Exporta datos de Security Command Center

>

En esta página, se describen dos métodos para exportar datos de Security Command Center, incluidos elementos, resultados y marcas de seguridad:

  • Exportaciones únicas para hallazgos actuales, elementos y marcas de seguridad
  • Exportaciones continuas, disponibles para clientes de Premium de Security Command Center, que exportan automáticamente los resultados nuevos a Pub/Sub

Security Command Center te permite exportar datos con la API de Security Command Center o Google Cloud Console.

Exportaciones únicas

Las exportaciones únicas te permiten transferir y descargar manualmente los resultados actuales y históricos. Puedes transferir datos a un depósito de Cloud Storage y descargarlo en tu estación de trabajo local.

Permisos

Para realizar exportaciones únicas, necesitas lo siguiente:

Exporta datos mediante Cloud Console

En esta sección, se describe cómo exportar datos de Security Command Center con Cloud Console. Cuando haces clic en Exportar en el panel de Security Command Center, el Security Command Center obtiene automáticamente credenciales o permisos para escribir en el depósito de Cloud Storage.

Exporta datos

Los resultados y los activos se exportan en operaciones separadas. Puedes exportar un archivo JSON o JSONL a un depósito de Cloud Storage existente o crear uno durante el proceso de exportación.

Puedes exportar todos los elementos o resultados actuales, o seleccionar los filtros que deseas usar antes de exportar.

  1. Dirígete a Security Command Center en Cloud Console.

    Ir a Security Command Center

  2. Para exportar elementos, haz clic en la pestaña Activos. para ver los resultados, haz clic en la pestaña Findings (Resultados).

  3. En el campo Filtro, selecciona los atributos, las propiedades y las marcas de seguridad que deseas usar para filtrar tus datos. Un filtro en blanco se evalúa como un comodín y se exportan todos los elementos o los resultados. Para obtener más información sobre cómo crear filtros, consulta Usa el panel de seguridad de Security Command Center.

  4. Cuando hayas terminado de crear un filtro, haz clic en Exportar y, luego, en Una vez, haz clic en Cloud Storage.

  5. En la página Exportar, configure la exportación:

    1. Confirma que el Tipo de entidad coincida con tus Resultados o Elementos. Si no existe, haz la selección correcta.
    2. En la lista desplegable Agrupar resultados por, selecciona cómo deseas agrupar los datos de exportación.
    3. En la lista desplegable Formato, selecciona JSON o JSONL.
      • El campo Filtros muestra los filtros que seleccionaste para el tipo de entidad, si corresponde.
    4. En Mostrar resultados de, selecciona la marca de tiempo de los datos que deseas exportar.
    5. En Exportar a, selecciona el proyecto en el que deseas exportar los datos.
    6. En el cuadro Exportar ruta, haz clic en Explorar.
    7. En el panel Seleccionar objeto, selecciona un depósito de Cloud Storage existente o crea un depósito de almacenamiento.
    8. Después de seleccionar o crear un depósito, en Nombre del archivo, ingresa un nombre para el archivo de exportación y, luego, haz clic en Seleccionar.
  6. Cuando hayas terminado de configurar la exportación, haz clic en Exportar. Si seleccionaste un archivo existente en el depósito, aparecerá el cuadro de diálogo Confirmar reemplazo.

    • Para reemplazar el archivo existente, haz clic en Confirmar.
    • Para cambiar el archivo que escribes, haz clic en Cancelar, luego, en Explorar en el cuadro Exportar ruta y selecciona o crea un archivo diferente.

Los datos configurados se guardan en el bucket de Cloud Storage que especificaste.

Descarga datos exportados

Para descargar los datos JSON o JSONL exportados, sigue estos pasos:

  1. Ve a la página Navegador de almacenamiento en Cloud Console.

    Ir al navegador de Storage

  2. Selecciona tu proyecto y, luego, haz clic en el depósito al que exportaste los datos.

  3. Selecciona la casilla de verificación junto al archivo de exportación y haz clic en Descargar.

  4. En el diálogo Guardar archivo, selecciona la ubicación en la que deseas guardar el archivo y haz clic en Guardar.

El archivo JSON o JSONL se descarga en la ubicación que especificaste.

Exporta datos con la API de Security Command Center

Puedes exportar recursos, resultados y marcas de seguridad a un depósito de Cloud Storage o a tu estación de trabajo local mediante la API de Security Command Center. Sigue las guías para realizar una lista de los hallazgos de seguridad o enumerarlos. Una vez enumeradas, las respuestas de la API para resultados o recursos se pueden descargar o exportar.

