Envía datos de Security Command Center a Elastic Stack mediante Docker

En esta página, se explica cómo usar un contenedor de Docker para alojar la instalación de Elastic Stack y enviar de forma automática los resultados de Security Command Center resultados, elementos, registros de auditoría y fuentes de seguridad de Elastic Stack. También se describe cómo administrar los datos exportados.

Docker es una plataforma para administrar aplicaciones en contenedores. Elastic Stack es una plataforma de información de seguridad y administración de eventos (SIEM) que transfiere datos desde una o más fuentes y permite que los equipos de seguridad administren respuestas a incidentes y realicen estadísticas en tiempo real. La configuración de Elastic Stack que se analiza en esta guía incluye cuatro componentes:

  • Filebeat: Un agente ligero instalado en hosts perimetrales, como máquinas virtuales (VM), que se puede configurar para recopilar y reenviar datos.
  • Logstash: Un servicio de transformación que transfiere datos, los asigna a campos obligatorios y reenvía los resultados a Elasticsearch
  • Elasticsearch: Un motor de base de datos de búsqueda que almacena datos
  • Kibana: Alimenta los paneles que te permiten visualizar y analizar datos

En esta guía, configura Docker, asegúrate de que los servicios de Security Command Center y Google Cloud necesarios están configurados de forma correcta y usa un módulo personalizado para enviar resultados, elementos, registros de auditoría y fuentes de seguridad a Elastic Stack.

En la figura siguiente, se ilustra la ruta de acceso a los datos cuando se usa Elastic Stack con Security Command Center.

Integración de Security Command Center y Elastic Stack (haz clic para ampliar)
Security Command Center y la integración de Elastic Stack (haz clic para ampliar)

Configura la autenticación y la autorización

Antes de conectarte a Elastic Stack, debes crear una cuenta de servicio de administración de identidades y accesos (IAM) en cada organización de Google Cloud a la que deseas conectarte y otorgarle a la cuenta los roles de IAM a nivel de la organización y del proyecto que necesita Elastic Stack.

Crea una cuenta de servicio y otorga roles de IAM

En los siguientes pasos, se usa la consola de Google Cloud. Si deseas conocer otros métodos, consulta los vínculos que aparecen al final de esta sección.

Completa estos pasos para cada organización de Google Cloud que desees importar Security Command Center los datos de origen.

  1. En el mismo proyecto en el que creas tus temas de Pub/Sub, usa la página Cuentas de servicio en la consola de Google Cloud para crear una cuenta de servicio. Para obtener instrucciones, consulta Crea y administra cuentas de servicio.
  2. Otorga los siguientes roles a la cuenta de servicio:

    • Administrador de Pub/Sub (roles/pubsub.admin)
    • Propietario de recursos de Cloud (roles/cloudasset.owner)
  3. Copia el nombre de la cuenta de servicio que acabas de crear.

  4. Usa el selector de proyectos de la consola de Google Cloud para cambiar a nivel de la organización.

  5. Abre la página IAM de la organización:

    Ir a IAM

  6. En la página de IAM, haz clic en Otorgar acceso. El otorgamiento se abre el panel de acceso.

  7. En el panel Otorgar acceso, completa los siguientes pasos:

    1. En la sección Agregar principales, en el campo Principales nuevas, pega el nombre de la cuenta de servicio.
    2. En la sección Asignar roles, usa el campo Rol para otorgar la los siguientes roles de IAM a la cuenta de servicio:

      • Editor administrador del centro de seguridad (roles/securitycenter.adminEditor)
      • Editor de configuración de notificaciones del centro de seguridad (roles/securitycenter.notificationConfigEditor)
      • Lector de la organización (roles/resourcemanager.organizationViewer)
      • Visualizador de recursos de Cloud (roles/cloudasset.viewer)
      • Escritor de configuración de registros (roles/logging.configWriter)
    3. Haz clic en Guardar. La cuenta de seguridad aparece en la pestaña Permisos. de la página IAM en Ver por principales.

      Por herencia, la cuenta de servicio también se convierte en una principal proyectos secundarios de la organización y los roles que se aplican al a nivel de proyecto se enumeran como roles heredados.

Para obtener más información sobre cómo crear cuentas de servicio y otorgar roles, consulta los siguientes temas:

Proporciona las credenciales a Elastic Stack

Según dónde alojes Elastic Stack, la forma en que proporciones las credenciales de IAM a Elastic Stack será diferente.

