Se usó la API de Cloud Translation para traducir esta página.

Envía datos de Security Command Center a Splunk

En esta página, se explica cómo enviar de forma automática los resultados, los elementos, los registros de auditoría y las fuentes de seguridad de Security Command Center a Splunk. También se describe cómo administrar los datos exportados. Splunk es una plataforma de información de seguridad y administración de eventos (SIEM) que transfiere datos de seguridad desde una o más fuentes y permite que los equipos administren respuestas a incidentes y realicen estadísticas en tiempo real.

En esta guía, te aseguras de que los servicios de Google Cloud y de Security Command Center estén configurados de forma correcta y habilitar Splunk para acceder a los resultados, los registros de auditoría y los recursos informatvos de tu entorno de Security Command Center.

Antes de comenzar

En esta guía, se da por sentado que utilizas una de las siguientes opciones:

Splunk Enterprise versión 8.1, 8.2 o 9.0
Splunk Cloud
Aloja Splunk en Google Cloud, Amazon Web Services o Microsoft Azure

Configura la autenticación y la autorización

Antes de conectarte a Splunk, debes crear una cuenta de servicio de Identity and Access Management (IAM) en cada organización de Google Cloud que desees conectar y otorgarle las funciones de IAM a nivel de organización y de proyecto que necesita el complemento de Google SCC para Splunk.

Crea una cuenta de servicio y otorga roles de IAM

En los siguientes pasos, se usa la consola de Google Cloud. Para conocer otros métodos, consulta los vínculos al final de esta sección.

Completa estos pasos para cada organización de Google Cloud desde la que deseas importar datos de Security Command Center.

En el mismo proyecto en el que creas tus temas de Pub/Sub, usa la página Cuentas de servicio en la consola de Google Cloud para crear una cuenta de servicio. Para obtener instrucciones, consulta Cómo crear y administrar cuentas de servicio.
Otorga a la cuenta de servicio el rol siguiente:
- Editor de Pub/Sub (roles/pubsub.editor)
Copia el nombre de la cuenta de servicio que acabas de crear.
Usa el selector de proyectos en la consola de Google Cloud para cambiar al nivel de la organización.
Abre la página IAM de la organización:

Ir a IAM
En la página de IAM, haz clic en Otorgar acceso. Se abrirá el panel para otorgar acceso.
En el panel Otorgar acceso, completa los siguientes pasos:
1. En la sección Agregar principales en el campo Principales nuevas, pega el nombre de la cuenta de servicio.
2. En la sección Asigna roles, usa el campo Función para otorgar los siguientes roles de IAM a la cuenta de servicio:
  - Editor administrador del centro de seguridad (roles/securitycenter.adminEditor)
  - Editor de configuración de notificaciones del centro de seguridad (roles/securitycenter.notificationConfigEditor)
  - Lector de la organización (roles/resourcemanager.organizationViewer)
  - Visualizador de Cloud Asset (roles/cloudasset.viewer)
3. Haz clic en Guardar. La cuenta de seguridad aparece en la pestaña Permisos de la página IAM en Ver por principales.
  
  Por herencia, la cuenta de servicio también se convierte en una principal en todos los proyectos secundarios de la organización, y los roles que son aplicables a nivel de proyecto se enumeran como roles heredados.

Para obtener más información sobre cómo crear cuentas de servicio y otorgar funciones, consulta los siguientes temas:

Proporciona las credenciales a Splunk

La forma de proporcionar las credenciales de IAM a Splunk varía según dónde alojas Splunk.

Si alojas Splunk en Google Cloud, la cuenta de servicio que creaste y las funciones a nivel de la organización que le otorgaste estarán disponibles de forma automática por herencia de la organización superior. Si usas varias organizaciones de Google Cloud, agrega esta cuenta de servicio a las otras organizaciones y otórgale los roles de IAM que se describen en los pasos 5 a 7 de Crea una cuenta de servicio y otorga roles de IAM.
Si alojas Splunk Enterprise en el entorno local, crea una clave de cuenta de servicio para cada organización de Google Cloud. Necesitarás las claves de la cuenta de servicio en formato JSON para completar esta guía.

