Envía datos de Security Command Center a IBM QRadar

En esta página, se explica cómo enviar automáticamente resultados, recursos, registros de auditoría y fuentes de seguridad de Security Command Center a IBM QRadar. También se describe cómo administrar los datos exportados. QRadar es una plataforma de administración de información y eventos de seguridad (SIEM) que transfiere datos de seguridad de una o más fuentes y permite que los equipos de seguridad administren respuestas a los incidentes y realicen estadísticas en tiempo real.

En esta guía, te asegurarás de que los servicios necesarios de Security Command Center y Google Cloud estén configurados de forma correcta y habilitar QRadar para acceder a los resultados, registros de auditoría y recursos en tu entorno de Security Command Center.

Antes de comenzar

En esta guía, se da por sentado que usas QRadar (v7.4.1 Fix Pack 2 o posterior). Para comenzar a usar QRadar, consulta Regístrate en QRadar.

Configura la autenticación y la autorización

Antes de conectarte a QRadar, debes crear una cuenta de servicio de Identity and Access Management (IAM) en cada organización de Google Cloud que desees conectar y otorgarle las funciones de IAM a nivel de organización y de proyecto que necesita la app de Google SCC para QR.

Crea una cuenta de servicio y otorga roles de IAM

En los siguientes pasos, se usa la consola de Google Cloud. Para conocer otros métodos, consulta los vínculos al final de esta sección.

Completa estos pasos para cada organización de Google Cloud desde la que deseas importar datos de Security Command Center.

1. En el mismo proyecto en el que creas tus temas de Pub/Sub, usa la página Cuentas de servicio en la consola de Google Cloud para crear una cuenta de servicio. Para obtener instrucciones, consulta Cómo crear y administrar cuentas de servicio.

2. Otorga a la cuenta de servicio el rol siguiente:

   • Editor de Pub/Sub (roles/pubsub.editor)

3. Copia el nombre de la cuenta de servicio que acabas de crear.

4. Usa el selector de proyectos en la consola de Google Cloud para cambiar al nivel de la organización.

5. Abre la página IAM de la organización:

   Ir a IAM

6. En la página de IAM, haz clic en Otorgar acceso. Se abrirá el panel para otorgar acceso.

7. En el panel Otorgar acceso, completa los siguientes pasos:

   1. En la sección Agregar principales en el campo Principales nuevas, pega el nombre de la cuenta de servicio.

   2. En la sección Asigna roles, usa el campo Función para otorgar los siguientes roles de IAM a la cuenta de servicio:

      • Editor administrador del centro de seguridad (roles/securitycenter.adminEditor)
      • Editor de configuración de notificaciones del centro de seguridad (roles/securitycenter.notificationConfigEditor)
      • Lector de la organización (roles/resourcemanager.organizationViewer)
      • Visualizador de Cloud Asset (roles/cloudasset.viewer)

   3. Haz clic en Guardar. La cuenta de seguridad aparece en la pestaña Permisos de la página IAM en Ver por principales.

      Por herencia, la cuenta de servicio también se convierte en una principal en todos los proyectos secundarios de la organización, y los roles que son aplicables a nivel de proyecto se enumeran como roles heredados.

Para obtener más información sobre cómo crear cuentas de servicio y otorgar funciones, consulta los siguientes temas:

• Crea y administra cuentas de servicio
• Cómo otorgar, cambiar y revocar el acceso a los recursos

Proporciona las credenciales al QRadar

La forma en que proporcionas las credenciales de IAM al QRadar varía según dónde alojas el QRadar.

• Si alojas la implementación de QR en Google Cloud, la cuenta de servicio que creaste y las funciones a nivel de la organización que le otorgaste estarán disponibles automáticamente por herencia de la organización superior. Si usas varias organizaciones de Google Cloud, agrega esta cuenta de servicio a las otras organizaciones y otórgale los roles de IAM que se describen en los pasos 5 a 7 de Crea una cuenta de servicio y otorga roles de IAM.

• Si alojas QRadar en el entorno local o en IBM Cloud, crea una clave de cuenta de servicio para cada organización de Google Cloud. Necesitarás las claves de la cuenta de servicio en formato JSON para completar esta guía.

