En esta página se explica cómo enviar automáticamente resultados, recursos, registros de auditoría y fuentes de seguridad de Security Command Center a la plataforma SOAR de Google Security Operations. También se describe cómo gestionar los datos exportados.
Antes de empezar, asegúrate de que los Google Cloud servicios de Security Command Center necesarios estén configurados correctamente y habilita Google SecOps SOAR para que pueda acceder a las detecciones, los registros de auditoría y los recursos de tu entorno de Security Command Center. Para obtener más información sobre la integración de Security Command Center en Google SecOps SOAR, consulta el artículo Security Command Center de la documentación de Google Security Operations.
Configurar la autenticación y la autorización
Antes de conectarte a Google SecOps SOAR, debes crear una cuenta de servicio de gestión de identidades y accesos y asignarle roles de gestión de identidades y accesos tanto a nivel de organización como de proyecto.
Crear una cuenta de servicio y conceder roles de IAM
En este documento, esta cuenta de servicio también se denomina cuenta de servicio de usuario. En los pasos siguientes se usa la consola de Google Cloud . Para ver otros métodos, consulta los enlaces que aparecen al final de esta sección.
Sigue estos pasos para cada organización de la que quieras importar datos de Security Command Center. Google Cloud
- En el mismo proyecto en el que crees tus temas de Pub/Sub, usa la página Cuentas de servicio de la consola de Google Cloud para crear una cuenta de servicio. Para ver instrucciones, consulta el artículo sobre cómo crear y gestionar cuentas de servicio.
Asigna a la cuenta de servicio el siguiente rol:
- Editor de Pub/Sub (
roles/pubsub.editor)
- Editor de Pub/Sub (
Copia el nombre de la cuenta de servicio que acabas de crear.
Usa el selector de proyectos de la Google Cloud consola para cambiar al nivel de organización.
Abre la página Gestión de identidades y accesos de la organización:
En la página de IAM, haz clic en Conceder acceso. Se abrirá el panel de concesión de acceso.
En el panel Conceder acceso, sigue estos pasos:
- En la sección Añadir principales, en el campo Principales nuevas, pega el nombre de la cuenta de servicio.
En la sección Asignar roles, usa el campo Rol para conceder los siguientes roles de gestión de identidades y accesos a la cuenta de servicio:
- Lector de administración del centro de seguridad (
roles/securitycenter.adminViewer) - Editor de configuraciones de notificaciones del centro de seguridad
(
roles/securitycenter.notificationConfigEditor) - Lector de organización (
roles/resourcemanager.organizationViewer) - Visor de recursos de Cloud (
roles/cloudasset.viewer)
- Lector de administración del centro de seguridad (
Haz clic en Guardar. La cuenta de servicio aparece en la pestaña Permisos de la página IAM, en Ver por principales.
Por herencia, la cuenta de servicio también se convierte en una entidad de seguridad en todos los proyectos secundarios de la organización. Los roles que se pueden aplicar a nivel de proyecto se muestran como roles heredados.
Para obtener más información sobre cómo crear cuentas de servicio y asignar roles, consulta los siguientes temas:
Crear una cuenta de servicio para la suplantación
En este documento, esta cuenta de servicio también se denomina cuenta de servicio de SOAR. Crea una cuenta de servicio para suplantar la cuenta de servicio del usuario y sus permisos.
En la consola SOAR de Google SecOps, ve a Respuesta y, a continuación, haz clic en Configuración de integraciones.
En la página Configuración de integraciones, haz clic en Crear una instancia. Se abrirá el cuadro de diálogo Añadir instancia.
En la lista Integraciones, selecciona Google Security Command Center y haz clic en Guardar. Se abre el cuadro de diálogo Google Security Command Center - Configure Instance (Google Security Command Center - Configurar instancia).
En el campo Correo de Workload Identity, especifica el ID de correo de la cuenta de servicio.
Haz clic en Guardar.
Proporcionar las credenciales a Google SecOps SOAR
La forma de proporcionar las credenciales de IAM a Google SecOps SOAR varía en función de dónde alojes Google SecOps SOAR.
- Si alojas Google SecOps SOAR en Google Cloud, la cuenta de servicio de usuario que has creado y los roles a nivel de organización que le has concedido estarán disponibles automáticamente por herencia de la organización principal.
- Si alojas Google SecOps SOAR en tu entorno local, crea una clave para la cuenta de servicio de usuario que hayas creado. Para completar esta tarea, necesitas el archivo JSON de la clave de la cuenta de servicio. Para obtener información sobre las prácticas recomendadas para almacenar las claves de tu cuenta de servicio de forma segura, consulta el artículo Prácticas recomendadas para gestionar las claves de cuentas de servicio.
