Envía datos de Security Command Center a Elastic Stack con Docker

En esta página, se explica cómo usar un contenedor de Docker para alojar la instalación de Elastic Stack y enviar automáticamente los hallazgos, los elementos, los registros de auditoría y las fuentes de seguridad de Security Command Center a Elastic Stack. También se describe cómo administrar los datos exportados.

Docker es una plataforma para administrar aplicaciones alojadas en contenedores. Elastic Stack es una plataforma de administración de información y eventos de seguridad (SIEM) que transfiere datos de una o más fuentes. Permite que los equipos de seguridad administren respuestas a incidentes y generen estadísticas en tiempo real. La configuración de Elastic Stack que se analiza en esta guía incluye cuatro componentes:

  • Filebeat: Es un agente ligero instalado en hosts perimetrales, como máquinas virtuales (VM), que se puede configurar para recopilar y reenviar datos.
  • Logstash: Es un servicio de transformación que transfiere datos, los asigna a campos obligatorios y reenvía los resultados a Elasticsearch.
  • Elasticsearch: Es un motor de base de datos de búsqueda que almacena datos.
  • Kibana: Alimenta los paneles que te permiten visualizar y analizar datos.

En esta guía, configura Docker, verifica la configuración correcta de los servicios de Security Command Center y Google Cloud necesarios, además de usar un módulo personalizado para enviar los hallazgos, los elementos, los registros de auditoría y las fuentes de seguridad a Elastic Stack.

En la figura siguiente, se ilustra la ruta de acceso a los datos cuando se usa Elastic Stack con Security Command Center.

Integración de Security Command Center y Elastic Stack (haz clic para ampliar)
Integración de Security Command Center y Elastic Stack (haz clic para ampliar)

Configura la autenticación y la autorización

Antes de conectarte a Elastic Stack, debes crear una cuenta de servicio de Identity and Access Management (IAM) en cada organización de Google Cloud con la que desees conectarte y otorgarle a la cuenta los roles de IAM a nivel de la organización y de proyecto que necesita Elastic Stack.

Crea una cuenta de servicio y otorga roles de IAM

En los siguientes pasos, se usa la consola de Google Cloud . Para conocer otros métodos, consulta los vínculos que aparecen al final de esta sección.

Completa estos pasos para cada organización de Google Cloud desde la que quieras importar datos de Security Command Center.

  1. En el mismo proyecto en el que creas tus temas de Pub/Sub, usa la página Cuentas de servicio en la consola de Google Cloud para crear una cuenta de servicio. Para obtener instrucciones, consulta Crea y administra cuentas de servicio.

  2. Otorga los siguientes roles a la cuenta de servicio:

    • Administrador de Pub/Sub (roles/pubsub.admin)
    • Propietario de recursos de Cloud (roles/cloudasset.owner)

  3. Copia el nombre de la cuenta de servicio que acabas de crear.

  4. Usa el selector de proyectos en la consola de Google Cloud para cambiar al nivel de la organización.

  5. Abre la página de IAM de la organización:

    Ve a IAM

  6. En la página de IAM, haz clic en Otorgar acceso. Se abrirá el panel para otorgar acceso.

  7. En el panel Otorgar acceso, completa los siguientes pasos:

    1. En la sección Agregar principales, en el campo Principales nuevas, pega el nombre de la cuenta de servicio.

    2. En la sección Asignar roles, usa el campo Rol para otorgar los siguientes roles de IAM a la cuenta de servicio:

    3. Editor administrador del centro de seguridad (roles/securitycenter.adminEditor)
    4. Editor de configuraciones de notificación del centro de seguridad (roles/securitycenter.notificationConfigEditor)
    5. Visualizador de la organización (roles/resourcemanager.organizationViewer)
    6. Visualizador de recursos de Cloud (roles/cloudasset.viewer)
    7. Escritor de configuración de registros (roles/logging.configWriter)

    8. Haz clic en Guardar. La cuenta de servicio aparece en la pestaña Permisos de la página IAM en Ver por principales.

      Por herencia, la cuenta de servicio también se convierte en principal en todos los proyectos secundarios de la organización. Los roles que se pueden aplicar a nivel del proyecto se enumeran como roles heredados.

