Esta página se ha traducido con Cloud Translation API.

Enviar datos de Security Command Center a Splunk

En esta página se explica cómo enviar automáticamente resultados, recursos, registros de auditoría y fuentes de seguridad de Security Command Center a Splunk. También se describe cómo gestionar los datos exportados. Splunk es una plataforma de gestión de información y eventos de seguridad (SIEM) que ingiere datos de seguridad de una o varias fuentes y permite a los equipos de seguridad gestionar las respuestas a los incidentes y realizar análisis en tiempo real.

En esta guía, se explica cómo asegurarse de que los servicios de Security Command Center y Google Cloud necesarios Google Cloud estén configurados correctamente y cómo habilitar Splunk para que acceda a los resultados, los registros de auditoría y la información de los recursos de su entorno de Security Command Center.

Antes de empezar

En esta guía se da por hecho que usas uno de los siguientes elementos:

Splunk Enterprise versión 8.1, 8.2 o 9.0
Splunk Cloud
Alojar Splunk en Google Cloud, Amazon Web Services o Microsoft Azure

Configurar la autenticación y la autorización

Antes de conectarte a Splunk, debes crear una cuenta de servicio de gestión de identidades y accesos (IAM) en cada Google Cloud organización a la que quieras conectarte y conceder a la cuenta los roles de IAM a nivel de organización y de proyecto que necesita el complemento Google SCC para Splunk.

Crear una cuenta de servicio y conceder roles de IAM

En los pasos siguientes se usa la consola de Google Cloud . Para ver otros métodos, consulta los enlaces que aparecen al final de esta sección.

Sigue estos pasos para cada organización de la que quieras importar datos de Security Command Center. Google Cloud

En el mismo proyecto en el que crees tus temas de Pub/Sub, usa la página Cuentas de servicio de la consola de Google Cloud para crear una cuenta de servicio. Para ver instrucciones, consulta el artículo sobre cómo crear y gestionar cuentas de servicio.
Asigna a la cuenta de servicio el siguiente rol:
- Editor de Pub/Sub (roles/pubsub.editor)
Copia el nombre de la cuenta de servicio que acabas de crear.
Usa el selector de proyectos de la Google Cloud consola para cambiar al nivel de organización.
Abre la página Gestión de identidades y accesos de la organización:

Ir a IAM
En la página de IAM, haz clic en Conceder acceso. Se abrirá el panel de concesión de acceso.
En el panel Conceder acceso, sigue estos pasos:
1. En la sección Añadir principales, en el campo Principales nuevas, pega el nombre de la cuenta de servicio.
2. En la sección Asignar roles, usa el campo Rol para conceder los siguientes roles de gestión de identidades y accesos a la cuenta de servicio:
3. Editor de administración del centro de seguridad (roles/securitycenter.adminEditor)
4. Editor de configuraciones de notificaciones del centro de seguridad (roles/securitycenter.notificationConfigEditor)
5. Lector de organización (roles/resourcemanager.organizationViewer)
6. Visor de recursos de Cloud (roles/cloudasset.viewer)
7. Haz clic en Guardar. La cuenta de servicio aparece en la pestaña Permisos de la página IAM, en Ver por principales.
  
  Por herencia, la cuenta de servicio también se convierte en una entidad de seguridad en todos los proyectos secundarios de la organización. Los roles que se pueden aplicar a nivel de proyecto se muestran como roles heredados.

Para obtener más información sobre cómo crear cuentas de servicio y asignar roles, consulta los siguientes temas:

Proporcionar las credenciales a Splunk

En función de dónde alojes Splunk, la forma de proporcionar las credenciales de IAM a Splunk será diferente.

Si alojas Splunk Google Cloud, ten en cuenta lo siguiente:
- La cuenta de servicio que has creado y los roles a nivel de organización que le has concedido están disponibles automáticamente por herencia de la organización principal. Si utilizas varias Google Cloud organizaciones, añade esta cuenta de servicio a las otras organizaciones y concédele los roles de gestión de identidades y accesos que se describen en los pasos del 5 al 7 del artículo Crear una cuenta de servicio y conceder roles de gestión de identidades y accesos.
- Si implementas Splunk en un perímetro de servicio, crea las reglas de entrada y salida. Para obtener instrucciones, consulta Conceder acceso al perímetro en Controles de Servicio de VPC.
Si alojas Splunk Enterprise en tu entorno local, crea una clave de cuenta de servicio para cada organización. Google Cloud Para completar esta guía, necesitarás las claves de la cuenta de servicio en formato JSON.

