Exporta datos de Security Command Center

En esta página, se describen dos métodos para exportar datos del Security Command Center, incluidos los recursos, los resultados y las marcas de seguridad:

• Exportaciones únicas de hallazgos, recursos, y marcas de seguridad
• Exportaciones continuas que exportan automáticamente resultados nuevos de Pub/Sub

Puedes exportar datos de Security Command Center con la consola de Google Cloud, Google Cloud CLI o la API de Security Command Center.

También puedes transmitir los resultados a BigQuery. Para obtener más información, consulta Transmite los resultados a BigQuery para su análisis.

Exportaciones únicas

Las exportaciones únicas te permiten transferir y descargar de forma manual los resultados y los recursos históricos y actuales.

Para los resultados, puedes usar la consola de Google Cloud para transferir datos en formato JSON, JSONL o CSV a un bucket de Cloud Storage. También puedes descarga una cantidad limitada de resultados a tu estación de trabajo en formato CSV.

En el caso de los recursos, puedes descargar los datos desde la consola de Google Cloud. a tu estación de trabajo local como un archivo CSV.

Permisos

Para realizar exportaciones únicas, necesitas lo siguiente:

• El rol de Identity and Access Management (IAM) Visualizador administrador del centro de seguridad (roles/securitycenter.adminViewer) o cualquier rol que tenga el siguientes permisos:

  • resourcemanager.organizations.get (obligatorio solo a nivel de la organización activaciones de Security Command Center)
  • resourcemanager.projects.get (obligatorio para las activaciones a nivel de proyecto) de Security Command Center)
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.userinterfacemetadata.get

• La función de administrador de almacenamiento, que te permite almacenar datos en buckets de Cloud Storage.

Los roles de IAM para Security Command Center se pueden otorgar a nivel de la organización, a nivel de carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos, y las fuentes de seguridad dependen del nivel al que se te otorgue acceso. Para aprender para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.

Residencia de datos y exportaciones únicas

No puedes incluir ninguno de tus datos que están sujetos a la residencia de datos en el filtro de una exportación única a Cloud Storage.

Si especificas una propiedad que contiene datos controlados en el filtro de resultados, Security Command Center devuelve un mensaje de error cuando intentes realizar la exportación.

Exporta datola consola de Google Cloud

Con la consola de Google Cloud, puedes hacer lo siguiente:

• Exporta los resultados a un bucket de Cloud Storage
• Descarga los resultados en un archivo CSV
• Exporta recursos a un archivo CSV

Exporta los resultados a un bucket de Cloud Storage

En esta sección, se describe cómo exportar datos de Security Command Center a un bucket de Cloud Storage. Cuando hagas clic en Exportar, en la pestaña Hallazgos en la consola de Google Cloud, Security Command Center automáticamente obtiene credenciales o permisos para escribir en la bucket de Cloud Storage.

Los resultados se exportan en operaciones separadas. Puedes exportar un archivo JSON, un JSONL o CSV a un bucket de Cloud Storage existente, o crear un bucket durante el proceso de exportación. Puedes exportar todos los resultados actuales selecciona los filtros que quieres usar antes de realizar la exportación.

No puedes exportar los resultados a un bucket de Cloud Storage que tenga política de retención configurada.

1. Ve a la página Hallazgos en la consola de Google Cloud.

   Ir a hallazgos

2. En la barra de herramientas, haz clic el selector de proyectos de arrow_drop_down selecciona tu proyecto, organización o carpeta.

3. Selecciona los hallazgos que necesitas exportar aplicando filtros a búsqueda de resultados. Para obtener más información Para crear filtros, revisa Crea o edita una consulta de resultados en la consola de Google Cloud.

