Exporta datos de Security Command Center

En esta página, se describen dos métodos para exportar datos del Security Command Center, incluidos los recursos, los resultados y las marcas de seguridad:

  • Exportaciones únicas para resultados, recursos y marcas de seguridad actuales
  • Exportaciones continuas, disponibles para los clientes Premium de Security Command Center, que exportan resultados nuevos a Pub/Sub de forma automática

Security Command Center te permite exportar datos mediante la API de Security Command Center o Google Cloud Console.

De manera alternativa, puedes exportar los resultados a BigQuery.

Exportaciones únicas

Las exportaciones únicas te permiten transferir y descargar de forma manual los resultados y los recursos históricos y actuales. Puedes transferir datos a un bucket de Cloud Storage y descargarlos en tu estación de trabajo local.

Permisos

Para realizar exportaciones únicas, necesitas lo siguiente:

Las funciones de Security Command Center se otorgan a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos y fuentes de seguridad depende del nivel al que se te otorga acceso. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Exporta datos mediante Cloud Console

En esta sección, se describe cómo exportar los datos de Security Command Center con Cloud Console. Cuando haces clic en Exportar en el panel de Security Command Center, Security Command Center obtiene las credenciales o los permisos para escribir en el bucket de Cloud Storage de forma automática.

Exporta datos

Los resultados y los recursos se exportan en operaciones separadas. Puedes exportar un archivo JSON o JSONL a un bucket de Cloud Storage existente o crear uno durante el proceso de exportación.

Puedes exportar todos los recursos o los resultados actuales, o seleccionar los filtros que deseas usar antes de realizar la exportación.

  1. Ve a Security Command Center en Cloud Console.

    Ir a Security Command Center

  2. Para exportar recursos, haz clic en la pestaña Recursos. Para obtener los resultados, haz clic en la pestaña Resultados.

  3. En el campo Filtro, selecciona los atributos, las propiedades y las marcas de seguridad que deseas usar para filtrar tus datos. Un filtro en blanco se evalúa como un comodín y se exportan todos los recursos o los resultados. Para obtener más información sobre cómo crear filtros, consulta Usa el panel de Security Command Center.

  4. Cuando termines de crear un filtro, haz clic en Exportar y, luego, en Una vez, haz clic en Cloud Storage.

  5. En la página Exportar, configura la exportación:

    1. En la lista desplegable Agrupar resultados por (Group Results By), selecciona cómo deseas agrupar los datos de exportación.
    2. En la lista desplegable Formato, selecciona JSON o JSONL.
    3. El campo Filtros muestra los valores de los atributos en el filtro. Para cambiar el filtro, regresa a la página Resultados.
    4. En el cuadro Mostrar resultados de, selecciona la marca de tiempo de los datos que deseas exportar.
    5. En el cuadro Exportar a, selecciona el proyecto en el que deseas exportar los datos.
    6. En el cuadro Exportar ruta, haz clic en Explorar.
    7. En el panel Seleccionar objeto, selecciona un bucket de Cloud Storage existente o crea un bucket de almacenamiento.
    8. Después de seleccionar o crear un bucket, en Nombre del archivo, ingresa un nombre para el archivo de exportación.
    9. Haga clic en Seleccionar.
  6. Cuando termines de configurar la exportación, haz clic en Exportar.

    Si seleccionaste un archivo existente en el bucket, aparecerá el cuadro de diálogo Confirmar reemplazo.

    • Para reemplazar el archivo existente, haz clic en Confirmar.
    • Para cambiar el archivo que escribes, haz clic en Cancelar, luego, en Explorar en el cuadro Exportar ruta y selecciona o crea un archivo diferente.

Los datos configurados se guardan en el bucket de Cloud Storage que especificaste.

Descarga datos exportados

Para descargar los datos JSON o JSONL exportados, realiza los siguientes pasos:

  1. Ve a la página Navegador de Storage en Cloud Console.

    Ir al explorador de almacenamiento

  2. Selecciona tu proyecto y, luego, haz clic en el bucket al que exportaste los datos.

  3. Selecciona la casilla de verificación que se encuentra al lado del archivo de exportación y, luego, haz clic en Descargar.

  4. En el cuadro de diálogo Guardar archivo, selecciona la ubicación en la que deseas guardar el archivo y, luego, haz clic en Guardar.

El archivo JSON o JSONL se descarga en la ubicación que especificaste.

