Configura las herramientas de Security Command Center

>

En esta página, se proporciona información sobre cómo preparar tu proyecto de Google Cloud para instalar el paquete de apps de las herramientas de Security Command Center. Estas apps agregan funciones nuevas que muestran cómo puedes usar Security Command Center en tu organización.

Estas aplicaciones muestran cómo desarrollar integraciones o complementos a la plataforma de Security Command Center. Si eres un desarrollador de soluciones de seguridad de terceros o si necesitas algo más específico para tu organización, puede que estas apps de ejemplo te resulten particularmente útiles.

Descripción general

El paquete de herramientas de Security Command Center incluye los siguientes componentes:

Hello World

Hello World es una pequeña app de ejemplo que llama a la API de Security Command Center para obtener los recursos de una organización o los resultados del proveedor de seguridad. Esta app usa Cloud Functions para integrarse con las API de Security Command Center y activar flujos de trabajo de seguridad basados en consultas de Security Command Center:

  • Registra parámetros y resultados de consultas
  • Inhabilita las reglas de firewall que permiten conexiones SSH a una instancia.
  • Quita el acceso a un bucket de Cloud Storage.
  • Crea una instantánea para cada disco que pertenezca a una instancia.

Hello World también incluye una pequeña biblioteca de Cloud Functions de ejemplo que te permite activar de manera programática las siguientes acciones con mensajes de Pub/Sub:

  • Reparación de firewalls
  • VM de instantáneas
  • Cambio de la LCA del bucket

Puedes usar el código de la app de Hello World como punto de partida para otros comportamientos como los siguientes:

  • Usa Cloud Scheduler para llamar de manera periódica a un tema de Pub/Sub y activar un flujo de trabajo de seguridad.
  • Almacena los resultados de las consultas en una base de datos o envíalos a otro sistema como una notificación.
  • Agrega una función nueva de Cloud Functions para llamar a otra API de Google.

Si deseas recibir alertas proactivas, Security Command Center incluye una funciones de Notificaciones disponibles de manera general que puedes usar en lugar de los ejemplos de Creador y Notificador en esta página.

Alertas

La app de ejemplo de Alertas proporciona un ejemplo de código sobre cómo conectarse a un tema Pub/Sub de notificaciones de la API de Security Command Center. Esta app de ejemplo también incluye cómo puedes conectarte, recibir notificaciones y reenviar las notificaciones como alertas a varios sistemas externos.

Los ejemplos de sistemas externos incluyen:

  • SendGrid: para mensajes de correo electrónico
  • Twilio: para mensajes SMS
  • Jira: Para la creación de problemas
  • Slack: para mensajería instantánea
  • Hangouts Chat: mensajería instantánea

Creador

Es mejor usar la función de notificaciones integrada para administrar las notificaciones de Security Command Center.

La app del ejemplo del creador consulta los datos del Security Command Center a intervalos regulares y envía los resultados a un tema de notificaciones de Pub/Sub. La app de creador proporciona ejemplos de cómo usar los parámetros filter, readTime y compareDuration de la API de Security Command Center.

Notificador

En lugar de usar la aplicación de ejemplo del Notificador, es mejor usar la aplicación del ejemplo de Alertas de esta página, que funciona directamente con la función Notificaciones de la API de Security Command Center.

El paquete de herramientas del Security Command Center incluye una app de ejemplo para el notificador que ofrece funciones similares, separada de la API de Security Command Center. La app del Notificador se suscribe a un tema de notificaciones de Pub/Sub y envía notificaciones a un canal configurado, como correo electrónico o SMS. La app del Notificador hace referencia a los resultados de las consultas del Security Command Center de otras apps, como las apps de Creador y de compilador de consultas.

Puedes desarrollar tu propia aplicación para suscribirte al mismo tema de Pub/Sub de notificaciones y personalizar la forma en que manejas los mensajes que recibes. Por ejemplo, podrías procesar los resultados y enviarlos a uno de los sistemas internos de tu organización o almacenarlos para su análisis adicional en una base de datos que especifiques.

