Exporta datos de Security Command Center

En esta página, se describen dos métodos para exportar datos del Security Command Center, incluidos los recursos, los resultados y las marcas de seguridad:

• Exportaciones únicas de resultados, recursos y marcas de seguridad existentes
• Exportaciones continuas que exportan de forma automática los resultados nuevos a Pub/Sub

Puedes exportar datos de Security Command Center mediante la consola de Google Cloud, Google Cloud CLI o la API de Security Command Center.

También puedes transmitir los resultados a BigQuery. Si deseas obtener más información, consulta Transmite los resultados a BigQuery para su análisis.

Exportaciones únicas

Las exportaciones únicas te permiten transferir y descargar de forma manual los resultados y los recursos históricos y actuales.

Para los resultados, puedes usar la consola de Google Cloud para transferir datos en formato JSON, JSONL o CSV a un bucket de Cloud Storage. También puedes descargar una cantidad limitada de resultados en tu estación de trabajo en formato CSV.

Para los recursos, puedes descargar los datos de la consola de Google Cloud a tu estación de trabajo local como un archivo CSV.

Permisos

Para realizar exportaciones únicas, necesitas lo siguiente:

• La función de Visualizador administrador del centro de seguridad (roles/securitycenter.adminViewer) de Identity and Access Management (IAM) o cualquier función que tenga los siguientes permisos:

  • resourcemanager.organizations.get (obligatorio solo para las activaciones de Security Command Center a nivel de la organización)
  • resourcemanager.projects.get (obligatorio para las activaciones a nivel de proyecto de Security Command Center)
  • securitycenter.assets.group
  • securitycenter.assets.list
  • securitycenter.findings.group
  • securitycenter.findings.list
  • securitycenter.sources.get
  • securitycenter.sources.list
  • securitycenter.userinterfacemetadata.get

• La función de administrador de almacenamiento, que te permite almacenar datos en buckets de Cloud Storage.

Las funciones de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad de ver, editar, crear o actualizar los resultados, los elementos y las fuentes de seguridad depende del nivel para el que se te otorgue acceso. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Residencia de datos y exportaciones únicas

No puedes incluir ninguno de tus datos sujetos al control de residencia de datos en el filtro de una exportación única a Cloud Storage.

Si especificas una propiedad que contiene datos controlados en el filtro de resultados, Security Command Center muestra un mensaje de error cuando intentas realizar la exportación.

Exporta datola consola de Google Cloud

Con la consola de Google Cloud, puedes hacer lo siguiente:

• Exporta los resultados a un bucket de Cloud Storage
• Descargar los resultados en un archivo CSV
• Cómo exportar recursos a un archivo CSV

Exporta los resultados a un bucket de Cloud Storage

En esta sección, se describe cómo exportar datos de Security Command Center a un bucket de Cloud Storage. Cuando haces clic en Exportar en la página Resultados de la consola de Google Cloud, Security Command Center obtiene de forma automática credenciales o permisos para escribir en el bucket de Cloud Storage.

Los resultados se exportan en operaciones separadas. Puedes exportar un archivo JSON, JSONL o CSV a un bucket de Cloud Storage existente o crear un bucket durante el proceso de exportación.

Puedes exportar todos los resultados actuales o seleccionar los filtros que deseas usar antes de la exportación.

1. Ve a la página Resultados en la consola de Google Cloud.

   Ir a hallazgos

2. En la barra de herramientas, haz clic en el selector de proyectos arrow_drop_down y selecciona tu proyecto, organización o carpeta.

3. Selecciona los resultados que necesitas exportar mediante la aplicación de filtros a la consulta de resultados. Si quieres obtener más información para crear filtros, consulta Crea o edita una consulta de resultados en la consola de Google Cloud.

