En esta página, se explica cómo enviar automáticamente los resultados, los recursos, los registros de auditoría y las fuentes de seguridad de Security Command Center a Google Security Operations SOAR. También se describe cómo administrar los datos exportados.
Antes de comenzar, asegúrate de que los servicios de Security Command Center y Google Cloud necesarios están configurados de forma correcta y habilita SOAR de Google SecOps para acceder a los resultados, los registros de auditoría y los recursos de tu entorno de Security Command Center. Para obtener más información sobre la integración de Security Command Center para Google SecOps SOAR, consulta Security Command Center en la documentación de Google Security Operations.
Configura la autenticación y la autorización
Antes de conectarte a Google SecOps SOAR, debes crear una cuenta de servicio de Identity and Access Management y otorgarle roles de IAM a nivel de la organización y del proyecto.
Crea una cuenta de servicio y otorga roles de IAM
En este documento, esta cuenta de servicio también se denomina cuenta de servicio del usuario. En los siguientes pasos, se usa la consola de Google Cloud. Para conocer otros métodos, consulta los vínculos que aparecen al final de esta sección.
Completa estos pasos para cada organización de Google Cloud desde la que deseas importar datos de Security Command Center.
- En el mismo proyecto en el que creas tus temas de Pub/Sub, usa la página Cuentas de servicio en la consola de Google Cloud para crear una cuenta de servicio. Para obtener instrucciones, consulta Crea y administra cuentas de servicio.
Otorga a la cuenta de servicio el siguiente rol:
- Editor de Pub/Sub (
roles/pubsub.editor)
- Editor de Pub/Sub (
Copia el nombre de la cuenta de servicio que acabas de crear.
Usa el selector de proyectos de la consola de Google Cloud para cambiar al nivel de la organización.
Abre la página IAM de la organización:
En la página de IAM, haz clic en Otorgar acceso. Se abrirá el panel para otorgar acceso.
En el panel Otorga acceso, completa los siguientes pasos:
- En la sección Agregar principales, en el campo Principales nuevas, pega el nombre de la cuenta de servicio.
En la sección Asignar roles, usa el campo Rol para otorgar los siguientes roles de IAM a la cuenta de servicio:
- Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer) - Editor de configuración de notificaciones del centro de seguridad (
roles/securitycenter.notificationConfigEditor) - Lector de la organización (
roles/resourcemanager.organizationViewer) - Visualizador de recursos de Cloud (
roles/cloudasset.viewer)
- Visualizador administrador del centro de seguridad (
Haz clic en Guardar. La cuenta de servicio aparece en la pestaña Permisos de la página IAM, en Ver por principales.
Por herencia, la cuenta de servicio también se convierte en una principal en todos los proyectos secundarios de la organización. Los roles que se aplican a nivel del proyecto se enumeran como roles heredados.
Si deseas obtener más información para crear cuentas de servicio y otorgar roles, consulta los siguientes temas:
Crea una cuenta de servicio para la suplantación de identidad
En este documento, esta cuenta de servicio también se denomina cuenta de servicio de SOAR. Crea una cuenta de servicio para actuar en nombre de la cuenta de servicio del usuario y sus permisos.
En la consola de SOAR de Google SecOps, navega a Response y, luego, haz clic en Integrations setup.
En la página Configuración de integraciones, haz clic en Crear una instancia nueva. Se abrirá el diálogo Add instance.
En la lista Integrations, selecciona Google Security Command Center y haz clic en Save. Se abrirá el diálogo Google Security Command Center - Configure Instance.
En el campo Correo electrónico de Workload Identity, especifica el ID de correo electrónico de la cuenta de servicio.
Haz clic en Guardar.
Proporciona las credenciales a SOAR de Google SecOps
Según dónde alojes Google SecOps SOAR, la forma en que proporcionas las credenciales de IAM a Google SecOps SOAR difiere.
- Si alojas Google SecOps SOAR en Google Cloud, la cuenta de servicio del usuario que creaste y los roles a nivel de la organización que le otorgaste estarán disponibles automáticamente por herencia de la organización superior.
- Si alojas Google SecOps SOAR en tu entorno local, crea una clave para la cuenta de servicio de usuario que creaste. Para completar esta tarea, necesitas el archivo JSON de la clave de la cuenta de servicio. Si quieres obtener información sobre las prácticas recomendadas para almacenar las claves de tu cuenta de servicio de forma segura, consulta Prácticas recomendadas para administrar claves de cuentas de servicio.
Configurar las notificaciones
Completa estos pasos para cada organización de Google Cloud desde la que desees importar datos de Security Command Center.
Configura la búsqueda de notificaciones de la siguiente manera:
- Habilita la API de Security Command Center.