Generador de búsquedas

La app del generador de consultas te permite crear y programar consultas avanzadas de varios pasos en los datos del Security Command Center mediante una interfaz de aplicación web. Los resultados de las consultas se pueden enviar a un tema de notificaciones de Pub/Sub en el que otras apps pueden consumirlos. También puedes configurar el generador de consultas para agregar marcas de seguridad de Security Command Center a los resultados de las consultas.

Por ejemplo, podrías programar una consulta para que busque periódicamente firewalls de red con el puerto 22 permitido. Luego, puedes usar el generador de consultas para marcar los resultados en Security Command Center y notificar a tu equipo de seguridad a fin de que tome las medidas adecuadas.

Registros de auditoría

La app de Registros de auditoría puede transferir registros de Cloud Audit Logging mediante receptores de exportación y crear resultados de seguridad de Security Command Center. Esta app incluye la integración de alertas de la Transparencia de acceso y alertas de autorización binaria para situaciones de implementaciones bloqueadas y situaciones de emergencia. La app de registros de auditoría es un trabajo de transmisión de Dataflow. El uso de la app de Registros de auditoría tiene cargos por precio de Dataflow.

Esta app crea tipos de registro únicos y agregados:

  • Los tipos de registros únicos crean un resultado del Centro de comandos de seguridad para cada caso encontrado:
    • Autorización binaria de Google Kubernetes Engine
    • Transparencia de acceso
    • Compute Engine
    • Cloud Storage
    • Service Networking
  • Los tipos de registros agregados agrupan los resultados dentro de un período de Dataflow y, luego, crean un resultado de Security Command Center:
    • Administración de identidades y accesos (IAM)

Conector de Splunk

La app del Conector de Splunk usa la API de Security Command Center para exportar los recursos y resultados de una organización. Puedes configurar la app para filtrar los datos del Security Command Center a fin de limitar los datos que se exportan. Por ejemplo, puedes buscar solo resultados de un tipo específico. La app se ejecuta según un programa y entrega los resultados a un tema de Pub/Sub conectado a un complemento de servidor de Splunk.

Secuencias de comandos de configuración

El paquete de herramientas del Security Command Center incluye un conjunto de secuencias de comandos y utilidades complementarias. Las secuencias de comandos y las utilidades se usan durante la instalación para crear la infraestructura necesaria de Google Cloud en cada app y ayudar a implementarlas.

Estas secuencias de comandos realizan las siguientes acciones:

  • Crea proyectos
  • Crea cuentas de servicio
  • Genera certificados SSL
  • Implementa apps

En esta guía, se incluyen instrucciones detalladas sobre cómo ejecutar los comandos para instalar las herramientas de Security Command Center mediante las secuencias de comandos de configuración.

En la figura 1, se proporciona una descripción general de alto nivel de las herramientas de Security Command Center, sin incluir las secuencias de comandos de configuración:

Diagrama de la descripción general de las herramientas de Security Command Center
Figure 1. Diagrama de las herramientas de Security Command Center con una descripción de cómo interactúa cada herramienta con Security Command Center.

Antes de comenzar

Para completar esta guía, necesitas lo siguiente:

  • Una organización activa de Google Cloud con Security Command Center habilitado.
  • Una cuenta de facturación de Cloud activa.
  • El ID del proyecto que deseas usar para acceder a la API de Security Command Center. Este proyecto debe tener la API securitycenter.googleapis.com habilitada.
  • Las siguientes funciones de administración de identidades y accesos a nivel de la organización:
    • Usuario de cuenta de facturación: roles/billing.user
    • Administrador de DNS: roles/dns.admin
    • Administrador de la organización: roles/resourcemanager.organizationAdmin
    • Administrador de funciones de la organización: roles/iam.organizationRoleAdmin
    • Visualizador de funciones de la organización: roles/iam.organizationRoleViewer
    • Creador del proyecto: roles/resourcemanager.projectCreator
    • Editor de Pub/Sub: roles/pubsub.publisher
    • Administrador del centro de seguridad: roles/securitycenter.admin
    • Administrador de cuenta de servicio: roles/iam.serviceAccountAdmin
    • Administrador de claves de cuentas de servicio: roles/iam.serviceAccountKeyAdmin
    • Administrador de Service Management: roles/servicemanagement.admin

Instala las herramientas de Security Command Center

A fin de instalar las herramientas de Security Command Center, completa los siguientes pasos para preparar tu entorno. Después de completar esta guía, puedes instalar cada herramienta de forma independiente si sigues el archivo README que se incluye con ella.

