En esta página, se explica cómo enviar automáticamente resultados, recursos y fuentes de seguridad de Security Command Center a Cortex XSOAR. También se describe cómo administrar los datos exportados. Cortex XSOAR es una plataforma de organización, automatización y respuesta de seguridad (SOAR) que transfiere datos de seguridad de una o más fuentes y permite que los equipos de seguridad administren las respuestas a los incidentes. Puedes usar Cortex XSOAR para ver los resultados y recursos de Security Command Center, y actualizarlos cuando se resuelvan los problemas.
En esta guía, te asegurarás de que los servicios necesarios de Security Command Center y Google Cloud estén configurados de forma correcta y habilitarás Cortex XSOAR para acceder a los resultados y los recursos del entorno de Security Command Center. Algunas de las instrucciones de esta página se compilaron de la guía de integración de Cortex XSOAR en GitHub.
Antes de comenzar
En esta guía, se da por sentado que tienes una versión de funcionamiento de Cortex XSOAR. Para comenzar a usar Cortex XSOAR, regístrate.
Configura la autenticación y la autorización
Antes de conectarte a Security Command Center a Cortex XSOAR, debes crear una cuenta de servicio de Identity and Access Management (IAM) en cada organización de Google Cloud y otorgarle a esa cuenta las funciones de IAM a nivel de organización y de proyecto que necesita Cortex XSOAR.
Crea una cuenta de servicio y otorga roles de IAM
En los siguientes pasos, se usa la consola de Google Cloud. Para conocer otros métodos, consulta los vínculos al final de esta sección.
Completa estos pasos para cada organización de Google Cloud de la que deseas importar datos de Security Command Center.
- En el mismo proyecto en el que creaste tus temas de Pub/Sub, usa la página Cuentas de servicio en la consola de Google Cloud para crear una cuenta de servicio. Para obtener instrucciones, consulta Cómo crear y administrar cuentas de servicio.
Otorga a la cuenta de servicio el siguiente rol:
- Editor de Pub/Sub (
roles/pubsub.editor
)
- Editor de Pub/Sub (
Copia el nombre de la cuenta de servicio que acabas de crear.
Usa el selector de proyectos en la consola de Google Cloud para cambiar al nivel de la organización.
Abre la página IAM de la organización:
En la página de IAM, haz clic en Otorgar acceso. Se abrirá el panel para otorgar acceso.
En el panel Otorgar acceso, completa los siguientes pasos:
- En la sección Agregar principales en el campo Principales nuevas, pega el nombre de la cuenta de servicio.
En la sección Asigna funciones, usa el campo Función para otorgar los siguientes roles de IAM a la cuenta de servicio:
- Editor administrador del centro de seguridad (
roles/securitycenter.adminEditor
) - Editor de configuración de notificaciones del centro de seguridad (
roles/securitycenter.notificationConfigEditor
) - Lector de la organización (
roles/resourcemanager.organizationViewer
) - Visualizador de recursos de Cloud (
roles/cloudasset.viewer
)
- Editor administrador del centro de seguridad (
Haz clic en Guardar. La cuenta de seguridad aparece en la pestaña Permisos de la página IAM en Ver por principales.
Por herencia, la cuenta de servicio también se convierte en una principal en todos los proyectos secundarios de la organización, y las funciones que son aplicables a nivel de proyecto se enumeran como roles heredados.
Para obtener más información sobre cómo crear cuentas de servicio y otorgar funciones, consulta los siguientes temas:
Proporciona las credenciales a Cortex XSOAR
La forma en que proporcionas las credenciales de IAM a Cortex XSOAR difiere según el lugar en el que se aloje Cortex XSOAR.
Si alojas Cortex XSOAR en Google Cloud, la cuenta de servicio que creaste y las funciones a nivel de la organización que le otorgaste estarán disponibles de forma automática por herencia de la organización superior. Si usas varias organizaciones de Google Cloud, agrega esta cuenta de servicio a las otras organizaciones y asígnale los roles de IAM que se describen en los pasos 5 a 7 de Crea una cuenta de servicio y otorga roles de IAM.
Si alojas Cortex XSOAR en tu entorno local, crea una clave de cuenta de servicio para cada organización de Google Cloud. Necesitarás las claves de la cuenta de servicio en formato JSON para completar esta guía.
Si quieres conocer las prácticas recomendadas para almacenar las claves de tu cuenta de servicio de forma segura, consulta Prácticas recomendadas para administrar claves de cuentas de servicio.