4. Cuando termine de crear el filtro, haga clic en Exportar y, luego, en Una vez, haz clic en Cloud Storage.

5. En la página Exportar, configura la exportación:

   1. En la sección Exportar a, especifica los siguientes campos:
      1. En el campo Nombre del proyecto, especifica el proyecto que contiene lo siguiente: el bucket de Cloud Storage.
      2. En el campo Ruta de acceso de exportación, que solo aparece después de que especificas un proyecto, haz clic en Explorar.
      3. En el panel Seleccionar objeto, selecciona un bucket de Cloud Storage existente o crea un bucket de almacenamiento.
      4. Luego de seleccionar o crear un bucket, en Nombre de archivo, ingresa un nombre para el archivo de exportación.
      5. Haz clic en Seleccionar.
   2. En la sección Criterios de exportación, especifica los siguientes campos:
      1. Haz clic en Agrupar resultados por y selecciona cómo deseas hacerlo. agrupar los datos de exportación.
      2. Haz clic en el campo Formato y selecciona JSON, JSONL, o CSV.
      3. Haz clic en el campo Intervalo de tiempo y selecciona una opción el cual exportar los resultados.
   3. En la sección Búsqueda de resultados, confirma que la consulta aparezca a medida que lo que esperas.
   4. Debajo de la consulta, confirma que la cantidad y el tipo de resultados coincidentes son lo que esperas.
   5. Haz clic en Exportar.

   Si seleccionaste un archivo existente en el bucket, aparecerá el cuadro de diálogo Confirmar reemplazo.

   • Para reemplazar el archivo existente, haz clic en Confirmar.
   • Para cambiar el archivo que estás escribiendo, haz clic en Cancelar y, luego, en Explora en el cuadro Exportar ruta y selecciona o crea una .

Los datos configurados se guardan en el bucket de Cloud Storage que que especificaste.

Descarga los datos exportados de un bucket de Cloud Storage

Para descargar los datos exportados de JSON, JSONL o CSV, sigue estos pasos:

1. Ve a la página Navegador de Storage en la consola de Google Cloud.

   Ir al explorador de almacenamiento

2. Selecciona tu proyecto y, luego, haz clic en el bucket al que exportaste los datos.

3. Selecciona la casilla de verificación que se encuentra al lado del archivo de exportación y, luego, haz clic en Descargar.

4. En el cuadro de diálogo Guardar archivo, selecciona la ubicación en la que deseas guardar el archivo y, luego, haz clic en Guardar.

El archivo JSON, JSONL o CSV se descarga en la ubicación que especificaste.

Exportar los resultados a un archivo CSV

Para configurar la exportación, puedes filtrar los resultados por categoría, gravedad y otras propiedades. Todos los resultados que coinciden con el filtro se incluyen en el archivo CSV. .

Puedes descargar hasta 1,000 resultados directamente en tu estación de trabajo. Si la cantidad de resultados supera los 1,000, se te redireccionará automáticamente. a la página Exportar resultados a Cloud Storage, en la que puedes exportar los datos a un bucket de Cloud Storage.

Los registros de resultados se exportan con un conjunto predeterminado de columnas, que podrían no coincidir con lo que ves en la consola de Google Cloud. Es decir, ocultar o mostrar columnas con la columna view_week opciones de visualización no cambia las columnas que se exportan. De manera similar, cambiar El valor Filas por página no afecta el contenido exportado.

Para exportar los resultados a un archivo CSV, sigue estos pasos:

1. En la página de Security Command Center de la consola de Google Cloud, ve a la página Hallazgos.

   Ir a hallazgos

2. En la barra de herramientas, haz clic el selector de proyectos de arrow_drop_down selecciona tu proyecto, organización o carpeta.

3. Opcional: Para acotar los resultados que se exportarán, aplica un filtro.

4. Haz clic en download Exportar. Haz clic en CSV. Security Command Center comenzará a exportar los resultados.

   Cuando se complete la exportación, aparecerá una notificación en la barra de herramientas.

5. En la barra de herramientas, haz clic en el ícono de notificaciones.

6. En la notificación Exportación guardada como CSV, haz clic en Descargar. El archivo CSV archivo en tu estación de trabajo local.