Si deseas obtener más información para crear cuentas de servicio y otorgar roles, consulta los siguientes temas:

Proporciona las credenciales a Elastic Stack

Según el lugar donde alojes Elastic Stack, cambia la forma en que proporcionas las credenciales de IAM al servicio.

Configura las notificaciones

Completa estos pasos para cada organización de Google Cloud desde la que quieras importar datos de Security Command Center.

  1. Configura las notificaciones de hallazgos de la siguiente manera:

    1. Habilita la API de Security Command Center.
    2. Crea un filtro para exportar los hallazgos y los elementos.
    3. Crea cuatro temas de Pub/Sub: uno destinado a los hallazgos, otro a los recursos, otro a los registros de auditoría y otro para los elementos. NotificationConfig debe usar el tema de Pub/Sub que crearás para los hallazgos.

    Necesitarás el ID de tu organización, el ID del proyecto y los nombres de tema de Pub/Sub de esta tarea para configurar Elastic Stack.

  2. Habilita la API de Cloud Asset para el proyecto.

Instala los componentes de Docker y Elasticsearch

Sigue estos pasos para instalar los componentes de Docker y Elasticsearch en tu entorno.

Instala Docker Engine y Docker Compose

Puedes instalar Docker para usarlo de forma local o con un proveedor de servicios en la nube. Para empezar, completa las siguientes guías en la documentación del producto de Docker:

Instala Elasticsearch y Kibana

La imagen de Docker que instalaste en instala Docker incluye Logstash y Filebeat. Si aún no instalaste Elasticsearch y Kibana, usa las siguientes guías para instalar las aplicaciones:

Para completar esta guía, necesitas la siguiente información de esas tareas:

  • Elastic Stack: host, puerto, certificado, nombre de usuario y contraseña
  • Kibana: host, puerto, certificado, nombre de usuario y contraseña

Descarga el módulo de GoApp

En esta sección, se explica cómo descargar el módulo GoApp, un programa de Go que mantiene por Security Command Center. El módulo automatiza el proceso de programación de llamadas a la API de Security Command Center y recupera con regularidad los datos de Security Command Center para usarlos en Elastic Stack.

Para instalar GoApp, haz lo siguiente:

  1. En una ventana de terminal, instala wget, una utilidad de software gratuita que se usa para recuperar contenido de servidores web.

    Para las distribuciones de Ubuntu y Debian, ejecuta lo siguiente:

    apt-get install wget

    Para las distribuciones de RHEL, CentOS y Fedora, ejecuta lo siguiente:

    yum install wget

  2. Instala unzip, una utilidad de software gratuita que se usa para extraer el contenido de los archivos ZIP.

    Para las distribuciones de Ubuntu y Debian, ejecuta lo siguiente:

    apt-get install unzip

    Para las distribuciones de RHEL, CentOS y Fedora, ejecuta lo siguiente:

    yum install unzip

  3. Crea un directorio para el paquete de instalación de GoogleSCCElasticIntegration:

    mkdir GoogleSCCElasticIntegration

  4. Descarga el paquete de instalación de GoogleSCCElasticIntegration:

    wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip

  5. Extrae el contenido del paquete de instalación de GoogleSCCElasticIntegration en el directorio GoogleSCCElasticIntegration:

    unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration

  6. Crea un directorio de trabajo para almacenar y ejecutar los componentes del módulo GoApp:

    mkdir WORKING_DIRECTORY

    Reemplaza WORKING_DIRECTORY por el nombre del directorio.

  7. Navega al directorio de instalación de GoogleSCCElasticIntegration:

    cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/

    Reemplaza ROOT_DIRECTORY por la ruta de acceso al directorio que contiene el directorio GoogleSCCElasticIntegration.

  8. Mueve install, config.yml, dashboards.ndjson y la carpeta templates (con los archivos filebeat.tmpl, logstash.tmpl y docker.tmpl) a tu directorio de trabajo.

    mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY

    Reemplaza WORKING_DIRECTORY por la ruta de acceso al directorio de trabajo.

