En esta página, se explica cómo enviar de forma automática los resultados, los elementos, los registros de auditoría y las fuentes de seguridad de Security Command Center a Splunk. También se describe cómo administrar los datos exportados. Splunk es una plataforma de información de seguridad y administración de eventos (SIEM) que transfiere datos de seguridad desde una o más fuentes y permite que los equipos administren respuestas a incidentes y realicen estadísticas en tiempo real.
En esta guía, te aseguras de que los servicios de Google Cloud y de Security Command Center estén configurados de forma correcta y habilitar Splunk para acceder a los resultados, los registros de auditoría y los recursos informatvos de tu entorno de Security Command Center.
Antes de comenzar
En esta guía, se supone que usas una de las siguientes opciones:
Splunk Enterprise versión 8.1, 8.2 o 9.0
Aloja Splunk en Google Cloud, Amazon Web Services o Microsoft Azure
Configura la autenticación y la autorización
Antes de conectarte a Splunk, debes crear una cuenta de Identity and Access Management (IAM) cuenta de servicio en cada organización de Google Cloud que quieras conectar y otorga a la cuenta el nivel de organización y Funciones de IAM que necesita el complemento de SCC de Google para Splunk.
Crea una cuenta de servicio y otorga roles de IAM
En los siguientes pasos, se usa la consola de Google Cloud. Para otros métodos, consulta los vínculos al final de esta sección.
Completa estos pasos para cada organización de Google Cloud que desees importar Security Command Center los datos de origen.
- En el mismo proyecto en el que creas tus temas de Pub/Sub, usa el Cuentas de servicio en la consola de Google Cloud para crea una cuenta de servicio. Para obtener instrucciones, consulta Crea y administra cuentas de servicio.
Otorga el siguiente rol a la cuenta de servicio:
- Editor de Pub/Sub (
roles/pubsub.editor
)
- Editor de Pub/Sub (
Copia el nombre de la cuenta de servicio que acabas de crear.
Usa el selector de proyectos de la consola de Google Cloud para cambiar a nivel de la organización.
Abre la página IAM de la organización:
En la página de IAM, haz clic en Otorgar acceso. El otorgamiento se abre el panel de acceso.
En el panel Otorgar acceso, completa los siguientes pasos:
- En la sección Agregar principales, en el campo Principales nuevas, pega el nombre de la cuenta de servicio.
En la sección Asignar roles, usa el campo Rol para otorgar la los siguientes roles de IAM a la cuenta de servicio:
- Editor administrador del centro de seguridad (
roles/securitycenter.adminEditor
) - Editor de configuración de notificaciones del centro de seguridad
(
roles/securitycenter.notificationConfigEditor
) - Lector de la organización (
roles/resourcemanager.organizationViewer
) - Visualizador de recursos de Cloud (
roles/cloudasset.viewer
)
- Editor administrador del centro de seguridad (
Haz clic en Guardar. La cuenta de seguridad aparece en la pestaña Permisos. de la página IAM en Ver por principales.
Por herencia, la cuenta de servicio también se convierte en una principal proyectos secundarios de la organización y los roles que se aplican al a nivel de proyecto se enumeran como roles heredados.
Para obtener más información sobre cómo crear cuentas de servicio y otorgar roles, consulta los siguientes temas:
Proporciona las credenciales a Splunk
Según dónde alojes Splunk, cómo proporcionas la Las credenciales de IAM para Splunk son diferentes.
Si alojas Splunk en Google Cloud, ten en cuenta lo siguiente:
La cuenta de servicio que creaste y los roles a nivel de la organización que que le otorgaste están disponibles automáticamente por herencia del elemento superior organización. Si usas varias organizaciones de Google Cloud, agrega esto cuenta de servicio a las demás organizaciones y otorgarle los roles de IAM que se describen en los pasos 5 a 7 de Crea una cuenta de servicio y otorgar roles de IAM.
Si implementas Splunk en un perímetro de servicio, crear las reglas de entrada y salida. Para obtener instrucciones, consulta Otorga perímetro acceso en Controles del servicio de VPC
Si alojas Splunk Enterprise en tu entorno local, crea una clave de cuenta de servicio para cada organización de Google Cloud. Para completar esta guía, necesitarás las claves de la cuenta de servicio en formato JSON.