Configurar las notificaciones

Completa estos pasos para cada organización de Google Cloud desde la que deseas importar datos de Security Command Center.

  1. Configurar las notificaciones de resultados como sigue:

    1. Habilita la API de Security Command Center.
    2. Crea un filtro para exportar los resultados y elementos deseados.
    3. Crear cuatro temas de Pub/Sub: uno para cada uno hallazgos, recursos, registros de auditoría y recursos. NotificationConfig debe usar el tema de Pub/Sub que crearás para los resultados.

    Necesitarás el ID de tu organización, el ID del proyecto y los nombres de tema de Pub/Sub de esta tarea para configurar Elastic Stack.

  2. Habilita la API de Cloud Asset para el proyecto.

Instala los componentes de Docker y Elasticsearch

Sigue estos pasos para instalar los componentes de Docker y Elasticsearch en tu entorno.

Instala Docker Engine y Docker Compose

Puedes instalar Docker para usarlo de forma local o con un proveedor de servicios en la nube. Para comenzar, completa las siguientes guías en la documentación del producto de Docker:

Instala Elasticsearch y Kibana

La imagen de Docker que instalaste en Instala Docker incluye Logstash y Filebeat. Si aún no instalaste Elasticsearch y Kibana, usa las siguientes guías para instalar las aplicaciones:

Para completar esta guía, necesitas la siguiente información de esas tareas:

  • Elastic Stack: host, puerto, certificado, nombre de usuario y contraseña
  • Kibana: host, puerto, certificado, nombre de usuario y contraseña

Descarga el módulo de GoApp

En esta sección, se explica cómo descargar el módulo GoApp, un programa de Go mantenido por Security Command Center. El módulo automatiza el proceso de programación de llamadas a la API de Security Command Center y recupera con regularidad los datos de Security Command Center para usarlos en Elastic Stack.

Para instalar GoApp, haz lo siguiente:

  1. En una ventana de la terminal, instala wget, una utilidad de software gratuita que se usa para recuperar contenido de servidores web.

    Para las distribuciones de Ubuntu y Debian, ejecuta lo siguiente:

      # apt-get install wget
    

    Para las distribuciones de RHEL, CentOS y Fedora, ejecuta lo siguiente:

      # yum install wget
    
  2. Instala unzip, una utilidad de software gratuita que se usa para extraer el contenido de los archivos ZIP.

    Para las distribuciones de Ubuntu y Debian, ejecuta lo siguiente:

    # apt-get install unzip
    

    Para las distribuciones de RHEL, CentOS y Fedora, ejecuta lo siguiente:

    # yum install unzip
    
  3. Crea un directorio para el paquete de instalación de GoogleSCCElasticIntegration:

    mkdir GoogleSCCElasticIntegration
    
  4. Descarga el paquete de instalación de GoogleSCCElasticIntegration:

    wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip
    
  5. Extrae el contenido del paquete de instalación de GoogleSCCElasticIntegration en el directorio GoogleSCCElasticIntegration:

    unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration
    
  6. Crea un directorio de trabajo para almacenar y ejecutar los componentes del módulo GoApp:

    mkdir WORKING_DIRECTORY
    

    Reemplaza WORKING_DIRECTORY por el nombre del directorio.

  7. Navega al directorio de instalación de GoogleSCCElasticIntegration:

    cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/
    

    Reemplaza ROOT_DIRECTORY por la ruta de acceso al directorio que contiene el directorio GoogleSCCElasticIntegration.

  8. Mueve install, config.yml, dashboards.ndjson y la carpeta templates (con los archivos filebeat.tmpl, logstash.tmpl y docker.tmpl) a tu directorio de trabajo.

    mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY
    

    Reemplaza WORKING_DIRECTORY por la ruta de acceso al directorio de trabajo.

Instala el contenedor de Docker

Para configurar el contenedor de Docker, descarga e instala una imagen con formato previo de Google Cloud que contiene Logstash y Filebeat. Para obtener información sobre la imagen de Docker, ve al repositorio de Container Registry en la consola de Google Cloud.

Ir a Container Registry

Durante la instalación, debes configurar el módulo GoApp con las credenciales de Security Command Center y Elastic Stack.

  1. Navega hasta el directorio de trabajo:

    cd /WORKING_DIRECTORY
    

    Reemplaza WORKING_DIRECTORY por la ruta de acceso al directorio de trabajo.

