En esta página, se describen dos métodos para exportar datos del Security Command Center, incluidos los recursos, los resultados y las marcas de seguridad:
- Exportaciones únicas de resultados, recursos y marcas de seguridad existentes
- Exportaciones continuas que exportan automáticamente resultados nuevos de Pub/Sub
Puedes exportar datos de Security Command Center con la consola de Google Cloud, Google Cloud CLI o la API de Security Command Center.
También puedes transmitir los resultados a BigQuery. Para obtener más información, consulta Transmite los resultados a BigQuery para su análisis.
Exportaciones únicas
Las exportaciones únicas te permiten transferir y descargar de forma manual los resultados y los recursos históricos y actuales.
En el caso de los resultados, puedes usar la consola de Google Cloud para transferir datos en formato JSON, JSONL o CSV a un bucket de Cloud Storage. También puedes descargar una cantidad limitada de resultados a tu estación de trabajo en formato CSV.
En el caso de los recursos, puedes descargar los datos de la consola de Google Cloud a tu estación de trabajo local como un archivo CSV.
Permisos
Para realizar exportaciones únicas, necesitas lo siguiente:
El rol de administración de identidades y accesos (IAM) Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer
) o cualquier rol que tenga los siguientes permisos:resourcemanager.organizations.get
(obligatorio solo para las activaciones a nivel de la organización de Security Command Center)resourcemanager.projects.get
(obligatorio para las activaciones a nivel del proyecto de Security Command Center)securitycenter.assets.group
securitycenter.assets.list
securitycenter.findings.group
securitycenter.findings.list
securitycenter.sources.get
securitycenter.sources.list
securitycenter.userinterfacemetadata.get
La función de administrador de almacenamiento, que te permite almacenar datos en buckets de Cloud Storage.
Los roles de IAM para Security Command Center se pueden otorgar a nivel de la organización, a nivel de carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos y fuentes de seguridad depende del nivel al que se te otorga acceso. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.
Residencia de datos y exportaciones únicas
No puedes incluir datos que estén sujetos al control de residencia de datos en el filtro de una exportación única a Cloud Storage.
Si especificas una propiedad que contiene datos controlados en el filtro de resultados, Security Command Center devuelve un mensaje de error cuando intentes realizar la exportación.
Exporta datola consola de Google Cloud
Con la consola de Google Cloud, puedes hacer lo siguiente:
- Exporta los resultados a un bucket de Cloud Storage
- Descarga los resultados en un archivo CSV
- Cómo exportar recursos a un archivo CSV
Exporta los resultados a un bucket de Cloud Storage
En esta sección, se describe cómo exportar los datos de Security Command Center a un bucket de Cloud Storage. Cuando haces clic en Exportar en la página Resultados de la consola de Google Cloud, Security Command Center obtiene automáticamente credenciales o permisos para escribir en el bucket de Cloud Storage.
Los resultados se exportan en operaciones separadas. Puedes exportar un archivo JSON, un JSONL o CSV a un bucket de Cloud Storage existente, o crear un bucket durante el proceso de exportación. Puedes exportar todos los resultados actuales selecciona los filtros que quieres usar antes de realizar la exportación.
No puedes exportar resultados a un bucket de Cloud Storage que tenga configurada la política de retención.
Ve a la página Hallazgos en la consola de Google Cloud.
En la barra de herramientas, haz clic el selector de proyectos de
selecciona tu proyecto, organización o carpeta.Aplica filtros a la búsqueda de resultados para seleccionar los que necesitas exportar. Para obtener más información sobre cómo crear filtros, consulta Cómo buscar y ver resultados específicos.
Cuando termine de crear el filtro, haga clic en Exportar y, luego, en Una vez, haz clic en Cloud Storage.
En la página Exportar, configura la exportación:
- En la sección Exportar a, especifica los siguientes campos:
- En el campo Nombre del proyecto, especifica el proyecto que contiene el bucket de Cloud Storage.
- En el campo Ruta de acceso de exportación, que solo aparece después de que especifiques un proyecto, haz clic en Explorar.
- En el panel Seleccionar objeto, selecciona un bucket de Cloud Storage existente o crea un bucket de almacenamiento.
- Después de seleccionar o crear un bucket, en Nombre del archivo, ingresa un nombre para el archivo de exportación.
- Haz clic en Seleccionar.
- En la sección Criterios de exportación, especifica los siguientes campos:
- Haz clic en Agrupar resultados por y selecciona cómo deseas agrupar los datos de exportación.
- Haz clic en el campo Formato y selecciona JSON, JSONL, o CSV.
