En esta página, se describen dos métodos para exportar datos del Security Command Center, incluidos los recursos, los resultados y las marcas de seguridad:
- Exportaciones únicas de hallazgos, activos y marcas de seguridad existentes
- Exportaciones continuas que exportan de forma automática los resultados nuevos a Pub/Sub
Puedes exportar datos de Security Command Center mediante la consola de Google Cloud, Google Cloud CLI o la API de Security Command Center.
También puedes transmitir los resultados a BigQuery. Si quieres obtener más información, consulta Transmite resultados a BigQuery para su análisis.
Exportaciones únicas
Las exportaciones únicas te permiten transferir y descargar de forma manual los resultados y los recursos históricos y actuales.
Para los resultados, puedes usar la consola de Google Cloud y transferir datos en formato JSON, JSONL o CSV a un bucket de Cloud Storage. También puedes descargar una cantidad limitada de resultados a tu estación de trabajo en formato CSV.
Para los recursos, puedes descargar los datos de la consola de Google Cloud a tu estación de trabajo local como un archivo CSV.
Permisos
Para realizar exportaciones únicas, necesitas lo siguiente:
La función de Identity and Access Management (IAM) Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer) o cualquier función que tenga los siguientes permisos:resourcemanager.organizations.get(obligatorio solo para las activaciones de Security Command Center a nivel de la organización)resourcemanager.projects.get(obligatorio para las activaciones a nivel de proyecto de Security Command Center)securitycenter.assets.groupsecuritycenter.assets.listsecuritycenter.findings.groupsecuritycenter.findings.listsecuritycenter.sources.getsecuritycenter.sources.listsecuritycenter.userinterfacemetadata.get
La función de administrador de almacenamiento, que te permite almacenar datos en buckets de Cloud Storage.
Las funciones de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos y fuentes de seguridad depende del nivel al que se te otorgue acceso. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.
Residencia de datos y exportaciones únicas
No puedes incluir ninguno de los datos que están sujetos al control de residencia de datos en el filtro de una exportación única a Cloud Storage.
Si especificas una propiedad que contiene datos controlados en el filtro de resultados, Security Command Center mostrará un mensaje de error cuando intentes realizar la exportación.
Exporta datola consola de Google Cloud
Con la consola de Google Cloud, puedes hacer lo siguiente:
- Exporta los resultados a un bucket de Cloud Storage
- Descarga los resultados en un archivo CSV
- Exporta recursos a un archivo CSV
Exporta los resultados a un bucket de Cloud Storage
En esta sección, se describe cómo exportar datos de Security Command Center a un bucket de Cloud Storage. Cuando haces clic en Exportar en la página Hallazgos de la consola de Google Cloud, Security Command Center obtiene credenciales o permisos de forma automática para escribir en el bucket de Cloud Storage.
Los resultados se exportan en operaciones separadas. Puedes exportar un archivo JSON, JSONL o CSV a un bucket de Cloud Storage existente o crear un bucket durante el proceso de exportación. Puedes exportar todos los resultados actuales o seleccionar los filtros que deseas usar antes de la exportación.
No puedes exportar los resultados a un bucket de Cloud Storage que tenga configurada la política de retención.
Ve a la página Hallazgos en la consola de Google Cloud.
En la barra de herramientas, haz clic en el selector de proyectos y selecciona tu proyecto, organización o carpeta.
Selecciona los resultados que necesitas exportar mediante la aplicación de filtros a la consulta de resultados. Para obtener más información sobre cómo crear filtros, revisa Crea o edita una consulta de resultados en la consola de Google Cloud.
Cuando hayas terminado de crear un filtro, haz clic en Exportar y, luego, en Una vez, haz clic en Cloud Storage.
En la página Exportar, configura la exportación:
- En la sección Exportar a, especifica los siguientes campos:
- En el campo Nombre del proyecto, especifica el proyecto que contiene el bucket de Cloud Storage.
- En el campo Ruta de acceso de exportación, que solo aparece después de que especificas un proyecto, haz clic en Explorar.
- En el panel Seleccionar objeto, selecciona un bucket de Cloud Storage existente o crea un bucket de almacenamiento.
- Después de seleccionar o crear un bucket, ingresa un nombre para el archivo de exportación en Nombre de archivo.
- Haz clic en Seleccionar.
- En la sección Criterios de exportación, especifica los siguientes campos:
- Haz clic en Agrupar resultados por y selecciona cómo deseas agrupar los datos de exportación.
- Haz clic en el campo Formato y selecciona JSON, JSONL o CSV.