Si alojas Cortex XSOAR en Microsoft Azure o Amazon Web Services, configura la federación de identidades para cargas de trabajo y descarga los archivos de configuración de credenciales. Si usas varias organizaciones de Google Cloud, agrega esta cuenta de servicio a las otras organizaciones y asígnale los roles de IAM que se describen en los pasos 5 a 7 de Crea una cuenta de servicio y otorga roles de IAM.
Configurar las notificaciones
Completa estos pasos para cada organización de Google Cloud de la que deseas importar datos de Security Command Center.
Configura la búsqueda de notificaciones de la siguiente manera:
- Habilita la API de Security Command Center.
- Crea un filtro para exportar los resultados.
- Crea un tema de Pub/Sub para los resultados.
NotificationConfig
debe usar el tema de Pub/Sub que crearás para los resultados.
Habilita la API de Cloud DLP para el proyecto.
Necesitarás el ID de la organización, el ID del proyecto y el ID de suscripción a Pub/Sub de esta tarea para configurar Cortex XSOAR. Para recuperar el ID de la organización y el ID del proyecto, consulta Recupera el ID de la organización y Identifica proyectos, respectivamente.
Configura Cortex XSOAR
Cuando se le otorga acceso, Cortex XSOAR recibirá actualizaciones de hallazgos y recursos en tiempo real.
Para usar Security Command Center con Cortex XSOAR, sigue estos pasos:
Instala el paquete de contenido de SCC de Google Cloud desde Cortex XSOAR Marketplace.
El paquete de contenido es un módulo mantenido por Security Command Center que automatiza el proceso de programación de llamadas a la API de Security Command Center y recupera con regularidad los datos de Security Command Center para usarlos en Cortext XSOAR.
En el menú de la app de Cortex XSOAR, navega a Configuración y, luego, haz clic en Integraciones.
En Integraciones, selecciona Servidores y servicios.
Busca y selecciona GoogleCloudSCC.
Para crear y configurar una nueva instancia de integración, haz clic en Agregar instancia.
Ingresa la información necesaria en los siguientes campos:
Parámetro Descripción Obligatorio Configuración de la cuenta de servicio Una de las siguientes opciones, como se describe en Antes de comenzar: - El contenido del archivo JSON de la cuenta de servicio, si creaste una clave de la cuenta de servicio
- El contenido del archivo de configuración de credenciales, si usas la federación de identidades para cargas de trabajo
Verdadero ID de la organización El ID de tu organización. Verdadero Recuperar incidentes Habilita la recuperación de incidentes Falso ID del proyecto El ID del proyecto que se usará para recuperar incidentes; si está vacío, se usa el ID del proyecto contenido en el archivo JSON proporcionado Falso ID de la suscripción El ID de tu suscripción a Pub/Sub Verdadero Cantidad máxima de incidentes La cantidad máxima de incidentes que se deben recuperar durante cada recuperación Falso Tipo de incidente El tipo de incidente Falso Confiar en cualquier certificado (no seguro) Permite confiar en todos los certificados Falso Usar la configuración del proxy del sistema Habilitar la configuración de proxy del sistema Falso Intervalo de recuperación de incidentes Tiempo entre las recuperaciones para obtener información actualizada sobre el incidente Falso Nivel de registro El nivel de registro para el paquete de contenido Falso Haga clic en Test.
Si la configuración es válida, verás un mensaje de “correcto”. Si no es válido, recibirás un mensaje de error.
Haz clic en Guardar y salir.
Repite los pasos 5 a 8 para cada organización.
Cortex XSOAR asigna automáticamente campos de los resultados de Security Command Center a los campos de Cortex XSOAR adecuados. Para obtener más información sobre Cortex XSOAR o anular selecciones, consulta la documentación del producto.
Se completó la configuración de Cortex XSOAR. En la sección Administra los resultados y los recursos, se explica cómo ver y administrar los datos de Security Command Center en el servicio.
Actualiza el paquete de contenido de Google Cloud SCC
En esta sección, se describe cómo realizar la actualización desde una versión anterior.
Accede a la versión más reciente del paquete de contenido de Google Cloud SCC desde Cortex XSOAR Marketplace.
Haz clic en Descargar con dependencias.
Haga clic en Install.
Haz clic en Actualizar contenido.