- Haz clic en el campo Período y selecciona el período desde el que deseas exportar los resultados.
- En la sección Búsqueda de resultados, confirma que la consulta aparezca a medida que lo que espera.
- Debajo de la consulta, confirma que la cantidad y el tipo de resultados coincidentes son lo que esperas.
- Haz clic en Exportar.
Si seleccionaste un archivo existente en el bucket, aparecerá el cuadro de diálogo Confirmar reemplazo.
- Para reemplazar el archivo existente, haz clic en Confirmar.
- Para cambiar el archivo al que escribes, haz clic en Cancelar, luego, en Explorar en el cuadro Ruta de exportación y selecciona o crea un archivo diferente.
- En la sección Exportar a, especifica los siguientes campos:
Los datos configurados se guardan en el bucket de Cloud Storage que que especificaste.
Descarga datos exportados de un bucket de Cloud Storage
Para descargar los datos JSON, JSONL o CSV exportados, sigue estos pasos:
Ve a la página Navegador de Storage en la consola de Google Cloud.
Selecciona tu proyecto y, luego, haz clic en el bucket al que exportaste los datos.
Selecciona la casilla de verificación que se encuentra al lado del archivo de exportación y, luego, haz clic en Descargar.
En el cuadro de diálogo Guardar archivo, selecciona la ubicación en la que deseas guardar el archivo y, luego, haz clic en Guardar.
El archivo JSON, JSONL o CSV se descarga en la ubicación que especificaste.
Exporta los resultados a un archivo CSV
Para configurar la exportación, puedes filtrar los resultados por categoría, gravedad y otras propiedades. Todos los resultados que coincidan con el filtro se incluyen en el archivo CSV.
Puedes descargar hasta 1,000 resultados directamente en tu estación de trabajo. Si el botón de resultados supera las 1,000, se te pedirá que definas mejor tu consulta para obtener menos resultados. También puedes exportar los datos a una bucket de Cloud Storage.
Los registros de resultados se exportan con un conjunto predeterminado de columnas, que podrían no coincida con lo que ves en la consola. Es decir, ocultar o mostrar columnas cambiar las columnas que se exportan. Del mismo modo, cambiar la cantidad de filas que se muestran por página, lo que puedes hacer en la consola de Google Cloud, no tiene efecto en el contenido exportado.
Para obtener información sobre cómo exportar los resultados a un archivo CSV, haz clic en la pestaña de la consola que estás usando.
Consola de Google Cloud
- En la consola de Google Cloud, ve a la página Resultados de Security Command Center.
- Selecciona tu organización o proyecto de Google Cloud.
- Opcional: Para definir mejor la selección de resultados que se exportarán, aplica filtros.
- Haz clic en > CSV. El archivo CSV se descarga en tu estación de trabajo local. Exportar
Consola de operaciones de seguridad
-
En la consola de Operaciones de seguridad, ve a la página Hallazgos.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Reemplaza
CUSTOMER_SUBDOMAIN
por tu identificador específico del cliente. - Opcional: Para definir mejor la selección de resultados que se exportarán, aplica filtros.
- Haz clic en Exportar > CSV. El archivo CSV se descargará en tu estación de trabajo local.
Cómo exportar recursos a un archivo CSV
Puedes descargar los datos de los recursos a un archivo CSV desde la página Recursos en la consola de Google Cloud.
Para descargar los datos de activos en un archivo CSV, sigue estos pasos:
En la consola de Google Cloud, ve a la página Recursos de Security Command Center.
En la barra de herramientas, haz clic en el selector de proyectos
y selecciona tu proyecto, organización o carpeta.Usa el panel Filtros rápidos o el campo Filtro del panel de resultados de activos para seleccionar los activos que necesitas exportar. Más información sobre filtrar recursos, consulta Cómo filtrar recursos.
Arriba de los recursos que se muestran, haz clic en Exportar y, luego, en Descargar CSV. Los datos de los recursos del panel de resultados se descargan en tu estación de trabajo.
Exporta datos con métodos de API
Puedes exportar recursos, resultados y marcas de seguridad a un bucket de Cloud Storage. tu estación de trabajo local con la API de Security Command Center.
Exporta datos de recursos con los métodos de la API
Para exportar o enumerar datos de recursos, usa la API de Cloud Asset Inventory. Para obtener más información, consulta Exporta el historial y los metadatos de los recursos.
Los métodos y campos de los recursos de la API de Security Command Center dejaron de estar disponibles. se quitarán a partir del 26 de junio de 2024.
