Envía datos de Security Command Center a Cortex XSOAR

En esta página, se explica cómo enviar de forma automática los resultados, los recursos y las fuentes de seguridad de Security Command Center a Cortex XSOAR. También se describe cómo administrar los datos exportados. Cortex XSOAR es una plataforma de organización, automatización y respuesta de seguridad (SOAR) que transfiere datos de seguridad desde una o más fuentes y permite que los equipos de seguridad administren respuestas a incidentes. Puedes usar Cortex XSOAR para ver los resultados y los recursos de Security Command Center, y actualizar los resultados cuando se resolvieron los problemas.

En esta guía, te aseguras de que los servicios de Google Cloud y Security Command Center necesarios estén configurados de forma correcta y habilitar Cortex XSOAR para acceder a los resultados y los recursos de tu entorno de Security Command Center. Algunas de las instrucciones de esta página se compilan a partir de la guía de integraciones de Cortex XSOAR en GitHub.

Antes de comenzar

En esta guía, se supone que tienes una versión funcional de Cortex XSOAR. Para comenzar a usar Cortex XSOAR, regístrate.

Configura la autenticación y la autorización

Antes de conectar Security Command Center a Cortex XSOAR, debes crear una cuenta de servicio de Identity and Access Management (IAM) en cada organización de Google Cloud y otorgarle a esa cuenta los roles de IAM a nivel de la organización y del proyecto que necesita Cortex XSOAR.

Crea una cuenta de servicio y otorga roles de IAM

En los siguientes pasos, se usa la consola de Google Cloud. Si deseas conocer otros métodos, consulta los vínculos que aparecen al final de esta sección.

Completa estos pasos para cada organización de Google Cloud desde la que deseas importar datos de Security Command Center.

1. En el mismo proyecto en el que creas tus temas de Pub/Sub, usa la página Cuentas de servicio en la consola de Google Cloud para crear una cuenta de servicio. Para obtener instrucciones, consulta Crea y administra cuentas de servicio.

2. Otorga a la cuenta de servicio el siguiente rol:

   • Editor de Pub/Sub (roles/pubsub.editor)

3. Copia el nombre de la cuenta de servicio que acabas de crear.

4. Usa el selector de proyectos de la consola de Google Cloud para cambiar al nivel de la organización.

5. Abre la página IAM de la organización:

   Ir a IAM

6. En la página de IAM, haz clic en Otorgar acceso. Se abrirá el panel para otorgar acceso.

7. En el panel Otorga acceso, completa los siguientes pasos:

   1. En la sección Agregar principales, en el campo Principales nuevas, pega el nombre de la cuenta de servicio.

   2. En la sección Asignar roles, usa el campo Rol para otorgar los siguientes roles de IAM a la cuenta de servicio:

   3. Editor administrador del centro de seguridad (roles/securitycenter.adminEditor)
   4. Editor de configuración de notificaciones del centro de seguridad (roles/securitycenter.notificationConfigEditor)
   5. Lector de la organización (roles/resourcemanager.organizationViewer)
   6. Visualizador de recursos de Cloud (roles/cloudasset.viewer)

   7. Haz clic en Guardar. La cuenta de servicio aparece en la pestaña Permisos de la página IAM, en Ver por principales.

      Por herencia, la cuenta de servicio también se convierte en una principal en todos los proyectos secundarios de la organización. Los roles que se aplican a nivel del proyecto se enumeran como roles heredados.

Para obtener más información sobre cómo crear cuentas de servicio y otorgar roles, consulta los siguientes temas:

• Crea y administra cuentas de servicio
• Cómo otorgar, cambiar y revocar el acceso a los recursos

Proporciona las credenciales a Cortex XSOAR

Dependiendo de dónde alojes Cortex XSOAR, la forma en que proporciones las credenciales de IAM a Cortex XSOAR difiere.

• Si alojas Cortex XSOAR en Google Cloud, ten en cuenta lo siguiente:

  • La cuenta de servicio que creaste y los roles a nivel de la organización que le otorgaste están disponibles automáticamente por herencia de la organización superior. Si usas varias organizaciones de Google Cloud, agrega esta cuenta de servicio a las otras organizaciones y bríndale los roles de IAM que se describen en los pasos 5 a 7 de Cómo crear una cuenta de servicio y otorgar roles de IAM.

  • Si implementas Cortex XSOAR en un perímetro de servicio, crea las reglas de entrada y salida. Si deseas obtener instrucciones, consulta Otorga acceso al perímetro en los Controles del servicio de VPC.

