Enviar datos de Security Command Center a Elastic Stack

En esta página se explica cómo enviar automáticamente resultados, recursos y fuentes de seguridad de Security Command Center a Elastic Stack sin usar un contenedor Docker. También se describe cómo gestionar los datos exportados. Elastic Stack es una plataforma de gestión de información y eventos de seguridad (SIEM) que ingiere datos de una o varias fuentes y permite a los equipos de seguridad gestionar las respuestas a los incidentes y realizar analíticas en tiempo real. La configuración de Elastic Stack que se describe en esta guía incluye cuatro componentes:

• Filebeat un agente ligero instalado en hosts perimetrales, como máquinas virtuales, que se puede configurar para recoger y reenviar datos.
• Logstash un servicio de transformación que ingiere datos, los asigna a los campos obligatorios y reenvía los resultados a Elasticsearch.
• Elasticsearch: un motor de base de datos de búsqueda que almacena datos.
• Kibana: proporciona los paneles que te permiten visualizar y analizar datos.

Actualizar a la última versión

Para actualizar a la versión más reciente, debes desplegar una imagen de contenedor Docker que incluya el módulo GoApp. Para obtener más información, consulta Exportar recursos y resultados con Docker y Elastic Stack.

Para actualizar a la versión más reciente, haz lo siguiente:

1. Elimina go_script.service de //etc/systemd/system/.
2. Elimina la carpeta GoApp.
3. Elimina las configuraciones de Logstash.
4. Eliminar logstash2.service
5. Eliminar filebeat.service.
6. Opcionalmente, para evitar problemas al importar los nuevos paneles de control, elimina los paneles de control de Kibana:
   1. Abre la aplicación Kibana.
   2. En el menú de navegación, vaya a Gestión de pilas y, a continuación, haga clic en Objetos guardados.
   3. Busca Google SCC.
   4. Selecciona todos los paneles de control que quieras quitar.
   5. Haz clic en Eliminar.
7. Añade el rol Editor de configuración de registros (roles/logging.configWriter) a la cuenta de servicio.
8. Crea un tema de Pub/Sub para tus registros de auditoría.
9. De forma opcional, si vas a instalar el contenedor de Docker en otra nube, configura la federación de identidades de cargas de trabajo en lugar de usar claves de cuenta de servicio. Debes crear credenciales de cuenta de servicio de duración reducida y descargar el archivo de configuración de las credenciales.
10. Sigue los pasos que se indican en Descargar el módulo GoApp.
11. Completa los pasos que se indican en el artículo Instalar el contenedor Docker.
12. Sigue los pasos que se indican en Actualizar los permisos de los registros de auditoría.
13. Importa todos los paneles de control, tal como se describe en Importar paneles de Kibana.

Sigue las instrucciones de Exportar recursos y resultados con Docker y Elastic Stack para administrar tu integración de SIEM.

Gestionar servicios y registros

En esta sección se explica cómo ver los registros del módulo GoApp y cómo cambiar la configuración del módulo.

Esta sección solo se aplica al módulo GoApp que hayas instalado desde el paquete de instalación de GoogleSCCElasticIntegration que se puso a disposición en febrero del 2022. Para obtener información actualizada, consulta Actualizar a la versión más reciente.

1. Comprueba el estado del servicio:

     systemctl | grep go_script
   

2. Consulta los registros de trabajo actuales, que contienen información sobre errores de ejecución y otros datos del servicio:

     sudo journalctl -f -u go_script.service
   

3. Consulta los registros de trabajo históricos y actuales:

     sudo journalctl -u go_script.service
   

4. Para solucionar problemas o consultar los registros de go_script.service, sigue estos pasos:

     cat go.log
   

Desinstalar el módulo GoApp

Desinstala el módulo GoApp cuando ya no quieras recuperar datos de Security Command Center para Elastic Stack.

Esta sección solo se aplica al módulo GoApp que hayas instalado desde el paquete de instalación de GoogleSCCElasticIntegration que se puso a disposición en febrero del 2022. Para obtener información actualizada, consulta Actualizar a la versión más reciente.

1. Elimina go_script.service de //etc/systemd/system/.
2. Elimina las feeds de recursos y políticas de gestión de identidades y accesos.
3. Quita Pub/Sub para recursos, políticas de gestión de identidades y accesos y detecciones.
4. Elimina el directorio de trabajo.

Configurar aplicaciones de Elastic Stack

En esta sección se explica cómo configurar las aplicaciones de Elastic Stack para que ingieran datos de Security Command Center. En las instrucciones se da por hecho que ha instalado y habilitado correctamente Elastic Stack, y que tiene privilegios de superusuario en el entorno de la aplicación.