Hasta que se quiten, los usuarios que hayan activado Security Command Center antes 26 de junio de 2023 Puede usar los métodos de recursos de la API de Security Command Center para enumerar y exportar datos de recursos, pero estos métodos solo admiten que admite Security Command Center.
Para obtener información sobre el uso de los métodos de la API de recursos obsoletos, consulta cómo enumerar recursos.
Exporta datos de resultados con la API de Security Command Center
Para exportar resultados con la API de Security Command Center, sigue la guía para enumerar hallazgos de seguridad Luego, descarga o exporta las respuestas de la API.
Para enumerar los hallazgos con marcas de seguridad adjuntas, puedes usar el siguientes métodos de API:
Los métodos muestran resultados con su conjunto completo de propiedades, atributos y marcas asociadas en formato JSON. Si la aplicación requiere que los datos estén en un formato diferente, debes escribir el código personalizado para convertir el resultado de JSON.
Si especificas un valor en el campo groupBy
, puedes usar lo siguiente:
métodos:
El método GroupFindings
muestra una lista de los resultados de una organización, agrupados por propiedades especificadas.
Exporta los resultados con gcloud CLI
Usar comandos de Google Cloud CLI en Cloud Shell para exportar a un bucket de Cloud Storage, sigue estos pasos:
Abra Cloud Shell.
Para escribir resultados en un archivo, agrega una cadena de salida al comandos de gcloud CLI para resultados de la ficha.
Por ejemplo, con el siguiente comando, se almacenan los resultados enumerados en un archivo de texto llamado
FINDINGS.txt
.gcloud scc findings list PARENT_ID --source=SOURCE_ID \ --location=locations/LOCATION --filter="FILTER" > FINDINGS.txt
Reemplaza lo siguiente:
FILTER
: Es una expresión opcional para limitar la lista de resultados impresos a aquellos que coinciden con la expresión del filtro.LOCATION
: Si la residencia de datos está habilitada, especifica la ubicación de Security Command Center en la que se almacenan los resultados.Especifica la marca
--location
si la residencia de datos no está habilitada que enumera los hallazgos con la API de Security Command Center v2 el único valor válido para la marca esglobal
.
PARENT_ID
: Es el ID de cualquiera de las siguientes opciones. recursos superiores:- Organización, especificada como
organizations/ORGANIZATION_ID
oORGANIZATION_ID
- Carpeta, especificada como
folders/FOLDER_ID
- Proyecto, especificado como
projects/PROJECT_ID
- Organización, especificada como
SOURCE_ID
: es el ID de origen del proveedor de resultados. Para encontrar un ID de fuente, consulta Obtén el ID de origen.FINDINGS.txt
: Es el nombre y la extensión de un archivo de destino para almacenar la lista de resultados.
Copia
FINDINGS.txt
en el bucket de Cloud Storage.gcloud storage cp FINDINGS.txt gs://BUCKET_NAME
Reemplaza
BUCKET_NAME
con el nombre de tu bucket:Para guardar
FINDINGS.txt
en tu estación de trabajo local, en lugar de una bucket de Cloud Storage, ejecuta el siguiente comando:cloudshell download FINDINGS.txt
Exportaciones continuas
Las exportaciones continuas simplifican el proceso de exportación automática de los resultados de Security Command Center a Pub/Sub. Cuando se escriben resultados nuevos, se exportan de forma automática a temas de Pub/Sub designados casi en tiempo real, lo que te permite integrarlos a tu flujo de trabajo existente.
Para obtener más información sobre Pub/Sub, consulta ¿Qué es Pub/Sub?
Comparación entre las exportaciones continuas y las búsquedas de notificaciones
Security Command Center te permite configurar la búsqueda de notificaciones para Pub/Sub mediante la API de Security Command Center. La API requiere que uses Google Cloud CLI para configurar temas de Pub/Sub, crear filtros de resultados y crear archivos NotificationConfigs
que contengan parámetros de configuración a fin de enviar notificaciones. Las exportaciones continuas ofrecen la misma funcionalidad, pero
la creación de exportaciones se simplifica con la consola de Google Cloud.
Permisos
Para crear y administrar exportaciones continuas, necesitas una de las siguientes funciones.
roles/securitycenter.adminEditor
roles/securitycenter.adminViewer
También puedes usar cualquier función que tenga los siguientes permisos:
Para ver o publicar temas de Pub/Sub, sigue estos pasos:
pubsub.topics.publish
pubsub.topics.list
Para ver la página de exportaciones continuas, haz lo siguiente:
securitycenter.notificationconfig.get
securitycenter.notificationconfig.list
Para administrar las exportaciones continuas, haz lo siguiente:
securitycenter.notificationconfig.create
securitycenter.notificationconfig.update
securitycenter.notificationconfig.delete
Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.