Nota: Las claves de las cuentas de servicio suponen un riesgo para la seguridad si no se gestionan adecuadamente. Siempre que sea posible, deberías elegir una alternativa más segura a las claves de cuentas de servicio. Si debes autenticarte con una clave de cuenta de servicio, eres responsable de la seguridad de la clave privada y de otras operaciones descritas en las prácticas recomendadas para gestionar las claves de cuentas de servicio. Si no puedes crear una clave de cuenta de servicio, es posible que la creación de claves de cuenta de servicio esté inhabilitada en tu organización. Para obtener más información, consulta el artículo sobre gestionar recursos de organización seguros de forma predeterminada.
Si has obtenido la clave de cuenta de servicio de una fuente externa, debes validarla antes de usarla. Para obtener más información, consulta los requisitos de seguridad de las credenciales de fuentes externas.
Si alojas Splunk en otra nube, configura la federación de identidades de cargas de trabajo y descarga los archivos de configuración de las credenciales. Si utilizas varias Google Cloud organizaciones, añade esta cuenta de servicio a las demás y concédele los roles de gestión de identidades y accesos que se describen en los pasos del 5 al 7 del artículo Crear una cuenta de servicio y conceder roles de gestión de identidades y accesos.

Configurar notificaciones

Completa estos pasos para cada Google Cloud organización de la que quieras importar datos de Security Command Center.

Para configurar Splunk, necesitarás los IDs de tu organización, los nombres de los temas de Pub/Sub y los nombres de las suscripciones de Pub/Sub de esta tarea.

Habilita la búsqueda de notificaciones de Pub/Sub, lo que incluye los siguientes pasos:
1. Habilita la API de Security Command Center.
2. Crea tres temas de Pub/Sub:
  - un tema para los resultados
  - un tema para los recursos
  - un tema para los registros de auditoría
3. Crea un notificationConfig para los resultados de Security Command Center. La notificationConfig exporta los resultados de Security Command Center a Pub/Sub en función de los filtros que especifiques.
Habilita la API Cloud Asset en tu proyecto.
Crea feeds para tus recursos. Debe crear dos feeds en el mismo tema de Pub/Sub: uno para sus recursos y otro para sus políticas de Gestión de Identidades y Accesos (IAM).
- El tema de Pub/Sub de los recursos debe ser diferente del que se usa para las detecciones.
- En el feed de tus recursos, usa el siguiente filtro:
  
  content-type=resource
- Para el feed de políticas de gestión de identidades y accesos, usa el siguiente filtro:
  
  content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
Crea un receptor de destino para los registros de auditoría. Esta integración usa un tema de Pub/Sub como destino.

Instalar la aplicación Google SCC para Splunk y el complemento Google SCC para Splunk

En esta sección, instalarás la aplicación Google SCC para Splunk y el complemento Google SCC para Splunk. Estas aplicaciones, que mantiene Security Command Center, automatizan el proceso de programación de llamadas a la API de Security Command Center, recuperan periódicamente datos de Security Command Center para usarlos en Splunk y configuran los paneles de control que te permiten ver los datos de Security Command Center en Splunk.

Para instalar la aplicación, se necesita acceso a la interfaz web de Splunk.

Si tienes una implementación de Splunk distribuida, instala las aplicaciones de la siguiente manera:

Instala la aplicación Google SCC para Splunk en el reenviador pesado de Splunk y en los cabezales de búsqueda de Splunk.
Instala el complemento de Google SCC para Splunk en los encabezados de búsqueda de Splunk.

Para completar la instalación, haz lo siguiente:

En la interfaz web de Splunk, ve al icono de engranaje Aplicaciones.
Selecciona Gestionar aplicaciones > Buscar más aplicaciones.
Busca e instala las siguientes aplicaciones:
- Complemento de Google SCC para Splunk
- Aplicación Google SCC para Splunk

Ambas aplicaciones aparecerán en tu lista de aplicaciones. Ve a Conectar Splunk a Google Cloud para configurar las aplicaciones.

Actualizar la aplicación Google SCC para Splunk y el complemento Google SCC para Splunk

Inhabilita todas las entradas:
1. En la interfaz web de Splunk, haga clic en Aplicaciones > Complemento Google SCC para Splunk.
2. Selecciona la pestaña Entradas.
3. En cada entrada, haz clic en Acción > Inhabilitar.
Elimina los datos indexados de Security Command Center. Puedes usar el comando clean de la CLI de Splunk para eliminar los datos indexados de una aplicación antes de eliminarla.
Realiza la actualización:
1. En la interfaz web de Splunk, ve al icono de engranaje Aplicaciones.
2. Selecciona Gestionar aplicaciones > Buscar más aplicaciones.
3. Busca y actualiza las siguientes aplicaciones:
  - Complemento de Google SCC para Splunk
  - Aplicación Google SCC para Splunk
4. Si se te pide, reinicia Splunk.
En cada nueva Google Cloud organización, completa la sección Conectar Splunk a Google Cloud.
Crea las nuevas entradas, tal como se describe en Añadir las entradas de datos de Security Command Center.