4. Cuando termines de crear un filtro, haz clic en Exportar y, luego, en Una vez, haz clic en Cloud Storage.

5. En la página Exportar, configura la exportación:

   1. En la sección Exportar a, especifica los siguientes campos:
      1. En el campo Nombre del proyecto, especifica el proyecto que contiene el bucket de Cloud Storage.
      2. En el campo Export path, que solo aparece después de especificar un proyecto, haz clic en Browse.
      3. En el panel Seleccionar objeto, selecciona un bucket de Cloud Storage existente o crea un bucket de almacenamiento.
      4. Después de seleccionar o crear un bucket, en Nombre de archivo, ingresa un nombre para el archivo de exportación.
      5. Haz clic en Seleccionar.
   2. En la sección Export criterios, especifica los siguientes campos:
      1. Haz clic en Agrupar resultados por y selecciona cómo deseas agrupar los datos de exportación.
      2. Haz clic en el campo Formato y selecciona JSON, JSONL o CSV.
      3. Haz clic en el campo Intervalo de tiempo y selecciona el período desde el que se exportarán los resultados.
   3. En la sección Consulta de resultados, confirma que la consulta aparezca como lo esperas.
   4. Debajo de la consulta, confirma que la cantidad y el tipo de resultados coincidentes sean los que esperas.
   5. Haz clic en Exportar.

   Si seleccionaste un archivo existente en el bucket, aparecerá el cuadro de diálogo Confirmar reemplazo.

   • Para reemplazar el archivo existente, haz clic en Confirmar.
   • Para cambiar el archivo en el que estás escribiendo, haz clic en Cancelar, luego haz clic en Explorar en el cuadro Exportar ruta y selecciona o crea un archivo diferente.

Los datos configurados se guardan en el bucket de Cloud Storage que especificaste.

Descarga datos exportados desde un bucket de Cloud Storage

Para descargar los datos exportados en formato JSON, JSONL o CSV, sigue estos pasos:

1. Ve a la página Navegador de Storage en la consola de Google Cloud.

   Ir al explorador de almacenamiento

2. Selecciona tu proyecto y, luego, haz clic en el bucket al que exportaste los datos.

3. Selecciona la casilla de verificación que se encuentra al lado del archivo de exportación y, luego, haz clic en Descargar.

4. En el cuadro de diálogo Guardar archivo, selecciona la ubicación en la que deseas guardar el archivo y, luego, haz clic en Guardar.

El archivo JSON, JSONL o CSV se descarga en la ubicación que especificaste.

Exportar los resultados a un archivo CSV

Para configurar la exportación, puedes filtrar los resultados por categoría, gravedad y otras propiedades. Todos los resultados que coinciden con el filtro se incluyen en el archivo CSV.

Puedes descargar hasta 1,000 hallazgos directamente en tu estación de trabajo. Si la cantidad de resultados supera los 1,000, se te redirecciona de forma automática a la página Exporta resultados a Cloud Storage, en la que puedes exportar los datos a un bucket de Cloud Storage.

Los registros de resultados se exportan con un conjunto de columnas predeterminado, que podría no coincidir con lo que ves en la consola de Google Cloud. Es decir, ocultar o mostrar columnas con las opciones de visualización de columnas view_week no cambia las columnas que se exportan. Del mismo modo, cambiar el valor de Filas por página no afecta el contenido exportado.

Para exportar los resultados a un archivo CSV, sigue estos pasos:

1. En la página de Security Command Center de la consola de Google Cloud, ve a la página Resultados.

   Ir a hallazgos

2. En la barra de herramientas, haz clic en el selector de proyectos arrow_drop_down y selecciona tu proyecto, organización o carpeta.

3. Opcional: Para limitar los resultados que se exportarán, aplica un filtro.

4. Haz clic en download Exportar y, luego, en CSV. Security Command Center comienza a exportar los resultados.

   Cuando se complete la exportación, aparecerá una notificación en la barra de herramientas.

5. En la barra de herramientas, haz clic en el ícono de notificaciones.

6. En la notificación Exportación guardada como CSV, haz clic en Descargar. El archivo CSV se descarga en tu estación de trabajo local.