Residencia de datos y exportaciones continuas
Si la residencia de datos
para Security Command Center, los parámetros de configuración que definen
las exportaciones continuas a
Pub/Sub (notificationConfig
recursos) están sujetos
al control de residencia de datos y se almacenan en un
Ubicación de Security Command Center
que selecciones.
Para exportar los resultados de una ubicación de Security Command Center a Pub/Sub, debes configurar la infraestructura exportar en la misma ubicación de Security Command Center que los resultados.
Debido a que los filtros que se usan en las las exportaciones pueden contener datos sujetos a controles de residencia, asegúrate de especificar la ubicación correcta antes de crearlos. Security Command Center no restringe la ubicación que creas exportarás.
Las exportaciones continuas se almacenan solo en la ubicación en la que se crean y no se pueden ver ni editar en otras ubicaciones.
Después de crear una exportación continua, no puedes cambiar su ubicación. Para cambiar la ubicación, debes borrar la exportación continua y volver a crearla en la ubicación nueva.
Para recuperar una exportación continua con llamadas a la API, debes especificar la ubicación en el nombre completo del recurso de notificationConfig
. Por ejemplo:
GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}
Del mismo modo, para recuperar una exportación continua usando
en gcloud CLI, debes especificar la ubicación
en el nombre completo del recurso de la configuración o mediante --locations
marca. Por ejemplo:
gcloud scc notifications describe myContinuousExport organizations/123 \ --location=locations/us
Crea una exportación continua a Pub/Sub
Las exportaciones continuas te permiten automatizar la exportación de todos los resultados futuros a Pub/Sub o crear filtros para exportar resultados futuros que cumplan con criterios específicos. Puedes filtrar los resultados por categoría, fuente, tipo de recurso, marcas de seguridad, gravedad, estado y otras variables.
Tu organización puede crear un máximo de 500 exportaciones continuas.
Para crear una exportación de Pub/Sub, haz lo siguiente:
Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
En la barra de herramientas, haz clic en el selector de proyectos
y selecciona tu proyecto, organización o carpeta.Opcional: Si está habilitada la residencia de datos para Security Command Center y, luego, cambia la ubicación de los datos según sea necesario.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación en la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
En el campo Resultados de la búsqueda, selecciona los hallazgos que deseas exportar. utilizando cualquiera de los siguientes métodos:
Haz clic en Agregar filtro para seleccionar las propiedades de los resultados que necesitas exportar.
El diálogo Seleccionar filtro te permite elegir atributos y valores admitidos de resultados.
- Selecciona un atributo de resultado o escribe su nombre en el cuadro Buscar atributos de los hallazgos. Se mostrará una lista de los atributos secundarios disponibles.
- Selecciona un atributo secundario. Se mostrará un campo de selección en el que puedes crear la instrucción de consulta con el atributo secundario que seleccionaste, un operador de consulta y uno o más valores para el atributo secundario.
- En el panel, selecciona el operador y uno o más valores para el atributo secundario. Para obtener más información sobre los operadores de consulta y las funciones que usan, consulta Consulta operadores en el menú Agregar filtros.
- Haz clic en Aplicar.
Se cerrará el cuadro de diálogo y se actualizará tu consulta.
- Repite hasta que la consulta de los resultados contenga todos los atributos que deseas.
Codificando de forma manual la consulta de resultados en el editor de consultas. Puedes usar los operadores de SQL estándar
AND
,OR
, igual (=
), tiene (:
) y no (-
) para especificar las propiedades y los valores de los resultados que necesitas exportar.A medida que escribes tu consulta, aparece un menú de autocompletado, en el que puedes seleccionar funciones y nombres de filtros.
Por ejemplo, la siguiente consulta silencia los niveles de gravedad baja y media.
anomalous IAM grant
hallazgos enprod-project
y excluye tipos de recursos en los que el nombre tiene la subcadenacompute
:severity="LOW" OR severity="MEDIUM" AND category="Persistence: IAM Anomalous Grant" AND resource.project_display_name="prod-project" AND -resource.type:"compute"
Para ver más ejemplos sobre el filtrado de resultados, consulta Filtra notificaciones.
Revisa la consulta resultante para verificar su precisión. Para realizar cambios, borra o agrega propiedades y filtra los valores según sea necesario.