• Si alojas QRadar en Microsoft Azure o Amazon Web Services, configura la federación de identidades para cargas de trabajo y descarga los archivos de configuración de credenciales. Si usas varias organizaciones de Google Cloud, agrega esta cuenta de servicio a las otras organizaciones y otórgale los roles de IAM que se describen en los pasos 5 a 7 de Crea una cuenta de servicio y otorga roles de IAM.

Configurar las notificaciones

Completa estos pasos para cada organización de Google Cloud desde la que deseas importar datos de Security Command Center.

1. Configura las notificaciones de resultados de la siguiente manera:
   1. Habilita la API de Security Command Center.
   2. Crea un filtro para exportar los resultados y elementos deseados.
   3. Crea tres temas de Pub/Sub: uno para cada uno de los resultados, registros de auditoría y recursos. NotificationConfig debe usar el tema de Pub/Sub que creas para los resultados.

2. Crea un receptor para los registros de auditoría, como se describe en Recopila y enruta registros a nivel de la organización a destinos compatibles. El receptor debe usar el tema de Pub/Sub que creaste para los registros de auditoría. Por ejemplo:

   gcloud logging sinks create SINK_NAME  /SINK_DESTINATION
     --include-children /
     --organization=ORGANIZTION_ID /
     --log-filter=FILTER
   

   Reemplaza lo siguiente:

   • SINK_NAME por el nombre del receptor del registro de auditoría

   • SINK_DESTINATION con pubsub.googleapis.com/projects/PROJECT_ID/topic/TOPIC_ID

   • ORGANIZATION_ID por el ID de tu organización

   • FILTER con logName:activity, logName:data_access, logName:system_event o logName:policy

3. Otorga el rol de publicador de Pub/Sub (roles/pubsub.publisher) a la cuenta de servicio del receptor.

4. Habilita la API de Cloud Asset para el proyecto.

5. Crea feeds para tus activos. Debes crear dos feeds en el mismo tema de Pub/Sub, uno para tus recursos y otro para tus políticas de Identity and Access Management (IAM).

   • El tema de Pub/Sub para los recursos debe ser diferente del que se usa en los resultados.
   • Para el feed de tus recursos, usa el siguiente filtro: content-type=resource.
   • Para el feed de políticas de IAM, debes usar el siguiente filtro: content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project".

Necesitarás los ID de tu organización y los nombres de las suscripciones a Pub/Sub para configurar QRadar.

Instalar la app de Google SCC para QRadar - QRadar v7.4.1FP2+

En esta sección, instalarás la app de Google SCC para QRadar - QRadar v7.4.1FP2+ (v3.0.0). La app, que se mantiene en Security Command Center, automatiza el proceso de programación de llamadas a la API de Security Command Center y recupera con regularidad los datos de Security Command Center para usarlos en QRadar.

La instalación de apps requiere acceso a la máquina de la consola QR a través de una interfaz web.

Para completar la instalación, sigue estos pasos:

1. Descarga la app de Google SCC para QRadar desde IBM App Exchange.
2. Accede a la consola de QR en https://QRadar_Console_IP.
3. En el menú de la consola, haz clic en Administrador y, luego, selecciona Administración de extensiones.
4. Para seleccionar el archivo ZIP de descarga, haz clic en Agregar. Sigue las indicaciones cuando se prepare la instalación.
5. Selecciona Iniciar una instancia predeterminada para cada app.
6. Haz clic en Install. Una vez que la instalación se complete correctamente, verás una lista de los componentes de la aplicación.
7. Haz clic en la pestaña Administrador y, luego, en Implementar cambios.
8. Borra la caché del navegador y actualiza la ventana del navegador.
9. Navega a Administración de extensiones. Deberías ver la App de Google SCC para QRadar con el estado Installed.

Configura la app de Google SCC

En esta sección, configurarás la app de Google SCC. Para completar la configuración, haz lo siguiente:

1. Navega a la pestaña Administrador en QRadar.
2. Haz clic en Configuración de la app de Google SCC.
3. Haz clic en Agregar organización de Google SCC.

4. Ingresa las siguientes variables según sea necesario:

   • JSON de la cuenta de servicio: el archivo JSON que incluye la clave de la cuenta de servicio

     Si alojas la implementación de QRadar en Google Cloud, este campo no estará disponible. Asegúrate de proporcionar la cuenta de servicio vinculada a la VM con los permisos de IAM para cada organización de Google Cloud. Para obtener más información, consulta Proporciona las credenciales a QRadar.