La actualización mantiene la información de tu configuración anterior. Para usar la federación de identidades para cargas de trabajo, agrega el archivo de configuración, como se describe en Configura Cortex XSOAR.
Administra los resultados y los recursos
Puedes ver y actualizar recursos y resultados mediante la interfaz de línea de comandos (CLI) de Cortex XSOAR. Puedes ejecutar comandos como parte de la clasificación y corrección automatizadas, o en una guía.
Para obtener nombres y descripciones de todos los métodos y argumentos compatibles con la CLI de Cortex XSOAR, y ejemplos de resultados, consulta Comandos.
Los resultados se compilan a partir de los servicios integrados de Security Command Center: Security Health Analytics, Web Security Scanner, Event Threat Detection y Container Threat Detection y cualquier servicio integrado que habilites.
Enumerar recursos
Para enumerar los recursos de tu organización, usa el método google-cloud-scc-asset-list
de Cortex XSOAR. Por ejemplo, el siguiente comando enumera los elementos en los que lifecycleState
es Active y limita la respuesta a tres elementos:
!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE
El signo de exclamación (!
) en las muestras de código es un símbolo obligatorio para iniciar comandos en Cortex XSOAR. No representa negación ni NOT.
Visualiza recursos de recursos
Para enumerar los recursos contenidos en los recursos superiores, como proyectos, usa el comando google-cloud-scc-asset-resource-list
de Cortex XSOAR. Por ejemplo, el siguiente comando enumera los elementos con un assetType
de compute.googleapis.com/Disk
y limita la respuesta a dos elementos:
!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2
Se admiten comodines y expresiones regulares. Por ejemplo, assetType=".*Instance"
enumera los recursos en los que el tipo de recurso termina con "instance".
Ver resultados
Para enumerar los resultados de tu organización o una fuente de seguridad, usa el comando google-cloud-scc-finding-list
de Cortex XSOAR. Por ejemplo, el siguiente comando enumera los resultados activos con gravedad crítica para todas las fuentes y limita la respuesta a tres resultados:
!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"
También puedes filtrar los resultados. El siguiente comando enumera todos los resultados que se clasifican como amenazas:
!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""
Actualizar resultados
Puedes actualizar un resultado mediante el comando google-cloud-scc-finding-update
de Cortex XSOAR. Debes proporcionar el name
, o el nombre de recurso relativo, del hallazgo con el siguiente formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID
.
Por ejemplo, el siguiente comando actualiza la gravedad de un resultado:
!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"
Reemplaza lo siguiente:
<var>ORGANIZATION_ID</var>
por el ID de la organización. Para recuperar el ID de la organización y el ID del proyecto, consulta Recupera el ID de la organización.<var>SOURCE_ID</var>
por el ID de la fuente de seguridad Para encontrar un ID del origen, consulta Cómo obtener el ID del origen.<var>FINDING_ID</var>
por el ID de hallazgo que se incluye en los detalles del hallazgo.
Actualizar el estado de los hallazgos
Puedes actualizar el estado de un resultado mediante el comando google-cloud-scc-finding-status-update
de Cortex XSOAR. Debes proporcionar el name
, o el nombre de recurso relativo, del hallazgo con el siguiente formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
.
Por ejemplo, el siguiente comando establece el estado del hallazgo en activo:
!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"
Reemplaza lo siguiente:
<var>ORGANIZATION_ID</var>
por el ID de la organización. Para recuperar el ID de la organización y el ID del proyecto, consulta Recupera el ID de la organización.<var>SOURCE_ID</var>
por el ID de la fuente de seguridad Para encontrar un ID del origen, consulta Cómo obtener el ID del origen.<var>FINDING_ID</var>
por el ID de hallazgo que se incluye en los detalles del hallazgo.
Obtén propietarios de activos
Para enumerar los propietarios de un activo, usa el comando google-cloud-scc-asset-owner-get
de Cortex XSOAR. Debes proporcionar el nombre del proyecto en el formato projects/PROJECT_NUMBER
. Por ejemplo, con el siguiente comando, se muestra al propietario del proyecto proporcionado.
!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"
Para agregar varios proyectos al comando, usa un separador de coma, por ejemplo, projectName="projects/123456789, projects/987654321"
.
¿Qué sigue?
Obtén más información para configurar la búsqueda de notificaciones en Security Command Center.
Lee sobre cómo filtrar notificaciones de resultados en Security Command Center.