Exportar elementos a un archivo CSV

Puedes descargar los datos de los elementos en un archivo CSV desde la página Activos en la Consola de Google Cloud

Para descargar los datos de activos en un archivo CSV, sigue estos pasos:

1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

   Ir a Recursos

2. En la barra de herramientas, haz clic el selector de proyectos de arrow_drop_down selecciona tu proyecto, organización o carpeta.

3. Usar el panel Filtros rápidos o el campo Filtro del recurso panel de resultados para seleccionar los recursos que necesitas exportar. Más información sobre cómo filtrar recursos, consulta Cómo filtrar recursos.

4. Arriba de los recursos que se muestran, haz clic en Exportar y, luego, en Descargar CSV. El los datos de los recursos en el panel de resultados se descargan en tu estación de trabajo.

Exportar datos con los métodos de la API

Puedes exportar recursos, resultados y marcas de seguridad a un Cloud Storage tu estación de trabajo local con la API de Security Command Center.

Exporta datos de recursos con los métodos de la API

Para exportar o enumerar datos de recursos, usa la API de Cloud Asset Inventory. Para para obtener más información, consulta Cómo exportar el historial de activos y los metadatos.

Los métodos y campos de recursos de la API de Security Command Center dejaron de estar disponibles. se quitarán a partir del 26 de junio de 2024.

Hasta que se quiten, los usuarios que hayan activado Security Command Center antes 26 de junio de 2023 Puede usar los métodos de recursos de la API de Security Command Center para enumerar y exportar datos de recursos, pero estos métodos solo admiten los recursos que admite Security Command Center.

Para obtener información sobre el uso de los métodos de la API de recursos obsoletos, consulta de fichas.

Exporta datos de resultados con la API de Security Command Center

Para exportar resultados con la API de Security Command Center, sigue la guía para Enumerar los hallazgos de seguridad y, luego, descargarlos o exportar las respuestas de la API.

Para enumerar los hallazgos con marcas de seguridad adjuntas, puedes usar el siguientes métodos de API:

• organizations.sources.findings/list
• folders.sources.findings/list
• project.sources.findings/list

Los métodos devuelven hallazgos con su conjunto completo de propiedades, atributos y marcas asociadas en formato JSON. Si tu aplicación requiere que los datos estén en un formato diferente, debes escribir código personalizado para convertir el resultado de JSON.

Si especificas un valor en el campo groupBy, puedes usar lo siguiente: métodos:

• organizations.sources.findings/group
• folders.sources.findings/list
• projects.sources.findings/group

El método GroupFindings muestra una lista de un de los resultados de una organización, agrupados por propiedades especificadas.

Exporta los resultados con gcloud CLI

Usar comandos de Google Cloud CLI en Cloud Shell para exportar resultados a un bucket de Cloud Storage, sigue estos pasos:

1. Abra Cloud Shell.

   Ir a Cloud Shell

2. Para escribir resultados en un archivo, agrega una cadena de salida al Comandos de gcloud CLI para enumerar los resultados

   Por ejemplo, con el siguiente comando, se almacenan los resultados enumerados en un archivo de texto llamado FINDINGS.txt.

    gcloud scc findings list PARENT_ID --source=SOURCE_ID \
      --location=locations/LOCATION --filter="FILTER" > FINDINGS.txt
   

   Reemplaza lo siguiente:

   • FILTER: una expresión opcional para limitar la lista de los resultados impresos a aquellos que coincidan con la expresión del filtro.

     • LOCATION: Si la residencia de los datos es habilitado, especifica la ubicación de Security Command Center en la que se almacenan los hallazgos.

       Especifica la marca --location si la residencia de datos no está habilitada que enumera los hallazgos con la API de Security Command Center v2 el único valor válido para la marca es global.