Instala el contenedor de Docker

Para configurar el contenedor de Docker, descarga e instala una imagen con formato previo de Google Cloud que contenga Logstash y Filebeat. Para obtener información sobre la imagen de Docker, ve al repositorio de Artifact Registry en la consola de Google Cloud .

Ve a Artifact Registry

Durante la instalación, debes configurar el módulo GoApp con las credenciales de Security Command Center y Elastic Stack.

  1. Navega hasta el directorio de trabajo:

    cd /WORKING_DIRECTORY

    Reemplaza WORKING_DIRECTORY por la ruta de acceso al directorio de trabajo.

  2. Verifica que los siguientes archivos aparezcan en tu directorio de trabajo:

      ├── config.yml
  ├── install
  ├── dashboards.ndjson
  ├── templates
      ├── filebeat.tmpl
      ├── docker.tmpl
      ├── logstash.tmpl

  3. En un editor de texto, abre el archivo config.yml y agrega las variables solicitadas. Si no se requiere una variable, puedes dejarla en blanco.

    Variable Descripción Obligatoria
    elasticsearch Es la sección para la configuración de Elasticsearch. Obligatoria
    host Es la dirección IP de tu host de Elastic Stack. Obligatoria
    password Es la contraseña de Elasticsearch. Opcional
    port Es el puerto para tu host de Elastic Stack. Obligatoria
    username Es el nombre de usuario de Elasticsearch. Opcional
    cacert Es el certificado del servidor de Elasticsearch (por ejemplo, path/to/cacert/elasticsearch.cer). Opcional
    http_proxy Es un vínculo con el nombre de usuario, la contraseña, la dirección IP y el puerto para tu host del proxy (por ejemplo, http://USER:PASSWORD@PROXY_IP:PROXY_PORT). Opcional
    kibana Es la sección para la configuración de Kibana. Obligatoria
    host Es la dirección IP o el nombre de host al que se vinculará el servidor de Kibana. Obligatoria
    password Es la contraseña de Kibana. Opcional
    port Es el puerto para el servidor de Kibana. Obligatoria
    username Es el nombre de usuario de Kibana. Opcional
    cacert Es el certificado para el servidor de Kibana (por ejemplo, path/to/cacert/kibana.cer). Opcional
    cron Es la sección para tu configuración de cron. Opcional
    asset Es la sección para la configuración de cron de tus elementos (por ejemplo, 0 */45 * * * *). Opcional
    source Es la sección de la configuración de cron de tu fuente (por ejemplo, 0 */45 * * * *). Para obtener más información, consulta el generador de expresiones cron. Opcional
    organizations Es la sección de configuración de tu organización de Google Cloud . Para agregar varias organizaciones de Google Cloud , copia todo lo que se encuentra entre - id: y subscription_name en resource. Obligatoria
    id Es el ID de tu organización. Obligatoria
    client_credential_path Uno de los siguientes:
    • Es la ruta de acceso a tu archivo JSON, si usas claves de cuenta de servicio.
    • Es el archivo de configuración de credenciales, si usas la federación de identidades para cargas de trabajo.
    • No especifiques nada si esta es la organización de Google Cloud en la que instalarás el contenedor de Docker.
    		 Opcional, según tu entorno
    update Si actualizas desde una versión anterior, ya sea n para no o y para sí Opcional
    project Es la sección del ID del proyecto. Obligatoria
    id Es el ID del proyecto que contiene el tema de Pub/Sub. Obligatoria
    auditlog Es la sección del tema y la suscripción a Pub/Sub para los registros de auditoría. Opcional
    topic_name Es el nombre del tema de Pub/Sub para los registros de auditoría. Opcional
    subscription_name Es el nombre de la suscripción a Pub/Sub para los registros de auditoría. Opcional
    findings Es la sección del tema y la suscripción a Pub/Sub para los hallazgos. Opcional
    topic_name Es el nombre del tema de Pub/Sub para los hallazgos. Opcional
    start_date Es la fecha opcional para empezar a migrar los hallazgos, por ejemplo, 2021-04-01T12:00:00+05:30. Opcional
    subscription_name Es el nombre de la suscripción a Pub/Sub para los hallazgos. Opcional
    asset Es la sección para la configuración del elemento. Opcional
    iampolicy Es la sección del tema y la suscripción a Pub/Sub para las políticas de IAM. Opcional
    topic_name Es el nombre del tema de Pub/Sub para las políticas de IAM. Opcional
    subscription_name Es el nombre de la suscripción a Pub/Sub para las políticas de IAM. Opcional
    resource Es la sección del tema y la suscripción a Pub/Sub para los recursos. Opcional
    topic_name Es el nombre del tema de Pub/Sub para los recursos. Opcional
    subscription_name Es el nombre de la suscripción a Pub/Sub para los recursos. Opcional