Exportar elementos a un archivo CSV

Puedes descargar los datos de los recursos en un archivo CSV desde la página Recursos de la consola de Google Cloud.

Para descargar datos de recursos en un archivo CSV, sigue estos pasos:

1. Ve a la página Recursos:

   Ir a recursos

2. En la barra de herramientas, haz clic en el selector de proyectos arrow_drop_down y selecciona tu proyecto, organización o carpeta.

3. Usa el panel Filtros rápidos o el campo Filtro del panel de resultados de recursos para seleccionar los recursos que necesitas exportar. Para obtener más información sobre cómo filtrar recursos, consulta Cómo filtrar recursos.

4. Arriba de los recursos que se muestran, haz clic en Exportar y, luego, en Descargar CSV. Los datos de los recursos del panel de resultados se descargan en tu estación de trabajo.

Exporta datos con los métodos de la API

Puedes exportar recursos, resultados y marcas de seguridad a un bucket de Cloud Storage o a tu estación de trabajo local con la API de Security Command Center.

Exporta datos de elementos con los métodos de la API

Para exportar o mostrar una lista de los datos de los recursos, usa la API de Cloud Asset Inventory. Para obtener más información, consulta Cómo exportar el historial de activos y los metadatos.

Los métodos y campos de los recursos de la API de Security Command Center dejaron de estar disponibles y se quitarán el 26 de junio de 2024 o después de esa fecha.

Hasta que se quiten, los usuarios que activaron Security Command Center antes del 26 de junio de 2023 pueden usar los métodos de recursos de la API de Security Command Center para enumerar y exportar datos de recursos, pero estos métodos solo admiten los que admite Security Command Center.

Para obtener información sobre el uso de los métodos de la API de recursos obsoletos, consulta cómo enumerar recursos.

Exporta los datos de los resultados mediante la API de Security Command Center

Si quieres exportar los resultados con la API de Security Command Center, sigue la guía para enumerar resultados de seguridad y, luego, descarga o exporta las respuestas de la API.

Para enumerar los resultados con cualquier marca de seguridad adjunta, puedes usar los siguientes métodos de API:

• organizations.sources.findings/list
• folders.sources.findings/list
• project.sources.findings/list

Los métodos muestran los resultados con su conjunto completo de propiedades, atributos y marcas asociadas en formato JSON. Si tu aplicación requiere que los datos estén en un formato diferente, debes escribir código personalizado para convertir el resultado en formato JSON.

Si especificas un valor en el campo groupBy, puedes usar los siguientes métodos:

• organizations.sources.findings/group
• folders.sources.findings/list
• projects.sources.findings/group

El método GroupFindings muestra una lista de los resultados de una organización, agrupados según las propiedades especificadas.

Exporta los resultados con gcloud CLI

Si quieres usar los comandos de Google Cloud CLI en Cloud Shell para exportar los resultados a un bucket de Cloud Storage, sigue estos pasos:

1. Abra Cloud Shell.

   Ir a Cloud Shell

2. Para escribir los resultados en un archivo, agrega una string de salida a los comandos de gcloud CLI para enumerar los resultados.

   Por ejemplo, con el siguiente comando, se almacenan los resultados enumerados en un archivo de texto llamado FINDINGS.txt.

    gcloud scc findings list PARENT_ID --source=SOURCE_ID \
      --location=locations/LOCATION --filter="FILTER" > FINDINGS.txt
   

   Reemplaza lo siguiente:

   • FILTER: Es una expresión opcional para limitar la lista de resultados impresa a aquellos que coinciden con la expresión de filtro.

     • LOCATION: Si la residencia de datos está habilitada, especifica la ubicación de Security Command Center en la que se almacenan los resultados.

       Si la residencia de datos no está habilitada, si especificas la marca --location, se enumeran los resultados con la API de Security Command Center v2 y el único valor válido para la marca es global.