- Crea un tema de Pub/Sub para los resultados.
- Crea un objeto
NotificationConfigque contenga el filtro de los resultados que deseas exportar.NotificationConfigdebe usar el tema de Pub/Sub que creaste para los resultados.
Habilita la API de Cloud DLP para el proyecto.
Necesitarás el ID de tu organización, el ID del proyecto y el ID de suscripción de Pub/Sub de esta tarea para configurar Google SecOps SOAR. Para recuperar el ID de tu organización y el ID del proyecto, consulta Recupera el ID de tu organización y Identifica proyectos, respectivamente.
Configura Google SecOps SOAR
La SOAR de Google SecOps permite a las empresas y a los proveedores de servicios de seguridad administrados (MSSP) recopilar datos y alertas de seguridad de diferentes fuentes combinando la orquestación y la automatización, la inteligencia de amenazas y la respuesta ante incidentes.
Para usar Security Command Center con SOAR de Google SecOps, completa los siguientes pasos:
En la consola de SOAR de Google SecOps, navega a Marketplace y, luego, haz clic en Integraciones.
Busca
Google Security Command Centere instala la integración de Security Command Center que aparece en los resultados de la búsqueda.En la integración de Security Command Center de Google, haz clic en Configurar. Se abre el diálogo Google Security Command Center - Configure Instance.
Opcional: Para crear un entorno nuevo o editar su configuración, haz clic en Pantalla de configuración. La página Environments se abrirá en una pestaña nueva.
En la página Entornos, selecciona el entorno para el que deseas configurar la instancia de integración.
En el entorno seleccionado, haz clic en Crear una instancia nueva. Se abrirá el diálogo Add instance.
En la lista Integrations, selecciona Google Security Command Center y haz clic en Save. Se abrirá el diálogo Google Security Command Center - Configure Instance.
Especifica los parámetros de configuración y haz clic en Guardar.
Parámetro Descripción Obligatorio Raíz de la API Raíz de la API de la instancia de Security Command Center. Por ejemplo, securitycenter.googleapis.com.Sí ID de la organización Es el ID de la organización cuyos resultados deseas exportar. No ID del proyecto Es el ID del proyecto que se usará en la integración de Security Command Center. No ID del proyecto de cuota ID de tu proyecto de Google Cloud para el uso y la facturación de la API de Google Cloud. No ID de ubicación Es el ID de la ubicación que se usará en la integración de Security Command Center. El ID de ubicación predeterminado es global. No Cuenta de servicio del usuario Cuenta de servicio que creaste en Crea una cuenta de servicio y otorga roles de IAM. Si alojas Google SecOps SOAR en tu entorno local, proporciona el ID de clave de la cuenta de servicio y todo el contenido del archivo JSON de la cuenta de servicio. Sí Correo electrónico de Workload Identity Correo electrónico que creaste en Crea una cuenta de servicio para la suplantación de identidad. Es un correo electrónico de cliente de la cuenta de servicio para reemplazar el uso de la cuenta de servicio del usuario que se puede usar para la suplantación de identidad. Se debe otorgar a la cuenta de servicio de SOAR el rol de IAM Service Account Token Creatoren la cuenta de servicio del usuario.Sí Verificar SSL Habilita esta opción para verificar que el certificado SSL que se usa para la conexión al servidor de Security Command Center sea válido. Sí Para verificar que la integración esté configurada correctamente, haz clic en Probar.
Después de que se complete correctamente la verificación, haz clic en Guardar.
Actualiza la integración de Google Security Command Center
Para actualizar la integración de Security Command Center de Google, completa los siguientes pasos:
En la consola de SOAR de Google SecOps, navega a Marketplace y, luego, haz clic en Integraciones.
Busca la integración de Security Command Center de Google y haz clic en Actualizar a VERSION_NUMBER.
Cómo trabajar con hallazgos y recursos
El SOAR de Google SecOps usa conectores para transferir alertas de una variedad de fuentes de datos a la plataforma.
Recupera alertas de Security Command Center para su análisis en la SOAR de Google SecOps
Debes configurar un conector para extraer información sobre los hallazgos de Security Command Center. Para configurar el conector, consulta Cómo transferir tus datos (conectores).