• Si alojas Cortex XSOAR en tu entorno local y tu proveedor de identidad admite la federación de identidades para cargas de trabajo, configura la federación de identidades para cargas de trabajo y descarga los archivos de configuración de credenciales. De lo contrario, crea una clave de cuenta de servicio para cada organización de Google Cloud en formato JSON.

• Si alojas Cortex XSOAR en Microsoft Azure o Amazon Web Services, configura la federación de Workload Identity y descarga los archivos de configuración de credenciales. Si usas varias organizaciones de Google Cloud, agrega esta cuenta de servicio a las otras organizaciones y bríndale los roles de IAM que se describen en los pasos 5 a 7 de Cómo crear una cuenta de servicio y otorgar roles de IAM.

Configurar las notificaciones

Completa estos pasos para cada organización de Google Cloud desde la que deseas importar datos de Security Command Center.

1. Configura la búsqueda de notificaciones de la siguiente manera:

   1. Habilita la API de Security Command Center.
   2. Crea un filtro para exportar los resultados.
   3. Crea un tema de Pub/Sub para los resultados. NotificationConfig debe usar el tema de Pub/Sub que crearás para los resultados.

2. Habilita la API de Cloud DLP para el proyecto.

Necesitarás el ID de tu organización, el ID del proyecto y el ID de suscripción de Pub/Sub de esta tarea para configurar Cortex XSOAR. Para recuperar el ID de tu organización y el ID del proyecto, consulta Recupera el ID de tu organización y Identifica proyectos, respectivamente.

Configura Cortex XSOAR

Cuando se otorgue el acceso, Cortex XSOAR recibirá actualizaciones de hallazgos y recursos en tiempo real.

Para usar Security Command Center con Cortex XSOAR, sigue estos pasos:

1. Instala el paquete de contenido de SCC de Google Cloud desde Cortex XSOAR Marketplace.

   El paquete de contenido es un módulo que mantiene Security Command Center y que automatiza el proceso de programación de llamadas a la API de Security Command Center y recupera con regularidad los datos de Security Command Center para usarlos en Cortext XSOAR.

2. En el menú de la aplicación de Cortex XSOAR, navega a Configuración y, luego, haz clic en Integraciones.

3. En Integraciones, selecciona Servidores y servicios.

4. Busca y selecciona GoogleCloudSCC.

5. Para crear y configurar una nueva instancia de integración, haz clic en Agregar instancia.

6. Ingresa la información en los siguientes campos según sea necesario:

   Parámetro	Descripción	Obligatorio
   Configuración de la cuenta de servicio	Una de las siguientes opciones, como se describe en Antes de comenzar: El contenido del archivo JSON de la cuenta de servicio, si creaste una clave de cuenta de servicio El contenido del archivo de configuración de credenciales, si usas la federación de Workload Identity	True
   ID de la organización	El ID de tu organización.	True
   Cómo recuperar incidentes	Habilita el incidente de recuperación	Falso
   ID del proyecto	El ID del proyecto que se usará para recuperar incidentes; si está vacío, se usa el ID del proyecto contenido en el archivo JSON proporcionado.	Falso
   ID de la suscripción	El ID de tu suscripción a Pub/Sub	True
   Máximo de incidentes	Es la cantidad máxima de incidentes que se pueden recuperar durante cada recuperación.	Falso
   Tipo de incidente	El tipo de incidente	Falso
   Confiar en cualquier certificado (no seguro)	Permite confiar en todos los certificados.	Falso
   Usar la configuración del proxy del sistema	Habilita la configuración del proxy del sistema.	Falso
   Intervalo de actualización de incidentes	Tiempo entre recuperaciones para obtener información actualizada sobre incidentes	Falso
   Nivel de registro	El nivel de registro del paquete de contenido	Falso

7. Haga clic en Test.

   Si la configuración es válida, verás un mensaje de "éxito". Si no es válido, recibirás un mensaje de error.

8. Haz clic en Guardar y salir.

9. Repite los pasos del 5 al 8 para cada organización.

Cortex XSOAR asigna automáticamente los campos de los hallazgos de Security Command Center a los campos apropiados de Cortex XSOAR. Para anular selecciones o obtener más información sobre Cortex XSOAR, lee la documentación del producto.

Se completó la configuración de Cortex XSOAR. En la sección Administra hallazgos y recursos, se explica cómo ver y administrar los datos de Security Command Center en el servicio.

Actualiza el paquete de contenido de SCC de Google Cloud

En esta sección, se describe cómo actualizar desde una versión anterior.

