En esta página, se explica cómo enviar de forma automática los resultados, los elementos, los registros de auditoría y las fuentes de seguridad de Security Command Center a Splunk. También se describe cómo administrar los datos exportados. Splunk es una plataforma de información de seguridad y administración de eventos (SIEM) que transfiere datos de seguridad desde una o más fuentes y permite que los equipos administren respuestas a incidentes y realicen estadísticas en tiempo real.
En esta guía, te aseguras de que los servicios de Google Cloud y de Security Command Center estén configurados de forma correcta y habilitar Splunk para acceder a los resultados, los registros de auditoría y los recursos informatvos de tu entorno de Security Command Center.
Antes de comenzar
En esta guía, se supone que usas uno de los siguientes dispositivos:
Splunk Enterprise versión 8.1, 8.2 o 9.0
Alojamiento de Splunk en Google Cloud, Amazon Web Services o Microsoft Azure
Configura la autenticación y la autorización
Antes de conectarte a Splunk, debes crear una cuenta de servicio de Identity and Access Management (IAM) en cada organización de Google Cloud a la que deseas conectarte y otorgarle a la cuenta los roles de IAM a nivel de la organización y del proyecto que necesita el complemento de SCC de Google para Splunk.
Crea una cuenta de servicio y otorga roles de IAM
En los siguientes pasos, se usa la consola de Google Cloud. Para conocer otros métodos, consulta los vínculos que aparecen al final de esta sección.
Completa estos pasos para cada organización de Google Cloud desde la que deseas importar datos de Security Command Center.
- En el mismo proyecto en el que creas tus temas de Pub/Sub, usa la página Cuentas de servicio en la consola de Google Cloud para crear una cuenta de servicio. Para obtener instrucciones, consulta Crea y administra cuentas de servicio.
Otorga a la cuenta de servicio el siguiente rol:
- Editor de Pub/Sub (
roles/pubsub.editor
)
- Editor de Pub/Sub (
Copia el nombre de la cuenta de servicio que acabas de crear.
Usa el selector de proyectos de la consola de Google Cloud para cambiar al nivel de la organización.
Abre la página IAM de la organización:
En la página de IAM, haz clic en Otorgar acceso. Se abrirá el panel para otorgar acceso.
En el panel Otorga acceso, completa los siguientes pasos:
- En la sección Agregar principales, en el campo Principales nuevas, pega el nombre de la cuenta de servicio.
En la sección Asignar roles, usa el campo Rol para otorgar los siguientes roles de IAM a la cuenta de servicio:
- Editor administrador del centro de seguridad (
roles/securitycenter.adminEditor
) - Editor de configuración de notificaciones del centro de seguridad (
roles/securitycenter.notificationConfigEditor
) - Lector de la organización (
roles/resourcemanager.organizationViewer
) - Visualizador de recursos de Cloud (
roles/cloudasset.viewer
) Haz clic en Guardar. La cuenta de servicio aparece en la pestaña Permisos de la página IAM, en Ver por principales.
Por herencia, la cuenta de servicio también se convierte en una principal en todos los proyectos secundarios de la organización. Los roles que se aplican a nivel del proyecto se enumeran como roles heredados.
Para obtener más información sobre cómo crear cuentas de servicio y otorgar roles, consulta los siguientes temas:
Proporciona las credenciales a Splunk
Según dónde alojes Splunk, la forma en que proporciones las credenciales de IAM a Splunk será diferente.
Si alojas Splunk en Google Cloud, ten en cuenta lo siguiente:
La cuenta de servicio que creaste y los roles a nivel de la organización que le otorgaste están disponibles automáticamente por herencia de la organización superior. Si usas varias organizaciones de Google Cloud, agrega esta cuenta de servicio a las otras organizaciones y bríndale los roles de IAM que se describen en los pasos 5 a 7 de Cómo crear una cuenta de servicio y otorgar roles de IAM.
Si implementas Splunk en un perímetro de servicio, crea las reglas de entrada y salida. Para obtener instrucciones, consulta Otorga acceso al perímetro en los Controles del servicio de VPC.
Si alojas Splunk Enterprise en tu entorno local, crea una clave de cuenta de servicio para cada organización de Google Cloud. Para completar esta guía, necesitarás las claves de la cuenta de servicio en formato JSON.