Nota: Las claves de cuenta de servicio son un riesgo de seguridad si no se administran de forma adecuada. Debes elegir una alternativa más segura a las claves de la cuenta de servicio siempre que sea posible. Si te debes autenticar con una clave de cuenta de servicio, eres responsable de la seguridad de la clave privada y de otras operaciones que se describen en Prácticas recomendadas para administrar claves de cuenta de servicio. Si no se te permite crear una clave de cuenta de servicio, es posible que la creación de claves de cuentas de servicio esté inhabilitada para tu organización. Para obtener más información, consulta Administra los recursos de la organización con seguridad de forma predeterminada.
Si alojas Splunk en otra nube, configura la federación de identidades para cargas de trabajo y descarga los archivos de configuración de credenciales. Si usas varias organizaciones de Google Cloud, agrega esta cuenta de servicio a las otras organizaciones y otórgale los roles de IAM que se describen en los pasos 5 a 7 de Crea una cuenta de servicio y otorga roles de IAM.

Configurar las notificaciones

Completa estos pasos para cada organización de Google Cloud desde la que deseas importar datos de Security Command Center.

Necesitarás los IDs de tu organización, los nombres de los temas de Pub/Sub y los nombres de las suscripciones de Pub/Sub de esta tarea para configurar Splunk.

Habilita las notificaciones de resultados para Pub/Sub, que incluye los siguientes pasos:
1. Habilita la API de Security Command Center.
2. Crea tres temas de Pub/Sub:
  - un tema para los hallazgos
  - un tema para los recursos
  - un tema para los registros de auditoría
3. Crea un notificationConfig para los resultados en Security Command Center. notificationConfig exporta los resultados de Security Command Center a Pub/Sub según los filtros que especifiques.
Habilita la API de Cloud DLP para el proyecto.
Crea feeds para tus activos. Debes crear dos feeds en el mismo tema de Pub/Sub: uno para tus recursos y otro para tus políticas de Identity and Access Management (IAM).
- El tema de Pub/Sub para los recursos debe ser diferente del que se usa en los resultados.
- Para el feed de tus recursos, usa el siguiente filtro:
  
  content-type=resource
- Para el feed de políticas de IAM, usa el siguiente filtro:
  
  content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
Crea un receptor de destino para los registros de auditoría. Esta integración usa un tema de Pub/Sub como destino.

Instala la app de SCC de Google para Splunk y el complemento de SCC de Google para Splunk

En esta sección, instalarás la app de Google SCC para Splunk y el complemento de SCC de Google para Splunk. Estas apps, que son mantenidas por Security Command Center, automatizan el proceso de programación de llamadas a la API de Security Command Center, recuperan con regularidad los datos de Security Command Center para usarlos en Splunk y configuran los paneles que te permiten ver los datos de Security Command Center en Splunk

La instalación de la app requiere acceso a la interfaz web de Splunk.

Si tienes una implementación distribuida de Splunk, instala las apps de la siguiente manera:

Instala la app de SCC de Google para Splunk en el servidor de reenvío pesado de Splunk y los encabezados de búsqueda de Splunk.
Instala el complemento de SCC de Google para Splunk en los encabezados de búsqueda de Splunk.

Para completar la instalación, sigue estos pasos:

En la interfaz web de Splunk, ve al ícono de ajustes Apps.
Selecciona Administrar apps > Explorar más apps.
Busca y, luego, instala las siguientes apps:
- Complemento de SCC de Google para Splunk
- App de SCC de Google para Splunk

Ambas apps aparecerán en tu lista de apps. Continúa a Conecta Splunk a Google Cloud para configurar las apps.

Actualizar la app de Google SCC para Splunk y el complemento de Google SCC para Splunk

Inhabilita todas las entradas existentes:
1. En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk.
2. Selecciona la pestaña Entradas.
3. Para cada entrada, haz clic en Acción > Inhabilitar.
Quita los datos indexados de Security Command Center. Puedes usar el comando para limpiar la CLI de Splunk a fin de quitar los datos indexados de una app antes de borrarla.
Realiza la actualización:
1. En la interfaz web de Splunk, ve al ícono de ajustes Apps.
2. Selecciona Administrar apps > Explorar más apps.
3. Busca y actualiza las siguientes aplicaciones:
  - Complemento de SCC de Google para Splunk
  - App de SCC de Google para Splunk
4. Si se te solicita, reinicia Splunk.
Para cada organización nueva de Google Cloud, completa la sección Conecta Splunk a Google Cloud.
Crea las entradas nuevas, como se describe en Agrega las entradas de datos de Security Command Center.

Conecta Splunk a Google Cloud

Debes tener la función admin_all_objects en Splunk para completar esta tarea.