   • PARENT_ID: Es el ID de cualquiera de los siguientes recursos superiores:

     • Organización, especificada como organizations/ORGANIZATION_ID o ORGANIZATION_ID
     • Carpeta, especificada como folders/FOLDER_ID
     • El proyecto, especificado como projects/PROJECT_ID

   • SOURCE_ID: es el ID de origen del proveedor de resultados. Para encontrar un ID de fuente, consulta Cómo obtener el ID de origen.

   • FINDINGS.txt: Es el nombre y la extensión de un archivo de destino para almacenar la lista de resultados.

3. Copia FINDINGS.txt en el bucket de Cloud Storage.

   gsutil cp FINDINGS.txt gs://BUCKET_NAME

   Reemplaza BUCKET_NAME con el nombre de tu bucket:

4. Para guardar FINDINGS.txt en tu estación de trabajo local en lugar de en un bucket de Cloud Storage, ejecuta el siguiente comando:

   cloudshell download FINDINGS.txt

Exportaciones continuas

Las exportaciones continuas simplifican el proceso de exportación automática de los resultados de Security Command Center a Pub/Sub. Cuando se escriben resultados nuevos, se exportan de forma automática a temas de Pub/Sub designados casi en tiempo real, lo que te permite integrarlos a tu flujo de trabajo existente.

Para obtener más información sobre Pub/Sub, consulta ¿Qué es Pub/Sub?

Exportaciones continuas versus notificaciones de resultados

Security Command Center te permite configurar la búsqueda de notificaciones para Pub/Sub mediante la API de Security Command Center. La API requiere que uses Google Cloud CLI para configurar temas de Pub/Sub, crear filtros de resultados y crear archivos NotificationConfigs que contengan parámetros de configuración a fin de enviar notificaciones. Las exportaciones continuas ofrecen la misma funcionalidad, pero la creación de exportaciones se simplifica con la consola de Google Cloud.

Permisos

Para crear y administrar exportaciones continuas, necesitas una de las siguientes funciones.

• roles/securitycenter.adminEditor
• roles/securitycenter.adminViewer

También puedes usar cualquier función que tenga los siguientes permisos:

• Para ver o publicar temas de Pub/Sub, sigue estos pasos:

  • pubsub.topics.publish
  • pubsub.topics.list

• Para ver la página de exportaciones continuas, haz lo siguiente:

  • securitycenter.notificationconfig.get
  • securitycenter.notificationconfig.list

• Para administrar las exportaciones continuas, haz lo siguiente:

  • securitycenter.notificationconfig.create
  • securitycenter.notificationconfig.update
  • securitycenter.notificationconfig.delete

Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Residencia de datos y exportaciones continuas

Si la residencia de datos está habilitada para Security Command Center, la configuración que define las exportaciones continuas a Pub/Sub (recursos notificationConfig) está sujeta al control de residencia de datos y se almacena en una ubicación de Security Command Center que selecciones.

Para exportar los resultados de una ubicación de Security Command Center a Pub/Sub, debes configurar la exportación continua en la misma ubicación de Security Command Center que los resultados.

Debido a que los filtros que se usan en las exportaciones continuas pueden contener datos sujetos a controles de residencia, asegúrate de especificar la ubicación correcta antes de crearlos. Security Command Center no restringe la ubicación en la que creas las exportaciones.

Las exportaciones continuas se almacenan solo en la ubicación en la que se crearon y no se pueden ver ni editar en otras ubicaciones.

Después de crear una exportación continua, no puedes cambiar su ubicación. Para cambiar la ubicación, debes borrar la exportación continua y volver a crearla en la ubicación nueva.

Para recuperar una exportación continua mediante llamadas a la API, debes especificar la ubicación en el nombre completo del recurso de notificationConfig. Por ejemplo:

GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}

Del mismo modo, para recuperar una exportación continua con gcloud CLId, debes especificar la ubicación, ya sea en el nombre completo del recurso de la configuración o con la marca --locations. Por ejemplo:

gcloud scc notifications describe myContinuousExport organizations/123 \
    --location=locations/us

Crea una exportación continua a Pub/Sub

Las exportaciones continuas te permiten automatizar la exportación de todos los resultados futuras a Pub/Sub o crear filtros para exportar resultados futuros que cumplan con criterios específicos. Puedes filtrar los resultados por categoría, fuente, tipo de recurso, marcas de seguridad, gravedad, estado y otras variables.

