Envía datos de Security Command Center a Splunk

En esta página, se explica cómo enviar de forma automática los resultados, los elementos, los registros de auditoría y las fuentes de seguridad de Security Command Center a Splunk. También se describe cómo administrar los datos exportados. Splunk es una plataforma de información de seguridad y administración de eventos (SIEM) que transfiere datos de seguridad desde una o más fuentes y permite que los equipos administren respuestas a incidentes y realicen estadísticas en tiempo real.

En esta guía, te aseguras de que los servicios de Google Cloud y de Security Command Center estén configurados de forma correcta y habilitar Splunk para acceder a los resultados, los registros de auditoría y los recursos informatvos de tu entorno de Security Command Center.

Antes de comenzar

En esta guía, se supone que usas uno de los siguientes dispositivos:

Configura la autenticación y la autorización

Antes de conectarte a Splunk, debes crear una cuenta de servicio de Identity and Access Management (IAM) en cada organización de Google Cloud a la que deseas conectarte y otorgarle a la cuenta los roles de IAM a nivel de la organización y del proyecto que necesita el complemento de SCC de Google para Splunk.

Crea una cuenta de servicio y otorga roles de IAM

En los siguientes pasos, se usa la consola de Google Cloud. Si deseas conocer otros métodos, consulta los vínculos que aparecen al final de esta sección.

Completa estos pasos para cada organización de Google Cloud desde la que deseas importar datos de Security Command Center.

  1. En el mismo proyecto en el que creas tus temas de Pub/Sub, usa la página Cuentas de servicio en la consola de Google Cloud para crear una cuenta de servicio. Para obtener instrucciones, consulta Crea y administra cuentas de servicio.
  2. Otorga a la cuenta de servicio el siguiente rol:

    • Editor de Pub/Sub (roles/pubsub.editor)
  3. Copia el nombre de la cuenta de servicio que acabas de crear.

  4. Usa el selector de proyectos de la consola de Google Cloud para cambiar al nivel de la organización.

  5. Abre la página IAM de la organización:

    Ir a IAM

  6. En la página de IAM, haz clic en Otorgar acceso. Se abrirá el panel para otorgar acceso.

  7. En el panel Otorga acceso, completa los siguientes pasos:

    1. En la sección Agregar principales, en el campo Principales nuevas, pega el nombre de la cuenta de servicio.
    2. En la sección Asignar roles, usa el campo Rol para otorgar los siguientes roles de IAM a la cuenta de servicio:

    3. Editor administrador del centro de seguridad (roles/securitycenter.adminEditor)
    4. Editor de configuración de notificaciones del centro de seguridad (roles/securitycenter.notificationConfigEditor)
    5. Lector de la organización (roles/resourcemanager.organizationViewer)
    6. Visualizador de recursos de Cloud (roles/cloudasset.viewer)
    7. Haz clic en Guardar. La cuenta de servicio aparece en la pestaña Permisos de la página IAM, en Ver por principales.

      Por herencia, la cuenta de servicio también se convierte en una principal en todos los proyectos secundarios de la organización. Los roles que se aplican a nivel del proyecto se enumeran como roles heredados.

Para obtener más información sobre cómo crear cuentas de servicio y otorgar roles, consulta los siguientes temas:

Proporciona las credenciales a Splunk

Según dónde alojes Splunk, la forma en que proporciones las credenciales de IAM a Splunk será diferente.

Configurar las notificaciones

Completa estos pasos para cada organización de Google Cloud desde la que desees importar datos de Security Command Center.

Necesitarás los IDs de tu organización, los nombres de los temas de Pub/Sub y los nombres de las suscripciones de Pub/Sub de esta tarea para configurar Splunk.

  1. Habilita las notificaciones de resultados para Pub/Sub, que incluye los siguientes pasos:

    1. Habilita la API de Security Command Center.
    2. Crea tres temas de Pub/Sub:

      • un tema para los resultados
      • un tema para los activos
      • un tema para los registros de auditoría
    3. Crea un notificationConfig para los hallazgos en Security Command Center. notificationConfig exporta los resultados de Security Command Center a Pub/Sub según los filtros que especifiques.