   • Configuración de credenciales: El archivo de configuración de credenciales que descargaste cuando configuraste la federación de identidades para cargas de trabajo

   • ID de la organización: el ID de tu organización

   • Nombre de la suscripción a los resultados: Es el nombre de la suscripción de Pub/Sub para las notificaciones de tus resultados.

   • Assets Subscription Name: Es el nombre de la suscripción de Pub/Sub para el feed de recursos.

   • Habilitar la recopilación de registros de auditoría: Selecciona esta opción para enviar registros de auditoría a tu instancia de QRadar.

     • Nombre de suscripción a los registros de auditoría: Es el nombre de suscripción a Pub/Sub para el receptor de registros de auditoría.

   • Intervalo: la cantidad de segundos entre las llamadas a Pub/Sub durante la recopilación de datos en tiempo real

   • Token de autorización de QR: Es el token de tu instancia de QR. Para recuperar un token, haz lo siguiente:

     1. Navega a la pestaña Administrador en QRadar.
     2. En Administración de usuarios, haz clic en Servicio autorizado.
     3. Copia el token de autorización con Administrador como el rol del usuario y Administrador como el perfil de seguridad. Si no tienes un token, haz clic en Agregar servicio autorizado para crear uno.
     4. Haz clic en Implementar cambios y, luego, actualiza la ventana del navegador.

5. Para ingresar los detalles opcionales de configuración del proxy, haz clic en el botón de activación Habilitar/inhabilitar proxy y, luego, ingresa la configuración del proxy:

   • IP/Nombre de host: Es la dirección IP o el nombre de host del servidor proxy (no incluyas el prefijo HTTP/HTTPS).
   • Puerto: el puerto de tu servidor proxy
   • Nombre de usuario: el nombre de usuario que se usa para el proxy de autenticación
   • Contraseña: La contraseña que se usa para el proxy de autenticación

6. Haz clic en Guardar.

7. Repite estos pasos para cada organización de Google Cloud que desees integrar.

Se almacena la configuración de la app y se agregan las organizaciones a la página de configuración de la app. En las siguientes secciones, se explica cómo ver y administrar datos de Security Command Center en el servicio.

Actualiza la app de Google SCC

En esta sección, actualizarás una app de Google SCC para QRadar existente a la versión más reciente.

Para completar la actualización, haz lo siguiente:

1. Descarga la versión más reciente de la app de Google SCC desde IBM App Exchange.
2. Accede a la consola de QR en https://QRadar_Console_IP.
3. En el menú de la consola, haz clic en Administrador y, luego, selecciona Administración de extensiones.
4. Para seleccionar el archivo ZIP de descarga, haz clic en Agregar. Sigue las indicaciones a medida que se prepara la actualización.
5. Selecciona Reemplazar elementos existentes y, luego, Iniciar una instancia predeterminada para cada app.
6. Haz clic en Install. Cuando el proceso de actualización se complete de forma correcta, verás una lista de los componentes de la aplicación.
7. Haz clic en la pestaña Administrador y, luego, en Implementar cambios.
8. Borra la caché del navegador y actualiza la ventana del navegador.
9. Navega a Administración de extensiones. Deberías ver la App de Google SCC para QRadar con el estado Installed.

10. Quita los registros de la aplicación de los usuarios que acceden a la aplicación desde QRadar mediante SSH:

    1. Descarga la versión más reciente de la app de administración de datos de referencia en IBM App Exchange.

    2. Accede a la consola de QR en https://QRadar_Console_IP.

    3. En el menú de la consola, haz clic en Administrador y, luego, selecciona Administración de extensiones.

    4. Para seleccionar el archivo ZIP de descarga, haz clic en Add. Sigue las indicaciones para instalar la aplicación.

    5. En la consola, ve al panel Reference Data Management.

    6. Haz clic en Mapa de referencia.

    7. Selecciona asset_owners y haz clic en Borrar datos.

Consulta los datos exportados en QRadar

En esta sección, se describen las funciones relevantes disponibles en QRadar, incluida la búsqueda de resultados, los registros de auditoría y los recursos, la visualización de las políticas de IAM y la visualización de paneles personalizados.

Busca datos

Para buscar datos de Security Command Center en QRadar, usa el panel Actividad de registros. Puedes ver los resultados, los elementos, los registros de auditoría y las fuentes de seguridad transferidos y aplicar filtros de estilo SQL para definir mejor los datos.