   • PARENT_ID: Es el ID de cualquiera de las siguientes opciones. recursos superiores:

     • Organización, especificada como organizations/ORGANIZATION_ID o ORGANIZATION_ID
     • Carpeta, especificada como folders/FOLDER_ID
     • Proyecto, especificado como projects/PROJECT_ID

   • SOURCE_ID: es el ID de origen del proveedor de resultados. Para encontrar un ID de la fuente, consulta Obtener el ID de la fuente

   • FINDINGS.txt: Es el nombre y la extensión de un objetivo. para almacenar la lista de resultados.

3. Copia FINDINGS.txt en el bucket de Cloud Storage.

   gsutil cp FINDINGS.txt gs://BUCKET_NAME

   Reemplaza BUCKET_NAME con el nombre de tu bucket:

4. Para guardar FINDINGS.txt en tu estación de trabajo local, en lugar de una bucket de Cloud Storage, ejecuta el siguiente comando:

   cloudshell download FINDINGS.txt

Exportaciones continuas

Las exportaciones continuas simplifican el proceso de exportar automáticamente los hallazgos de Security Command Center a Pub/Sub Cuando se escriben resultados nuevos, se exportan de forma automática a temas de Pub/Sub designados casi en tiempo real, lo que te permite integrarlos a tu flujo de trabajo existente.

Para obtener más información sobre Pub/Sub, consulta ¿Qué es Pub/Sub?

Comparación entre las exportaciones continuas y las notificaciones de resultados

Security Command Center te permite configurar la búsqueda de notificaciones para Pub/Sub mediante la API de Security Command Center. La API requiere que uses Google Cloud CLI para configurar temas de Pub/Sub, crear filtros de resultados y crear archivos NotificationConfigs que contengan parámetros de configuración a fin de enviar notificaciones. Las exportaciones continuas ofrecen las mismas funciones, pero la creación de exportaciones se simplifica con la consola de Google Cloud.

Permisos

Para crear y administrar exportaciones continuas, necesitas una de las siguientes funciones.

• roles/securitycenter.adminEditor
• roles/securitycenter.adminViewer

También puedes usar cualquier función que tenga los siguientes permisos:

• Para ver o publicar temas de Pub/Sub, sigue estos pasos:

  • pubsub.topics.publish
  • pubsub.topics.list

• Para ver la página de exportaciones continuas, haz lo siguiente:

  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list

• Para administrar las exportaciones continuas, haz lo siguiente:

  • securitycenter.notificationconfig.create
  • securitycenter.notificationconfig.update
  • securitycenter.notificationconfig.delete

Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Residencia de datos y exportaciones continuas

Si la residencia de datos para Security Command Center, los parámetros de configuración que definen las exportaciones continuas a Pub/Sub (notificationConfig recursos) están sujetos al control de residencia de datos y se almacenan en un Ubicación de Security Command Center que selecciones.

Para exportar los resultados de una ubicación de Security Command Center a Pub/Sub, debes configurar la infraestructura exportar en la misma ubicación de Security Command Center que los resultados.

Debido a que los filtros que se usan en las las exportaciones pueden contener datos sujetos a controles de residencia, asegúrate de especificar la ubicación correcta antes de crearlos. Security Command Center no restringe la ubicación que creas exportarás.

Las exportaciones continuas se almacenan solo en la ubicación en las que se crean y no se pueden ver ni editar en otras ubicaciones.

Después de crear una exportación continua, no puedes cambiar su ubicación. Para cambiar la ubicación, debes borrar la exportación continua y volver a crearla en la nueva ubicación.

Para recuperar una exportación continua mediante llamadas a la API, haz lo siguiente: debes especificar la ubicación en el nombre completo del recurso de la notificationConfig. Por ejemplo:

GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}

Del mismo modo, para recuperar una exportación continua usando en gcloud CLI, debes especificar la ubicación en el nombre completo del recurso de la configuración o mediante --locations marca. Por ejemplo:

gcloud scc notifications describe myContinuousExport organizations/123 \
    --location=locations/us

Crea una exportación continua a Pub/Sub

Las exportaciones continuas te permiten automatizar la exportación de todos los resultados futuros a Pub/Sub o crea filtros para exportar hallazgos futuros que cumplan con con criterios específicos. Puedes filtrar los resultados por categoría, fuente, tipo de recurso, marcas de seguridad, gravedad, estado y otras variables.