Si instalaste Splunk en Amazon Web Services o Microsoft Azure, haz lo siguiente:
1. Abre una ventana de terminal.
2. Navega al directorio de la app de SCC para Google de Splunk:
```
cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
```
3. Abre ta_googlescc_settings.conf en un editor de texto:
```
sudo vim ta_googlescc_settings.conf
```
4. Agrega las siguientes líneas al final del archivo:
```
[additional_parameters]
scheme = http
```
5. Guarde y cierre el archivo.
6. Reinicia la plataforma de Splunk.
En la interfaz web de Splunk, haz clic en Apps > Google SCC Add-on for Splunk > Configuration > Google SCC Account.
Selecciona la pestaña Configuración.
Haz clic en Agregar.
Realiza una de las siguientes acciones según el campo que aparezca:
- Si se muestra el campo Cuenta de servicio JSON, navega al archivo JSON que incluye la clave de la cuenta de servicio. Este campo se muestra si usas Splunk de forma local.
- Si se muestra el campo Configuración de credenciales, navega al archivo de configuración de credenciales que descargaste cuando configuraste la federación de Workload Identity. Este campo se muestra si alojas Splunk en Microsoft Azure o AWS.
Si implementaste Splunk en Google Cloud o completaste el paso 1, la configuración de la cuenta de servicio se detecta de forma automática.
En el campo Organización, agrega el ID de tu organización de Google Cloud.
Si usas un servidor proxy para conectar Splunk con Google Cloud, haz lo siguiente:
1. Haz clic en la pestaña Proxy.
2. Selecciona Habilitar.
3. Selecciona el tipo de proxy (HTTPS, SOCKS4 o SOCKS5).
4. Agrega el nombre de host del proxy, el puerto y, de forma opcional, el nombre de usuario y la contraseña.
En la pestaña Registro, selecciona el nivel de registro para el complemento.
Haz clic en Guardar.
Completa los pasos del 2 al 9 para cada organización de Google Cloud que desees integrar.

Crea entradas de datos para tus organizaciones de Google Cloud, como se describe en Agrega las entradas de datos de Security Command Center.

Agrega las entradas de datos de Security Command Center

En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk.
Selecciona la pestaña Entradas.
Haz clic en Crear entrada nueva.
Selecciona una de las entradas:
- Entrada de fuentes
- Entrada de resultados
- Entrada de elementos
- Entrada de registros de auditoría
Haz clic en el ícono Editar.

Ingresa la siguiente información:

Campo	Descripción
Nombre de entrada	El nombre predeterminado para tu entrada de datos
Intervalo	El tiempo (en segundos) que se debe esperar entre llamadas a datos
Índice	El índice de Splunk al que se dirigen los datos de Security Command Center
ID de suscripción a elementos	Solo para las entradas de elmentos, el nombre de la suscripción a Pub/Sub para los recursos
ID de suscripción a los registros de auditoría	Solo para la entrada de registros de auditoría, el nombre de la suscripción a Pub/Sub para los registros de auditoría
ID de suscripción a los resultados	El nombre de la suscripción a Pub/Sub para los resultados solo en la entrada de resultados
Recuperación máxima	La cantidad máxima de elementos que se pueden recuperar en una llamada

Haga clic en Update.
Repite los pasos 3 a 7 para cada entrada que desees agregar.
Repite del paso 3 al 8 para cada organización de Google Cloud que desees integrar.
En la fila Estado, habilita las entradas de datos que deseas reenviar a Splunk.

Actualiza el índice de Splunk

Completa esta tarea si no usas el índice principal de Splunk:

En la interfaz web de Splunk, haz clic en Configuración > Búsqueda avanzada > Macros de búsqueda.
Selecciona Google SCC App para Splunk.
Selecciona googlescc_index.
Actualiza index=main para usar tu índice.
Haz clic en Guardar.

Visualiza datos de Security Command Center en Splunk

En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk.
Selecciona la pestaña Buscar.
Configura tu búsqueda, por ejemplo, index="main".
Selecciona el intervalo de tiempo.
Haz clic en el ícono Buscar.
Filtra los datos por tipo de fuente (una de fuentes, elementos, registros de auditoría, elementos de IAM o resultados), según sea necesario.

Visualiza los paneles

La aplicación de Google SCC para Splunk te permite visualizar los datos del Security Command Center. Incluye cinco paneles: Descripción general, Fuentes, Resultados, Recursos, Registros de auditoría y Búsqueda.

Puedes acceder a estos paneles en la interfaz web de Splunk desde la página Apps > Apps de Google SCC para Splunk.