Tu organización puede crear un máximo de 500 exportaciones continuas.

Si deseas crear una exportación para Pub/Sub, haz lo siguiente:

1. Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.

   Ir a hallazgos

2. En la barra de herramientas, haz clic en el selector de proyectos arrow_drop_down y selecciona tu proyecto, organización o carpeta.

3. Si la compatibilidad con la residencia de datos está habilitada, debajo del selector de proyectos, selecciona tu ubicación de residencia de datos. Por ejemplo:

   

4. En el campo Resultados de la consulta de resultados, selecciona los resultados que deseas exportar mediante uno de los siguientes métodos:

   • Haz clic en Agregar filtro para seleccionar las propiedades de los resultados que necesitas exportar.

     El diálogo Seleccionar filtro te permite elegir atributos y valores admitidos de resultados.

     1. Selecciona un atributo de resultado o escribe su nombre en el cuadro Buscar atributos de resultados. Aparecerá una lista de los atributos secundarios disponibles.
     2. Selecciona un atributo secundario. Se muestra un campo de selección para tus opciones de evaluación sobre una lista de los valores de los atributos secundarios que se encuentran en los resultados del panel Resultados de la consulta de resultados.
     3. Selecciona una opción de evaluación para los valores del atributo secundario seleccionado. Para obtener más información sobre las opciones de evaluación y los operadores y funciones que usan, revisa Operadores de consulta en el menú Agregar filtros.
     4. Selecciona Apply (Apply).

        Se cerrará el cuadro de diálogo y se actualizará tu consulta.

     5. Repite hasta que la consulta de los resultados contenga todos los atributos que deseas.

   • Si codificas manualmente la consulta de resultados en el editor de consultas Puedes usar los operadores de SQL estándar AND, OR, es igual a (=), tiene (:) y no (-) para especificar las propiedades y los valores del resultado que necesitas exportar.

     A medida que escribes tu consulta, aparece un menú de autocompletado en el que puedes seleccionar nombres y funciones de filtros.

     Por ejemplo, la siguiente consulta silencia los resultados de anomalous IAM grant de gravedad baja y media en prod-project y excluye los tipos de recursos en los que el nombre tiene la substring compute:

     severity="LOW" OR severity="MEDIUM" AND category="Persistence:
     IAM Anomalous Grant" AND resource.project_display_name="prod-project"
     AND -resource.type:"compute"
     

     Para obtener más ejemplos sobre cómo filtrar resultados, consulta Filtra notificaciones.

5. Revisa la consulta resultante para comprobar su exactitud. Para realizar cambios, borra o agrega propiedades y filtra valores según sea necesario.

6. Haz clic en Actualizar resultados coincidentes. En una tabla se muestran los resultados que coinciden con tu consulta. Para obtener más información sobre las consultas de resultados, consulta Edita una consulta de resultados en la consola de Google Cloud.

7. Haz clic en Exportar y, luego, en Continuar, haz clic en Pub/Sub.

8. Revisa el filtro para asegurarte de que sea correcto y, si es necesario, regresa a la página Resultados para modificarlo.

9. En Nombre de la exportación continua, ingresa un nombre para la exportación.

10. En Descripción de la exportación continua, ingresa una descripción para la exportación.

11. En Exportar a, selecciona un proyecto para tu exportación. No puedes crear un proyecto en esta página. Para crear un proyecto nuevo, consulta Crea un proyecto.

