Envía datos de Security Command Center a Elastic Stack mediante Docker

En esta página, se explica cómo usar un contenedor de Docker para alojar la instalación de Elastic Stack y enviar de forma automática los hallazgos, los recursos, los registros de auditoría y las fuentes de seguridad de Security Command Center a Elastic Stack. También se describe cómo administrar los datos exportados.

Docker es una plataforma para administrar aplicaciones en contenedores. Elastic Stack es una plataforma de información de seguridad y administración de eventos (SIEM) que transfiere datos desde una o más fuentes y permite que los equipos de seguridad administren respuestas a incidentes y realicen estadísticas en tiempo real. La configuración de Elastic Stack que se analiza en esta guía incluye cuatro componentes:

  • Filebeat: Un agente ligero instalado en hosts perimetrales, como máquinas virtuales (VM), que se puede configurar para recopilar y reenviar datos.
  • Logstash: Un servicio de transformación que transfiere datos, los asigna a campos obligatorios y reenvía los resultados a Elasticsearch
  • Elasticsearch: Un motor de base de datos de búsqueda que almacena datos
  • Kibana: Alimenta los paneles que te permiten visualizar y analizar datos

En esta guía, configura Docker, asegúrate de que los servicios de Security Command Center y Google Cloud necesarios están configurados de forma correcta y usa un módulo personalizado para enviar resultados, elementos, registros de auditoría y fuentes de seguridad a Elastic Stack.

En la figura siguiente, se ilustra la ruta de acceso a los datos cuando se usa Elastic Stack con Security Command Center.

Integración de Security Command Center y Elastic Stack (haz clic para ampliar)
Security Command Center y la integración de Elastic Stack (haz clic para ampliar)

Configura la autenticación y la autorización

Antes de conectarte a Elastic Stack, debes crear una cuenta de servicio de Identity and Access Management (IAM) en cada organización de Google Cloud que desees conectar y otorgarle los roles de IAM a nivel de organización y de proyecto que Elastic Stack necesita.

Crea una cuenta de servicio y otorga roles de IAM

En los siguientes pasos, se usa la consola de Google Cloud. Para otros métodos, consulta los vínculos al final de esta sección.

Completa estos pasos para cada organización de Google Cloud desde la que desees importar datos de Security Command Center.

  1. En el mismo proyecto en el que creas tus temas de Pub/Sub, usa la página Cuentas de servicio en la consola de Google Cloud para crear una cuenta de servicio. Para obtener instrucciones, consulta Crea y administra cuentas de servicio.

  2. Otorga los siguientes roles a la cuenta de servicio:

    • Administrador de Pub/Sub (roles/pubsub.admin)
    • Propietario de recursos de Cloud (roles/cloudasset.owner)

  3. Copia el nombre de la cuenta de servicio que acabas de crear.

  4. Usa el selector de proyectos de la consola de Google Cloud para cambiar al nivel de la organización.

  5. Abre la página IAM de la organización:

    Ir a IAM

  6. En la página de IAM, haz clic en Otorgar acceso. Se abrirá el panel para otorgar acceso.

  7. En el panel Otorgar acceso, completa los siguientes pasos:

    1. En la sección Agregar principales del campo Principales nuevas, pega el nombre de la cuenta de servicio.

    2. En la sección Asignar funciones, usa el campo Función para otorgar las siguientes funciones de IAM a la cuenta de servicio:

      • Editor administrador del centro de seguridad (roles/securitycenter.adminEditor)
      • Editor de configuración de notificaciones del centro de seguridad (roles/securitycenter.notificationConfigEditor)
      • Lector de la organización (roles/resourcemanager.organizationViewer)
      • Visualizador de recursos de Cloud (roles/cloudasset.viewer)
      • Escritor de configuración de registros (roles/logging.configWriter)

    3. Haz clic en Guardar. La cuenta de seguridad aparece en la pestaña Permisos de la página IAM en Ver por principales.

      Por herencia, la cuenta de servicio también se convierte en una principal en todos los proyectos secundarios de la organización, y las funciones que son aplicables a nivel de proyecto se enumeran como funciones heredadas.

Para obtener más información sobre cómo crear cuentas de servicio y otorgar funciones, consulta los siguientes temas:

Proporciona las credenciales a Elastic Stack

Según dónde alojes Elastic Stack, el modo en que proporcionas las credenciales de IAM a Elastic Stack difiere.

Configurar las notificaciones

Completa estos pasos para cada organización de Google Cloud desde la que desees importar datos de Security Command Center.