- Haz clic en el campo Intervalo de tiempo y selecciona el período desde el que quieres exportar los resultados.
- En la sección Consulta de resultados, confirma que la consulta aparezca como esperas.
- Debajo de la consulta, confirma que la cantidad y el tipo de resultados de coincidencias sean los que esperas.
- Haz clic en Exportar.
Si seleccionaste un archivo existente en el bucket, aparecerá el cuadro de diálogo Confirmar reemplazo.
- Para reemplazar el archivo existente, haz clic en Confirmar.
- Para cambiar el archivo en el que estás escribiendo, haz clic en Cancelar, luego en Explorar en el cuadro Exportar ruta y selecciona o crea un archivo diferente.
- En la sección Exportar a, especifica los siguientes campos:
Los datos configurados se guardan en el bucket de Cloud Storage que especificaste.
Descarga los datos exportados de un bucket de Cloud Storage
Para descargar los datos exportados de JSON, JSONL o CSV, sigue estos pasos:
Ve a la página Navegador de Storage en la consola de Google Cloud.
Selecciona tu proyecto y, luego, haz clic en el bucket al que exportaste los datos.
Selecciona la casilla de verificación que se encuentra al lado del archivo de exportación y, luego, haz clic en Descargar.
En el cuadro de diálogo Guardar archivo, selecciona la ubicación en la que deseas guardar el archivo y, luego, haz clic en Guardar.
El archivo JSON, JSONL o CSV se descarga en la ubicación que especificaste.
Exportar los resultados a un archivo CSV
Para configurar la exportación, puedes filtrar los resultados por categoría, gravedad y otras propiedades. Todos los resultados que coinciden con el filtro se incluyen en el archivo CSV.
Puedes descargar hasta 1,000 resultados directamente en tu estación de trabajo. Si la cantidad de resultados supera los 1,000, se te redireccionará de manera automática a la página Exportar resultados a Cloud Storage, en la que puedes exportar los datos a un bucket de Cloud Storage.
Los registros de resultados se exportan con un conjunto predeterminado de columnas, que podría no coincidir con lo que ves en la consola de Google Cloud. Es decir, ocultar o mostrar las columnas con las Opciones de visualización de columnas no cambia las columnas que se exportan. De manera similar, cambiar el valor de Filas por página no tiene ningún efecto en el contenido exportado.
Para exportar los resultados a un archivo CSV, sigue estos pasos:
En la página de Security Command Center de la consola de Google Cloud, ve a la página Hallazgos.
En la barra de herramientas, haz clic en el selector de proyectos y selecciona tu proyecto, organización o carpeta.
Opcional: Para acotar los resultados que se exportarán, aplica un filtro.
Haz clic en Exportar y, luego, en CSV. Security Command Center comenzará a exportar los resultados.
Cuando se complete la exportación, aparecerá una notificación en la barra de herramientas.
En la barra de herramientas, haz clic en el ícono de notificaciones.
En la notificación Exportación guardada como CSV, haz clic en Descargar. El archivo CSV se descarga en tu estación de trabajo local.
Exportar elementos a un archivo CSV
Puedes descargar los datos de los recursos en un archivo CSV desde la página Activos de la consola de Google Cloud.
Para descargar los datos de activos en un archivo CSV, sigue estos pasos:
En la consola de Google Cloud, ve a la página Recursos de Security Command Center.
En la barra de herramientas, haz clic en el selector de proyectos y selecciona tu proyecto, organización o carpeta.
Usa el panel Filtros rápidos o el campo Filtro del panel de resultados de elementos para seleccionar los recursos que necesitas exportar. Para obtener más información sobre cómo filtrar recursos, consulta Cómo filtrar recursos.
Arriba de los recursos que se muestran, haz clic en Exportar y, luego, en Descargar CSV. Los datos de los recursos en el panel de resultados se descargan en tu estación de trabajo.
Exportar datos con los métodos de la API
Puedes exportar elementos, resultados y marcas de seguridad a un bucket de Cloud Storage o a tu estación de trabajo local mediante la API de Security Command Center.
Exporta datos de recursos con los métodos de la API
Para exportar o enumerar datos de recursos, usa la API de Cloud Asset Inventory. Para obtener más información, consulta Cómo exportar el historial de activos y los metadatos.
Los métodos y campos de recursos de la API de Security Command Center dejaron de estar disponibles y se quitarán el 26 de junio de 2024 o después de esa fecha.