  2. Habilita la API de Cloud DLP para el proyecto.

  3. Crea feeds para tus recursos. Debes crear dos feeds en el mismo tema de Pub/Sub: uno para tus recursos y otro para tus políticas de Identity and Access Management (IAM).

    • El tema de Pub/Sub para los recursos debe ser diferente del que se usa en los resultados.
    • Para el feed de tus recursos, usa el siguiente filtro:

      content-type=resource

    • Para el feed de políticas de IAM, usa el siguiente filtro:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. Crea un sink de destino para los registros de auditoría. Esta integración usa un tema de Pub/Sub como destino.

Instala la app de SCC de Google para Splunk y el complemento de SCC de Google para Splunk

En esta sección, instalarás la app de Google SCC para Splunk y el complemento de SCC de Google para Splunk. Estas apps, que son mantenidas por Security Command Center, automatizan el proceso de programación de llamadas a la API de Security Command Center, recuperan con regularidad los datos de Security Command Center para usarlos en Splunk y configuran los paneles que te permiten ver los datos de Security Command Center en Splunk

La instalación de la app requiere acceso a la interfaz web de Splunk.

Si tienes una implementación distribuida de Splunk, instala las apps de la siguiente manera:

Para completar la instalación, sigue estos pasos:

  1. En la interfaz web de Splunk, ve al ícono de ajustes Apps.

  2. Selecciona Administrar apps > Explorar más apps.

  3. Busca y, luego, instala las siguientes apps:

    • Complemento de SCC de Google para Splunk
    • App de SCC de Google para Splunk

Ambas apps aparecerán en tu lista de apps. Continúa con Cómo conectar Splunk a Google Cloud para configurar las apps.

Actualiza la app de SCC de Google para Splunk y el complemento de SCC de Google para Splunk

  1. Inhabilita todas las entradas existentes:

    1. En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk.

    2. Selecciona la pestaña Entradas.

    3. Para cada entrada, haz clic en Acción > Inhabilitar.

  2. Quita los datos indexados de Security Command Center. Puedes usar el comando para limpiar la CLI de Splunk para quitar los datos indexados de una app antes de borrarla.

  3. Realiza la actualización:

    1. En la interfaz web de Splunk, ve al ícono de ajustes Apps.

    2. Selecciona Administrar apps > Explorar más apps.

    3. Busca y actualiza las siguientes apps:

      • Complemento de SCC de Google para Splunk
      • App de SCC de Google para Splunk
    4. Si se te solicita, reinicia Splunk.

  4. Para cada organización nueva de Google Cloud, completa la sección Cómo conectar Splunk a Google Cloud.

  5. Crea las entradas nuevas, como se describe en Agrega las entradas de datos de Security Command Center.

Conecta Splunk a Google Cloud

Debes tener la función admin_all_objects en Splunk para completar esta tarea.

  1. Si instalaste Splunk en Amazon Web Services o Microsoft Azure, haz lo siguiente:

    1. Abre una ventana de terminal.

    2. Navega al directorio de la app de SCC para Google de Splunk:

      cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
      
    3. Abre ta_googlescc_settings.conf en un editor de texto:

      sudo vim ta_googlescc_settings.conf
      
    4. Agrega las siguientes líneas al final del archivo:

      [additional_parameters]
      scheme = http
      
    5. Guarde y cierre el archivo.

    6. Reinicia la plataforma de Splunk.

  2. En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk > Configuración > Cuenta de SCC de Google.

  3. Selecciona la pestaña Configuración.

  4. Haz clic en Agregar.

  5. Realiza una de las siguientes acciones según el campo que aparezca:

    • Si se muestra el campo Cuenta de servicio JSON, navega al archivo JSON que incluye la clave de la cuenta de servicio.

    • Si se muestra el campo Configuración de credenciales, navega al archivo de configuración de credenciales que descargaste cuando configuraste la federación de Workload Identity.