  2. Verifica que los siguientes archivos aparezcan en el directorio de trabajo:

      ├── config.yml
      ├── install
      ├── dashboards.ndjson
      ├── templates
          ├── filebeat.tmpl
          ├── docker.tmpl
          ├── logstash.tmpl
    
  3. En un editor de texto, abre el archivo config.yml y agrega las variables solicitadas. Si no se requiere una variable, puedes dejarla en blanco.

    Variable Descripción Obligatorio
    elasticsearch La sección para tu configuración de Elasticsearch. Obligatorio
    host Es la dirección IP de tu host de Elastic Stack. Obligatorio
    password Tu contraseña de Elasticsearch. Opcional
    port El puerto de tu host de Elastic Stack. Obligatorio
    username Tu nombre de usuario de Elasticsearch. Opcional
    cacert Es el certificado del servidor de Elasticsearch (por ejemplo, path/to/cacert/elasticsearch.cer). Opcional
    http_proxy Un vínculo con el nombre de usuario, la contraseña, la dirección IP y el puerto para tu host del proxy (por ejemplo, http://USER:PASSWORD@PROXY_IP:PROXY_PORT). Opcional
    kibana La sección para tu configuración de Kibana. Obligatorio
    host Es la dirección IP o el nombre de host al que se vinculará el servidor de Kibana. Obligatorio
    password Tu contraseña de Kibana. Opcional
    port Es el puerto para el servidor de Kibana. Obligatorio
    username Tu nombre de usuario de Kibana. Opcional
    cacert El certificado del servidor de Kibana (por ejemplo, path/to/cacert/kibana.cer). Opcional
    cron La sección para tu configuración de cron. Opcional
    asset La sección para la configuración de tu cron de recursos (por ejemplo, 0 */45 * * * *). Opcional
    source La sección de la configuración de cron de origen (por ejemplo, 0 */45 * * * *). Para obtener más información, consulta Generador de expresiones de cron. Opcional
    organizations La sección para la configuración de la organización de Google Cloud. Para agregar varias organizaciones de Google Cloud, copia todo de - id: a subscription_name en resource. Obligatorio
    id El ID de tu organización. Obligatorio
    client_credential_path Uno de los siguientes:
    • La ruta de acceso a tu archivo JSON, si usas claves de cuenta de servicio.
    • El archivo de configuración de credenciales, si usas la federación de Workload Identity, como se describe en Antes de comenzar
    • No especifiques nada si esta es la organización de Google Cloud en la que instalarás el contenedor de Docker.
    Opcional, según tu entorno
    update Si actualizas desde una versión anterior, ya sea n para no o y para sí Opcional
    project La sección del ID de tu proyecto Obligatorio
    id El ID del proyecto que contiene el tema de Pub/Sub. Obligatorio
    auditlog La sección para el tema y la suscripción de Pub/Sub para los registros de auditoría Opcional
    topic_name El nombre del tema de Pub/Sub para los registros de auditoría Opcional
    subscription_name El nombre de la suscripción a Pub/Sub para los registros de auditoría Opcional
    findings La sección del tema y la suscripción de Pub/Sub para los resultados Opcional
    topic_name El nombre del tema de Pub/Sub para los resultados. Opcional
    start_date La fecha opcional para comenzar a migrar los resultados, por ejemplo, 2021-04-01T12:00:00+05:30 Opcional
    subscription_name El nombre de la suscripción a Pub/Sub para los resultados. Opcional
    asset La sección para la configuración de recursos. Opcional
    iampolicy La sección del tema y la suscripción de Pub/Sub para las políticas de IAM. Opcional
    topic_name El nombre del tema de Pub/Sub para las políticas de IAM. Opcional
    subscription_name El nombre de la suscripción de Pub/Sub para políticas de IAM. Opcional
    resource La sección del tema y la suscripción de Pub/Sub para los recursos. Opcional
    topic_name Es el nombre del tema de Pub/Sub para los recursos. Opcional
    subscription_name Es el nombre de la suscripción a Pub/Sub para los recursos. Opcional

    Archivo config.yml de ejemplo

    En el siguiente ejemplo, se muestra un archivo config.yml que incluye dos organizaciones de Google Cloud.