Hasta que se quiten, los usuarios que activaron Security Command Center antes del 26 de junio de 2023 pueden usar los métodos de recursos de la API de Security Command Center para enumerar y exportar datos de recursos, pero estos métodos solo admiten los recursos que admite Security Command Center.
Para obtener información sobre el uso de los métodos de la API de recursos obsoletos, consulta Crea listas de recursos.
Exporta datos de resultados con la API de Security Command Center
Para exportar resultados con la API de Security Command Center, sigue la guía para enumerar los hallazgos de seguridad y, luego, descarga o exporta las respuestas de la API.
Para enumerar los resultados con marcas de seguridad adjuntas, puedes usar los siguientes métodos de la API:
Los métodos muestran resultados con su conjunto completo de propiedades, atributos y marcas asociadas en formato JSON. Si tu aplicación requiere que los datos estén en un formato diferente, debes escribir un código personalizado para convertir el resultado de JSON.
Si especificas un valor en el campo groupBy, puedes usar los siguientes métodos:
El método GroupFindings muestra una lista de los resultados de una organización, agrupados por propiedades especificadas.
Exporta los resultados con gcloud CLI
Si quieres usar comandos de Google Cloud CLI en Cloud Shell para exportar resultados a un bucket de Cloud Storage, sigue estos pasos:
Abra Cloud Shell.
Si deseas escribir los resultados en un archivo, agrega una string de salida a los comandos de gcloud CLI para enumerar los resultados.
Por ejemplo, con el siguiente comando, se almacenan los resultados enumerados en un archivo de texto llamado
FINDINGS.txt.gcloud scc findings list PARENT_ID --source=SOURCE_ID \ --location=locations/LOCATION --filter="FILTER" > FINDINGS.txt
Reemplaza lo siguiente:
FILTER: Es una expresión opcional para limitar la lista de resultados impresos a los que coinciden con la expresión de filtro.LOCATION: Si la residencia de datos está habilitada, especifica la ubicación de Security Command Center en la que se almacenan los resultados.Si la residencia de datos no está habilitada, cuando se especifica la marca
--location, se enumeran los hallazgos con la versión 2 de la API de Security Command Center, y el único valor válido para la marca esglobal.
PARENT_ID: Es el ID de cualquiera de los siguientes recursos superiores:- Organización, especificada como
organizations/ORGANIZATION_IDoORGANIZATION_ID - Carpeta, especificada como
folders/FOLDER_ID - Proyecto, especificado como
projects/PROJECT_ID
- Organización, especificada como
SOURCE_ID: es el ID de origen del proveedor de resultados. Para encontrar un ID de la fuente, consulta Cómo obtener el ID de la fuente.FINDINGS.txt: Es el nombre y la extensión de un archivo de destino para almacenar la lista de resultados.
Copia
FINDINGS.txten el bucket de Cloud Storage.gsutil cp FINDINGS.txt gs://BUCKET_NAME
Reemplaza
BUCKET_NAMEcon el nombre de tu bucket:Para guardar
FINDINGS.txten tu estación de trabajo local y no en un bucket de Cloud Storage, ejecuta el siguiente comando:cloudshell download FINDINGS.txt
Exportaciones continuas
Las exportaciones continuas simplifican el proceso de exportar de forma automática los resultados de Security Command Center a Pub/Sub. Cuando se escriben resultados nuevos, se exportan de forma automática a temas de Pub/Sub designados casi en tiempo real, lo que te permite integrarlos a tu flujo de trabajo existente.
Para obtener más información sobre Pub/Sub, consulta ¿Qué es Pub/Sub?
Comparación entre las exportaciones continuas y las notificaciones de resultados
Security Command Center te permite configurar la búsqueda de notificaciones para Pub/Sub mediante la API de Security Command Center. La API requiere que uses Google Cloud CLI para configurar temas de Pub/Sub, crear filtros de resultados y crear archivos NotificationConfigs que contengan parámetros de configuración a fin de enviar notificaciones. Las exportaciones continuas ofrecen la misma funcionalidad, pero la creación de exportaciones se simplifica mediante la consola de Google Cloud.
Permisos
Para crear y administrar exportaciones continuas, necesitas una de las siguientes funciones.
roles/securitycenter.adminEditorroles/securitycenter.adminViewer
También puedes usar cualquier función que tenga los siguientes permisos:
Para ver o publicar temas de Pub/Sub, sigue estos pasos:
pubsub.topics.publishpubsub.topics.list
Para ver la página de exportaciones continuas, haz lo siguiente:
securitycenter.notificationconfig.getsecuritycenter.notificationconfig.list
Para administrar las exportaciones continuas, haz lo siguiente:
securitycenter.notificationconfig.createsecuritycenter.notificationconfig.updatesecuritycenter.notificationconfig.delete
Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.