Si alojas Splunk en otra nube, configura la federación de Workload Identity y descarga los archivos de configuración de credenciales. Si usas varias organizaciones de Google Cloud, agrega esta cuenta de servicio a las otras organizaciones y bríndale los roles de IAM que se describen en los pasos 5 a 7 de Cómo crear una cuenta de servicio y otorgar roles de IAM.
Configurar las notificaciones
Completa estos pasos para cada organización de Google Cloud desde la que desees importar datos de Security Command Center.
Necesitarás los IDs de tu organización, los nombres de los temas de Pub/Sub y los nombres de las suscripciones de Pub/Sub de esta tarea para configurar Splunk.
Habilita las notificaciones de resultados para Pub/Sub, que incluye los siguientes pasos:
- Habilita la API de Security Command Center.
Crea tres temas de Pub/Sub:
- un tema para los resultados
- un tema para los activos
- un tema para los registros de auditoría
Crea un
notificationConfig
para los hallazgos en Security Command Center.notificationConfig
exporta los resultados de Security Command Center a Pub/Sub según los filtros que especifiques.
Habilita la API de Cloud DLP para el proyecto.
Crea feeds para tus recursos. Debes crear dos feeds en el mismo tema de Pub/Sub: uno para tus recursos y otro para tus políticas de Identity and Access Management (IAM).
- El tema de Pub/Sub para los recursos debe ser diferente del que se usa en los resultados.
Para el feed de tus recursos, usa el siguiente filtro:
content-type=resource
Para el feed de políticas de IAM, usa el siguiente filtro:
content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
Crea un sumidero de destino para los registros de auditoría. Esta integración usa un tema de Pub/Sub como destino.
Instala la app de SCC de Google para Splunk y el complemento de SCC de Google para Splunk
En esta sección, instalarás la app de Google SCC para Splunk y el complemento de SCC de Google para Splunk. Estas apps, que son mantenidas por Security Command Center, automatizan el proceso de programación de llamadas a la API de Security Command Center, recuperan con regularidad los datos de Security Command Center para usarlos en Splunk y configuran los paneles que te permiten ver los datos de Security Command Center en Splunk
La instalación de la app requiere acceso a la interfaz web de Splunk.
Si tienes una implementación distribuida de Splunk, instala las apps de la siguiente manera:
- Instala la app de SCC de Google para Splunk en el servidor de reenvío pesado de Splunk y los encabezados de búsqueda de Splunk.
- Instala el complemento de SCC de Google para Splunk en los encabezados de búsqueda de Splunk.
Para completar la instalación, sigue estos pasos:
En la interfaz web de Splunk, ve al ícono de ajustes Apps.
Selecciona Administrar apps > Explorar más apps.
Busca y, luego, instala las siguientes apps:
- Complemento de SCC de Google para Splunk
- App de SCC de Google para Splunk
Ambas apps aparecerán en tu lista de apps. Continúa con Cómo conectar Splunk a Google Cloud para configurar las apps.
Actualiza la app de SCC de Google para Splunk y el complemento de SCC de Google para Splunk
Inhabilita todas las entradas existentes:
En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk.
Selecciona la pestaña Entradas.
Para cada entrada, haz clic en Acción > Inhabilitar.
Quita los datos indexados de Security Command Center. Puedes usar el comando para limpiar la CLI de Splunk para quitar los datos indexados de una app antes de borrarla.
Realiza la actualización:
En la interfaz web de Splunk, ve al ícono de ajustes Apps.
Selecciona Administrar apps > Explorar más apps.
Busca y actualiza las siguientes apps:
- Complemento de SCC de Google para Splunk
- App de SCC de Google para Splunk
Si se te solicita, reinicia Splunk.
Para cada organización nueva de Google Cloud, completa la sección Cómo conectar Splunk a Google Cloud.
Crea las entradas nuevas, como se describe en Agrega las entradas de datos de Security Command Center.
Conecta Splunk a Google Cloud
Debes tener la función admin_all_objects
en Splunk para completar esta tarea.
Si instalaste Splunk en Amazon Web Services o Microsoft Azure, haz lo siguiente:
Abre una ventana de terminal.