Si alojas Splunk en otra nube, configura la federación de identidades para cargas de trabajo y descarga los archivos de configuración de credenciales. Si usas varias organizaciones de Google Cloud, agrega esta cuenta de servicio a las otras organizaciones y otórgale los roles de IAM que se describen en los pasos 5 a 7 de Crea una cuenta de servicio y otorga roles de IAM.
Configurar las notificaciones
Completa estos pasos para cada organización de Google Cloud que desees importar datos de Security Command Center.
Necesitarás los IDs de la organización, Pub/Sub nombres de temas y de suscripciones de Pub/Sub de esta tarea para configurar Splunk.
Habilitar las notificaciones de resultados para Pub/Sub, que incluye los siguientes pasos:
- Habilita la API de Security Command Center.
Crea tres temas de Pub/Sub:
- un tema para los hallazgos
- un tema para los recursos
- un tema para los registros de auditoría
Crea un
notificationConfig
para los resultados en Security Command Center.notificationConfig
exporta Security Command Center los resultados a Pub/Sub según los filtros que especifiques.
Habilita la API de Cloud DLP para el proyecto.
Crea feeds para tus recursos. Debes crear dos feeds en el mismo tema de Pub/Sub: uno. para sus recursos y otra para sus políticas de Identity and Access Management (IAM).
- El tema de Pub/Sub para los recursos debe ser diferente del que se usa en los resultados.
Para el feed de tus recursos, usa el siguiente filtro:
content-type=resource
Para el feed de políticas de IAM, usa el siguiente filtro:
content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
Crea un receptor de destino para los registros de auditoría. Esta integración usa un tema de Pub/Sub como destino.
Instala la app de SCC de Google para Splunk y el complemento de SCC de Google para Splunk
En esta sección, instalarás la app de Google SCC para Splunk y el complemento de SCC de Google para Splunk. Estas apps, que son mantenidas por Security Command Center, automatizan el proceso de programación de llamadas a la API de Security Command Center, recuperan con regularidad los datos de Security Command Center para usarlos en Splunk y configuran los paneles que te permiten ver los datos de Security Command Center en Splunk
La instalación de la app requiere acceso a la interfaz web de Splunk.
Si tienes una implementación distribuida de Splunk, instala las apps de la siguiente manera:
- Instala la app de SCC de Google para Splunk en Splunk el servidor de reenvío pesado y el cabezas de búsqueda de Splunk.
- Instala el complemento de SCC de Google para Splunk en los encabezados de búsqueda de Splunk.
Para completar la instalación, sigue estos pasos:
En la interfaz web de Splunk, ve al ícono de ajustes Apps.
Selecciona Administrar apps > Explorar más apps.
Busca y, luego, instala las siguientes apps:
- Complemento de SCC de Google para Splunk
- App de SCC de Google para Splunk
Ambas apps aparecerán en tu lista de apps. Continúa con la conexión de Splunk a Google Cloud para configurar las apps.
Actualiza la app de SCC de Google para Splunk y el complemento de SCC de Google para Splunk
Inhabilita todas las entradas existentes:
En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk.
Selecciona la pestaña Entradas.
Para cada entrada, haz clic en Acción > Inhabilitar.
Quita los datos indexados de Security Command Center. Puedes usar la Comando limpio de la CLI de Splunk para quitar los datos indexados de una app antes de borrarla
Realiza la actualización:
En la interfaz web de Splunk, ve al ícono de ajustes Apps.
Selecciona Administrar apps > Explorar más apps.
Busca y actualiza las siguientes apps:
- Complemento de SCC de Google para Splunk
- App de SCC de Google para Splunk
Si se te solicita, reinicia Splunk.
Para cada organización nueva de Google Cloud, completa la sección Conecta Splunk a Google Cloud.
Crea las entradas nuevas, como se describe en Agrega las entradas de datos de Security Command Center.
Conecta Splunk a Google Cloud
Debes tener el
Capacidad admin_all_objects
en Splunk para completar esta tarea.
Si instalaste Splunk en Amazon Web Services o Microsoft Azure, haz lo siguiente:
Abre una ventana de terminal.
Navega al directorio de la app de SCC para Google de Splunk:
cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
Abre
ta_googlescc_settings.conf
en un editor de texto:sudo vim ta_googlescc_settings.conf
Agrega las siguientes líneas al final del archivo:
[additional_parameters] scheme = http
Guarde y cierre el archivo.