Haz clic en Actualizar resultados coincidentes. En una tabla, se muestran los resultados que coinciden con tu consulta. Para obtener más información sobre los resultados de la consulta, visita Edita una consulta de resultados en la consola de Google Cloud.
Haz clic en Exportar y, luego, en Continuar, haz clic en Pub/Sub.
Revisa el filtro para asegurarte de que sea correcto y, si es necesario, regresa a la página Resultados para modificarlo.
En Nombre de la exportación continua, ingresa un nombre para la exportación.
En Descripción de la exportación continua, ingresa una descripción para la exportación.
En Exportar a, selecciona un proyecto para tu exportación. No puedes crear un proyecto en esta página. Para crear un proyecto nuevo, consulta Crea un proyecto.
En Tema de Pub/Sub, selecciona el tema en el que deseas exportar los resultados. Para crear un tema, haz lo siguiente:
- Selecciona Crea un tema.
- Ingresa un ID del tema y, luego, selecciona otras opciones según sea necesario:
- Obtén más información para crear y administrar esquemas.
- Obtén más información sobre el uso de claves de encriptación administradas por el cliente (CMEK) con Pub/Sub.
- Haz clic en Crear tema.
Haz clic en Guardar. Verás una confirmación y volverás a la página de resultados.
Sigue la guía para crear una suscripción para tu tema de Pub/Sub.
Se completó la configuración de exportación de Pub/Sub. Para publicar notificaciones, se crea una cuenta de servicio para ti con el formato service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
.
A esta cuenta de servicio se le otorga la función roles/securitycenter.notificationServiceAgent
a nivel de organización de forma automática. Esta función de cuenta de servicio es obligatoria para que las notificaciones funcionen.
Prueba exportaciones continuas
Para confirmar que una exportación funciona, realiza los siguientes pasos a fin de activar o desactivar los resultados entre los estados activos y los inactivos.
Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
Haz clic en el botón Editar consulta. Se abrirá el Editor de consultas.
Edita la consulta para que tanto los resultados activos como los inactivos que se muestran. La siguiente consulta omite la propiedad
state
en mostrar todos los resultados, excepto los silenciados:NOT mute="MUTED"
Si es necesario, usa el Editor de consultas para volver a ingresar las variables de filtro que coincidan con el filtro de exportación que estás probando.
Selecciona un hallazgo y haz clic en Cambiar estado activo > Inactivo.
Vuelve a seleccionar el hallazgo que marcaste como inactivo, haz clic Cambia el estado activo > Activo. Se envía una notificación para el hallazgo recién activo.
Ve a la página Pub/Sub en la consola de Google Cloud.
En la lista de temas, haz clic en el nombre de tu tema.
Ve a la pestaña Mensajes y selecciona tu suscripción en la lista. ver la notificación del hallazgo.
Opcional: Haz clic en Extraer para actualizar los mensajes.
Administra exportaciones continuas
Para ver, editar o borrar exportaciones, haz lo siguiente:
Ve a la página Configuración en Security Command Center.
En la barra de herramientas, haz clic el selector de proyectos de
selecciona tu proyecto, organización o carpeta.Opcional: Si la residencia de datos está habilitada para Security Command Center, cambia la ubicación de los datos según sea necesario.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación en la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
Selecciona Exportaciones continuas. Verás una lista de las exportaciones continuas para tu proyecto, carpeta o organización.
En la página Exportaciones continuas de Configuración, puedes crear, ver, editar y borrar las exportaciones continuas.
Ver resultados relacionados
Para ver los resultados que coincidan con un filtro de exportación, haz lo siguiente:
- En la página Exportaciones continuas, junto al nombre de una exportación, selecciona Más y y, luego, en Ver filtros relacionados.
- La página Resultados se carga con resultados que coinciden con el filtro de exportación.
Editar exportaciones continuas
- En la página Exportaciones continuas, haz clic en el nombre de la exportación que deseas. para verlos o modificarlos, o bien haga clic en Más
- Selecciona Editar.
- Ingresa una descripción nueva, cambia el proyecto en el que se guardan las exportaciones, o ingresa un tema nuevo de Pub/Sub.
- Cuando termines, haz clic en Guardar.
Borra exportaciones continuas
- En la página Exportaciones continuas, haz clic en el nombre de la exportación que deseas borrar.
- Haz clic en delete Borrar.
- En el cuadro de diálogo, haz clic en Borrar. La exportación se borra.
¿Qué sigue?
Obtén más información sobre las notificaciones de búsquedas.