Tu organización puede crear un máximo de 500 exportaciones continuas.

Para crear una exportación de Pub/Sub, haz lo siguiente:

1. Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.

   Ir a hallazgos

2. En la barra de herramientas, haz clic el selector de proyectos de arrow_drop_down selecciona tu proyecto, organización o carpeta.

3. Si la compatibilidad con la residencia de datos está habilitada, justo debajo del proyecto selecciona tu ubicación de residencia de datos. Por ejemplo:

   

4. En el campo Resultados de la búsqueda, selecciona los hallazgos que deseas exportar. utilizando cualquiera de los siguientes métodos:

   • Si haces clic en Agregar filtro para seleccionar las propiedades de los resultados que que se deben exportar.

     El diálogo Seleccionar filtro te permite elegir atributos y valores admitidos de resultados.

     1. Selecciona un atributo de hallazgo o escribe su nombre en la Cuadro Buscar atributos de hallazgos. Una lista de los productos disponibles se muestran los atributos secundarios.
     2. Selecciona un atributo secundario. Un campo de selección para tus opciones de evaluación se muestra sobre una lista del atributo secundario valores encontrados en los resultados de la Búsqueda de resultados panel.
     3. Selecciona una opción de evaluación para los valores del el atributo secundario seleccionado. Para obtener más información sobre las opciones de evaluación y los operadores y las funciones que usan, consulta Operadores de consulta en el menú Agregar filtros.
     4. Selecciona Apply (Apply).

        Se cerrará el cuadro de diálogo y se actualizará tu consulta.

     5. Repite hasta que la consulta de los resultados contenga todos los atributos que deseas.

   • Codificando de forma manual la consulta de resultados en el editor de consultas. Puedes usa los operadores de SQL estándar AND, OR, es igual a (=), tiene (:) y no (-) para especificar las propiedades y los valores de estos que necesitas exportar.

     A medida que escribes tu consulta, aparece un menú de autocompletar, en el que puedes seleccionar nombres y funciones de filtro.

     Por ejemplo, la siguiente consulta silencia los niveles de gravedad baja y media. anomalous IAM grant hallazgos en prod-project y excluye tipos de recursos en los que el nombre tiene la subcadena compute:

     severity="LOW" OR severity="MEDIUM" AND category="Persistence:
     IAM Anomalous Grant" AND resource.project_display_name="prod-project"
     AND -resource.type:"compute"
     

     Para obtener más ejemplos sobre cómo filtrar resultados, consulta Filtra notificaciones.

5. Revisa la consulta resultante para comprobar que sea correcta. Para hacer cambios, borra o agregar propiedades y filtrar valores según sea necesario.

6. Haz clic en Actualizar resultados coincidentes. En una tabla, se muestran los hallazgos coincidan con tu consulta. Para obtener más información sobre los resultados de la consulta, visita Edita una consulta de resultados en la consola de Google Cloud.

7. Haz clic en Exportar y, luego, en Continuar, haz clic en Pub/Sub.

8. Revisa el filtro para asegurarte de que sea correcto y, si es necesario, regresa a la página Resultados para modificarlo.

9. En Nombre de la exportación continua, ingresa un nombre para la exportación.

10. En Descripción de la exportación continua, ingresa una descripción para la exportación.

11. En Exportar a, selecciona un proyecto para tu exportación. No puedes crear un proyecto en esta página. Para crear un proyecto nuevo, consulta Crea un proyecto.

12. En Tema de Pub/Sub, selecciona el tema en el que deseas exportar los resultados. Para crear un tema, haz lo siguiente:

    1. Selecciona Crea un tema.
    2. Ingresa un ID del tema y, luego, selecciona otras opciones según sea necesario:
       1. Aprende a crear y administrar esquemas.
       2. Obtén más información sobre el uso de claves de encriptación administradas por el cliente (CMEK) con Pub/Sub.
    3. Haz clic en Crear tema.