Reinicia la plataforma de Splunk.
En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk > Configuración > Cuenta de SCC de Google
Selecciona la pestaña Configuración.
Haz clic en Agregar.
Realiza una de las siguientes acciones según el campo que aparezca:
Si se muestra el campo Cuenta de servicio JSON, navega al archivo JSON que incluye la clave de la cuenta de servicio. Este campo se muestra si usas Splunk de forma local.
Si se muestra el campo Configuración de credenciales, navega al archivo de configuración de credenciales que descargaste cuando configuraste la federación de Workload Identity. Este campo se muestra si alojas Splunk en Microsoft Azure o AWS.
Si implementaste Splunk en Google Cloud o completaste el paso 1, la configuración de la cuenta de servicio se detecta de forma automática.
En el campo Organización, agrega el ID de tu organización de Google Cloud.
Si usas un servidor proxy para conectar Splunk con Google Cloud, haz lo siguiente:
- Haz clic en la pestaña Proxy.
- Selecciona Habilitar.
- Selecciona el tipo de proxy (HTTPS, SOCKS4 o SOCKS5).
- Agrega el nombre de host del proxy, el puerto y, de forma opcional, el nombre de usuario y la contraseña.
En la pestaña Registro, selecciona el nivel de registro para el complemento.
Haz clic en Guardar.
Completa los pasos 2 a 9 para cada organización de Google Cloud que desees integrar.
Crea entradas de datos para tus organizaciones de Google Cloud, como se describe en Agrega las entradas de datos de Security Command Center.
Agrega las entradas de datos de Security Command Center
En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk.
Selecciona la pestaña Entradas.
Haz clic en Crear entrada nueva.
Selecciona una de las entradas:
- Entrada de fuentes
- Entrada de resultados
- Entrada de elementos
- Entrada de registros de auditoría
Haz clic en el ícono Editar.
Ingresa la siguiente información:
Campo Descripción Nombre de entrada El nombre predeterminado para tu entrada de datos Intervalo El tiempo (en segundos) que se debe esperar entre llamadas a datos Índice El índice de Splunk al que se dirigen los datos de Security Command Center ID de suscripción a elementos Solo para las entradas de elmentos, el nombre de la suscripción a Pub/Sub para los recursos ID de suscripción a los registros de auditoría Solo para la entrada de registros de auditoría, el nombre de la suscripción a Pub/Sub para los registros de auditoría ID de suscripción a los resultados El nombre de la suscripción a Pub/Sub para los resultados solo en la entrada de resultados Recuperación máxima La cantidad máxima de elementos que se pueden recuperar en una llamada Haga clic en Update.
Repite los pasos 3 a 7 para cada entrada que desees agregar.
Repite del paso 3 al 8 para cada organización de Google Cloud que desees integrar.
En la fila Estado, habilita las entradas de datos que deseas reenviar a Splunk.
Actualiza el índice de Splunk
Completa esta tarea si no usas el índice principal de Splunk:
- En la interfaz web de Splunk, haz clic en Configuración > Búsqueda avanzada > Macros de búsqueda.
- Selecciona Google SCC App para Splunk.
- Selecciona googlescc_index.
- Actualiza
index=main
para usar tu índice. - Haz clic en Guardar.
Visualiza datos de Security Command Center en Splunk
En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk.
Selecciona la pestaña Buscar.
Configura tu búsqueda, por ejemplo,
index="main"
.Selecciona el intervalo de tiempo.
Haz clic en el ícono Buscar.
Filtra los datos por tipo de fuente (una de fuentes, elementos, registros de auditoría, elementos de IAM o resultados), según sea necesario.
Visualiza los paneles
La aplicación de Google SCC para Splunk te permite visualizar los datos del Security Command Center. Incluye cinco paneles: Descripción general, Fuentes, Hallazgos, Recursos, Registros de auditoría y Búsqueda.
Puedes acceder a estos paneles en la interfaz web de Splunk desde la página Apps > Apps de Google SCC para Splunk.
Panel Descripción general
El panel Descripción general contiene una serie de gráficos que muestran la cantidad total de resultados de tu organización por nivel de gravedad, categoría y estado. Los resultados se compilan de los servicios integrados de Security Command Center, como Estadísticas del estado de la seguridad, Web Security Scanner, Event Threat Detection y Detección de amenazas a contenedores y cualquier servicio integrado que habilites.