  1. Configura la búsqueda de notificaciones de la siguiente manera:

    1. Habilita la API de Security Command Center.
    2. Crea un filtro para exportar los resultados y elementos deseados.
    3. Crea cuatro temas de Pub/Sub: uno para cada resultado, recursos, registros de auditoría y recursos. El NotificationConfig debe usar el tema de Pub/Sub que crees para los resultados.

    Necesitarás el ID de tu organización, el ID del proyecto y los nombres de tema de Pub/Sub de esta tarea para configurar Elastic Stack.

  2. Habilita la API de Cloud Asset para el proyecto.

Instala los componentes de Docker y Elasticsearch

Sigue estos pasos para instalar los componentes de Docker y Elasticsearch en tu entorno.

Instala Docker Engine y Docker Compose

Puedes instalar Docker para usarlo de forma local o con un proveedor de servicios en la nube. Para comenzar, completa las siguientes guías en la documentación del producto de Docker:

Instala Elasticsearch y Kibana

La imagen de Docker que instalaste en Instala Docker incluye Logstash y Filebeat. Si aún no instalaste Elasticsearch y Kibana, usa las siguientes guías para instalar las aplicaciones:

Para completar esta guía, necesitas la siguiente información de esas tareas:

  • Elastic Stack: host, puerto, certificado, nombre de usuario y contraseña
  • Kibana: host, puerto, certificado, nombre de usuario y contraseña

Descarga el módulo de GoApp

En esta sección, se explica cómo descargar el módulo GoApp, un programa de Go mantenido por Security Command Center. El módulo automatiza el proceso de programación de llamadas a la API de Security Command Center y recupera con regularidad los datos de Security Command Center para usarlos en Elastic Stack.

Para instalar GoApp, haz lo siguiente:

  1. En una ventana de la terminal, instala wget, una utilidad de software gratuita que se usa para recuperar contenido de servidores web.

    Para las distribuciones de Ubuntu y Debian, ejecuta lo siguiente:

      # apt-get install wget

    Para las distribuciones de RHEL, CentOS y Fedora, ejecuta lo siguiente:

      # yum install wget

  2. Instala unzip, una utilidad de software gratuita que se usa para extraer el contenido de los archivos ZIP.

    Para las distribuciones de Ubuntu y Debian, ejecuta lo siguiente:

    # apt-get install unzip

    Para las distribuciones de RHEL, CentOS y Fedora, ejecuta lo siguiente:

    # yum install unzip

  3. Crea un directorio para el paquete de instalación de GoogleSCCElasticIntegration:

    mkdir GoogleSCCElasticIntegration

  4. Descarga el paquete de instalación de GoogleSCCElasticIntegration:

    wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip

  5. Extrae el contenido del paquete de instalación de GoogleSCCElasticIntegration en el directorio GoogleSCCElasticIntegration:

    unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration

  6. Crea un directorio de trabajo para almacenar y ejecutar los componentes del módulo GoApp:

    mkdir WORKING_DIRECTORY

    Reemplaza WORKING_DIRECTORY por el nombre del directorio.

  7. Navega al directorio de instalación de GoogleSCCElasticIntegration:

    cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/

    Reemplaza ROOT_DIRECTORY por la ruta de acceso al directorio que contiene el directorio GoogleSCCElasticIntegration.

  8. Mueve install, config.yml, dashboards.ndjson y la carpeta templates (con los archivos filebeat.tmpl, logstash.tmpl y docker.tmpl) al directorio de trabajo.

    mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY

    Reemplaza WORKING_DIRECTORY por la ruta de acceso al directorio de trabajo.

Instala el contenedor de Docker

Para configurar el contenedor de Docker, descarga e instala una imagen con formato previo de Google Cloud que contiene Logstash y Filebeat. Para obtener información sobre la imagen de Docker, ve al repositorio de Container Registry en la consola de Google Cloud.

Ir a Container Registry

Durante la instalación, debes configurar el módulo GoApp con las credenciales de Security Command Center y Elastic Stack.

  1. Navega hasta el directorio de trabajo:

    cd /WORKING_DIRECTORY

    Reemplaza WORKING_DIRECTORY por la ruta de acceso al directorio de trabajo.

  2. Verifica que los siguientes archivos aparezcan en el directorio de trabajo:

      ├── config.yml
  ├── install
  ├── dashboards.ndjson
  ├── templates
      ├── filebeat.tmpl
      ├── docker.tmpl
      ├── logstash.tmpl

  3. En un editor de texto, abre el archivo config.yml y agrega las variables solicitadas. Si una variable no es obligatoria, puedes dejarla en blanco.