Navega al directorio de la app de SCC para Google de Splunk:
cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
Abre
ta_googlescc_settings.conf
en un editor de texto:sudo vim ta_googlescc_settings.conf
Agrega las siguientes líneas al final del archivo:
[additional_parameters] scheme = http
Guarde y cierre el archivo.
Reinicia la plataforma de Splunk.
En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk > Configuración > Cuenta de SCC de Google.
Selecciona la pestaña Configuración.
Haz clic en Agregar.
Realiza una de las siguientes acciones según el campo que aparezca:
Si se muestra el campo Cuenta de servicio JSON, navega al archivo JSON que incluye la clave de la cuenta de servicio.
Si se muestra el campo Configuración de credenciales, navega al archivo de configuración de credenciales que descargaste cuando configuraste la federación de Workload Identity.
Si implementaste Splunk en Google Cloud o completaste el paso 1, la configuración de la cuenta de servicio se detecta de forma automática.
En el campo Organización, agrega el ID de tu organización de Google Cloud.
Si usas un servidor proxy para conectar Splunk con Google Cloud, haz lo siguiente:
- Haz clic en la pestaña Proxy.
- Selecciona Habilitar.
- Selecciona el tipo de proxy (HTTPS, SOCKS4 o SOCKS5).
- Agrega el nombre de host del proxy, el puerto y, de forma opcional, el nombre de usuario y la contraseña.
En la pestaña Registro, selecciona el nivel de registro para el complemento.
Haz clic en Guardar.
Completa los pasos del 2 al 9 para cada organización de Google Cloud que quieras integrar.
Crea entradas de datos para tus organizaciones de Google Cloud, como se describe en Agrega las entradas de datos de Security Command Center.
Agrega las entradas de datos de Security Command Center
En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk.
Selecciona la pestaña Entradas.
Haz clic en Crear entrada nueva.
Selecciona una de las entradas:
- Entrada de fuentes
- Entrada de resultados
- Entrada de elementos
- Entrada de registros de auditoría
Haz clic en el ícono Editar.
Ingresa la siguiente información:
Campo Descripción Nombre de entrada El nombre predeterminado para tu entrada de datos Intervalo El tiempo (en segundos) que se debe esperar entre llamadas a datos Índice El índice de Splunk al que se dirigen los datos de Security Command Center ID de suscripción a elementos Solo para las entradas de elmentos, el nombre de la suscripción a Pub/Sub para los recursos ID de suscripción a los registros de auditoría Solo para la entrada de registros de auditoría, el nombre de la suscripción a Pub/Sub para los registros de auditoría ID de suscripción a los resultados El nombre de la suscripción a Pub/Sub para los resultados solo en la entrada de resultados Recuperación máxima La cantidad máxima de elementos que se pueden recuperar en una llamada Haga clic en Update.
Repite los pasos 3 a 7 para cada entrada que desees agregar.
Repite los pasos del 3 al 8 para cada organización de Google Cloud que desees integrar.
En la fila Estado, habilita las entradas de datos que deseas reenviar a Splunk.
Actualiza el índice de Splunk
Completa esta tarea si no usas el índice principal de Splunk:
- En la interfaz web de Splunk, haz clic en Configuración > Búsqueda avanzada > Macros de búsqueda.
- Selecciona Google SCC App para Splunk.
- Selecciona googlescc_index.
- Actualiza
index=main
para usar tu índice. - Haz clic en Guardar.
Visualiza datos de Security Command Center en Splunk
En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk.
Selecciona la pestaña Buscar.
Configura tu búsqueda, por ejemplo,
index="main"
.Selecciona el intervalo de tiempo.
Haz clic en el ícono Buscar.
Filtra los datos por tipo de fuente (una de fuentes, elementos, registros de auditoría, elementos de IAM o resultados), según sea necesario.
Visualiza los paneles
La aplicación de Google SCC para Splunk te permite visualizar los datos del Security Command Center. Incluye cinco paneles: Resumen, Fuentes, Resultados, Recursos, Registros de auditoría y Búsqueda.
Puedes acceder a estos paneles en la interfaz web de Splunk desde la página Apps > Apps de Google SCC para Splunk.
Panel Descripción general
El panel Descripción general contiene una serie de gráficos que muestran la cantidad total de resultados de tu organización por nivel de gravedad, categoría y estado. Los resultados se compilan a partir de los servicios integrados de Security Command Center, como Security Health Analytics, Web Security Scanner, Event Threat Detection, Container Threat Detection y cualquier servicio integrado que habilites.