Esta sección solo se aplica al módulo GoApp que hayas instalado desde el paquete de instalación de GoogleSCCElasticIntegration que se puso a disposición en febrero del 2022. Para obtener información actualizada, consulta Actualizar a la versión más reciente.

Ver los registros de servicio de Logstash

Para ver los registros actuales, ejecuta el siguiente comando:

    sudo journalctl -f -u logstash2.service

Para ver los registros históricos, ejecuta el siguiente comando:

    sudo journalctl -u logstash2.service

Desinstalar el servicio

1. Elimina las configuraciones de Logstash.
2. Eliminar logstash2.service

Configurar Filebeat

Esta sección solo se aplica al módulo GoApp que hayas instalado desde el paquete de instalación de GoogleSCCElasticIntegration, que estuvo disponible en febrero del 2022. Para obtener información actualizada, consulta Actualizar a la versión más reciente.

Ver los registros de servicio de Filebeat

Para ver los registros actuales, ejecuta el siguiente comando:

    sudo journalctl -f -u filebeat.service

Para ver los registros históricos, ejecuta el siguiente comando:

    sudo journalctl -u filebeat.service

Desinstalar el servicio

1. Elimina las configuraciones de Logstash.
2. Eliminar filebeat.service

Ver paneles de Kibana

Puedes usar paneles de control personalizados en Elastic Stack para visualizar y analizar tus resultados, recursos y fuentes de seguridad. Los paneles muestran resultados críticos y ayudan a tu equipo de seguridad a priorizar las correcciones.

Esta sección solo se aplica al módulo GoApp que hayas instalado desde el paquete de instalación de GoogleSCCElasticIntegration que se puso a disposición en febrero del 2022. Para obtener información actualizada, consulta Actualizar a la versión más reciente.

Información general

El panel de control Resumen contiene una serie de gráficos que muestran el número total de resultados de tu organización por nivel de gravedad, categoría y estado. Los resultados se compilan a partir de los servicios integrados de Security Command Center: Security Health Analytics, Web Security Scanner, Event Threat Detection y Container Threat Detection, así como de los servicios integrados que habilites.

En otros gráficos se muestran las categorías, los proyectos y los recursos que generan más resultados.

Recursos

En el panel de control Recursos se muestran tablas con tus Google Cloud recursos. Las tablas muestran los propietarios de los recursos, el número de recursos por tipo de recurso y proyecto, y los recursos que has añadido y actualizado más recientemente.

Puede filtrar los datos de los recursos por intervalo de tiempo, nombre de recurso, tipo de recurso, propietario y proyecto, y desglosar rápidamente los resultados de recursos específicos. Si haces clic en el nombre de un recurso, se te redirigirá a la página Recursos de Security Command Center en la consola Google Cloud , donde se mostrarán los detalles del recurso seleccionado.

Resultados

El panel de control Resultados incluye una tabla con los resultados más recientes. Puede filtrar los datos por nombre de recurso, categoría y gravedad.

Las columnas de la tabla incluyen el nombre del hallazgo, con el formato organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>, categoría, nombre del recurso, hora del evento, hora de creación, nombre del elemento superior, URI del elemento superior y marcas de seguridad. El formato del URI superior coincide con el nombre de la búsqueda. Si haces clic en el nombre de un resultado, se te redirigirá a la página Resultados de Security Command Center en la consola Google Cloud y se mostrarán los detalles del resultado seleccionado.

Fuentes

El panel de control Fuentes muestra el número total de resultados y fuentes de seguridad, el número de resultados por nombre de fuente y una tabla con todas tus fuentes de seguridad. Las columnas de la tabla incluyen el nombre, el nombre visible y la descripción.

Editar paneles de control

Añade las columnas

1. Vaya a un panel de control.
2. Haz clic en Editar y, a continuación, en Editar visualización.
3. En Añadir subsegmento, selecciona Dividir filas.
4. En la lista, selecciona Agregación.
5. En el menú desplegable Descendente, selecciona ascendente o descendente. En el campo size, introduce el número máximo de filas de la tabla.
6. Selecciona la columna que quieras añadir.
7. Guarda los cambios.

Quitar columnas

1. Vaya al panel de control.
2. Haz clic en Editar.
3. Para ocultar columnas, haga clic en el icono de visibilidad (el ojo) situado junto al nombre de la columna. Para quitar la columna, haz clic en el icono X o en el icono de eliminar situado junto al nombre de la columna.

Siguientes pasos

• Actualiza a la versión más reciente para integrar Security Command Center con Elastic Stack.

• Consulta más información sobre cómo configurar notificaciones de detecciones en Security Command Center.

• Consulta información sobre cómo filtrar notificaciones de resultados en Security Command Center.