Para enumerar resultados o recursos, con cualquier marca de seguridad adjunta, usa los métodos de la API ListFindings o ListAssets. Las API muestran recursos o hallazgos con su conjunto completo de propiedades, atributos y marcas asociadas en formato JSON. Si tu aplicación requiere que los datos tengan un formato diferente, debes escribir un código personalizado para convertir la salida de JSON.

Si especificas un valor en el campo groupBy, usa el método GroupAssets o GroupFindings. Si no especificas un valor groupBy, usa el método ListAssets o ListFindings. Los métodos GroupAssets y GroupFindings muestran una lista de elementos o hallazgos de una organización, agrupados por propiedades especificadas.

Si deseas exportar el resultado de la API a un depósito de Cloud Storage, usa Cloud Shell para enumerar los elementos o resultados, escribir el resultado en un archivo y, luego, copiar ese archivo en el depósito de almacenamiento seleccionado.

  1. Abre Cloud Shell

    Ir a Cloud Shell

  2. Si deseas escribir resultados o recursos en un archivo, agrega una string de salida a los comandos de la herramienta de gcloud para realizar una lista de los resultados o hacer una lista de los elementos.

    Por ejemplo, con el siguiente comando, se almacenan los resultados enumerados en un archivo de texto llamado MY_FINDINGS.txt.

      ORGANIZATION_ID=ORGANIZATION_ID
      SOURCE_ID="SOURCE_ID"
      FILTER="category=\"MEDIUM_RISK_ONE\""
    
      gcloud scc findings list $ORGANIZATION_ID --source=$SOURCE_ID \
        --filter="$FILTER" > MY_FINDINGS.txt
    

    Reemplaza lo siguiente:

  3. Copia MY_FINDINGS.txt en tu depósito de Cloud Storage.

    gsutil cp MY_FINDINGS.txt gs://MY_BUCKET

    Reemplaza MY_BUCKET por el nombre del depósito.

  4. Para guardar MY_FINDINGS.txt en tu estación de trabajo local en lugar de un depósito de Cloud Storage, ejecuta el siguiente código.

    cloudshell download MY_FINDINGS.txt

Exportaciones continuas

Las exportaciones continuas, disponibles para los clientes de Premium de Security Command Center, simplifican el proceso de exportación automática de los resultados de Security Command Center en Pub/Sub. Cuando se escriben resultados nuevos, se exportan automáticamente a temas de Pub/Sub designados en tiempo casi real, lo que te permite integrarlos en tu flujo de trabajo existente.

Para obtener más información sobre Pub/Sub, consulta ¿Qué es Pub/Sub?

Exportaciones continuas frente a encontrar notificaciones

Security Command Center te permite configurar buscar notificaciones para Pub/Sub con la API de Security Command Center. La API requiere que uses el SDK de Cloud a fin de configurar temas de Pub/Sub, crear filtros de búsqueda y crear NotificationConfigs, archivos que contengan opciones de configuración para enviar notificaciones. Las exportaciones continuas ofrecen la misma funcionalidad, pero la creación de exportaciones se simplifica con el panel de Security Command Center.

Permisos

Para crear y administrar exportaciones continuas, necesitas una de las siguientes funciones.

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

También puedes usar cualquier función que tenga los siguientes permisos:

  • Para ver o publicar temas de Pub/Sub, haz lo siguiente:

    • pubsub.topics.publish
    • pubsub.topics.list
  • Para ver la página de exportaciones continuas, sigue estos pasos:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list
  • Para administrar las exportaciones continuas, sigue estos pasos:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Configura exportaciones de Pub/Sub

Las exportaciones continuas te permiten automatizar la exportación de todos los resultados futuros a Pub/Sub o crear filtros para exportar los resultados futuros que cumplan con criterios específicos. Puedes filtrar los resultados por categoría, fuente, tipo de elemento, marcas de seguridad, gravedad, estado y otras variables.