1. Accede a la versión más reciente del paquete de contenido de SCC de Google Cloud desde Cortex XSOAR Marketplace.

2. Haz clic en Descargar con dependencias.

3. Haga clic en Install.

4. Haz clic en Actualizar contenido.

La actualización mantiene la información de configuración anterior. Para usar la federación de identidades de carga de trabajo, agrega el archivo de configuración, como se describe en Configura Cortex XSOAR.

Administra los resultados y los recursos

Puedes ver y actualizar los recursos y los resultados con la interfaz de línea de comandos (CLI) de Cortex XSOAR. Puedes ejecutar comandos como parte de la clasificación y remediación automáticas, o en un libro de jugadas.

Para obtener nombres y descripciones de todos los métodos y argumentos compatibles con la CLI de Cortex XSOAR, y ejemplos de salida, consulta Comandos.

Los resultados se compilan a partir de los servicios integrados de Security Command Center: Security Health Analytics, Web Security Scanner, Event Threat Detection y Container Threat Detection, y cualquier servicio integrado que habilites.

Enumerar recursos

Para enumerar los recursos de tu organización, usa el método google-cloud-scc-asset-list de Cortex XSOAR. Por ejemplo, el siguiente comando muestra una lista de los recursos en los que lifecycleState es Activo y limita la respuesta a tres recursos:

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

El signo de exclamación (!) en los ejemplos de código es un símbolo obligatorio para iniciar comandos en Cortex XSOAR. No representa la negación ni el operador NOT.

Visualiza recursos de recursos

Para enumerar los recursos contenidos en recursos superiores, como los proyectos, usa el comando google-cloud-scc-asset-resource-list de Cortex XSOAR. Por ejemplo, el siguiente comando enumera los recursos con un assetType de compute.googleapis.com/Disk y limita la respuesta a dos recursos:

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

Se admiten comodines y expresiones regulares. Por ejemplo, assetType=".*Instance" enumera los activos cuyo tipo termina con "instance".

Ver resultados

Para enumerar los hallazgos de tu organización o una fuente de seguridad, usa el comando google-cloud-scc-finding-list de Cortex XSOAR. Por ejemplo, el siguiente comando muestra una lista de los resultados activos con gravedad crítica para todas las fuentes y limita la respuesta a tres resultados:

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

También puedes filtrar tus resultados. El siguiente comando muestra una lista de los resultados que se clasifican como amenazas:

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

Actualiza los resultados

Puedes actualizar un hallazgo con el comando google-cloud-scc-finding-update de Cortex XSOAR. Debes proporcionar el name, o el nombre de recurso relativo, del hallazgo con el siguiente formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.

Por ejemplo, el siguiente comando actualiza la gravedad de un hallazgo:

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

Reemplaza lo siguiente:

• <var>ORGANIZATION_ID</var> por el ID de la organización. Para recuperar el ID de tu organización y el ID del proyecto, consulta Recupera el ID de tu organización.
• <var>SOURCE_ID</var> por el ID de la fuente de seguridad Para encontrar un ID de fuente, consulta Obtén el ID de origen.
• <var>FINDING_ID</var> con el ID del hallazgo que se incluye en los detalles del hallazgo.

Actualiza el estado de los resultados

Puedes actualizar el estado de un hallazgo con el comando google-cloud-scc-finding-status-update de Cortex XSOAR. Debes proporcionar el name, o el nombre de recurso relativo, del hallazgo con el siguiente formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.

Por ejemplo, el siguiente comando establece el estado del hallazgo como activo:

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

Reemplaza lo siguiente:

• <var>ORGANIZATION_ID</var> por el ID de la organización. Para recuperar el ID de tu organización y el ID del proyecto, consulta Recupera el ID de tu organización.
• <var>SOURCE_ID</var> por el ID de la fuente de seguridad Para encontrar un ID de fuente, consulta Obtén el ID de origen.
• <var>FINDING_ID</var> con el ID del hallazgo que se incluye en los detalles del hallazgo.

Obtén propietarios de activos

Para enumerar los propietarios de un recurso, usa el comando google-cloud-scc-asset-owner-get de Cortex XSOAR. Debes proporcionar el nombre del proyecto en el formato projects/PROJECT_NUMBER. Por ejemplo, el siguiente comando enumera el propietario del proyecto proporcionado.

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

Para agregar varios proyectos al comando, usa una coma como separador, por ejemplo, projectName="projects/123456789, projects/987654321"

¿Qué sigue?

• Obtén más información para configurar la búsqueda de notificaciones en Security Command Center.

• Lee sobre cómo filtrar notificaciones de resultados en Security Command Center.