    Si implementaste Splunk en Google Cloud o completaste el paso 1, la configuración de la cuenta de servicio se detecta de forma automática.

  6. En el campo Organización, agrega el ID de tu organización de Google Cloud.

  7. Si usas un servidor proxy para conectar Splunk con Google Cloud, haz lo siguiente:

    1. Haz clic en la pestaña Proxy.
    2. Selecciona Habilitar.
    3. Selecciona el tipo de proxy (HTTPS, SOCKS4 o SOCKS5).
    4. Agrega el nombre de host del proxy, el puerto y, de forma opcional, el nombre de usuario y la contraseña.
  8. En la pestaña Registro, selecciona el nivel de registro para el complemento.

  9. Haz clic en Guardar.

  10. Completa los pasos del 2 al 9 para cada organización de Google Cloud que quieras integrar.

Crea entradas de datos para tus organizaciones de Google Cloud, como se describe en Agrega las entradas de datos de Security Command Center.

Agrega las entradas de datos de Security Command Center

  1. En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk.

  2. Selecciona la pestaña Entradas.

  3. Haz clic en Crear entrada nueva.

  4. Selecciona una de las entradas:

    • Entrada de fuentes
    • Entrada de resultados
    • Entrada de elementos
    • Entrada de registros de auditoría
  5. Haz clic en el ícono Editar.

  6. Ingresa la siguiente información:

    Campo Descripción
    Nombre de entrada El nombre predeterminado para tu entrada de datos
    Intervalo El tiempo (en segundos) que se debe esperar entre llamadas a datos
    Índice El índice de Splunk al que se dirigen los datos de Security Command Center
    ID de suscripción a elementos Solo para las entradas de elmentos, el nombre de la suscripción a Pub/Sub para los recursos
    ID de suscripción a los registros de auditoría Solo para la entrada de registros de auditoría, el nombre de la suscripción a Pub/Sub para los registros de auditoría
    ID de suscripción a los resultados El nombre de la suscripción a Pub/Sub para los resultados solo en la entrada de resultados
    Recuperación máxima La cantidad máxima de elementos que se pueden recuperar en una llamada

  7. Haga clic en Update.

  8. Repite los pasos 3 a 7 para cada entrada que desees agregar.

  9. Repite los pasos del 3 al 8 para cada organización de Google Cloud que desees integrar.

  10. En la fila Estado, habilita las entradas de datos que deseas reenviar a Splunk.

Actualiza el índice de Splunk

Completa esta tarea si no usas el índice principal de Splunk:

  1. En la interfaz web de Splunk, haz clic en Configuración > Búsqueda avanzada > Macros de búsqueda.
  2. Selecciona Google SCC App para Splunk.
  3. Selecciona googlescc_index.
  4. Actualiza index=main para usar tu índice.
  5. Haz clic en Guardar.

Visualiza datos de Security Command Center en Splunk

  1. En la interfaz web de Splunk, haz clic en Apps > Complemento de SCC de Google para Splunk.

  2. Selecciona la pestaña Buscar.

  3. Configura tu búsqueda, por ejemplo, index="main".

  4. Selecciona el intervalo de tiempo.

  5. Haz clic en el ícono Buscar.

  6. Filtra los datos por tipo de fuente (una de fuentes, elementos, registros de auditoría, elementos de IAM o resultados), según sea necesario.

Visualiza los paneles

La aplicación de Google SCC para Splunk te permite visualizar los datos del Security Command Center. Incluye cinco paneles: Resumen, Fuentes, Resultados, Recursos, Registros de auditoría y Búsqueda.

Puedes acceder a estos paneles en la interfaz web de Splunk desde la página Apps > Apps de Google SCC para Splunk.

Panel Descripción general

El panel Descripción general contiene una serie de gráficos que muestran la cantidad total de resultados de tu organización por nivel de gravedad, categoría y estado. Los resultados se compilan a partir de los servicios integrados de Security Command Center, como Security Health Analytics, Web Security Scanner, Event Threat Detection, Container Threat Detection y cualquier servicio integrado que habilites.

Para filtrar contenido, puedes configurar el intervalo de tiempo y el ID de la organización.

