Envía datos de Security Command Center a Elastic Stack

En esta página, se explica cómo enviar automáticamente los resultados, los recursos y las fuentes de seguridad de Security Command Center a Elastic Stack sin usar un contenedor de Docker. También se describe cómo administrar los datos exportados. Elastic Stack es una plataforma de información de seguridad (SIEM) y administración de eventos que transfiere datos desde una o más fuentes y permite que los equipos de seguridad administren respuestas a incidentes y realicen estadísticas en tiempo real. La configuración de Elastic Stack que se analiza en esta guía incluye cuatro componentes:

  • Filebeat: un agente ligero instalado en hosts perimetrales, como máquinas virtuales (VM), que se puede configurar para recopilar y reenviar datos.
  • Logstash: Un servicio de transformación que transfiere datos, los asigna a campos obligatorios y reenvía los resultados a Elasticsearch
  • Elasticsearch: Un motor de base de datos de búsqueda que almacena datos
  • Kibana: Alimenta los paneles que te permiten visualizar y analizar datos

Actualiza a la versión más reciente

Para actualizar a la versión más reciente, debes implementar una imagen de contenedor de Docker que incluya el módulo GoApp. Para obtener más información, consulta Cómo exportar recursos y resultados con Docker y Elastic Stack.

Para actualizar a la versión más reciente, haz lo siguiente:

  1. Borra de go_script.service de //etc/systemd/system/
  2. Borra la carpeta GoApp:
  3. Borra las configuraciones de Logstash.
  4. Borrar logstash2.service.
  5. Borra filebeat.service.
  6. De forma opcional, para evitar problemas cuando importes los paneles nuevos, quita los paneles existentes de Kibana:
    1. Abre la aplicación Kibana.
    2. En el menú de navegación, ve a Administración de pilas y haz clic en Objetos guardados.
    3. Busca SCC de Google.
    4. Selecciona todos los paneles que desees quitar.
    5. Haz clic en Borrar.
  7. Agrega el rol Escritor de configuración de registros (roles/logging.configWriter) a la cuenta de servicio.
  8. Crea un tema de Pub/Sub para tus registros de auditoría.
  9. De manera opcional, si instalas el contenedor de Docker en otra nube, configura la federación de identidades para cargas de trabajo en lugar de usar claves de cuenta de servicio. Debes crear credenciales de cuenta de servicio de corta duración y descargar el archivo de configuración de credenciales.
  10. Completa los pasos en Descarga el módulo de GoApp.
  11. Completa los pasos en Instala el contenedor de Docker.
  12. Completa los pasos de la sección Actualiza los permisos de los registros de auditoría.
  13. Importa todos los paneles, como se describe en Importa paneles de Kibana.

Sigue las instrucciones que se indican en Exporta recursos y resultados con Docker y Elastic Stack para administrar tu integración de SIEM.

Administra el servicio y los registros

En esta sección, se explica cómo ver los registros del módulo GoApp y realizar cambios en la configuración.

Esta sección solo se aplica al módulo GoApp que instalaste desde el paquete de instalación GoogleSCCElasticIntegration que se puso a disposición en febrero de 2022. Para obtener información actualizada, consulta Cómo actualizar a la versión más reciente.

  1. Verifica el estado del servicio:

      systemctl | grep go_script

  2. Verifica los registros de trabajo actuales, que contienen información sobre las fallas de ejecución y otra información del servicio:

      sudo journalctl -f -u go_script.service

  3. Verifica los registros de trabajo históricos y actuales:

      sudo journalctl -u go_script.service

  4. Para solucionar problemas o verificar los registros de go_script.service, haz lo siguiente:

      cat go.log

Desinstala el módulo de GoApp

Desinstala el módulo GoApp cuando ya no desees recuperar los datos de Security Command Center para Elastic Stack.

Esta sección solo se aplica al módulo GoApp que instalaste desde el paquete de instalación GoogleSCCElasticIntegration que se puso a disposición en febrero de 2022. Para obtener información actualizada, consulta Cómo actualizar a la versión más reciente.

  1. Borra de go_script.service de //etc/systemd/system/
  2. Quita feeds de recursos y políticas de IAM.
  3. Quita Pub/Sub para elementos, políticas de IAM y resultados.
  4. Borra el directorio de trabajo.

Configura aplicaciones de Elastic Stack

En esta sección, se explica cómo configurar Elastic Stack para transferir datos de Security Command Center. En las instrucciones se da por sentado que instalaste y habilitaste correctamente Elastic Stack y que tienes privilegios de administrador en el entorno de aplicaciones.