Para filtrar contenido, puedes establecer el intervalo de tiempo y el ID de la organización.
Los gráficos adicionales muestran qué categorías, proyectos y elementos generan la mayor cantidad de resultados.
Panel Elementos
En el panel Elementos, se muestra una tabla de los 1,000 elementos de Google Cloud creados o modificados más recientemente. La tabla muestra el nombre y el tipo de recurso, su propietario y la hora de la última actualización.
Puedes filtrar los datos de los recursos por intervalo de tiempo, ID de la organización y tipo de recurso. Si Haz clic en Ver en la columna Redirigir a SCC. Se te redireccionará a la página Recursos de Security Command Center. en la consola de Google Cloud y se muestran los detalles del recurso seleccionado.
Panel Registros de auditoría
En el panel Registros de auditoría, se muestra una serie de gráficos y tablas en los que se muestra información de registro de auditoría. Los registros de auditoría que se incluyen en el panel son la actividad del administrador, el acceso a los datos, los eventos del sistema y los registros de auditoría de política denegada. La tabla incluye la hora, el nombre del registro, la gravedad, el nombre del servicio, el nombre del recurso y el tipo de recurso.
Puedes filtrar los datos por intervalo de tiempo, ID de la organización y nombre de registro.
Panel Resultados
En el panel Resultados, se incluye una tabla de los 1,000 resultados más recientes. La columna de la tabla incluye elementos como categoría, nombre del recurso, nombre de la fuente, marcas de seguridad, clase del hallazgo y gravedad.
Puedes filtrar los datos por intervalo de tiempo, ID de la organización, categoría, gravedad, nombre de la fuente, nombre del recurso, nombre del proyecto o clase del hallazgo. Además, en la columna Actualizar estado, puedes actualizar el estado de un resultado. Para indicar que revisas un resultado de forma activa, haz clic en Marcar como ACTIVO. Si no revisas un resultado de forma activa, haz clic en Marcar como INACTIVO.
Si haces clic en el nombre de un resultado, se te redireccionará a la página Resultados de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del resultado seleccionado.
Panel Fuentes
En el panel Fuentes, se muestra una tabla de todas tus fuentes de seguridad. Las columnas de la tabla incluyen el nombre, el nombre visible y la descripción.
Para filtrar contenido, puedes configurar el intervalo de tiempo.
Desinstala las apps
Desinstala las apps cuando ya no desees recuperar los datos de Security Command Center para Splunk.
En la interfaz web de Splunk, ve a Apps > Administrar Apps.
Busca
Google SCC App for Splunk
.En la columna Estado, haz clic en Inhabilitar.
Busca
Google SCC Add-on for Splunk
.En la columna Estado, haz clic en Inhabilitar.
De manera opcional, quita los datos indexados de Security Command Center. Puedes usar la Comando limpio de la CLI de Splunk para quitar los datos indexados de una app antes de borrarla
En un entorno independiente de Splunk, sigue estos pasos:
Abre una terminal y accede a Splunk.
Borra las apps y sus directorios en
$SPLUNK_HOME/etc/apps/APPNAME
:./splunk remove app APPNAME -auth USERNAME:PASSWORD
Reemplaza APPNAME por
GoogleSCCAppforSplunk
oTA_GoogleSCC
.Repite el paso B para la otra app.
De manera opcional, quita los directorios específicos del usuario si borras los archivos que se encuentran en
$SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk
y$SPLUNK_HOME/etc/users/*/TA_GoogleSCC
.Reinicia la plataforma de Splunk.
En un entorno de Splunk distribuido, haz lo siguiente:
- Accede a la administrador de implementación.
Borra las apps y sus directorios en
$SPLUNK_HOME/etc/apps/APPNAME
:./splunk remove app APPNAME -auth USERNAME:PASSWORD
Reemplaza APPNAME por
GoogleSCCAppforSplunk
oTA_GoogleSCC
.Repite el paso B para la otra app.
Ejecuta el comando
splunk apply shcluster-bundle
:splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
¿Qué sigue?
Más información sobre la configuración encontrar notificaciones en Security Command Center.
Más información filtrar notificaciones de resultados en Security Command Center.