Los gráficos adicionales muestran qué categorías, proyectos y elementos generan la mayor cantidad de resultados.

Panel Elementos

En el panel Elementos, se muestra una tabla de los 1,000 elementos de Google Cloud creados o modificados más recientemente. La tabla muestra el nombre del activo, el tipo de activo, el propietario del recurso y la hora de la última actualización.

Puedes filtrar los datos de los recursos por intervalo de tiempo, ID de la organización y tipo de recurso. Si haces clic en Ver en la columna Redireccionar a SCC, se te redireccionará a la página Recursos de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del recurso seleccionado.

Panel Registros de auditoría

En el panel Registros de auditoría, se muestra una serie de gráficos y tablas en los que se muestra información de registro de auditoría. Los registros de auditoría que se incluyen en el panel son la actividad del administrador, el acceso a los datos, los eventos del sistema y los registros de auditoría de política denegada. La tabla incluye la hora, el nombre del registro, la gravedad, el nombre del servicio, el nombre del recurso y el tipo de recurso.

Puedes filtrar los datos por intervalo de tiempo, ID de la organización y nombre de registro.

Panel Resultados

En el panel Resultados, se incluye una tabla de los 1,000 resultados más recientes. La columna de la tabla incluye elementos como la categoría, el nombre del recurso, el nombre de la fuente, las marcas de seguridad, la clase de resultado y la gravedad.

Puedes filtrar los datos por intervalo de tiempo, ID de organización, categoría, gravedad, nombre de la fuente, nombre del recurso, nombre del proyecto o clase de resultado. Además, en la columna Actualizar estado, puedes actualizar el estado de un resultado. Para indicar que revisas un resultado de forma activa, haz clic en Marcar como ACTIVO. Si no revisas un resultado de forma activa, haz clic en Marcar como INACTIVO.

Si haces clic en el nombre de un resultado, se te redireccionará a la página Resultados de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del resultado seleccionado.

Panel Fuentes

En el panel Fuentes, se muestra una tabla de todas tus fuentes de seguridad. Las columnas de la tabla incluyen el nombre, el nombre visible y la descripción.

Para filtrar contenido, puedes configurar el intervalo de tiempo.

Desinstala las apps

Desinstala las apps cuando ya no desees recuperar los datos de Security Command Center para Splunk.

  1. En la interfaz web de Splunk, ve a Apps > Administrar Apps.

  2. Busca Google SCC App for Splunk.

  3. En la columna Estado, haz clic en Inhabilitar.

  4. Busca Google SCC Add-on for Splunk.

  5. En la columna Estado, haz clic en Inhabilitar.

  6. De manera opcional, quita los datos indexados de Security Command Center. Puedes usar el comando para limpiar la CLI de Splunk para quitar los datos indexados de una app antes de borrarla.

  7. En un entorno independiente de Splunk, sigue estos pasos:

    1. Abre una terminal y accede a Splunk.

    2. Borra las apps y sus directorios en $SPLUNK_HOME/etc/apps/APPNAME:

      ./splunk remove app APPNAME -auth USERNAME:PASSWORD
      

      Reemplaza APPNAME por GoogleSCCAppforSplunk o TA_GoogleSCC.

    3. Repite el paso B para la otra app.

    4. De manera opcional, quita los directorios específicos del usuario si borras los archivos que se encuentran en $SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk y $SPLUNK_HOME/etc/users/*/TA_GoogleSCC.

    5. Reinicia la plataforma de Splunk.

  8. En un entorno de Splunk distribuido, haz lo siguiente:

    1. Accede al administrador de implementadores.
    2. Borra las apps y sus directorios en $SPLUNK_HOME/etc/apps/APPNAME:

      ./splunk remove app APPNAME -auth USERNAME:PASSWORD
      

      Reemplaza APPNAME por GoogleSCCAppforSplunk o TA_GoogleSCC.

    3. Repite el paso B para la otra app.

    4. Ejecuta el comando splunk apply shcluster-bundle:

      splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
      

¿Qué sigue?