Exporta datos con la API de Security Command Center

Puedes exportar recursos, resultados y marcas de seguridad a un bucket de Cloud Storage o a tu estación de trabajo local mediante la API de Security Command Center. Sigue las guías para enumerar resultados de seguridad o enumerar recursos. Una vez enumeradas, las respuestas de la API para los resultados o los recursos se pueden descargar o exportar.

Para enumerar los resultados o los recursos, con las marcas de seguridad adjuntas, usa los métodos de la API ListFindings o ListAssets. Los métodos muestran recursos o resultados con su conjunto completo de propiedades, atributos y marcas asociadas en formato JSON. Si la aplicación requiere que los datos estén en un formato diferente, debes escribir el código personalizado para convertir el resultado de JSON.

Si especificas un valor en el campo groupBy, se usa el método GroupAssets o GroupFindings. Los métodos GroupAssets y GroupFindings muestran una lista de los recursos o los resultados de una organización, agrupados por propiedades especificadas.

Si deseas exportar el resultado de la API a un bucket de Cloud Storage, usa Cloud Shell para enumerar los recursos o resultados, escribir el resultado en un archivo y copiarlo en el bucket de almacenamiento seleccionado.

  1. Abra Cloud Shell.

    Ir a Cloud Shell

  2. A fin de escribir los resultados o los recursos en un archivo, agrega una string de salida a los comandos de la CLI de gcloud para enumerar resultados o enumerar recursos.

    Por ejemplo, con el siguiente comando, se almacenan los resultados enumerados en un archivo de texto llamado MY_FINDINGS.txt.

      ORGANIZATION_ID=ORGANIZATION_ID
      SOURCE_ID="SOURCE_ID"
      FILTER="category=\"MEDIUM_RISK_ONE\""
    
      gcloud scc findings list $ORGANIZATION_ID --source=$SOURCE_ID \
        --filter="$FILTER" > MY_FINDINGS.txt
    

    Reemplaza lo siguiente:

  3. Copia MY_FINDINGS.txt en el bucket de Cloud Storage.

    gsutil cp MY_FINDINGS.txt gs://MY_BUCKET

    Reemplaza MY_BUCKET con el nombre de tu bucket:

  4. Para guardar MY_FINDINGS.txt en tu estación de trabajo local en lugar de un bucket de Cloud Storage, ejecuta el siguiente código.

    cloudshell download MY_FINDINGS.txt

Exportaciones continuas

Las exportaciones continuas, disponibles para los clientes Premium de Security Command Center, simplifican el proceso de exportación automática de los resultados de Security Command Center a Pub/Sub. Cuando se escriben resultados nuevos, se exportan de forma automática a temas de Pub/Sub designados casi en tiempo real, lo que te permite integrarlos a tu flujo de trabajo existente.

Para obtener más información sobre Pub/Sub, consulta ¿Qué es Pub/Sub?

Comparación entre las exportaciones continuas y las búsquedas de notificaciones

Security Command Center te permite configurar la búsqueda de notificaciones para Pub/Sub mediante la API de Security Command Center. La API requiere que uses Google Cloud CLI para configurar temas de Pub/Sub, crear filtros de resultados y crear archivos NotificationConfigs que contengan parámetros de configuración a fin de enviar notificaciones. Las exportaciones continuas ofrecen la misma funcionalidad, pero la creación de exportaciones se simplifica mediante el panel de Security Command Center.

Permisos

Para crear y administrar exportaciones continuas, necesitas una de las siguientes funciones.

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

También puedes usar cualquier función que tenga los siguientes permisos:

  • Para ver o publicar temas de Pub/Sub, sigue estos pasos:

    • pubsub.topics.publish
    • pubsub.topics.list
  • Para ver la página de exportaciones continuas, haz lo siguiente:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list
  • Para administrar las exportaciones continuas, haz lo siguiente:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Configura exportaciones de Pub/Sub

Las exportaciones continuas te permiten automatizar la exportación de todos los resultados futuros a Pub/Sub o crear filtros para exportar resultados futuros que cumplan con criterios específicos. Puedes filtrar los resultados por categoría, fuente, tipo de recurso, marcas de seguridad, gravedad, estado y otras variables.

Crea exportaciones continuas

Tu organización puede crear un máximo de 500 exportaciones continuas. Para crear una exportación en Pub/Sub, haz lo siguiente:

  1. Ve a la página Resultados de Security Command Center en Cloud Console.

    Ir a resultados

  2. En el campo Filtro, selecciona los atributos, las propiedades o las marcas de seguridad que deseas usar para filtrar los resultados y, luego, ingresar las variables deseadas. Un filtro en blanco se evalúa como un comodín y se exportan todos los resultados. Para obtener más información sobre cómo encontrar propiedades, consulta Usa el panel de Security Command Center.