Establece los siguientes parámetros en Google SecOps SOAR para configurar el conector de hallazgos de Security Command Center de Google.
| Parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Es el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | tipo | Sí | Es el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo de entorno | String | Vacío | No | Es el nombre del campo en el que se almacena el nombre del entorno. Si no se especifica el nombre del campo de entorno, se selecciona el entorno predeterminado. |
| Patrón de regex del entorno | String | .* | No | Es un patrón de expresión regular para ejecutar en el valor que se encuentra en el campo Nombre del campo del entorno. El valor predeterminado es .* para capturar todo y mostrar el valor sin cambios. Este parámetro se usa para permitir que el usuario manipule el campo de entorno a través de la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, se selecciona el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | Sí | Raíz de la API de la instancia de Security Command Center. Por ejemplo, securitycenter.googleapis.com. |
|
| ID de la organización | String | No | Es el ID de la organización que se debe usar en la integración de Security Command Center de Google. | |
| Cuenta de servicio del usuario | Contraseña | Sí | Cuenta de servicio que creaste en Crea una cuenta de servicio y otorga roles de IAM. Si alojas Google SecOps SOAR en tu entorno local, proporciona el ID de clave de la cuenta de servicio y todo el contenido del archivo JSON de la cuenta de servicio. | |
| Filtro de clase del resultado | CSV | Amenaza, vulnerabilidad, configuración incorrecta, SCC_Error, observación | No | Encontrar clases que se deben transferir Los valores posibles son los siguientes:
|
| Gravedad más baja para recuperar | String | Alta | No | Es la gravedad más baja que se usa para recuperar los resultados. Los valores posibles son los siguientes:
|
| Horas máximas hacia atrás | Entero | 1 | No | Es la cantidad de horas a partir de las cuales se recuperan los resultados. El límite máximo es de 24. |
| Cantidad máxima de resultados que se pueden recuperar | Entero | 100 | No | Cantidad de resultados que se deben procesar por una iteración del conector. El límite máximo es de 1,000. |
| Cómo usar una lista dinámica como lista de exclusiones | Casilla de verificación | Inhabilitado | Sí | Habilita la lista dinámica como una lista de exclusiones. |
| Verificar SSL | Casilla de verificación | Inhabilitado | Sí | Habilita esta opción para verificar que el certificado SSL de la conexión al servidor de Security Command Center sea válido. |
| Dirección del servidor proxy | String | No | Es la dirección del servidor proxy que se usará. | |
| Nombre de usuario de proxy | String | No | Es el nombre de usuario del proxy con el que se realizará la autenticación. | |
| Contraseña de proxy | Contraseña | No | La contraseña del proxy con la que se realizará la autenticación. |
Enriquece los recursos
Para permitir una investigación de seguridad, Google Security Operations transfiere datos contextuales de diferentes fuentes, realiza un análisis de los datos y proporciona contexto adicional sobre los artefactos en un entorno de cliente.
Para enriquecer los recursos con información de Security Command Center, agrega la acción de enriquecer recursos a una guía en SOAR de Google SecOps y ejecútala. Para obtener más información, consulta Cómo agregar una acción.
Para configurar esta acción, establece los siguientes parámetros:
| Parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo de producto. |
Enumera las vulnerabilidades de alerta
Para enumerar las vulnerabilidades relacionadas con las entidades en Security Command Center, agrega la acción para enumerar vulnerabilidades de activos a una guía de operaciones en SOAR de Google Security Operations y ejecútala. Para obtener más información, consulta Cómo agregar una acción.
Para configurar esta acción, establece los siguientes parámetros:
| Parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Nombres de recursos de activos | CSV | Sí | Especifica una lista separada por comas de los nombres de los recursos de los activos para los que deseas mostrar datos. | |
| Plazo | DDL | Todo el período | No | Especifica el período para la búsqueda de vulnerabilidades o parámetros de configuración incorrectos. Los valores posibles son los siguientes:
|
| Tipos de registros | DDL | Vulnerabilidades y parámetros de configuración incorrectos | No | Especifica el tipo de registro que se debe mostrar. Los valores posibles son los siguientes:
|
| Tipo de salida | DDL | Estadísticas | No | Especifica el tipo de salida que se debe mostrar en el resultado JSON del activo. Los valores posibles son los siguientes:
|
| Cantidad máxima de registros para mostrar | String | 100 | No | Especifica la cantidad de registros que se mostrarán por tipo de registro y por activo. |
Actualiza los resultados
Para actualizar los resultados en Security Command Center, agrega la acción de actualización de resultados a una guía de operaciones en el SOAR de Google SecOps y ejecútala. Para obtener más información, consulta Cómo agregar una acción.
Para configurar esta acción, establece los siguientes parámetros:
| Parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del resultado | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Sí | Especifica una lista separada por comas de los nombres de búsqueda que deseas actualizar. |
| Estado de silenciamiento | DDL | No | Especifica el estado de silenciamiento del hallazgo. Los valores posibles son los siguientes:
|
|
| Estado | DDL | No | Especifica el estado del hallazgo. Los valores posibles son los siguientes:
|