    elasticsearch:
      host: 127.0.0.1
      password: changeme
      port: 9200
      username: elastic
      cacert: path/to/cacert/elasticsearch.cer
    http_proxy: http://user:password@proxyip:proxyport
    kibana:
      host: 127.0.0.1
      password: changeme
      port: 5601
      username: elastic
      cacert: path/to/cacert/kibana.cer
    cron:
      asset: 0 */45 * * * *
      source: 0 */45 * * * *
    organizations:
      – id: 12345678910
        client_credential_path:
        update:
        project:
          id: project-id-12345
        auditlog:
          topic_name: auditlog.topic_name
          subscription_name: auditlog.subscription_name
        findings:
          topic_name: findings.topic_name
          start_date: 2021-05-01T12:00:00+05:30
          subscription_name: findings.subscription_name
        asset:
          iampolicy:
            topic_name: iampolicy.topic_name
            subscription_name: iampolicy.subscription_name
          resource:
            topic_name: resource.topic_name
            subscription_name: resource.subscription_name
      – id: 12345678911
        client_credential_path:
        update:
        project:
          id: project-id-12346
        auditlog:
          topic_name: auditlog2.topic_name
          subscription_name: auditlog2.subscription_name
        findings:
          topic_name: findings2.topic_name
          start_date: 2021-05-01T12:00:00+05:30
          subscription_name: findings1.subscription_name
        asset:
          iampolicy:
            topic_name: iampolicy2.topic_name
            subscription_name: iampolicy2.subscription_name
          resource:
            topic_name: resource2.topic_name
            subscription_name: resource2.subscription_name
    
  4. Ejecuta los siguientes comandos para instalar la imagen de Docker y configurar el módulo GoApp.

    chmod +x install
    ./install
    

    El módulo GoApp descarga la imagen de Docker, la instala y configura el contenedor.

  5. Cuando finalice el proceso, copia la dirección de correo electrónico de la cuenta de servicio de WriterIdentity del resultado de la instalación.

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Sink_}}HashId{{
    

    Tu directorio de trabajo debe tener la siguiente estructura:

      ├── config.yml
      ├── dashboards.ndjson
      ├── docker-compose.yml
      ├── install
      ├── templates
          ├── filebeat.tmpl
          ├── logstash.tmpl
          ├── docker.tmpl
      └── main
          ├── client_secret.json
          ├── filebeat
          │          └── config
          │                   └── filebeat.yml
          ├── GoApp
          │       └── .env
          └── logstash
                     └── pipeline
                                └── logstash.conf
    

Actualiza los permisos de los registros de auditoría

Para actualizar los permisos a fin de que los registros de auditoría puedan fluir a tu SIEM, haz lo siguiente:

  1. Navega a la página de Cloud Pub/Sub

    Ir a Pub/Sub

  2. Selecciona un proyecto que incluya tus temas de Pub/Sub.

  3. Selecciona el tema de Pub/Sub que creaste para los registros de auditoría.

  4. En Permisos, agrega la cuenta de servicio de WriterIdentity (que copiaste en el paso 4 del procedimiento de instalación) como una principal nueva y asígnale el rol Pub/Sub Publisher. Se actualiza la política de registro de auditoría.

Se completó la configuración de Docker y Elastic Stack. Ahora puedes configurar Kibana.

Visualiza registros de Docker

  1. Abre una terminal y ejecuta el siguiente comando para ver la información del contenedor, incluidos los ID de contenedor. Ten en cuenta el ID del contenedor en el que está instalado Elastic Stack.

    docker container ls
    
  2. Para iniciar un contenedor y ver sus registros, ejecuta los siguientes comandos:

    docker exec -it CONTAINER_ID /bin/bash
    cat go.log
    

    Reemplaza CONTAINER_ID por el ID del contenedor en el que está instalado Elastic Stack.

Configura Kibana

Completa estos pasos cuando instalas el contenedor de Docker por primera vez.

  1. Abre kibana.yml en un editor de texto.

    sudo vim KIBANA_DIRECTORY/config/kibana.yml
    

    Reemplaza KIBANA_DIRECTORY por la ruta a la carpeta de instalación de Kibana.