Visualiza datos de la política de IAM

Para ver los datos de la política de IAM de tus recursos, haz lo siguiente:

1. Descarga y, luego, instala la aplicación Administración de datos de referencia desde el Portal de App Engine de IBM.
2. Haz clic en el panel Reference Data Management en QRadar.
3. En el panel de navegación, haz clic en Mapa de referencia.
4. Selecciona asset_owners. El panel se propaga con los datos de tu política de IAM.

Paneles personalizados

Puedes usar paneles personalizados en QRadar para visualizar y analizar tus resultados, recursos y fuentes de seguridad.

Descripción general

En el panel Descripción general, se muestra la cantidad total de hallazgos, amenazas y vulnerabilidades en tus organizaciones de Google Cloud. Los resultados se compilan a partir de los servicios integrados de Security Command Center, como Security Health Analytics, Web Security Scanner, Event Threat Detection, Container Threat Detection y cualquier servicio integrado que habilites.

Puedes filtrar datos para actualizar visualizaciones, especificar la organización de Google Cloud y recuperar datos nuevos a pedido.

Recursos

En la pestaña Activos, se muestra una tabla de tus recursos de Google Cloud. Los datos de la tabla incluyen el nombre y el tipo de recurso, los propietarios de recurso, la hora de la última actualización y los vínculos a la página Recursos de Security Command Center en la consola de Google Cloud.

Puedes buscar y filtrar datos de los recursos por organización, intervalo de tiempo y tipo de recurso y desglosar los resultados de recursos específicos.

Fuentes

En la pestaña Fuentes, se muestra una tabla de las fuentes de seguridad, incluidos el nombre y el nombre visible de la fuente, y la descripción. Si haces clic en el nombre de una fuente, podrás ver los resultados de esa fuente.

Resultados

En la pestaña Resultados, se muestra una tabla con los resultados de tu organización. Puedes buscar en la tabla y filtrar la lista por intervalo de tiempo, categoría, gravedad, fuente de seguridad, recurso y nombre de proyecto.

Las columnas de la tabla incluyen el nombre del resultado, la categoría, el nombre del recurso, el nombre de la fuente de seguridad, las marcas de seguridad, la gravedad, el nombre del proyecto, la hora del evento, la hora del evento, la clase del hallazgo y el estado de actualización. Si haces clic en el nombre de un hallazgo, se te redireccionará a la página Resultados de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del resultado seleccionado.

En la columna Estado de actualización, puedes actualizar el estado de un resultado. Para indicar que revisas un resultado de forma activa, haz clic en Marcar como ACTIVO. Si no revisas un resultado de forma activa, haz clic en Marcar como INACTIVO.

Registros de auditoría

En el panel Registros de auditoría, se muestra una serie de gráficos y tablas en los que se muestra información de registro de auditoría. Los registros de auditoría que se incluyen en el panel son la actividad del administrador, el acceso a los datos, los eventos del sistema y los registros de auditoría de política denegada. La tabla incluye la hora, el nombre del registro, la gravedad, el nombre del servicio, el nombre del recurso y el tipo de recurso.

Los registros de la aplicación

1. Accede a QRadar a través de SSH.

2. Enumera todas las aplicaciones instaladas y sus valores de App-ID:

   /opt/qradar/support/recon ps
   

   El resultado es similar al siguiente. Toma nota del App-ID de la app de Google SCC.

   App-ID  Name                                    Managed Host ID Workload ID             Service Name    AB       Container Name          CDEGH          Port          IJKL
   1101    QRadar Log Source Management            53              apps                    qapp-1101       ++           qapp-1101           +++++          5000          ++++
   1104    QRadar Assistant                        53              apps                    qapp-1104       ++           qapp-1104           +++++          5000          ++++
   1105    QRadar Use Case Manager                 53              apps                    qapp-1105       ++           qapp-1105           +++++          5000          ++++
   1163    IBM QRadar Pre-Validation App Service   53              apps                    qapp-1163       ++           qapp-1163           +++++          5000          ++++
   1164    IBM QRadar Pre-Validation App UI        53              apps                    qapp-1164       ++           qapp-1164           +++++          5000          ++++
   1170    Google SCC                              53              apps                    qapp-1170       ++           qapp-1170           +++++          5000          ++++
   

3. Conéctate al contenedor de la app Google SCC:

   /opt/qradar/support/recon connect APP_ID
   

   Reemplaza APP_ID por el App-ID de la app de Google SCC.