Configurar notificaciones
Completa estos pasos para cada Google Cloud organización de la que quieras importar datos de Security Command Center.
Configura las notificaciones de resultados de la siguiente manera:
- Habilita la API de Security Command Center.
- Crea un tema de Pub/Sub para las detecciones.
- Crea un objeto
NotificationConfigque contenga el filtro de las detecciones que quieras exportar. ElNotificationConfigdebe usar el tema de Pub/Sub que hayas creado para las detecciones.
Habilita la API Cloud Asset en tu proyecto.
Para configurar Google SecOps SOAR, necesitas el ID de tu organización, el ID del proyecto y el ID de la suscripción de Pub/Sub de esta tarea. Para obtener el ID de tu organización y el ID de tu proyecto, consulta los artículos Obtener el ID de tu organización e Identificar proyectos, respectivamente.
Configurar Google SecOps SOAR
Google SecOps SOAR permite a las empresas y a los proveedores de servicios de seguridad gestionados (MSSPs) recoger datos y alertas de seguridad de diferentes fuentes combinando la orquestación y la automatización, la inteligencia sobre amenazas y la respuesta ante incidentes.
Para usar Security Command Center con Google SecOps SOAR, sigue estos pasos:
En la consola de Google SecOps SOAR, vaya a Marketplace (Mercado) y, a continuación, haga clic en Integrations (Integraciones).
Busca
Google Security Command Centere instala la integración de Security Command Center que aparece en los resultados de búsqueda.En la integración Google Security Command Center, haga clic en Configurar. Se abre el cuadro de diálogo Google Security Command Center - Configure Instance (Google Security Command Center - Configurar instancia).
Opcional: Para crear un entorno o editar su configuración, haz clic en Pantalla de configuración. La página Entornos se abre en una pestaña nueva.
En la página Entornos, selecciona el entorno para el que quieras configurar la instancia de integración.
En el entorno seleccionado, haga clic en Crear una instancia. Se abrirá el cuadro de diálogo Añadir instancia.
En la lista Integraciones, selecciona Google Security Command Center y haz clic en Guardar. Se abre el cuadro de diálogo Google Security Command Center - Configure Instance (Google Security Command Center - Configurar instancia).
Especifique los parámetros de configuración y haga clic en Guardar.
Parámetro Descripción Obligatorio Raíz de la API Raíz de la API de la instancia de Security Command Center. Por ejemplo, securitycenter.googleapis.com.Sí ID de organización ID de la organización cuyos resultados quieres exportar. No ID del proyecto ID del proyecto que se va a usar en la integración de Security Command Center. No ID de proyecto de cuota ID de tu Google Cloud proyecto para Google Cloud el uso de la API y la facturación. No ID de ubicación ID de la ubicación que se va a usar en la integración de Security Command Center. El ID de ubicación predeterminado es global. No Cuenta de servicio del usuario Cuenta de servicio que has creado en Crear una cuenta de servicio y conceder roles de gestión de identidades y accesos. Si alojas Google SecOps SOAR en tu entorno local, proporciona el ID de la clave de la cuenta de servicio y todo el contenido del archivo JSON de la cuenta de servicio. Sí Correo de Workload Identity Correo que has creado en Crear una cuenta de servicio para la suplantación de identidad. Es un correo de cliente de cuenta de servicio que sustituye el uso de la cuenta de servicio del usuario, que se puede usar para la suplantación de identidad. Se debe conceder a la cuenta de servicio de SOAR el rol de gestión de identidades y accesos Service Account Token Creatoren la cuenta de servicio del usuario.Sí Verificar SSL Habilita esta opción para verificar que el certificado SSL usado para la conexión al servidor de Security Command Center sea válido. Sí Para verificar que la integración se ha configurado correctamente, haz clic en Probar.
Cuando se haya completado la verificación, haz clic en Guardar.
Actualizar la integración de Google Security Command Center
Para actualizar la integración de Google Security Command Center, sigue estos pasos:
En la consola de Google SecOps SOAR, vaya a Marketplace (Mercado) y, a continuación, haga clic en Integrations (Integraciones).
Busca la integración Google Security Command Center y haz clic en Actualizar a VERSION_NUMBER.
Trabajar con resultados y recursos
Google SecOps SOAR usa conectores para ingerir alertas de diversas fuentes de datos en la plataforma.
Obtener alertas de Security Command Center para analizarlas en Google SecOps SOAR
Debe configurar un conector para extraer información sobre las detecciones de Security Command Center. Para configurar el conector, consulta el artículo Ingerir datos (conectores).