12. En Tema de Pub/Sub, selecciona el tema en el que deseas exportar los resultados. Para crear un tema, haz lo siguiente:

    1. Selecciona Crea un tema.
    2. Ingresa un ID del tema y, luego, selecciona otras opciones según sea necesario:
       1. Obtén más información sobre cómo crear y administrar esquemas.
       2. Obtén más información sobre el uso de claves de encriptación administradas por el cliente (CMEK) con Pub/Sub.
    3. Haz clic en Crear tema.

13. Haz clic en Guardar. Verás una confirmación y volverás a la página de resultados.

14. Sigue la guía a fin de crear una suscripción para tu tema de Pub/Sub.

Se completó la configuración de exportación de Pub/Sub. Para publicar notificaciones, se crea una cuenta de servicio para ti con el formato service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. A esta cuenta de servicio se le otorga la función roles/securitycenter.notificationServiceAgent a nivel de organización de forma automática. Esta función de cuenta de servicio es obligatoria para que las notificaciones funcionen.

Prueba exportaciones continuas

Para confirmar que una exportación funciona, realiza los siguientes pasos a fin de activar o desactivar los resultados entre los estados activos y los inactivos.

1. Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.

   Ir a hallazgos

2. Haz clic en el botón Editar consulta. Se abrirá el Editor de consultas.

3. Edita la consulta para que se muestren los resultados activos e inactivos. En la siguiente consulta, se omite la propiedad state para mostrar todos los resultados, excepto los que están silenciados:

   NOT mute="MUTED"

4. Si es necesario, usa el Editor de consultas para volver a ingresar las variables de filtro que coincidan con el filtro de exportación que estás probando.

5. Haz clic en el cuadro junto al nombre de un resultado.

6. Selecciona Cambiar el estado activo y, luego, selecciona Inactivo.

7. Vuelve a seleccionar el resultado que marcaste como inactivo.

8. Selecciona Cambiar el estado activo y, luego, selecciona Activo. Se envía una notificación por el resultado recién activo.

9. Ve a la página Pub/Sub en la consola de Google Cloud.

   Ir a Pub/Sub

10. En la lista de temas, haz clic en el nombre de tu tema.

11. Selecciona remove_red_eye Ver mensajes.

12. En el panel Mensajes, selecciona tu suscripción de la lista desplegable para ver la búsqueda de notificaciones. Si es necesario, haz clic en Extraer para actualizar los mensajes.

Administra exportaciones continuas

Para ver, editar o borrar exportaciones, haz lo siguiente:

1. Ve a la página Configuración en Security Command Center.

   Ir a la configuración

2. En la barra de herramientas, haz clic en el selector de proyectos arrow_drop_down y selecciona tu proyecto, organización o carpeta.

3. Si la compatibilidad con la residencia de datos está habilitada, debajo del selector de proyectos, selecciona tu ubicación de residencia de datos. Por ejemplo:

   

4. Selecciona Exportaciones continuas. Verás una lista de exportaciones continuas de tu proyecto, organización o carpeta.

En la página Exportaciones continuas en Configuración, puedes crear, ver, editar y borrar exportaciones continuas.

Visualiza los resultados relacionados

Para ver los resultados que coincidan con un filtro de exportación, haz lo siguiente:

1. En la página Exportaciones continuas, junto al nombre de una exportación, selecciona Más more_vert y, luego, haz clic en Ver filtros relacionados.
2. La página Resultados se carga con resultados que coinciden con el filtro de exportación.

Edita exportaciones continuas

1. En la página Exportaciones continuas, haz clic en el nombre de la exportación que deseas ver o modificar, o haz clic en Más more_vert.
2. Selecciona Editar.
3. Ingresa una descripción nueva, cambia el proyecto en el que se guardan las exportaciones, o ingresa un tema nuevo de Pub/Sub.
4. Cuando termines, haz clic en Guardar.

Borra exportaciones continuas

1. En la página Exportaciones continuas, haz clic en el nombre de la exportación que deseas borrar.
2. Haz clic en delete Borrar.
3. En el cuadro de diálogo, haz clic en Borrar. La exportación se borra.

¿Qué sigue?

Obtén más información sobre cómo buscar notificaciones.