Conectar Splunk a Google Cloud

Para completar esta tarea, debes tener la admin_all_objects función en Splunk.

Si has instalado Splunk en Amazon Web Services o Microsoft Azure, haz lo siguiente:
1. Abre una ventana de terminal.
2. Ve al directorio de la aplicación Google SCC para Splunk:
```
cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
```
3. Abre ta_googlescc_settings.conf en un editor de texto:
```
sudo vim ta_googlescc_settings.conf
```
4. Añade las siguientes líneas al final del archivo:
```
[additional_parameters]
scheme = http
```
5. Guarda y cierra el archivo.
6. Reinicia la plataforma Splunk.
En la interfaz web de Splunk, haz clic en Aplicaciones > Complemento Google SCC para Splunk > Configuración > Cuenta de Google SCC.
Seleccione la pestaña Configuración.
Haz clic en Añadir.
Realice una de las siguientes acciones, en función del campo que aparezca:
- Si se muestra el campo JSON de la cuenta de servicio, busca el archivo JSON que incluya la clave de la cuenta de servicio.
- Si se muestra el campo Configuración de credenciales, busca el archivo de configuración de credenciales que descargaste al configurar la federación de identidades de cargas de trabajo.
Si has implementado Splunk en Google Cloud o has completado el paso 1, la configuración de la cuenta de servicio se detectará automáticamente.
En el campo Organización, añade el ID de tu organización. Google Cloud
Si usas un servidor proxy para conectar Splunk con Google Cloud, haz lo siguiente:
1. Haga clic en la pestaña Proxy.
2. Selecciona Habilitar.
3. Selecciona el tipo de proxy (HTTPS, SOCKS4 o SOCKS5).
4. Añade el nombre de host y el puerto del proxy y, opcionalmente, el nombre de usuario y la contraseña.
En la pestaña Registro, selecciona el nivel de registro del complemento.
Haz clic en Guardar.
Completa los pasos del 2 al 9 con cada organización de Google Cloud que quieras integrar.

Crea entradas de datos para tus Google Cloud organizaciones, tal como se describe en el artículo Añadir las entradas de datos de Security Command Center.

Añadir las entradas de datos de Security Command Center

En la interfaz web de Splunk, haga clic en Aplicaciones > Complemento Google SCC para Splunk.
Selecciona la pestaña Entradas.
Haz clic en Crear entrada.
Selecciona una de las entradas:
- Entrada de origen
- Findings Input
- Recursos
- Entrada de registros de auditoría
Haz clic en el icono Editar.

Introduce la siguiente información:

Campo	Descripción
Nombre de entrada	Nombre predeterminado de la entrada de datos
Intervalo	Tiempo (en segundos) que se debe esperar entre llamadas de datos.
Índice	El índice de Splunk al que se envían los datos de Security Command Center
ID de suscripción de recursos	Solo para las entradas de recursos, el nombre de la suscripción de Pub/Sub de los recursos
ID de suscripción de registros de auditoría	En el caso de los registros de auditoría de entrada, el nombre de la suscripción de Pub/Sub de los registros de auditoría
ID de suscripción de las detecciones	Solo para la entrada de detecciones, el nombre de la suscripción de Pub/Sub de las detecciones
Máximo de obtención	Número máximo de recursos que se pueden obtener en una llamada.

Haz clic en Actualizar.
Repite los pasos del 3 al 7 con cada entrada que quieras añadir.
Repite los pasos del 3 al 8 con cada Google Cloud organización que quieras integrar.
En la fila Estado, habilita las entradas de datos que quieras reenviar a Splunk.

Actualizar el índice de Splunk

Completa esta tarea si no usas el índice principal de Splunk:

En la interfaz web de Splunk, haz clic en Settings > Advanced Search > Search macros (Configuración > Búsqueda avanzada > Macros de búsqueda).
Selecciona Aplicación Google SCC para Splunk.
Selecciona googlescc_index.
Actualiza index=main para usar tu índice.
Haz clic en Guardar.

Ver datos de Security Command Center en Splunk

En la interfaz web de Splunk, haga clic en Aplicaciones > Complemento Google SCC para Splunk.
Selecciona la pestaña Buscar.
Define tu consulta de búsqueda, por ejemplo, index="main".
Selecciona el periodo.
Haz clic en el icono Buscar.
Filtra los datos por tipo de origen (fuentes, recursos, registros de auditoría, recursos de gestión de identidades y accesos o detecciones), según sea necesario.

Ver los paneles de control

La aplicación Google SCC para Splunk te permite visualizar los datos de Security Command Center. Incluye cinco paneles de control: Resumen, Fuentes, Resultados, Recursos, Registros de auditoría y Búsqueda.