Define los siguientes parámetros en Google SecOps SOAR para configurar el conector de Google Security Command Center - Findings.
| Parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | tipo | Sí | Nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | Vacío | No | Nombre del campo en el que se almacena el nombre del entorno. Si no se especifica el nombre del campo de entorno, se seleccionará el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Un patrón de expresión regular que se ejecuta en el valor encontrado en el campo Nombre del campo de entorno. El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Este parámetro se usa para permitir que el usuario manipule el campo de entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, se selecciona el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | Sí | Raíz de la API de la instancia de Security Command Center. Por ejemplo, securitycenter.googleapis.com. |
|
| ID de organización | Cadena | No | ID de la organización que se debe usar en la integración de Google Security Command Center. | |
| Cuenta de servicio del usuario | Contraseña | Sí | Cuenta de servicio que has creado en Crear una cuenta de servicio y conceder roles de gestión de identidades y accesos. Si alojas Google SecOps SOAR en tu entorno local, proporciona el ID de la clave de la cuenta de servicio y todo el contenido del archivo JSON de la cuenta de servicio. | |
| Filtro de clase de hallazgo | CSV | Amenaza, vulnerabilidad, configuración incorrecta, SCC_Error y observación | No | Buscando clases que se deben ingerir. Los valores posibles son:
|
| Gravedad mínima que se va a obtener | Cadena | Alta | No | La gravedad más baja que se usa para obtener resultados. Los valores posibles
son:
|
| Número máximo de horas hacia atrás | Entero | 1 | No | Número de horas desde las que se obtendrán los hallazgos. El límite máximo es 24. |
| Número máximo de resultados que se van a obtener | Entero | 100 | No | Número de resultados que se procesarán por iteración de conector. El límite máximo es 1000. |
| Usar una lista dinámica como lista de exclusión | Casilla | Inhabilitado | Sí | Habilita la lista dinámica como lista de exclusión. |
| Verificar SSL | Casilla | Inhabilitado | Sí | Habilita esta opción para verificar que el certificado SSL de la conexión al servidor de Security Command Center es válido. |
| Dirección del servidor proxy | Cadena | No | Dirección del servidor proxy que se va a usar. | |
| Nombre de usuario del proxy | Cadena | No | Nombre de usuario del proxy para autenticarse. | |
| Contraseña del proxy | Contraseña | No | La contraseña del proxy para autenticarte. |
Enriquecer recursos
Para llevar a cabo una investigación de seguridad, Google Security Operations ingiere datos contextuales de diferentes fuentes, analiza los datos y proporciona contexto adicional sobre los artefactos en el entorno de un cliente.
Para enriquecer los recursos con información de Security Command Center, añade la acción de enriquecer recursos a una guía en Google SecOps SOAR y ejecuta la guía. Para obtener más información, consulta Añadir una acción.
Para configurar esta acción, define los siguientes parámetros:
| Parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
Mostrar vulnerabilidades de alertas
Para enumerar las vulnerabilidades relacionadas con las entidades de Security Command Center, añade la acción "list asset vulnerabilities" (listar vulnerabilidades de recursos) a un libro de jugadas de Google Security Operations SOAR y ejecuta el libro de jugadas. Para obtener más información, consulta Añadir una acción.
Para configurar esta acción, define los siguientes parámetros:
| Parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Nombres de recursos de contenido | CSV | Sí | Especifica una lista de nombres de recursos de los recursos separados por comas de los que quieras devolver datos. | |
| Plazo | DDL | Desde siempre | No | Especifica el periodo de la búsqueda de vulnerabilidades o errores de configuración. Los valores posibles son:
|
| Tipos de registros | DDL | Vulnerabilidades y configuraciones erróneas | No | Especifica el tipo de registro que se debe devolver. Los valores posibles
son:
|
| Tipo de salida | DDL | Estadísticas | No | Especifica el tipo de salida que se debe devolver en el resultado JSON del recurso. Los valores posibles son:
|
| Número máximo de registros que se devolverán | Cadena | 100 | No | Especifica el número de registros que se deben devolver por tipo de registro y por recurso. |
Actualizar hallazgos
Para actualizar los resultados en Security Command Center, añade la acción de actualización de resultados a una guía en Google SecOps SOAR y ejecuta la guía. Para obtener más información, consulta Añadir una acción.
Para configurar esta acción, define los siguientes parámetros:
| Parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Encontrando nombre | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Sí | Especifica una lista de nombres de resultados separados por comas que quieras actualizar. |
| Estado silenciado | DDL | No | Especifica el estado de silencio del resultado. Los valores posibles son:
|
|
| Estado de la solicitud | DDL | No | Especifica el estado del resultado. Los valores posibles son:
|