Crea y administra perfiles de seguridad de prevención de amenazas

En esta página, se explica cómo crear y administrar perfiles de seguridad del tipo threat-prevention con la consola de Google Cloud o Google Cloud CLI.

Antes de comenzar

Funciones

Para obtener los permisos que necesitas a fin de crear, ver, actualizar o borrar perfiles de seguridad, pídele a tu administrador que te otorgue los roles de IAM necesarios en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Crea un perfil de seguridad de prevención de amenazas

Cuando creas un perfil de seguridad de prevención de amenazas (perfil de seguridad de tipo threat-prevention), puedes especificar su nombre como una cadena o un identificador de URL único. La URL única para un perfil de seguridad con alcance de organización se puede construir en el siguiente formato:

organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME

Si usas un identificador de URL único para el nombre del perfil de seguridad, la organización y la ubicación del perfil de seguridad ya están incluidas en el identificador de URL. Sin embargo, si usas solo el nombre del perfil de seguridad, debes especificar la organización y la ubicación por separado. Para obtener más información sobre los identificadores de URL únicos, consulta las especificaciones del perfil de seguridad.

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Selecciona la pestaña Perfiles de seguridad.

  4. Haga clic en Crear perfil.

  5. Escribe un nombre en el campo Nombre.

  6. Opcional: Ingresa una descripción en el campo Descripción.

  7. Para crear un perfil de seguridad de Cloud Next Generation Firewall Enterprise, en la sección Propósito, selecciona Cloud NGFW Enterprise.

  8. Para crear un perfil de seguridad de prevención de amenazas, en la sección Tipo, selecciona Prevención de amenazas.

  9. Haz clic en Continuar.

De manera opcional, puedes agregar gravedad y anulaciones de amenazas:

  1. En Anulaciones de gravedad, haz clic en Editar junto a la gravedad que desees anular.
  2. En la lista Anular acción, selecciona la acción adecuada para el nivel de gravedad.
  3. Para agregar una anulación de firma de amenaza, haz clic en Agregar firma por ID.
  4. En el campo ID de firma, ingresa el ID de amenaza que deseas anular. Puedes ver los IDs de amenaza en el panel de amenazas.
  5. En la lista Anular acción, selecciona la acción adecuada para el ID de amenaza.
  6. Haz clic en Crear.

gcloud

Para crear un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention create:

gcloud network-security security-profiles threat-prevention create NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    --description DESCRIPTION

Reemplaza lo siguiente:

  • NAME: Es el nombre del perfil de seguridad de prevención de amenazas. Puedes especificar el nombre como una cadena o como un identificador de URL único.

    Si usas un identificador de URL único para la marca NAME, puedes omitir las marcas ORGANIZATION_ID y LOCATION.

  • ORGANIZATION_ID: Es la organización en la que se crea el perfil de seguridad de prevención de amenazas. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: Es la ubicación del perfil de seguridad de prevención de amenazas.

    La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca LOCATION.

  • PROJECT_ID: Es un ID del proyecto opcional que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad de prevención de amenazas.

  • DESCRIPTION: Es una descripción opcional para el perfil de seguridad de prevención de amenazas.

Cómo ver un perfil de seguridad de prevención de amenazas

Puedes ver los detalles de un perfil de seguridad de prevención de amenazas específico en una organización.

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña, se muestra una lista de los perfiles de seguridad configurados.

  3. Haz clic en un perfil de seguridad de tipo Prevención de amenazas para ver los detalles del perfil.

gcloud

Para ver los detalles de un perfil de seguridad de prevención de amenazas, usa el comando gcloud beta network-security security-profiles describe:

  gcloud beta network-security security-profiles describe NAME \
      --organization ORGANIZATION_ID \
      --location LOCATION

Reemplaza lo siguiente:

  • NAME: Es el nombre del perfil de seguridad de tipo threat-prevention que deseas describir. Puedes especificar el nombre como una cadena o como un identificador de URL único.

Si usas un identificador de URL único para la marca NAME, puedes omitir las marcas ORGANIZATION_ID y LOCATION.

  • ORGANIZATION_ID: Es la organización en la que se crea el perfil de seguridad de prevención de amenazas. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: Es la ubicación del perfil de seguridad de prevención de amenazas. La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca LOCATION.

Enumera los perfiles de seguridad de prevención de amenazas

Puedes enumerar todos los perfiles de seguridad de prevención de amenazas en una organización.

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña, se muestra una lista de los perfiles de seguridad configurados.

gcloud

Para enumerar todos los perfiles de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention list:

gcloud network-security security-profiles threat-prevention list \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

Reemplaza lo siguiente:

  • ORGANIZATION_ID: Es la organización en la que se crean los perfiles de seguridad de prevención de amenazas.

  • LOCATION: Es la ubicación de los perfiles de seguridad de prevención de amenazas. La ubicación siempre está configurada como global.