    Variable Descripción Obligatorio
    elasticsearch La sección para tu configuración de Elasticsearch. Obligatorio
    host Es la dirección IP de tu host de Elastic Stack. Obligatorio
    password Tu contraseña de Elasticsearch. Opcional
    port El puerto para tu host de Elastic Stack. Obligatorio
    username Tu nombre de usuario de Elasticsearch. Opcional
    cacert Es el certificado del servidor de Elasticsearch (por ejemplo, path/to/cacert/elasticsearch.cer). Opcional
    http_proxy Un vínculo con el nombre de usuario, la contraseña, la dirección IP y el puerto del host del proxy (por ejemplo, http://USER:PASSWORD@PROXY_IP:PROXY_PORT) Opcional
    kibana La sección para tu configuración de Kibana. Obligatorio
    host La dirección IP o el nombre de host al que se vinculará el servidor de Kibana. Obligatorio
    password Tu contraseña de Kibana. Opcional
    port El puerto del servidor de Kibana. Obligatorio
    username Tu nombre de usuario de Kibana. Opcional
    cacert Es el certificado del servidor de Kibana (por ejemplo, path/to/cacert/kibana.cer). Opcional
    cron La sección para la configuración de tu cron. Opcional
    asset La sección para la configuración de tu cron de recursos (por ejemplo, 0 */45 * * * *). Opcional
    source La sección para la configuración cron de origen (por ejemplo, 0 */45 * * * *). Para obtener más información, consulta Generador de expresiones cron. Opcional
    organizations La sección para la configuración de la organización de Google Cloud. Para agregar varias organizaciones de Google Cloud, copia todo de - id: a subscription_name en resource. Obligatorio
    id El ID de la organización. Obligatorio
    client_credential_path Uno de los siguientes:
    • La ruta de acceso a tu archivo JSON, si usas claves de cuenta de servicio.
    • El archivo de configuración de credenciales, si usas la federación de identidades para cargas de trabajo, como se describe en Antes de comenzar
    • No especifiques nada si se trata de la organización de Google Cloud en la que estás instalando el contenedor de Docker.
    		 Opcional, según tu entorno
    update Si actualizas desde una versión anterior, ya sea n para no o y para sí Opcional
    project La sección para el ID del proyecto. Obligatorio
    id El ID del proyecto que contiene el tema de Pub/Sub. Obligatorio
    auditlog La sección del tema y la suscripción de Pub/Sub para los registros de auditoría. Opcional
    topic_name El nombre del tema de Pub/Sub para los registros de auditoría Opcional
    subscription_name El nombre de la suscripción a Pub/Sub para los registros de auditoría Opcional
    findings La sección del tema y la suscripción de Pub/Sub para los hallazgos. Opcional
    topic_name El nombre del tema de Pub/Sub para los resultados. Opcional
    start_date La fecha opcional para comenzar a migrar los resultados, por ejemplo, 2021-04-01T12:00:00+05:30 Opcional
    subscription_name El nombre de la suscripción a Pub/Sub para los resultados. Opcional
    asset La sección de la configuración de recursos. Opcional
    iampolicy La sección del tema y la suscripción de Pub/Sub para las políticas de IAM. Opcional
    topic_name Es el nombre del tema de Pub/Sub para las políticas de IAM. Opcional
    subscription_name Es el nombre de la suscripción a Pub/Sub para las políticas de IAM. Opcional
    resource La sección del tema y la suscripción de Pub/Sub para los recursos. Opcional
    topic_name Es el nombre del tema de Pub/Sub para los recursos. Opcional
    subscription_name Es el nombre de la suscripción a Pub/Sub para los recursos. Opcional

    Archivo config.yml de ejemplo

    En el siguiente ejemplo, se muestra un archivo config.yml que incluye dos organizaciones de Google Cloud. 

