración de notificaciones del centro de seguridad (roles/securitycenter.notificationConfigEditor)
      • Lector de la organización (roles/resourcemanager.organizationViewer)
      • Visualizador de recursos de Cloud (roles/cloudasset.viewer)

   3. Haz clic en Guardar. La cuenta de seguridad aparece en la pestaña Permisos. de la página IAM en Ver por principales.

      Por herencia, la cuenta de servicio también se convierte en una principal proyectos secundarios de la organización y los roles que se aplican al a nivel de proyecto se enumeran como roles heredados.

Para obtener más información sobre cómo crear cuentas de servicio y otorgar roles, consulta los siguientes temas:

• Crea y administra cuentas de servicio
• Cómo otorgar, cambiar y revocar el acceso a los recursos

Proporciona las credenciales a Cortex XSOAR

Según dónde alojes Cortex XSOAR, cómo proporcionas la Las credenciales de IAM para Cortex XSOAR son diferentes.

• Si alojas Cortex XSOAR en Google Cloud, ten en cuenta lo siguiente:

  • La cuenta de servicio que creaste y los roles a nivel de la organización que que le otorgaste están disponibles automáticamente por herencia del elemento superior para que se adapten a las necesidades de tu organización. Si usas varias organizaciones de Google Cloud, agrega esto cuenta de servicio a las demás organizaciones y otorgarle los roles de IAM que se describen en los pasos 5 a 7 de Crea una cuenta de servicio y otorgar roles de IAM.

  • Si implementas Cortex XSOAR en un perímetro de servicio, crea las entradas de entrada y salida. Para obtener instrucciones, consulta Otorga acceso al perímetro en Controles del servicio de VPC

• Si alojas Cortex XSOAR en tu entorno local y tu el proveedor de identidad admite la federación de identidades para cargas de trabajo, configura la federación de identidades para cargas de trabajo y descarga los archivos de configuración de credenciales. De lo contrario, crea una clave de cuenta de servicio para cada organización de Google Cloud en formato JSON.

• Si alojas Cortex XSOAR en Microsoft Azure o Amazon Web Services, configura la federación de identidades para cargas de trabajo y descargar los archivos de configuración de credenciales. Si usas varias organizaciones de Google Cloud, agrega esta cuenta de servicio a las demás organizaciones y otorgarle los roles de IAM que se describen en pasos 5 a 7 de Crea una cuenta de servicio y otorga roles de IAM.

Configurar las notificaciones

Completa estos pasos para cada organización de Google Cloud que desees importar Security Command Center los datos de origen.

1. Configura la búsqueda de notificaciones de la siguiente manera:

   1. Habilita la API de Security Command Center.
   2. Crea un filtro para exportar los resultados.
   3. Crea un tema de Pub/Sub para los resultados. NotificationConfig debe usar el tema de Pub/Sub que crearás para los resultados.

2. Habilita la API de Cloud DLP para el proyecto.

Necesitarás el ID de la organización, el ID del proyecto y el ID Pub/Sub ID de suscripción de esta tarea para configurar Cortex XSOAR. Para recuperar tu ID de la organización y del ID del proyecto; consulta Cómo recuperar el ID de tu organización e Identifica proyectos respectivamente.

Cómo configurar Cortex XSOAR

Cuando se le otorgue acceso, Cortex XSOAR recibirá los hallazgos y las actualizaciones de recursos en en tiempo real.

Para usar Security Command Center con Cortex XSOAR, sigue estos pasos:

1. Instala el SCC de Google Cloud de Cortex XSOAR Marketplace.

   El paquete de contenido es un módulo que mantiene Security Command Center y que automatiza la Proceso de programación de llamadas a la API de Security Command Center y de recuperación periódica Datos de Security Command Center para usar en Cortext XSOAR.

2. En el menú de la aplicación Cortex XSOAR, ve a Settings y, luego, Haz clic en Integrations.

3. En Integraciones, selecciona Servidores y servicios.

4. Busca y selecciona GoogleCloudSCC.

5. Para crear y configurar una instancia de integración nueva, haz clic en Agregar instancia.

6. Ingresa la información en los siguientes campos según sea necesario:

   Parámetro	Descripción	Obligatorio
   Configuración de la cuenta de servicio	Uno de los siguientes, como se describe en la sección Antes de comenzar: El contenido del archivo JSON de la cuenta de servicio, si creaste un servicio clave de cuenta El contenido del archivo de configuración de credenciales, si usas la federación de identidades para cargas de trabajo	True
   ID de la organización	El ID de tu organización.	True
   Recuperar incidentes	Habilita la recuperación de incidentes	Falso
   ID del proyecto	El ID del proyecto que se usará para recuperar incidentes si está vacío, el ID del proyecto contenido en el archivo JSON proporcionado	Falso
   ID de la suscripción	El ID de tu suscripción a Pub/Sub	True
   Cantidad máxima de incidentes	La cantidad máxima de incidentes que se recuperarán durante cada recuperación	Falso
   Tipo de incidente	El tipo de incidente	Falso
   Confiar en cualquier certificado (no seguro)	Permite confiar en todos los certificados	Falso
   Usar la configuración del proxy del sistema	Habilita la configuración de proxy del sistema	Falso
   Intervalo de recuperación de incidentes	Tiempo entre las recuperaciones de información actualizada del incidente	Falso
   Nivel de registro	El nivel de registro del paquete de contenido	Falso

7. Haga clic en Test.

   Si la configuración es válida, verás un mensaje de “correcto”. mensaje. Si no es válido, si recibes un mensaje de error.