13. Haz clic en Guardar. Verás una confirmación y volverás a la página de resultados.

14. Sigue la guía para crear una suscripción. para el tema de Pub/Sub.

Se completó la configuración de exportación de Pub/Sub. Para publicar notificaciones, se crea una cuenta de servicio para ti con el formato service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. A esta cuenta de servicio se le otorga la función roles/securitycenter.notificationServiceAgent a nivel de organización de forma automática. Esta función de cuenta de servicio es obligatoria para que las notificaciones funcionen.

Prueba exportaciones continuas

Para confirmar que una exportación funciona, realiza los siguientes pasos a fin de activar o desactivar los resultados entre los estados activos y los inactivos.

1. Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.

   Ir a hallazgos

2. Haz clic en el botón Editar consulta. Se abrirá el Editor de consultas.

3. Edita la consulta para que tanto los resultados activos como los inactivos que se muestran. La siguiente consulta omite la propiedad state en mostrar todos los resultados, excepto los silenciados:

   NOT mute="MUTED"

4. Si es necesario, usa el Editor de consultas para volver a ingresar las variables de filtro que coincidan con el filtro de exportación que estás probando.

5. Haz clic en el cuadro junto al nombre de un resultado.

6. Selecciona Cambiar el estado activo y, luego, selecciona Inactivo.

7. Vuelve a seleccionar el resultado que marcaste como inactivo.

8. Selecciona Cambiar el estado activo y, luego, selecciona Activo. Se envía una notificación por el resultado recién activo.

9. Ve a la página Pub/Sub en la consola de Google Cloud.

   Ir a Pub/Sub

10. En la lista de temas, haz clic en el nombre de tu tema.

11. Selecciona remove_red_eye Ver mensajes.

12. En el panel Mensajes, selecciona tu suscripción de la lista desplegable para ver la búsqueda de notificaciones. Si es necesario, haz clic en Extraer para actualizar los mensajes.

Administra exportaciones continuas

Para ver, editar o borrar exportaciones, haz lo siguiente:

1. Ve a la página Configuración en Security Command Center.

   Ir a la configuración

2. En la barra de herramientas, haz clic el selector de proyectos de arrow_drop_down selecciona tu proyecto, organización o carpeta.

3. Si la compatibilidad con la residencia de datos está habilitada, justo debajo del proyecto selecciona tu ubicación de residencia de datos. Por ejemplo:

   

4. Selecciona Exportaciones continuas. Verás una lista de exportaciones continuas para tu proyecto, organización o carpeta.

En la página Exportaciones continuas de Configuración, puedes crear, ver, editar, y borrar las exportaciones continuas.

Visualiza los resultados relacionados

Para ver los resultados que coincidan con un filtro de exportación, haz lo siguiente:

1. En la página Exportaciones continuas, junto al nombre de una exportación, selecciona Más more_vert y y, luego, en Ver filtros relacionados.
2. La página Resultados se carga con resultados que coinciden con el filtro de exportación.

Edita exportaciones continuas

1. En la página Exportaciones continuas, haz clic en el nombre de la exportación que deseas. para verlos o modificarlos, o bien haga clic en Más more_vert.
2. Selecciona Editar.
3. Ingresa una descripción nueva, cambia el proyecto en el que se guardan las exportaciones, o ingresa un tema nuevo de Pub/Sub.
4. Cuando termines, haz clic en Guardar.

Borra exportaciones continuas

1. En la página Exportaciones continuas, haz clic en el nombre de la exportación que deseas. borrar.
2. Haz clic en delete Borrar.
3. En el cuadro de diálogo, haz clic en Borrar. La exportación se borra.

¿Qué sigue?

Obtén más información sobre cómo encontrar notificaciones.