    elasticsearch:
  host: 127.0.0.1
  password: changeme
  port: 9200
  username: elastic
  cacert: path/to/cacert/elasticsearch.cer
http_proxy: http://user:password@proxyip:proxyport
kibana:
  host: 127.0.0.1
  password: changeme
  port: 5601
  username: elastic
  cacert: path/to/cacert/kibana.cer
cron:
  asset: 0 */45 * * * *
  source: 0 */45 * * * *
organizations:
  – id: 12345678910
    client_credential_path:
    update:
    project:
      id: project-id-12345
    auditlog:
      topic_name: auditlog.topic_name
      subscription_name: auditlog.subscription_name
    findings:
      topic_name: findings.topic_name
      start_date: 2021-05-01T12:00:00+05:30
      subscription_name: findings.subscription_name
    asset:
      iampolicy:
        topic_name: iampolicy.topic_name
        subscription_name: iampolicy.subscription_name
      resource:
        topic_name: resource.topic_name
        subscription_name: resource.subscription_name
  – id: 12345678911
    client_credential_path:
    update:
    project:
      id: project-id-12346
    auditlog:
      topic_name: auditlog2.topic_name
      subscription_name: auditlog2.subscription_name
    findings:
      topic_name: findings2.topic_name
      start_date: 2021-05-01T12:00:00+05:30
      subscription_name: findings1.subscription_name
    asset:
      iampolicy:
        topic_name: iampolicy2.topic_name
        subscription_name: iampolicy2.subscription_name
      resource:
        topic_name: resource2.topic_name
        subscription_name: resource2.subscription_name

  4. Ejecuta los siguientes comandos para instalar la imagen de Docker y configurar el módulo GoApp.

    chmod +x install
./install

    El módulo GoApp descarga la imagen de Docker, la instala y configura el contenedor.

  5. Cuando finalice el proceso, copia la dirección de correo electrónico de la cuenta de servicio de WriterIdentity del resultado de la instalación.

    docker exec googlescc_elk ls
docker exec googlescc_elk cat Sink_}}HashId{{

    Tu directorio de trabajo debe tener la siguiente estructura:

      ├── config.yml
  ├── dashboards.ndjson
  ├── docker-compose.yml
  ├── install
  ├── templates
      ├── filebeat.tmpl
      ├── logstash.tmpl
      ├── docker.tmpl
  └── main
      ├── client_secret.json
      ├── filebeat
      │          └── config
      │                   └── filebeat.yml
      ├── GoApp
      │       └── .env
      └── logstash
                 └── pipeline
                            └── logstash.conf

Actualiza los permisos de los registros de auditoría

Para actualizar los permisos a fin de que los registros de auditoría puedan fluir a tu SIEM, haz lo siguiente:

  1. Navega a la página de Cloud Pub/Sub

    Ir a Pub/Sub

  2. Selecciona un proyecto que incluya tus temas de Pub/Sub.

  3. Selecciona el tema de Pub/Sub que creaste para los registros de auditoría.

  4. En Permisos, agrega la cuenta de servicio de WriterIdentity (que copiaste en el paso 4 del procedimiento de instalación) como una principal nueva y asígnale el rol Pub/Sub Publisher. Se actualiza la política de registro de auditoría.

Se completó la configuración de Docker y Elastic Stack. Ahora puedes configurar Kibana.

Visualiza registros de Docker

  1. Abre una terminal y ejecuta el siguiente comando para ver la información del contenedor, incluidos los ID de contenedor. Ten en cuenta el ID del contenedor en el que está instalado Elastic Stack.

    docker container ls

  2. Para iniciar un contenedor y ver sus registros, ejecuta los siguientes comandos:

    docker exec -it CONTAINER_ID /bin/bash
cat go.log

    Reemplaza CONTAINER_ID por el ID del contenedor en el que está instalado Elastic Stack.

Configura Kibana

Completa estos pasos cuando instalas el contenedor de Docker por primera vez.

  1. Abre kibana.yml en un editor de texto.

    sudo vim KIBANA_DIRECTORY/config/kibana.yml

    Reemplaza KIBANA_DIRECTORY por la ruta a la carpeta de instalación de Kibana.

  2. Actualiza las siguientes variables:

    • server.port: el puerto que se usará para el servidor de backend de Kibana; el valor predeterminado es 5,601
    • server.host: la dirección IP o el nombre de host al que se vinculará el servidor de Kibana
    • elasticsearch.hosts: la dirección IP y el puerto de la instancia de Elasticsearch que se usará para las consultas
    • server.maxPayloadBytes: el tamaño máximo de la carga útil en bytes para las solicitudes del servidor entrante; el valor predeterminado es 1,048,576
    • url_drilldown.enabled: un valor booleano que controla la capacidad de navegar desde el panel de Kibana a URL internas o externas el valor predeterminado es true

    La configuración completa es similar a la siguiente:

      server.port: PORT
  server.host: "HOST"
  elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
  server.maxPayloadBytes: 5242880
  url_drilldown.enabled: true

Importa paneles de Kibana

  1. Abre la aplicación Kibana.
  2. En el menú de navegación, ve a Administración de pilas y haz clic en Objetos guardados.
  3. Haz clic en Importar, navega al directorio de trabajo y selecciona dashboards.ndjson. Los paneles se importan y se crean los patrones de índice.