Debes usar Cloud Shell para instalar las herramientas. Cloud Shell brinda acceso de línea de comandos a tus recursos de Google Cloud de forma directa desde el navegador.

Obtén el paquete de herramientas

Ejecuta los siguientes comandos para descargar el paquete de herramientas y configurar un directorio de trabajo:

  1. Ve a Cloud Console.
    Ir a la página de Cloud Console
  2. Haz clic en Activate Cloud Shell (Activar Cloud Shell).
  3. Obtén el nombre de la versión de herramientas que deseas usar. Se almacenan con una marca de tiempo, por lo que debes mostrar el contenido del bucket de Cloud Storage.

       # list available versions
       gsutil ls gs://cloud-scc-beta-example-apps-download/
    
  4. Configura las variables de entorno para el directorio de trabajo y la versión de herramientas que deseas descargar.

    1. Versión de actualización de las herramientas de Security Command Center:

        # the Cloud SCC tools release version you want to download, for example 3.4.0
        export VERSION=release-version
      
    2. Nombre de archivo de la versión de herramientas:

        # the filename for the tools version you want to download,
        # for example 3.4.0-20190418T152241Z-001.zip
        export FILENAME=filename
      
    3. Ruta para el directorio de trabajo:

        # directory to unzip the installation zip files
        export WORKING_DIR=${HOME}/scc-tools-install
      
  5. Crea tu directorio de trabajo:

       # create the working directory
       mkdir $WORKING_DIR
    
  6. Ve al directorio de trabajo:

       # go to the working directory
       cd $WORKING_DIR
    
  7. Ejecuta el siguiente comando para descargar los archivos de herramientas de Security Command Center:

       gsutil cp gs://cloud-scc-beta-example-apps-download/${FILENAME} .
    
  8. Descomprime los archivos de herramientas del Security Command Center:

       unzip -qo ${FILENAME} -d .
    
  9. Descarga el archivo README que se incluye en los archivos de herramientas que descomprimiste:

       cloudshell download ${VERSION}/README-${VERSION}.pdf
    
  10. Para completar la configuración, sigue los pasos que se indican en la README-version.pdf que descargaste.

Después de completar el archivo README, estarás listo para instalar cualquiera de las herramientas de Security Command Center mediante las guías de instalación de herramientas.

Guías de instalación

El paquete de herramientas que descargaste contiene un archivo README que incluye instrucciones de instalación para cada app. Para obtener un archivo README, ejecuta cloudshell download readme desde el directorio de archivos de herramientas, en el que readme es el nombre de las herramientas README que deseas descargar:

  • Hello World: scc-hello-world-README-${VERSION}.pdf
  • Creador: scc-creator-README-${VERSION}.pdf
  • Compilador de búsquedas: scc-query-builder-README-${VERSION}.pdf
  • Notificador: scc-notifier-README-${VERSION}.pdf
  • Registros de auditoría: scc-audit-logs-README-${VERSION}.pdf
  • Conector de Splunk: scc-connector-README-${VERSION}.pdf

Después de instalar una app, puedes encontrar más información sobre ella en su guía del usuario. Para obtener una guía del usuario, ejecuta cloudshell download user-guide desde el directorio de archivos de herramientas, en el que user-guide es el nombre de la guía de usuario de herramientas que deseas descargar:

  • Hello World: scc-hello-world-USER_GUIDE-${VERSION}.pdf
  • Creador: scc-creator-USER_GUIDE-${VERSION}.pdf
  • Compilador de búsquedas: scc-query-builder-USER_GUIDE-${VERSION}.pdf
  • Notificador: scc-notifier-USER_GUIDE-${VERSION}.pdf
  • Registros de auditoría: scc-audit-logs-USER_GUIDE-${VERSION}.pdf
  • Conector de Splunk: scc-connector-USER_GUIDE-${VERSION}.pdf