Residencia de datos y exportaciones continuas
Si la residencia de datos está habilitada para Security Command Center, las opciones de configuración que definen las exportaciones continuas a Pub/Sub (recursos notificationConfig) están sujetas al control de residencia de datos y se almacenan en una ubicación de Security Command Center que selecciones.
Para exportar los resultados de una ubicación de Security Command Center a Pub/Sub, debes configurar la exportación continua en la misma ubicación de Security Command Center que los resultados.
Debido a que los filtros que se usan en las exportaciones continuas pueden contener datos que están sujetos a controles de residencia, asegúrate de especificar la ubicación correcta antes de crearlos. Security Command Center no restringe la ubicación en la que creas las exportaciones.
Las exportaciones continuas se almacenan solo en la ubicación en la que se crearon y no se pueden ver ni editar en otras ubicaciones.
Después de crear una exportación continua, no puedes cambiar su ubicación. Para cambiar la ubicación, debes borrar la exportación continua y volver a crearla en la ubicación nueva.
Para recuperar una exportación continua mediante llamadas a la API, debes especificar la ubicación en el nombre completo del recurso de notificationConfig. Por ejemplo:
GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}
Del mismo modo, para recuperar una exportación continua con
gcloud CLI, debes especificar la ubicación
en el nombre completo del recurso de la configuración o con la marca
--locations. Por ejemplo:
gcloud scc notifications describe myContinuousExport organizations/123 \
--location=locations/us
Crea una exportación continua a Pub/Sub
Las exportaciones continuas te permiten automatizar la exportación de todos los resultados futuros a Pub/Sub o crear filtros para exportar los resultados futuros que cumplan con criterios específicos. Puedes filtrar los resultados por categoría, fuente, tipo de recurso, marcas de seguridad, gravedad, estado y otras variables.
Tu organización puede crear un máximo de 500 exportaciones continuas.
Para crear una exportación de Pub/Sub, haz lo siguiente:
Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
En la barra de herramientas, haz clic en el selector de proyectos y selecciona tu proyecto, organización o carpeta.
Si la compatibilidad con la residencia de datos está habilitada, justo debajo del selector de proyectos, selecciona la ubicación de tu residencia de datos. Por ejemplo:
En el campo Resultados de la búsqueda, selecciona los hallazgos que deseas exportar con cualquiera de los siguientes métodos:
Haz clic en Agregar filtro para seleccionar las propiedades de los resultados que necesitas exportar.
El diálogo Seleccionar filtro te permite elegir atributos y valores admitidos de resultados.
- Selecciona un atributo de resultado o escribe su nombre en el cuadro Buscar atributos de resultado. Aparecerá una lista de los atributos secundarios disponibles.
- Selecciona un atributo secundario. Se mostrará un campo de selección para las opciones de evaluación sobre una lista de los valores de los atributos secundarios que se encuentran en los hallazgos del panel Resultados de la búsqueda.
- Selecciona una opción de evaluación para los valores del atributo secundario seleccionado. Para obtener más información sobre las opciones de evaluación y los operadores y las funciones que usan, consulta Operadores de consulta en el menú Agregar filtros.
- Selecciona Apply (Apply).
Se cerrará el cuadro de diálogo y se actualizará tu consulta.
- Repite hasta que la consulta de los resultados contenga todos los atributos que deseas.
Codificando de forma manual la consulta de resultados en el editor de consultas. Puedes usar los operadores de SQL estándar
AND,OR, es igual a (=), tiene (:) y no (-) para especificar las propiedades y los valores de los hallazgos que necesitas exportar.A medida que escribes la consulta, aparece un menú de autocompletado en el que puedes seleccionar nombres y funciones de filtro.
Por ejemplo, la siguiente consulta silencia los resultados de
anomalous IAM grantde gravedad baja y media enprod-projecty excluye los tipos de recursos en los que el nombre tiene la substringcompute:severity="LOW" OR severity="MEDIUM" AND category="Persistence: IAM Anomalous Grant" AND resource.project_display_name="prod-project" AND -resource.type:"compute"Para obtener más ejemplos sobre cómo filtrar resultados, consulta Filtra notificaciones.
Revisa la consulta resultante para comprobar que sea correcta. Para realizar cambios, borra o agrega propiedades y filtra los valores según sea necesario.