  2. Actualiza las siguientes variables:

    • server.port: el puerto que se usará para el servidor de backend de Kibana; el valor predeterminado es 5,601
    • server.host: la dirección IP o el nombre de host al que se vinculará el servidor de Kibana
    • elasticsearch.hosts: la dirección IP y el puerto de la instancia de Elasticsearch que se usará para las consultas
    • server.maxPayloadBytes: el tamaño máximo de la carga útil en bytes para las solicitudes del servidor entrante; el valor predeterminado es 1,048,576
    • url_drilldown.enabled: un valor booleano que controla la capacidad de navegar desde el panel de Kibana a URL internas o externas el valor predeterminado es true

    La configuración completa es similar a la siguiente:

      server.port: PORT
      server.host: "HOST"
      elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
      server.maxPayloadBytes: 5242880
      url_drilldown.enabled: true
    

Importa paneles de Kibana

  1. Abre la aplicación Kibana.
  2. En el menú de navegación, ve a Administración de pilas y haz clic en Objetos guardados.
  3. Haz clic en Importar, navega al directorio de trabajo y selecciona dashboards.ndjson. Los paneles se importan y se crean los patrones de índice.

Actualiza el contenedor de Docker

Si implementaste una versión anterior del módulo GoApp, puedes actualizar a una versión más reciente. Cuando actualizas el contenedor de Docker a una versión más reciente, puedes mantener la configuración existente de la cuenta de servicio, los temas de Pub/Sub y los componentes de ElasticSearch.

Si estás actualizando desde una integración que no usaba un contenedor de Docker, consulta Actualiza a la versión más reciente.

  1. Si estás actualizando desde la versión 1, completa estas acciones:

    1. Agrega el rol Escritor de configuración de registros (roles/logging.configWriter) a la cuenta de servicio.

    2. Crea un tema de Pub/Sub para tus registros de auditoría.

  2. Si instalas el contenedor de Docker en otra nube, configura la federación de Workload Identity y descarga el archivo de configuración de credenciales.

  3. De forma opcional, para evitar problemas cuando importes los paneles nuevos, quita los paneles existentes de Kibana:

    1. Abre la aplicación Kibana.
    2. En el menú de navegación, ve a Administración de pilas y haz clic en Objetos guardados.
    3. Busca SCC de Google.
    4. Selecciona todos los paneles que desees quitar.
    5. Haz clic en Borrar.
  4. Quita el contenedor de Docker existente:

    1. Abre una terminal y detén el contenedor:

      docker stop CONTAINER_ID
      

      Reemplaza CONTAINER_ID por el ID del contenedor en el que está instalado Elastic Stack.

    2. Quita el contenedor de Docker:

      docker rm CONTAINER_ID
      

      Si es necesario, agrega -f antes del ID del contenedor para quitarlo de manera forzosa.

  5. Completa los pasos 1 a 7 en Cómo descargar el módulo de GoApp.

  6. Mueve el archivo config.env existente de tu instalación anterior al directorio \update.

  7. Si es necesario, otorga permiso ejecutable para ejecutar ./update:

    chmod +x ./update
    ./update
    
  8. Ejecuta ./update para convertir config.env en config.yml.

  9. Verifica que el archivo config.yml incluya la configuración existente. De lo contrario, vuelve a ejecutar ./update.

  10. Para admitir varias organizaciones de Google Cloud, agrega otra configuración de organización al archivo config.yml.

  11. Mueve el archivo config.yml al directorio de trabajo, en el que se encuentra el archivo install.

  12. Completa los pasos en Instala Docker.

  13. Completa los pasos de la sección Actualiza los permisos de los registros de auditoría.

  14. Importa los paneles nuevos, como se describe en Importa los paneles de Kibana. En este paso, se reemplazarán tus paneles de Kibana existentes.

Visualiza y edita los paneles de Kibana

Puedes usar paneles personalizados en Elastic Stack para visualizar y analizar tus resultados, elementos y fuentes de seguridad. Los paneles muestran resultados críticos y ayudan a tu equipo de seguridad a priorizar correcciones.

Panel Descripción general

El panel Descripción general contiene una serie de gráficos que muestran la cantidad total de resultados de tus organizaciones de Google Cloud por nivel de gravedad, categoría y estado. Los resultados se compilan a partir de los servicios integrados de Security Command Center, como Security Health Analytics, Web Security Scanner, Event Threat Detection y Container Threat Detection, y cualquier servicio integrado que habilites.

Para filtrar contenido por criterios como parámetros de configuración incorrectos o vulnerabilidades, puedes seleccionar la Clase del resultado.

Los gráficos adicionales muestran qué categorías, proyectos y elementos generan la mayor cantidad de resultados.

Panel Elementos

En el panel Recursos, se muestran las tablas que muestran tus elementos de Google Cloud. En las tablas, se muestran los propietarios de los recursos, los recuentos de recursos por tipo y proyecto de recursos, y los elementos que se agregaron y actualizaron más recientemente.