Actualiza el contenedor de Docker

Si implementaste una versión anterior del módulo GoApp, puedes actualizar a una versión más reciente. Cuando actualizas el contenedor de Docker a una versión más reciente, puedes mantener la configuración existente de la cuenta de servicio, los temas de Pub/Sub y los componentes de ElasticSearch.

Si deseas actualizar desde una integración que no usó un contenedor de Docker, consulta Actualiza a la versión más reciente.

  1. Si estás actualizando desde la versión 1, completa estas acciones:

    1. Agrega el rol Escritor de configuración de registros (roles/logging.configWriter) a la cuenta de servicio.

    2. Crea un tema de Pub/Sub para tus registros de auditoría.

  2. Si instalas el contenedor de Docker en otra nube, configura la federación de Workload Identity y descarga el archivo de configuración de credenciales.

  3. De forma opcional, para evitar problemas cuando importes los paneles nuevos, quita los paneles existentes de Kibana:

    1. Abre la aplicación Kibana.
    2. En el menú de navegación, ve a Administración de pilas y haz clic en Objetos guardados.
    3. Busca SCC de Google.
    4. Selecciona todos los paneles que desees quitar.
    5. Haz clic en Borrar.

  4. Quita el contenedor de Docker existente:

    1. Abre una terminal y detén el contenedor:

      docker stop CONTAINER_ID

      Reemplaza CONTAINER_ID por el ID del contenedor en el que está instalado Elastic Stack.

    2. Quita el contenedor de Docker:

      docker rm CONTAINER_ID

      Si es necesario, agrega -f antes del ID del contenedor para quitarlo de manera forzosa.

  5. Completa los pasos 1 a 7 en Cómo descargar el módulo de GoApp.

  6. Mueve el archivo config.env existente de tu instalación anterior al directorio \update.

  7. Si es necesario, otorga permiso ejecutable para ejecutar ./update:

    chmod +x ./update
./update

  8. Ejecuta ./update para convertir config.env en config.yml.

  9. Verifica que el archivo config.yml incluya la configuración existente. De lo contrario, vuelve a ejecutar ./update.

  10. Para admitir varias organizaciones de Google Cloud, agrega otra configuración de la organización al archivo config.yml.

  11. Mueve el archivo config.yml al directorio de trabajo, en el que se encuentra el archivo install.

  12. Completa los pasos en Instala Docker.

  13. Completa los pasos de la sección Actualiza los permisos de los registros de auditoría.

  14. Importa los paneles nuevos, como se describe en Importa los paneles de Kibana. En este paso, se reemplazarán tus paneles de Kibana existentes.

Visualiza y edita los paneles de Kibana

Puedes usar paneles personalizados en Elastic Stack para visualizar y analizar tus resultados, elementos y fuentes de seguridad. Los paneles muestran resultados críticos y ayudan a tu equipo de seguridad a priorizar correcciones.

Panel Descripción general

El panel Descripción general contiene una serie de gráficos que muestran la cantidad total de hallazgos en tus organizaciones de Google Cloud por nivel de gravedad, categoría y estado. Los resultados se compilan de los servicios integrados de Security Command Center, como Security Health Analytics, Web Security Scanner, Event Threat Detection y Container Threat Detection, y cualquier servicio integrado que habilites.

Para filtrar contenido por criterios como parámetros de configuración incorrectos o vulnerabilidades, puedes seleccionar la Clase del resultado.

Los gráficos adicionales muestran qué categorías, proyectos y elementos generan la mayor cantidad de resultados.

Panel Elementos

En el panel Recursos, se muestran las tablas que muestran tus elementos de Google Cloud. En las tablas, se muestran los propietarios de los recursos, los recuentos de recursos por tipo y proyecto de recursos, y los elementos que se agregaron y actualizaron más recientemente.

Puedes filtrar los datos de los recursos por organización, nombre y tipo de recurso, así como por elementos superiores, así como desglosar rápidamente los resultados de recursos específicos. Si haces clic en el nombre de un recurso, se te redireccionará a la página Activos de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del recurso seleccionado.