Panel Descripción general

El panel Descripción general contiene una serie de gráficos que muestran la cantidad total de resultados de tu organización por nivel de gravedad, categoría y estado. Los resultados se compilan de los servicios integrados de Security Command Center, como Security Health Analytics, Web Security Scanner, Event Threat Detection, Container Threat Detection y cualquier servicio integrado que habilites.

Para filtrar contenido, puedes establecer el intervalo de tiempo y el ID de la organización.

Los gráficos adicionales muestran qué categorías, proyectos y elementos generan la mayor cantidad de resultados.

Panel Elementos

En el panel Elementos, se muestra una tabla de los 1,000 elementos de Google Cloud creados o modificados más recientemente. En la tabla, se muestran el nombre, el tipo de recurso, el propietario del recurso y la hora de la última actualización.

Puedes filtrar datos de los recursos por intervalo de tiempo, ID de organización y tipo de recurso. Si haces clic en Ver en la columna Redireccionar a SCC, se te redireccionará a la página Recursos de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del recurso seleccionado.

Panel Registros de auditoría

En el panel Registros de auditoría, se muestra una serie de gráficos y tablas en los que se muestra información de registro de auditoría. Los registros de auditoría que se incluyen en el panel son la actividad del administrador, el acceso a los datos, los eventos del sistema y los registros de auditoría de política denegada. La tabla incluye la hora, el nombre del registro, la gravedad, el nombre del servicio, el nombre del recurso y el tipo de recurso.

Puedes filtrar los datos por intervalo de tiempo, ID de organización y nombre de registro.

Panel Resultados

En el panel Resultados, se incluye una tabla de los 1,000 resultados más recientes. La columna de la tabla incluye elementos como la categoría, el nombre del recurso, el nombre de la fuente, las marcas de seguridad, la clase del hallazgo y la gravedad.

Puedes filtrar los datos por intervalo de tiempo, ID de organización, categoría, gravedad, nombre de la fuente, nombre del recurso, nombre del proyecto o clase del hallazgo. Además, en la columna Actualizar estado, puedes actualizar el estado de un resultado. Para indicar que revisas un resultado de forma activa, haz clic en Marcar como ACTIVO. Si no revisas un resultado de forma activa, haz clic en Marcar como INACTIVO.

Si haces clic en el nombre de un resultado, se te redireccionará a la página Resultados de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del resultado seleccionado.

Panel Fuentes

En el panel Fuentes, se muestra una tabla de todas tus fuentes de seguridad. Las columnas de la tabla incluyen el nombre, el nombre visible y la descripción.

Para filtrar contenido, puedes configurar el intervalo de tiempo.

Desinstala las apps

Desinstala las apps cuando ya no desees recuperar los datos de Security Command Center para Splunk.

En la interfaz web de Splunk, ve a Apps > Administrar Apps.
Busca Google SCC App for Splunk.
En la columna Estado, haz clic en Inhabilitar.
Busca Google SCC Add-on for Splunk.
En la columna Estado, haz clic en Inhabilitar.
De manera opcional, quita los datos indexados de Security Command Center. Puedes usar el comando para limpiar la CLI de Splunk a fin de quitar los datos indexados de una app antes de borrarla.
En un entorno independiente de Splunk, sigue estos pasos:
1. Abre una terminal y accede a Splunk.
2. Borra las apps y sus directorios en $SPLUNK_HOME/etc/apps/APPNAME:
```
./splunk remove app APPNAME -auth USERNAME:PASSWORD
```
  Reemplaza APPNAME por GoogleSCCAppforSplunk o TA_GoogleSCC.
3. Repite el paso B para la otra app.
4. De manera opcional, quita los directorios específicos del usuario si borras los archivos que se encuentran en $SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk y $SPLUNK_HOME/etc/users/*/TA_GoogleSCC.
5. Reinicia la plataforma de Splunk.
En un entorno de Splunk distribuido, haz lo siguiente:
1. Accede a deployer manager.
2. Borra las apps y sus directorios en $SPLUNK_HOME/etc/apps/APPNAME:
```
./splunk remove app APPNAME -auth USERNAME:PASSWORD
```
  Reemplaza APPNAME por GoogleSCCAppforSplunk o TA_GoogleSCC.
3. Repite el paso B para la otra app.
4. Ejecuta el comando splunk apply shcluster-bundle:
```
splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
```

¿Qué sigue?

Obtén más información para configurar la búsqueda de notificaciones en Security Command Center.
Lee sobre cómo filtrar notificaciones de resultados en Security Command Center.