    Archivo config.yml de ejemplo

    En el siguiente ejemplo, se muestra un archivo config.yml que incluye dos organizaciones de Google Cloud .

    elasticsearch:
  host: 127.0.0.1
  password: changeme
  port: 9200
  username: elastic
  cacert: path/to/cacert/elasticsearch.cer
http_proxy: http://user:password@proxyip:proxyport
kibana:
  host: 127.0.0.1
  password: changeme
  port: 5601
  username: elastic
  cacert: path/to/cacert/kibana.cer
cron:
  asset: 0 */45 * * * *
  source: 0 */45 * * * *
organizations:
  – id: 12345678910
    client_credential_path:
    update:
    project:
      id: project-id-12345
    auditlog:
      topic_name: auditlog.topic_name
      subscription_name: auditlog.subscription_name
    findings:
      topic_name: findings.topic_name
      start_date: 2021-05-01T12:00:00+05:30
      subscription_name: findings.subscription_name
    asset:
      iampolicy:
        topic_name: iampolicy.topic_name
        subscription_name: iampolicy.subscription_name
      resource:
        topic_name: resource.topic_name
        subscription_name: resource.subscription_name
  – id: 12345678911
    client_credential_path:
    update:
    project:
      id: project-id-12346
    auditlog:
      topic_name: auditlog2.topic_name
      subscription_name: auditlog2.subscription_name
    findings:
      topic_name: findings2.topic_name
      start_date: 2021-05-01T12:00:00+05:30
      subscription_name: findings1.subscription_name
    asset:
      iampolicy:
        topic_name: iampolicy2.topic_name
        subscription_name: iampolicy2.subscription_name
      resource:
        topic_name: resource2.topic_name
        subscription_name: resource2.subscription_name

  4. Ejecuta los siguientes comandos para instalar la imagen de Docker y configurar el módulo GoApp.

    chmod +x install
./install

    El módulo GoApp descarga la imagen de Docker, la instala y configura el contenedor.

  5. Cuando finalice el proceso, copia la dirección de correo electrónico de la cuenta de servicio de WriterIdentity del resultado de la instalación.

    docker exec googlescc_elk ls
docker exec googlescc_elk cat Sink_}}HashId{{

    Tu directorio de trabajo debe tener la siguiente estructura:

      ├── config.yml
  ├── dashboards.ndjson
  ├── docker-compose.yml
  ├── install
  ├── templates
      ├── filebeat.tmpl
      ├── logstash.tmpl
      ├── docker.tmpl
  └── main
      ├── client_secret.json
      ├── filebeat
      │          └── config
      │                   └── filebeat.yml
      ├── GoApp
      │       └── .env
      └── logstash
                 └── pipeline
                            └── logstash.conf

Actualiza los permisos de los registros de auditoría

Si deseas actualizar los permisos para que los registros de auditoría puedan fluir a tu SIEM, haz lo siguiente:

  1. Navega a la página de temas de Pub/Sub.

    Ve a Pub/Sub

  2. Elige el proyecto que incluya tus temas de Pub/Sub.

  3. Elige el tema de Pub/Sub que creaste para los registros de auditoría.

  4. En Permisos, agrega la cuenta de servicio de WriterIdentity (que copiaste en el paso 4 del procedimiento de instalación) como una principal nueva y asígnale el rol Publicador de Pub/Sub. Se actualiza la política de registro de auditoría.

Se completó la configuración de Docker y Elastic Stack. Ahora puedes configurar Kibana.