Para filtrar contenido, puedes configurar el intervalo de tiempo y el ID de la organización.
Los gráficos adicionales muestran qué categorías, proyectos y elementos generan la mayor cantidad de resultados.
Panel Elementos
En el panel Elementos, se muestra una tabla de los 1,000 elementos de Google Cloud creados o modificados más recientemente. La tabla muestra el nombre del activo, el tipo de activo, el propietario del recurso y la hora de la última actualización.
Puedes filtrar los datos de los recursos por intervalo de tiempo, ID de la organización y tipo de recurso. Si haces clic en Ver en la columna Redireccionar a SCC, se te redireccionará a la página Recursos de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del recurso seleccionado.
Panel Registros de auditoría
En el panel Registros de auditoría, se muestra una serie de gráficos y tablas en los que se muestra información de registro de auditoría. Los registros de auditoría que se incluyen en el panel son la actividad del administrador, el acceso a los datos, los eventos del sistema y los registros de auditoría de política denegada. La tabla incluye la hora, el nombre del registro, la gravedad, el nombre del servicio, el nombre del recurso y el tipo de recurso.
Puedes filtrar los datos por intervalo de tiempo, ID de la organización y nombre de registro.
Panel Resultados
En el panel Resultados, se incluye una tabla de los 1,000 resultados más recientes. La columna de la tabla incluye elementos como la categoría, el nombre del recurso, el nombre de la fuente, las marcas de seguridad, la clase de resultado y la gravedad.
Puedes filtrar los datos por intervalo de tiempo, ID de organización, categoría, gravedad, nombre de la fuente, nombre del recurso, nombre del proyecto o clase de resultado. Además, en la columna Actualizar estado, puedes actualizar el estado de un resultado. Para indicar que revisas un resultado de forma activa, haz clic en Marcar como ACTIVO. Si no revisas un resultado de forma activa, haz clic en Marcar como INACTIVO.
Si haces clic en el nombre de un resultado, se te redireccionará a la página Resultados de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del resultado seleccionado.
Panel Fuentes
En el panel Fuentes, se muestra una tabla de todas tus fuentes de seguridad. Las columnas de la tabla incluyen el nombre, el nombre visible y la descripción.
Para filtrar contenido, puedes configurar el intervalo de tiempo.
Desinstala las apps
Desinstala las apps cuando ya no desees recuperar los datos de Security Command Center para Splunk.
En la interfaz web de Splunk, ve a Apps > Administrar Apps.
Busca
Google SCC App for Splunk
.En la columna Estado, haz clic en Inhabilitar.
Busca
Google SCC Add-on for Splunk
.En la columna Estado, haz clic en Inhabilitar.
De manera opcional, quita los datos indexados de Security Command Center. Puedes usar el comando para limpiar la CLI de Splunk para quitar los datos indexados de una app antes de borrarla.
En un entorno independiente de Splunk, sigue estos pasos:
Abre una terminal y accede a Splunk.
Borra las apps y sus directorios en
$SPLUNK_HOME/etc/apps/APPNAME
:./splunk remove app APPNAME -auth USERNAME:PASSWORD
Reemplaza APPNAME por
GoogleSCCAppforSplunk
oTA_GoogleSCC
.Repite el paso B para la otra app.
De manera opcional, quita los directorios específicos del usuario si borras los archivos que se encuentran en
$SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk
y$SPLUNK_HOME/etc/users/*/TA_GoogleSCC
.Reinicia la plataforma de Splunk.
En un entorno de Splunk distribuido, haz lo siguiente:
- Accede al administrador de implementadores.
Borra las apps y sus directorios en
$SPLUNK_HOME/etc/apps/APPNAME
:./splunk remove app APPNAME -auth USERNAME:PASSWORD
Reemplaza APPNAME por
GoogleSCCAppforSplunk
oTA_GoogleSCC
.Repite el paso B para la otra app.
Ejecuta el comando
splunk apply shcluster-bundle
:splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
¿Qué sigue?
Obtén más información para configurar la búsqueda de notificaciones en Security Command Center.
Lee sobre cómo filtrar notificaciones de resultados en Security Command Center.