Esta sección solo se aplica al módulo GoApp que instalaste desde el paquete de instalación GoogleSCCElasticIntegration que se puso a disposición en febrero de 2022. Para obtener información actualizada, consulta Cómo actualizar a la versión más reciente.

Visualiza los registros del servicio de Logstash

Para ver los registros actuales, ejecuta el siguiente comando:

    sudo journalctl -f -u logstash2.service

Para ver los registros históricos, ejecuta el siguiente comando:

    sudo journalctl -u logstash2.service

Desinstala el servicio

  1. Borra las configuraciones de Logstash.
  2. Borrar logstash2.service.

Configura Filebeat

Esta sección solo se aplica al módulo GoApp que instalaste desde el paquete de instalación GoogleSCCElasticIntegration que se puso a disposición en febrero de 2022. Para obtener información actualizada, consulta Cómo actualizar a la versión más reciente.

Visualiza los registros de servicio de Filebeat

Para ver los registros actuales, ejecuta el siguiente comando:

    sudo journalctl -f -u filebeat.service

Para ver los registros históricos, ejecuta el siguiente comando:

    sudo journalctl -u filebeat.service

Desinstala el servicio

  1. Borra las configuraciones de Logstash.
  2. Borrar filebeat.service.

Visualiza los paneles de Kibana

Puedes usar paneles personalizados en Elastic Stack para visualizar y analizar tus resultados, elementos y fuentes de seguridad. Los paneles muestran resultados críticos y ayudan a tu equipo de seguridad a priorizar correcciones.

Esta sección solo se aplica al módulo GoApp que instalaste desde el paquete de instalación GoogleSCCElasticIntegration que se puso a disposición en febrero de 2022. Para obtener información actualizada, consulta Cómo actualizar a la versión más reciente.

Descripción general

El panel Descripción general contiene una serie de gráficos que muestran la cantidad total de resultados de tu organización por nivel de gravedad, categoría y estado. Los resultados se compilan a partir de los servicios integrados de Security Command Center: Security Health Analytics, Web Security Scanner, Event Threat Detection y Container Threat Detection, y cualquier servicio integrado que habilites.

Los gráficos adicionales muestran qué categorías, proyectos y elementos generan la mayor cantidad de resultados.

Recursos

En el panel Recursos, se visualizan las tablas que muestran tus elementos de Google Cloud. En las tablas, se muestran los propietarios de los recursos, los recuentos de recursos por tipo y proyecto de recursos, y los elementos que se agregaron y actualizaron más recientemente.

Puedes filtrar datos de recursos por intervalo de tiempo, nombre de recurso, tipo de recurso, propietario y proyecto, y desglosar con rapidez los resultados de elementos específicos. Si haces clic en el nombre de un recurso, se te redireccionará a la página Activos de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del recurso seleccionado.

Hallazgos

En el panel Resultados, se incluye una tabla que muestra tus resultados más recientes. Puedes filtrar los datos por nombre del recurso, categoría y gravedad.

Las columnas de la tabla incluyen el nombre del resultado, en el formato organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>, categoría, nombre del recurso, hora del evento, hora de creación, nombre superior, URI superior y marcas de seguridad. El formato del URI superior coincide con el nombre del resultado. Si haces clic en el nombre de un resultado, se te redireccionará a la página Resultados de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del resultado seleccionado.

Fuente

En el panel Fuentes (Sources), se muestra la cantidad total de resultados y fuentes de seguridad, la cantidad de resultados por nombre de fuente y una tabla de todas tus fuentes de seguridad. Las columnas de la tabla incluyen el nombre, el nombre visible y la descripción.

Edita paneles

Agrega columnas

  1. Navega a un panel.
  2. Haz clic en Editar y, luego, en Editar visualización.
  3. En Agregar subbucket, selecciona Dividir filas.
  4. En la lista, selecciona Agregación.
  5. En el menú desplegable Descendente, selecciona ascendente o descendente. En el campo tamaño, ingresa la cantidad máxima de filas para la tabla.
  6. Selecciona la columna que deseas agregar.
  7. Guarda los cambios.

Quita columnas

  1. Navega al panel de control.
  2. Haz clic en Editar.
  3. Para ocultar las columnas, junto al nombre de la columna, haz clic en el ícono de visibilidad o de ojo. Para quitar la columna, junto al nombre de la columna, haz clic en el ícono de X o borrar.

¿Qué sigue?