4. Ve al directorio de registros:

   cd /opt/app-root/store/log
   

5. Obtén una lista de todos los archivos en el directorio:

   ls
   

6. Visualiza el contenido de un archivo:

   cat FILENAME
   

   Reemplaza FILENAME por el nombre del archivo.

Desinstala la app de Google SCC

Para desinstalar la app de Google SCC, haz lo siguiente:

1. Vaya a la pestaña Administrador.
2. Selecciona Administración de extensiones.
3. Selecciona Google SCC App For QRadar - QRadar v7.4.1FP2+.
4. Haz clic en Desinstalar.

Si desinstalas la aplicación, se quitan las propiedades de eventos personalizados, los mapas de referencia, los paneles y las fuentes de registros que proporciona la app de Google SCC.

Problemas conocidos

En esta sección, se enumeran los problemas conocidos de la app de Google SCC y los paneles de QRadar.

v1.0.0

• En el panel Overview, el panel Findings By Severity Over Time muestra un error técnico cuando los datos tienen más de 250,000 resultados y el proceso flask, que propaga los paneles, se reinicia en el backend. A fin de evitar este problema, selecciona un intervalo de tiempo más pequeño para el panel.

  Este problema está resuelto en la versión 2.0.0.

• Los elementos borrados pueden aparecer en el panel Assets debido a un comportamiento inesperado de la función AQL GROUP BY.

v2.0.0

• Los elementos borrados pueden aparecer en el panel Assets debido a un comportamiento inesperado de la función AQL GROUP BY.
• Es posible que el panel Findings no muestre los datos del resultado más reciente después de actualizar la app de Google SCC debido a un comportamiento inesperado de la función GROUP BY de AQL.

v3.0.0

• Es posible que el panel no muestre los eventos más recientes cuando hay varios eventos disponibles con la misma clave única debido a un comportamiento inesperado de la función AQL GROUP BY.
• Para los datos que ya se transfirieron con v2, no se aplica el filtro ID de la organización. Para ver los datos, selecciona el valor Todos en el filtro ID de organización.

Solucionar problemas

En esta sección, se describen soluciones para algunos problemas habituales.

Los eventos de Google SCC se muestran como mensajes de Google SCC

Problema: Los eventos de Security Command Center se mostrarán como mensajes de Security Command Center en lugar de identificarse como la categoría de QR correcta. Los mensajes se ven en la pestaña Actividad de registros de QR cuando un usuario busca un evento desde una fuente de registro de Google Cloud.

Este problema ocurre cuando un campo obligatorio no está presente en un evento de registro sin procesar o si el tamaño de la carga útil del evento supera los 4,096 bytes predeterminados, lo que puede hacer que los eventos se trunquen.

Solución: Si las cargas útiles se truncan, sigue estos pasos para aumentar el tamaño máximo de la carga útil:

1. Ve a la pestaña Administrador y selecciona Configuración del sistema.
2. En Cambiar a, haz clic en Avanzado.
3. En la lista de configuración, haz lo siguiente:
   1. Selecciona Longitud máxima de carga útil de Syslog de TCP y aumenta su valor; el valor recomendado es 32,000.
   2. Selecciona Longitud máxima de carga útil Syslog de UDP y aumenta su valor; el valor recomendado es 32,000.
4. Haz clic en Implementar cambios y usa la opción Implementación completa.

Los eventos de Google SCC se enumeran como eventos desconocidos.

Problema: Los eventos de Security Command Center aparecen como Desconocidos. Este problema ocurre cuando el ID y la categoría del evento de la carga útil no se asignan en QR.

Solución: Sigue estos pasos para solucionar el problema:

1. Navega a Log Activity y, luego, haz clic en Add Filter.
2. Selecciona Parámetro y, luego, Tipo de fuente de registro (indexado).
3. Selecciona Operador y, luego, Es igual a.
4. Selecciona Tipo de fuente de registro y, luego, Google SCC.
5. En el menú desplegable de filtros Vistas, consulta Últimos 7 días.
6. Si los eventos aparecen como Desconocidos, sigue estos pasos:
   1. Haz clic con el botón derecho en el evento y selecciona Ver en el editor de DSM.
   2. En Log Activity Preview, verifica los valores de Event ID y Event Category.
   3. Si los valores son desconocidos, comunícate con el equipo de asistencia de Cloud.