Puedes filtrar los datos de los recursos por organización, nombre y tipo de recurso, así como por elementos superiores, y desglosar rápidamente los resultados de recursos específicos. Si haces clic en el nombre de un recurso, se te redireccionará a la página Activos de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del recurso seleccionado.

Panel Registros de auditoría

En el panel Registros de auditoría, se muestra una serie de gráficos y tablas en los que se muestra información de registro de auditoría. Los registros de auditoría que se incluyen en el panel son la actividad del administrador, el acceso a los datos, los eventos del sistema y los registros de auditoría de política denegada. La tabla incluye la hora, la gravedad, el tipo de registro, el nombre del registro, el nombre del servicio, el nombre del recurso y el tipo de recurso.

Puedes filtrar los datos por organización, fuente (como un proyecto), gravedad, tipo de registro y tipo de recurso.

Panel Resultados

En el panel Resultados, se incluyen gráficos que muestran tus resultados más recientes. Los gráficos proporcionan información sobre la cantidad de resultados, su gravedad, categoría y estado. También puedes ver los resultados activos con el tiempo y qué proyectos o recursos tienen la mayor cantidad de resultados.

Puedes filtrar los datos por organización y clase de resultado.

Si haces clic en el nombre de un resultado, se te redireccionará a la página Resultados de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del resultado seleccionado.

Panel Fuentes

En el panel Fuentes (Sources), se muestra la cantidad total de resultados y fuentes de seguridad, la cantidad de resultados por nombre de fuente y una tabla de todas tus fuentes de seguridad. Las columnas de la tabla incluyen el nombre, el nombre visible y la descripción.

Agregar columnas

  1. Navega a un panel.
  2. Haz clic en Editar y, luego, en Editar visualización.
  3. En Agregar subbucket, selecciona Dividir filas.
  4. En la lista, selecciona la agregación Términos.
  5. En el menú desplegable Descendente, selecciona ascendente o descendente. En el campo Tamaño, ingresa la cantidad máxima de filas para la tabla.
  6. Selecciona la columna que deseas agregar y haz clic en Actualizar.
  7. Guarda los cambios.

Cómo ocultar o quitar columnas

  1. Navega al panel de control.
  2. Haz clic en Edit.
  3. Para ocultar una columna, junto al nombre de esta, haz clic en el ícono de visibilidad o en el ícono del ojo.
  4. Para quitar una columna, junto al nombre de esta, haz clic en la X o en Borrar. .

Desinstala la integración con Elasticsearch

Completa las siguientes secciones para quitar la integración entre Security Command Center y Elasticsearch.

Quita paneles, índices y patrones de índice

Quita los paneles cuando quieras desinstalar esta solución.

  1. Navega a los paneles.

  2. Busca el SCC de Google y selecciona todos los paneles.

  3. Haz clic en Borrar paneles.

  4. Navega a Administración de pila > Administración del índice.

  5. Cierra los siguientes índices:

    • activos de gcc
    • gccfindings
    • gccsources
    • gccauditlogs
  6. Navega a Stack Management > Index Patterns.

  7. Cierra los siguientes patrones:

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs

Desinstala Docker

  1. Borra NotificationConfig para Pub/Sub. Para encontrar el nombre de NotificationConfig, ejecuta lo siguiente:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat NotificationConf_}}HashId{{
    
  2. Quita los feeds de Pub/Sub para los recursos, los resultados, las políticas de IAM y los registros de auditoría. Para encontrar los nombres de los feeds, ejecuta lo siguiente:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Feed_}}HashId{{
    
  3. Quita el receptor de los registros de auditoría. Para encontrar el nombre del receptor, ejecuta el siguiente comando:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Sink_}}HashId{{
    
  4. Para ver la información del contenedor, incluidos los ID de contenedor, abre la terminal y ejecuta el siguiente comando:

    docker container ls
    
  5. Detén el contenedor:

    docker stop CONTAINER_ID
    

    Reemplaza CONTAINER_ID por el ID del contenedor en el que está instalado Elastic Stack.

  6. Quita el contenedor de Docker:

    docker rm CONTAINER_ID
    

    Si es necesario, agrega -f antes del ID del contenedor para quitarlo de manera forzosa.

  7. Quita la imagen de Docker:

    docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest
    
  8. Borra el directorio de trabajo y el archivo docker-compose.yml:

    rm -rf ./main docker-compose.yml
    

¿Qué sigue?