  • PROJECT_ID: Es un ID del proyecto opcional que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad de prevención de amenazas.

Borra un perfil de seguridad de prevención de amenazas

Puedes borrar un perfil de seguridad de prevención de amenazas si especificas su nombre, ubicación y organización. Sin embargo, si un grupo de perfiles de seguridad hace referencia a un perfil de seguridad, ese perfil no se puede borrar.

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña, se muestra una lista de los perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad de prevención de amenazas que deseas borrar y, luego, haz clic en Borrar.

  4. Haga clic en Borrar nuevamente para confirmar.

gcloud

Para borrar un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention delete:

gcloud network-security security-profiles threat-prevention delete NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

Reemplaza lo siguiente:

  • NAME: Es el nombre del perfil de seguridad de prevención de amenazas que deseas borrar. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: Es la organización en la que se crea el perfil de seguridad de prevención de amenazas. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: Es la ubicación del perfil de seguridad de prevención de amenazas.

    La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca LOCATION.

  • PROJECT_ID: Es un ID del proyecto opcional que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad de prevención de amenazas.

Importa un perfil de seguridad de prevención de amenazas

Puedes importar un perfil de seguridad de prevención de amenazas (ya sea creado de forma personalizada o exportado anteriormente) desde un archivo YAML. Cuando se importa un perfil de seguridad de prevención de amenazas, si ya existe un perfil con el mismo nombre, Cloud NGFW actualiza el perfil existente.

gcloud

Para importar un perfil de seguridad de prevención de amenazas desde un archivo YAML, usa el comando gcloud beta network-security security-profiles import:

gcloud beta network-security security-profiles import NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --source FILE_NAME

Reemplaza lo siguiente:

  • NAME: Es el nombre del perfil de seguridad de tipo threat-prevention que deseas importar. Puedes especificar el nombre como una cadena o como un identificador de URL único.

    Si usas un identificador de URL único para la marca NAME, puedes omitir las marcas ORGANIZATION_ID y LOCATION.

  • ORGANIZATION_ID: Es la organización en la que se crea el perfil de seguridad de prevención de amenazas. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: Es la ubicación del perfil de seguridad de prevención de amenazas. La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca LOCATION.

  • FILE_NAME: Es la ruta de acceso al archivo YAML que contiene los datos de exportación de la configuración del perfil de seguridad de prevención de amenazas. Por ejemplo,threat-prevention-sp.yaml.

    El archivo YAML no debe contener ningún campo solo de salida. Como alternativa, puedes omitir la marca source para leer desde la entrada estándar.

Cómo exportar un perfil de seguridad de prevención de amenazas

Puedes exportar un perfil de seguridad de prevención de amenazas a un archivo YAML. Por ejemplo, en lugar de usar la interfaz de usuario para modificar un perfil de seguridad grande, puedes usar esta función para exportar el perfil de seguridad, modificarlo rápidamente y volver a importarlo.

gcloud

Para exportar un perfil de seguridad de prevención de amenazas a un archivo YAML, usa el comando gcloud beta network-security security-profiles export:

gcloud beta network-security security-profiles export NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --destination FILE_NAME

Reemplaza lo siguiente:

  • NAME: Es el nombre del perfil de seguridad de tipo threat-prevention que deseas exportar. Puedes especificar el nombre como una cadena o como un identificador de URL único.

    Si usas un identificador de URL único para la marca NAME, puedes omitir las marcas ORGANIZATION_ID y LOCATION.

  • ORGANIZATION_ID: Es la organización en la que se crea el perfil de seguridad de prevención de amenazas. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: Es la ubicación del perfil de seguridad de prevención de amenazas. La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca LOCATION.

  • FILE_NAME: Es la ruta de acceso al archivo YAML en el que Cloud NGFW exportará la configuración del perfil de seguridad de prevención de amenazas. Por ejemplo, threat-prevention-sp.yaml.

    Los datos de configuración exportados no contienen ningún campo de solo salida. Como alternativa, puedes omitir la marca destination para escribir en la salida estándar.

Agrega acciones de anulación en un perfil de seguridad de prevención de amenazas

Puedes anular las acciones asociadas con firmas de amenazas específicas o niveles de gravedad en un perfil de seguridad de prevención de amenazas existente.

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Perfiles de seguridad. En esta pestaña, se muestra una lista de los perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad en el que deseas anular las acciones y, luego, haz clic en Editar.

  4. En Anulaciones de gravedad, haz clic en Editar junto a la gravedad que desees anular.

  5. En la lista Anular acción, selecciona la acción adecuada para el nivel de gravedad.

  6. Haz clic en Confirmar.

  7. Haz clic en Guardar.

gcloud

Para agregar una anulación a un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention add-override:

gcloud network-security security-profiles threat-prevention add-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
    --action ACTION

Reemplaza lo siguiente:

  • NAME: es el nombre del perfil de seguridad. puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: es la ubicación del perfil de seguridad.