La configuración de la app falla y muestra mensajes de error

Si recibes un error de configuración de la app, sigue estos pasos para solucionar el problema.

Error	Descripción	Solución
"Ingresa un JSON de cuenta de servicio válido".	Este error ocurre si se proporciona un JSON con el formato correcto, pero la autenticación falla cuando se intenta guardar la configuración.	Ingresa un archivo JSON válido con las credenciales correctas de la cuenta.
"El JSON de la cuenta de servicio debe ser una cadena JSON".	Este error ocurre si se proporciona un archivo JSON con un formato incorrecto o si el formato del archivo no es JSON.	Ingresa un archivo JSON válido.
“Ingresa un ID de organización válido”.	Este error se produce cuando se ingresa un ID de la organización incorrecto o incompleto.	Verifica el ID de la organización y vuelve a ingresarlo.
"Ingresa un ID del proyecto o un ID de suscripción de resultados válidos".	Este error ocurre cuando se ingresa un ID del proyecto o un ID de suscripción incorrectos o no válidos.	Verifica el ID del proyecto y el ID de la organización y vuelve a ingresarlos.
"Ingresa el ID de suscripción de recursos válido".	Este error ocurre cuando se ingresa un ID de suscripción de activos incorrecto o no válido.	Verifica el ID de suscripción del activo y vuelve a ingresarlo.
"Se produjo un error al validar el token de autorización".	Se produce este error cuando se proporciona un token de autorización QR de QR incorrecto o no válido.	Verifica el token de autorización QR y vuelve a ingresarlo. Debe tener Administrador como el rol del usuario y el perfil de seguridad. El token tampoco debe estar vencido.

Se produjo un error cuando se iniciaba la conexión del socket con QRadar

Problema: En los archivos de registro de recopilación de datos, se observa un mensaje de error que indica “Error al iniciar la conexión de socket con IBM QRadar”. Este problema puede observarse en el framework de la app QRadar v2 (< v7.4.2 P2).

Solución: Sigue estos pasos para solucionar el problema:

1. Revisa la nota de asistencia sobre los cambios de implementación de QRadar.
2. Actualiza QRadar.

Problemas con la interfaz

Problema: Un panel de control o una página de configuración muestran errores o comportamientos no deseados.

Solución: Sigue estos pasos para solucionar el problema:

1. Borra la caché del navegador y vuelve a cargar la página web.
2. Reduce el intervalo de tiempo del filtro. Las consultas QR pueden vencer si la cantidad de respuestas es demasiado grande.
3. Si el problema persiste, comunícate con el equipo de Asistencia de Cloud.

Los paneles del panel no se cargan y el proceso de flask finaliza.

Problema: Se agota el tiempo de espera del proceso del frasco y no se cargan algunos paneles del panel.

Solución: Sigue estos pasos para solucionar el problema:

1. Borra la caché del navegador y vuelve a cargar la página web.
2. Reduce el intervalo de tiempo del filtro. Las consultas QR pueden vencer si la cantidad de respuestas es demasiado grande.
3. Si el problema persiste, comunícate con el equipo de Asistencia de Cloud.

Todos los demás problemas de rendimiento

Si el problema no se resuelve con las instrucciones de esta guía, haz lo siguiente:

1. Navega a la pestaña Administrador y, luego, haz clic en System and License Management.
2. Selecciona el host en el que está instalado Google SCC App For QRadar - QRadar v7.4.1FP2+.
3. Haz clic en Acción y, luego, selecciona Recopilar archivos de registro.
4. En el diálogo, haz clic en Advanced Options.
5. Selecciona las casillas de verificación junto a Include Debug Logs, Application Extension Logs y Setup Logs (Current Version).
6. Selecciona dos días como entrada de datos y, luego, haz clic en Recopilar archivos de registro.

7. Selecciona Hacer clic aquí para descargar los archivos.

   Los archivos de registro se descargarán en un archivo ZIP. Comunícate con la Asistencia de Cloud y comparte los archivos de registro.

¿Qué sigue?

• Obtén más información para configurar la búsqueda de notificaciones en Security Command Center.

• Lee sobre cómo filtrar notificaciones de resultados en Security Command Center.