Haz clic en Actualizar resultados coincidentes. En una tabla se muestran los resultados que coinciden con tu consulta. Para obtener más información sobre las consultas de resultados, revisa Edita una consulta de resultados en la consola de Google Cloud.
Haz clic en Exportar y, luego, en Continuar, haz clic en Pub/Sub.
Revisa el filtro para asegurarte de que sea correcto y, si es necesario, regresa a la página Resultados para modificarlo.
En Nombre de la exportación continua, ingresa un nombre para la exportación.
En Descripción de la exportación continua, ingresa una descripción para la exportación.
En Exportar a, selecciona un proyecto para tu exportación. No puedes crear un proyecto en esta página. Para crear un proyecto nuevo, consulta Crea un proyecto.
En Tema de Pub/Sub, selecciona el tema en el que deseas exportar los resultados. Para crear un tema, haz lo siguiente:
- Selecciona Crea un tema.
- Ingresa un ID del tema y, luego, selecciona otras opciones según sea necesario:
- Aprende a crear y administrar esquemas.
- Obtén más información sobre el uso de claves de encriptación administradas por el cliente (CMEK) con Pub/Sub.
- Haz clic en Crear tema.
Haz clic en Guardar. Verás una confirmación y volverás a la página de resultados.
Sigue la guía a fin de crear una suscripción para tu tema de Pub/Sub.
Se completó la configuración de exportación de Pub/Sub. Para publicar notificaciones, se crea una cuenta de servicio para ti con el formato service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com.
A esta cuenta de servicio se le otorga la función roles/securitycenter.notificationServiceAgent a nivel de organización de forma automática. Esta función de cuenta de servicio es obligatoria para que las notificaciones funcionen.
Prueba exportaciones continuas
Para confirmar que una exportación funciona, realiza los siguientes pasos a fin de activar o desactivar los resultados entre los estados activos y los inactivos.
Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
Haz clic en el botón Editar consulta. Se abrirá el Editor de consultas.
Edita la consulta para que se muestren los resultados activos e inactivos. La siguiente consulta omite la propiedad
statepara mostrar todos los resultados, excepto los que están silenciados:NOT mute="MUTED"
Si es necesario, usa el Editor de consultas para volver a ingresar las variables de filtro que coincidan con el filtro de exportación que estás probando.
Haz clic en el cuadro junto al nombre de un resultado.
Selecciona Cambiar el estado activo y, luego, selecciona Inactivo.
Vuelve a seleccionar el resultado que marcaste como inactivo.
Selecciona Cambiar el estado activo y, luego, selecciona Activo. Se envía una notificación por el resultado recién activo.
Ve a la página Pub/Sub en la consola de Google Cloud.
En la lista de temas, haz clic en el nombre de tu tema.
Selecciona Ver mensajes.
En el panel Mensajes, selecciona tu suscripción de la lista desplegable para ver la búsqueda de notificaciones. Si es necesario, haz clic en Extraer para actualizar los mensajes.
Administra exportaciones continuas
Para ver, editar o borrar exportaciones, haz lo siguiente:
Ve a la página Configuración en Security Command Center.
En la barra de herramientas, haz clic en el selector de proyectos y selecciona tu proyecto, organización o carpeta.
Si la compatibilidad con la residencia de datos está habilitada, justo debajo del selector de proyectos, selecciona la ubicación de tu residencia de datos. Por ejemplo:
Selecciona Exportaciones continuas. Verás una lista de exportaciones continuas para tu proyecto, organización o carpeta.
En la página Exportaciones continuas de Configuración, puedes crear, ver, editar y borrar exportaciones continuas.
Visualiza los resultados relacionados
Para ver los resultados que coincidan con un filtro de exportación, haz lo siguiente:
- En la página Exportaciones continuas, junto al nombre de una exportación, selecciona Más y, luego, haz clic en Ver filtros relacionados.
- La página Resultados se carga con resultados que coinciden con el filtro de exportación.
Edita exportaciones continuas
- En la página Exportaciones continuas, haz clic en el nombre de la exportación que deseas ver o modificar, o haz clic en Más .
- Selecciona Editar.
- Ingresa una descripción nueva, cambia el proyecto en el que se guardan las exportaciones, o ingresa un tema nuevo de Pub/Sub.
- Cuando termines, haz clic en Guardar.
Borra exportaciones continuas
- En la página Exportaciones continuas, haz clic en el nombre de la exportación que deseas borrar.
- Haz clic en delete Borrar.
- En el cuadro de diálogo, haz clic en Borrar. La exportación se borra.
¿Qué sigue?
Obtén más información sobre cómo encontrar notificaciones.