Puedes acceder a estos paneles de control en la interfaz web de Splunk, en la página Aplicaciones > Aplicaciones de SCC de Google para Splunk.

Panel de control de resumen

El panel de control Resumen contiene una serie de gráficos que muestran el número total de resultados de tu organización por nivel de gravedad, categoría y estado. Los resultados se compilan a partir de los servicios integrados de Security Command Center, como Security Health Analytics, Web Security Scanner, Event Threat Detection y Container Threat Detection, así como de los servicios integrados que habilites.

Para filtrar el contenido, puedes definir el intervalo de tiempo y el ID de la organización.

En otros gráficos se muestran las categorías, los proyectos y los recursos que generan más resultados.

Panel de control Recursos

El panel de control Recursos muestra una tabla con los 1000 recursos creados o modificados más recientemente. Google Cloud En la tabla se muestran el nombre del recurso, el tipo de recurso, el propietario del recurso y la hora de la última actualización.

Puede filtrar los datos de los recursos por intervalo de tiempo, ID de organización y tipo de recurso. Si haces clic en Ver en la columna Redirigir a SCC, se te redirigirá a la página Recursos de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del recurso seleccionado.

Panel de control de registros de auditoría

El panel de control Registros de auditoría muestra una serie de gráficos y tablas con información de los registros de auditoría. Los registros de auditoría que se incluyen en el panel de control son los registros de auditoría de actividad de administrador, acceso a datos, eventos del sistema y denegación de acceso por infracción de las políticas. La tabla incluye la hora, el nombre del registro, la gravedad, el nombre del servicio, el nombre del recurso y el tipo de recurso.

Puede filtrar los datos por intervalo de tiempo, ID de organización y nombre de registro.

Panel de hallazgos

El panel de control Resultados incluye una tabla con los 1000 resultados más recientes. La columna de la tabla incluye elementos como la categoría, el nombre del recurso, el nombre de la fuente, las marcas de seguridad, la clase de la detección y la gravedad.

Puede filtrar los datos por intervalo de tiempo, ID de organización, categoría, gravedad, nombre de origen, nombre de recurso, nombre de proyecto o clase de detección. Además, en la columna Estado de la actualización, puede cambiar el estado de un resultado. Para indicar que estás revisando activamente un hallazgo, haz clic en Marcar como ACTIVO. Si no estás revisando activamente un resultado, haz clic en Marcar como INACTIVO.

Si haces clic en el nombre de un resultado, se te redirigirá a la página Resultados de Security Command Center en la consola Google Cloud y se mostrarán los detalles del resultado seleccionado.

Panel de control Fuentes

El panel de control Fuentes muestra una tabla con todas tus fuentes de seguridad. Las columnas de la tabla incluyen el nombre, el nombre visible y la descripción.

Para filtrar el contenido, puedes definir el intervalo de tiempo.

Desinstala las aplicaciones

Desinstala las aplicaciones cuando ya no quieras recuperar datos de Security Command Center para Splunk.

En la interfaz web de Splunk, ve a Aplicaciones > Gestionar aplicaciones.
Buscar Google SCC App for Splunk.
En la columna Estado, haga clic en Inhabilitar.
Buscar Google SCC Add-on for Splunk.
En la columna Estado, haga clic en Inhabilitar.
También puedes eliminar los datos indexados de Security Command Center. Puedes usar el comando clean de la CLI de Splunk para eliminar los datos indexados de una aplicación antes de eliminarla.
En un entorno independiente de Splunk, haz lo siguiente:
1. Abre un terminal e inicia sesión en Splunk.
2. Elimina las aplicaciones y sus directorios en $SPLUNK_HOME/etc/apps/APPNAME:
```
./splunk remove app APPNAME -auth USERNAME:PASSWORD
```
  Sustituye APPNAME por GoogleSCCAppforSplunk o TA_GoogleSCC.
3. Repite el paso b con la otra aplicación.
4. Si quieres, puedes eliminar los directorios específicos del usuario eliminando los archivos que se encuentren en $SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk y $SPLUNK_HOME/etc/users/*/TA_GoogleSCC.
5. Reinicia la plataforma Splunk.
En un entorno de Splunk distribuido, haga lo siguiente:
1. Inicia sesión en el gestor de implementaciones.
2. Elimina las aplicaciones y sus directorios en $SPLUNK_HOME/etc/apps/APPNAME:
```
./splunk remove app APPNAME -auth USERNAME:PASSWORD
```
  Sustituye APPNAME por GoogleSCCAppforSplunk o TA_GoogleSCC.
3. Repite el paso b con la otra aplicación.
4. Ejecuta el comando splunk apply shcluster-bundle:
```
splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
```

Siguientes pasos

Consulta más información sobre cómo configurar notificaciones de detecciones en Security Command Center.
Consulta información sobre cómo filtrar notificaciones de resultados en Security Command Center.