    La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca LOCATION.

  • PROJECT_ID: Es un ID del proyecto opcional que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad.

  • SEVERITIES: es una lista de niveles de gravedad separados por comas para anular la acción. El extremo del firewall aplica la marca --action configurada a todas las amenazas de los niveles de gravedad especificados. La gravedad puede ser cualquiera de las siguientes:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS: es una lista de IDs de firmas de amenazas separados por comas para anular la acción. El extremo del firewall aplica la marca --action configurada a todas las amenazas de los IDs de amenazas especificados.

  • PROTOCOLS: Es una lista separada por comas de los protocolos de red que se supervisarán en busca de la amenaza de antivirus. Para obtener más información, consulta los protocolos compatibles.

  • ACTION: Es la acción para los IDs o las gravedades de amenazas especificados. Para obtener más información, consulta acciones compatibles.

Enumera acciones de anulación en un perfil de seguridad de prevención de amenazas

Puedes enumerar todas las acciones de anulación en un perfil de seguridad de prevención de amenazas.

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Perfiles de seguridad. En esta pestaña, se muestra una lista de los perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad para ver las acciones configuradas de anulación de gravedad y de anulación de firmas de amenazas.

gcloud

Para enumerar todas las acciones de anulación en un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention list-overrides:

gcloud network-security security-profiles threat-prevention list-overrides NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION

Reemplaza lo siguiente:

  • NAME: es el nombre del perfil de seguridad. puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: es la ubicación del perfil de seguridad.

    La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca LOCATION.

Actualiza acciones de anulación en un perfil de seguridad de prevención de amenazas

Puedes actualizar las acciones de anulación existentes para los niveles de gravedad o las firmas de amenazas en un perfil de seguridad de prevención de amenazas.

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña, se muestra una lista de los perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad y, luego, haz clic en Editar.

  4. En Anulaciones de gravedad, haz clic en Editar junto al nivel de gravedad en el que deseas actualizar la acción de anulación.

  5. En la lista Anular acción, selecciona la acción adecuada para el nivel de gravedad.

  6. Haz clic en Confirmar.

  7. Haz clic en Guardar.

gcloud

Para actualizar una acción de anulación en un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention update-override:

gcloud network-security security-profiles threat-prevention update-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
    --action ACTION

Reemplaza lo siguiente:

  • NAME: es el nombre del perfil de seguridad. puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: es la ubicación del perfil de seguridad.

    La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca LOCATION.

  • PROJECT_ID: Es un ID del proyecto opcional que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad.

  • SEVERITIES: es una lista separada por comas de los niveles de gravedad para los que deseas actualizar las anulaciones. La gravedad puede ser cualquiera de las siguientes:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS: es una lista separada por comas de los IDs de firma de amenazas para los que deseas actualizar las anulaciones.

  • PROTOCOLS: Es una lista separada por comas de los protocolos de red que se supervisarán en busca de la amenaza de antivirus. Se admiten los siguientes protocolos:

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

  • ACTION: es la acción predeterminada para los IDs o las gravedades de amenazas especificados. La acción puede ser una de las siguientes:

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

Borra acciones de anulación de un perfil de seguridad de prevención de amenazas

Puedes borrar acciones de anulación existentes para los niveles de gravedad o las firmas de amenazas de un perfil de seguridad de prevención de amenazas.

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña, se muestra una lista de los perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad y, luego, haz clic en Editar.

  4. En Anulaciones de gravedad, haz clic en Editar junto al nivel de gravedad en el que deseas borrar la acción de anulación.

  5. En la lista Anular acción, selecciona Sin anulación.

  6. Haz clic en Confirmar.

  7. En Anulaciones de firma, selecciona el ID de amenaza que deseas borrar.

  8. Haz clic en Borrar.

  9. Haz clic en Guardar.

gcloud

Para borrar una acción de anulación de un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention delete-override:

gcloud network-security security-profiles threat-prevention delete-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS]

Reemplaza lo siguiente:

  • NAME: es el nombre del perfil de seguridad. puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: es la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: es la ubicación del perfil de seguridad.

    La ubicación siempre está configurada como global. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca LOCATION.

  • PROJECT_ID: Es un ID del proyecto opcional que se usará para las cuotas y las restricciones de acceso en el perfil de seguridad.

  • SEVERITIES: es una lista separada por comas de los niveles de gravedad para los que deseas borrar las anulaciones. La gravedad puede ser cualquiera de las siguientes:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS: es una lista separada por comas de los IDs de firmas de amenazas para los que deseas borrar anulaciones.

  • PROTOCOLS: Es una lista separada por comas de los protocolos de red que se supervisarán en busca de la amenaza de antivirus. Se admiten los siguientes protocolos:

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

¿Qué sigue?