Crea exportaciones continuas

Tu organización puede crear un máximo de 500 exportaciones continuas.Sigue estos pasos a fin de crear una exportación para Pub/Sub:

  1. Ve a la página Resultados de Security Command Center en Cloud Console.

    Ir a hallazgos

  2. En el campo Filtro, selecciona los atributos, las propiedades o las marcas de seguridad que deseas usar para filtrar los resultados y, luego, ingresar las variables deseadas. Un filtro en blanco se evalúa como un comodín y se exportan todos los resultados. Para obtener más información sobre cómo buscar propiedades, consulta la página sobre cómo usar el panel de Security Command Center.

  3. Haz clic en Exportar y, luego, en Continuo, haz clic en Pub/Sub.

  4. Revisa el filtro para asegurarte de que sea correcto y, si es necesario, regresa a la página Resultados para modificarlo.

  5. En Nombre de la exportación continua, ingresa un nombre para la exportación.

  6. En Descripción de la exportación continua, ingresa una descripción para la exportación.

  7. En Exportar a, selecciona un proyecto para exportar. No puedes crear un proyecto en esta página. Para crear un proyecto nuevo, consulta Crea un proyecto.

  8. En Tema de Pub/Sub, selecciona el tema en el que deseas exportar los resultados. Para crear un tema, haz lo siguiente:

    1. Selecciona Crear un tema.
    2. Ingresa un ID de tema y, luego, selecciona otras opciones según sea necesario:
      1. Obtén información sobre cómo crear y administrar esquemas.
      2. Obtén más información sobre cómo usar claves de encriptación administradas por el cliente (CMEK) con Pub/Sub.
    3. Haz clic en Crear tema.
  9. Haz clic en Guardar. Verás una confirmación y regresas a la página de resultados.

  10. Sigue la guía a fin de crear una suscripción para tu tema de Pub/Sub.

Se completó la configuración de exportación de Pub/Sub. Para publicar notificaciones, se crea una cuenta de servicio con el formato service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com. A esta cuenta de servicio se le otorga automáticamente la función securitycenter.notificationServiceAgent a nivel de organización. Se requiere esta función de la cuenta de servicio para que las notificaciones funcionen.

Prueba las exportaciones continuas

A fin de confirmar que una exportación funciona, realiza los siguientes pasos para activar o desactivar los resultados entre los estados activos y inactivos.

  1. Ve a la página Resultados de Security Command Center en Cloud Console.

    Ir a hallazgos

  2. Si es necesario, vuelve a ingresar las variables de filtro que coincidan con el filtro de exportación que estás probando.

  3. Haz clic en la casilla junto al nombre de un resultado.

  4. Selecciona Cambiar estado activo y, luego, Inactivo.

  5. Vuelve a seleccionar el resultado que marcaste como inactivo.

  6. Selecciona Cambiar estado activo y, luego, Activo. Se envía una notificación para el resultado recién activo.

  7. Ve a la página Pub/Sub en Cloud Console.

    Ir a Pub/Sub

  8. En la lista de temas, haz clic en el nombre de tu tema.

  9. Selecciona Ver mensajes.

  10. En el panel Mensajes (Messages), selecciona tu suscripción en la lista desplegable para ver la notificación de resultado. Si es necesario, haz clic en Extraer para actualizar los mensajes.

Administra exportaciones continuas

Para ver, editar o borrar exportaciones, haz lo siguiente:

  1. Ve a la página Configuración de Security Command Center.

    Ir a Configuración

  2. Si es necesario, selecciona tu organización.

  3. Selecciona Exportaciones continuas. Verás una lista de exportaciones continuas para tu organización.

En esta página, puedes realizar las siguientes acciones:

Para ver los resultados que coinciden con un filtro de exportación, haz lo siguiente:

  1. En la página Exportaciones continuas, junto al nombre de una exportación, selecciona Más y, luego, haz clic en Ver filtros relacionados..
  2. La página Resultados se carga con resultados que coinciden con el filtro de exportación.

Edita exportaciones continuas

  1. En la página Exportaciones continuas, haz clic en el nombre de la exportación que deseas ver o modificar, o haz clic en Más .
  2. Selecciona Editar.
  3. Ingresa una descripción nueva, cambia el proyecto al que se guardan las exportaciones o ingresa un nuevo tema de Pub/Sub.
  4. Cuando termines, haz clic en Guardar.

Borra exportaciones continuas

  1. En la página Exportaciones continuas, haz clic en el nombre de la exportación que deseas borrar.
  2. Haz clic en Borrar.
  3. En el cuadro de diálogo, haz clic en Borrar. Se borró la exportación.

¿Qué sigue?

Obtén más información sobre cómo encontrar notificaciones.