Panel Registros de auditoría

En el panel Registros de auditoría, se muestra una serie de gráficos y tablas en los que se muestra información de registro de auditoría. Los registros de auditoría que se incluyen en el panel son la actividad del administrador, el acceso a los datos, los eventos del sistema y los registros de auditoría de política denegada. La tabla incluye la hora, la gravedad, el tipo de registro, el nombre del registro, el nombre del servicio, el nombre del recurso y el tipo de recurso.

Puedes filtrar los datos por organización, fuente (como un proyecto), gravedad, tipo de registro y tipo de recurso.

Panel Resultados

En el panel Resultados, se incluyen gráficos que muestran tus resultados más recientes. Los gráficos proporcionan información sobre la cantidad de resultados, su gravedad, categoría y estado. También puedes ver los resultados activos con el tiempo y qué proyectos o recursos tienen la mayor cantidad de resultados.

Puedes filtrar los datos por organización y clase de resultado.

Si haces clic en el nombre de un resultado, se te redireccionará a la página Resultados de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del resultado seleccionado.

Panel Fuentes

En el panel Fuentes (Sources), se muestra la cantidad total de resultados y fuentes de seguridad, la cantidad de resultados por nombre de fuente y una tabla de todas tus fuentes de seguridad. Las columnas de la tabla incluyen el nombre, el nombre visible y la descripción.

Agregar columnas

  1. Navega a un panel.
  2. Haz clic en Editar y, luego, en Editar visualización.
  3. En Agregar subbucket, selecciona Dividir filas.
  4. En la lista, selecciona la agregación de Términos.
  5. En el menú desplegable Descendente, selecciona ascendente o descendente. En el campo Tamaño, ingresa la cantidad máxima de filas para la tabla.
  6. Selecciona la columna que deseas agregar y haz clic en Actualizar.
  7. Guarda los cambios.

Cómo ocultar o quitar columnas

  1. Navega al panel de control.
  2. Haz clic en Editar.
  3. Para ocultar una columna, junto al nombre de esta, haz clic en el ícono de visibilidad o en el ícono del ojo.
  4. Para quitar una columna, junto al nombre de la columna, haz clic en la X o en el ícono de borrar.

Desinstala la integración con Elasticsearch

Completa las siguientes secciones para quitar la integración entre Security Command Center y Elasticsearch.

Quita paneles, índices y patrones de índice

Quita los paneles cuando quieras desinstalar esta solución.

  1. Navega a los paneles.

  2. Busca el SCC de Google y selecciona todos los paneles.

  3. Haz clic en Borrar paneles.

  4. Navega a Administración de pila > Administración del índice.

  5. Cierra los siguientes índices:

    • activos de gcc
    • hallazgos gcc
    • fuentes de gcc
    • gccauditlogs

  6. Navega a Administración de pila > Patrones de índice.

  7. Cierra los siguientes patrones:

    • activos de gcc
    • hallazgos gcc
    • fuentes de gcc
    • gccauditlogs

Desinstala Docker

  1. Borra el NotificationConfig de Pub/Sub. Para encontrar el nombre de NotificationConfig, ejecuta el siguiente comando:

    docker exec googlescc_elk ls
docker exec googlescc_elk cat NotificationConf_}}HashId{{

  2. Quita los feeds de Pub/Sub para los recursos, los resultados, las políticas de IAM y los registros de auditoría. Para encontrar los nombres de los feeds, ejecuta el siguiente comando:

    docker exec googlescc_elk ls
docker exec googlescc_elk cat Feed_}}HashId{{

  3. Quita el receptor de los registros de auditoría. Para encontrar el nombre del receptor, ejecuta el siguiente comando:

    docker exec googlescc_elk ls
docker exec googlescc_elk cat Sink_}}HashId{{

  4. Para ver la información del contenedor, incluidos los ID de contenedor, abre la terminal y ejecuta el siguiente comando:

    docker container ls

  5. Detén el contenedor:

    docker stop CONTAINER_ID

    Reemplaza CONTAINER_ID por el ID del contenedor en el que está instalado Elastic Stack.

  6. Quita el contenedor de Docker:

    docker rm CONTAINER_ID

    Si es necesario, agrega -f antes del ID del contenedor para quitarlo de manera forzosa.

  7. Quita la imagen de Docker:

    docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest

  8. Borra el directorio de trabajo y el archivo docker-compose.yml:

    rm -rf ./main docker-compose.yml

¿Qué sigue?