  3. Haz clic en Exportar y, luego, en Continuar, haz clic en Pub/Sub.

  4. Revisa el filtro para asegurarte de que sea correcto y, si es necesario, regresa a la página Resultados para modificarlo.

  5. En Nombre de la exportación continua, ingresa un nombre para la exportación.

  6. En Descripción de la exportación continua, ingresa una descripción para la exportación.

  7. En Exportar a, selecciona un proyecto para tu exportación. No puedes crear un proyecto en esta página. Para crear un proyecto nuevo, consulta Crea un proyecto.

  8. En Tema de Pub/Sub, selecciona el tema en el que deseas exportar los resultados. Para crear un tema, haz lo siguiente:

    1. Selecciona Crea un tema.
    2. Ingresa un ID del tema y, luego, selecciona otras opciones según sea necesario:
      1. Obtén más información sobre cómo crear y administrar esquemas.
      2. Obtén más información sobre el uso de claves de encriptación administradas por el cliente (CMEK) con Pub/Sub.
    3. Haz clic en Crear tema.
  9. Haz clic en Guardar. Verás una confirmación y volverás a la página de resultados.

  10. Sigue la guía a fin de crear una suscripción para tu tema de Pub/Sub.

Se completó la configuración de exportación de Pub/Sub. Para publicar notificaciones, se crea una cuenta de servicio para ti con el formato service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. A esta cuenta de servicio se le otorga la función securitycenter.notificationServiceAgent a nivel de organización de forma automática. Esta función de cuenta de servicio es obligatoria para que las notificaciones funcionen.

Prueba exportaciones continuas

Para confirmar que una exportación funciona, realiza los siguientes pasos a fin de activar o desactivar los resultados entre los estados activos y los inactivos.

  1. Ve a la página Resultados de Security Command Center en Cloud Console.

    Ir a resultados

  2. Desactiva Mostrar solo los resultados activos.Botón de activación de resultados activos

  3. Si es necesario, vuelve a ingresar las variables de filtro que coincidan con el filtro de exportación que pruebas.

  4. Haz clic en el cuadro junto al nombre de un resultado.

  5. Selecciona Cambiar el estado activo y, luego, selecciona Inactivo.

  6. Vuelve a seleccionar el resultado que marcaste como inactivo.

  7. Selecciona Cambiar el estado activo y, luego, selecciona Activo. Se envía una notificación por el resultado recién activo.

  8. Ve a la página Pub/Sub en Cloud Console:

    Ir a Pub/Sub

  9. En la lista de temas, haz clic en el nombre de tu tema.

  10. Selecciona Ver mensajes.

  11. En el panel Mensajes, selecciona tu suscripción de la lista desplegable para ver la búsqueda de notificaciones. Si es necesario, haz clic en Extraer para actualizar los mensajes.

Administra exportaciones continuas

Para ver, editar o borrar exportaciones, haz lo siguiente:

  1. Ve a la página Configuración en Security Command Center.

    Ir a la configuración

  2. Si es necesario, selecciona tu organización.

  3. Selecciona Exportaciones continuas. Verás una lista de las exportaciones continuas para tu organización.

Desde esta página, puedes realizar las siguientes acciones:

Para ver los resultados que coincidan con un filtro de exportación, haz lo siguiente:

  1. En la página Exportaciones continuas, junto al nombre de una exportación, selecciona Más y, luego, haz clic en Ver filtros relacionados.
  2. La página Resultados se carga con resultados que coinciden con el filtro de exportación.

Edita exportaciones continuas

  1. En la página Exportaciones continuas, haz clic en el nombre de la exportación que deseas ver o modificar, o haz clic en Más .
  2. Selecciona Editar.
  3. Ingresa una descripción nueva, cambia el proyecto en el que se guardan las exportaciones, o ingresa un tema nuevo de Pub/Sub.
  4. Cuando termines, haz clic en Guardar.

Borra exportaciones continuas

  1. En la página Exportaciones continuas, haz clic en el nombre de la exportación que deseas borrar.
  2. Haz clic en Borrar.
  3. En el cuadro de diálogo, haz clic en Borrar. La exportación se borra.

¿Qué sigue?

Obtén más información sobre cómo buscar notificaciones.