8. Haz clic en Guardar y salir.

9. Repite del paso 5 al 8 para cada organización.

Cortex XSOAR asigna automáticamente campos de los hallazgos de Security Command Center a los campos Cortex XSOAR adecuados. Para anular selecciones u obtener más información sobre Cortex XSOAR, lee la documentación del producto.

Se completó la configuración de Cortex XSOAR. En la sección Administrar hallazgos y recursos, se explica a ver y administrar datos de Security Command Center en el servicio.

Actualiza el paquete de contenido de SCC de Google Cloud

En esta sección, se describe cómo actualizar desde una versión anterior.

1. Accede a la última versión de Google Cloud SCC de Cortex XSOAR Marketplace.

2. Haz clic en Descargar con dependencias.

3. Haga clic en Install.

4. Haz clic en Actualizar contenido.

La actualización mantiene tu información de configuración anterior. Para usar la federación de identidades para cargas de trabajo, agregar el archivo de configuración, como se describe en Cómo configurar Cortex XSOAR.

Administra los resultados y recursos

Puedes ver y actualizar recursos y hallazgos con la línea de comandos de Cortex XSOAR. (CLI). Puede ejecutar comandos como parte de la clasificación automatizada una corrección o en una guía.

Para nombres y descripciones de todos los métodos y argumentos compatibles con Cortex CLI de XSOAR y los ejemplos de resultados, consulta Comandos.

Los resultados se compilan a partir de los servicios integrados de Security Command Center: Security Health Analytics, Web Security Scanner, Event Threat Detection y Container Threat Detection y cualquier servicio integrado que habilites.

Enumerar recursos

Para enumerar los recursos de tu organización, usa el balanceador google-cloud-scc-asset-list. Por ejemplo, el siguiente comando enumera recursos en los que lifecycleState es Active y limita la respuesta a tres recursos:

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

El signo de exclamación (!) de las muestras de código es obligatorio para comenzar en Cortex XSOAR. No representa negación o NOT.

Visualiza recursos de recursos

Para enumerar los elementos contenidos en recursos superiores, como los proyectos, usa Cortex. Comando google-cloud-scc-asset-resource-list de XSOAR. Por ejemplo, el siguiente comando enumera los recursos con un assetType de compute.googleapis.com/Disk y limita la respuesta a dos recursos:

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

Se admiten comodines y expresiones regulares. Por ejemplo: assetType=".*Instance" enumera los recursos en los que el tipo termina con "instancia".

Ver resultados

Para enumerar los hallazgos de tu organización o una fuente de seguridad, usa Cortex XSOAR Comando google-cloud-scc-finding-list. Por ejemplo, el siguiente comando enumera los hallazgos activos con gravedad crítica para todas las fuentes y limita la respuesta a tres hallazgos:

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

También puedes filtrar tus resultados. El siguiente comando enumera los hallazgos que se clasifican como amenazas:

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

Actualizar hallazgos

Puedes actualizar un hallazgo con el comando Comando google-cloud-scc-finding-update. Debes proporcionar el name. nombre de recurso relativo del hallazgo, con el siguiente formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID

Por ejemplo, el siguiente comando actualiza la gravedad de un resultado:

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

Reemplaza lo siguiente:

• <var>ORGANIZATION_ID</var> por el ID de la organización. Para recuperar tu ID de la organización y del ID del proyecto; consulta Cómo recuperar el ID de tu organización.
• <var>SOURCE_ID</var> por el ID de la fuente de seguridad Para encontrar un ID de la fuente, consulta Obtener el ID de la fuente
• <var>FINDING_ID</var> por el ID del hallazgo que se incluye en los detalles del hallazgo

Actualizar el estado de los hallazgos

Puedes actualizar el estado de un hallazgo con el código de Comando google-cloud-scc-finding-status-update. Debes proporcionar el name. nombre de recurso relativo del hallazgo, con el siguiente formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID

Por ejemplo, el siguiente comando establece el estado del hallazgo como activo:

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

Reemplaza lo siguiente:

• <var>ORGANIZATION_ID</var> por el ID de la organización. Para recuperar tu ID de la organización y del ID del proyecto; consulta Cómo recuperar el ID de tu organización.
• <var>SOURCE_ID</var> por el ID de la fuente de seguridad Para encontrar un ID de la fuente, consulta Obtener el ID de la fuente
• <var>FINDING_ID</var> por el ID del hallazgo que se incluye en los detalles del hallazgo

Obtén propietarios de activos

Para enumerar los propietarios de un activo, usa el comando Comando google-cloud-scc-asset-owner-get. Debes proporcionar el nombre del proyecto en con el formato de projects/PROJECT_NUMBER. Para Por ejemplo, el siguiente comando muestra una lista con el propietario del proyecto proporcionado.

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

Para agregar varios proyectos al comando, usa un separador de coma, por ejemplo: projectName="projects/123456789, projects/987654321"

¿Qué sigue?

• Obtén más información para configurar la búsqueda de notificaciones en Security Command Center.

• Lee sobre cómo filtrar notificaciones de resultados en Security Command Center.