Visualiza registros de Docker

  1. Abre una terminal y ejecuta el siguiente comando para ver la información del contenedor, incluidos los IDs de contenedor. Ten en cuenta el ID del contenedor en el que está instalado Elastic Stack.

    docker container ls

  2. Para iniciar un contenedor y ver sus registros, ejecuta los siguientes comandos:

    docker exec -it CONTAINER_ID /bin/bash
cat go.log

    Reemplaza CONTAINER_ID por el ID del contenedor en el que está instalado Elastic Stack.

Configura Kibana

Completa estos pasos cuando instales el contenedor de Docker por primera vez.

  1. Abre kibana.yml en un editor de texto.

    sudo vim KIBANA_DIRECTORY/config/kibana.yml

    Reemplaza KIBANA_DIRECTORY por la ruta de acceso a la carpeta de instalación de Kibana.

  2. Actualiza las siguientes variables:

    • server.port: Es el puerto que se usará para el servidor de backend de Kibana; el valor predeterminado es 5,601.
    • server.host: Es la dirección IP o el nombre de host al que se vinculará el servidor de Kibana.
    • elasticsearch.hosts: Es la dirección IP y el puerto de la instancia de Elasticsearch que se usará para las consultas.
    • server.maxPayloadBytes: Es el tamaño máximo de la carga útil en bytes para las solicitudes del servidor entrante; el valor predeterminado es 1,048,576.
    • url_drilldown.enabled: Es un valor booleano que controla la capacidad de navegar desde el panel de Kibana a las URLs internas o externas; el valor predeterminado es true.

    La configuración completa es similar a la siguiente:

      server.port: PORT
  server.host: "HOST"
  elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
  server.maxPayloadBytes: 5242880
  url_drilldown.enabled: true

Importa paneles de Kibana

  1. Abre la aplicación Kibana.
  2. En el menú de navegación, ve a Stack Management y haz clic en Saved Objects.
  3. Haz clic en Importar, navega al directorio de trabajo y elige dashboards.ndjson. Los paneles se importan y se crean los patrones de índice.

Actualiza el contenedor de Docker

Si implementaste una versión anterior del módulo GoApp, puedes actualizar a una versión más reciente. Cuando actualizas el contenedor de Docker a una versión más reciente, puedes mantener la configuración de la cuenta de servicio, los temas de Pub/Sub y los componentes de ElasticSearch existentes.

Si deseas actualizar desde una integración que no usó un contenedor de Docker, consulta Actualiza a la versión más reciente.

  1. Si actualizas desde la versión 1, completa estas acciones:

    1. Agrega el rol Escritor de configuración de registros (roles/logging.configWriter) a la cuenta de servicio.

    2. Crea un tema de Pub/Sub para tus registros de auditoría.

  2. Si instalas el contenedor de Docker en otra nube, configura la federación de identidades para cargas de trabajo y descarga el archivo de configuración de las credenciales.

  3. De forma opcional, para evitar problemas cuando importes los paneles nuevos, quita los paneles existentes de Kibana:

    1. Abre la aplicación Kibana.
    2. En el menú de navegación, ve a Stack Management y haz clic en Saved Objects.
    3. Busca Google SCC.
    4. Elige todos los paneles que desees quitar.
    5. Haz clic en Borrar.

  4. Quita el contenedor de Docker existente:

    1. Abre una terminal y detén el contenedor:

      docker stop CONTAINER_ID

      Reemplaza CONTAINER_ID por el ID del contenedor en el que está instalado Elastic Stack.

    2. Quita el contenedor de Docker:

      docker rm CONTAINER_ID

      Si es necesario, agrega -f antes del ID del contenedor para quitarlo de manera forzosa.

  5. Completa los pasos del 1 al 7 en Descarga el módulo de GoApp.

  6. Mueve el archivo config.env existente de la instalación anterior al directorio \update.

  7. Si es necesario, otorga permiso de ejecución para ejecutar ./update:

    chmod +x ./update
./update

  8. Ejecuta ./update para convertir config.env en config.yml.

  9. Verifica que el archivo config.yml incluya la configuración existente. De lo contrario, vuelve a ejecutar ./update.

  10. Para admitir varias organizaciones de Google Cloud , agrega otra configuración de organización al archivo config.yml.

  11. Mueve el archivo config.yml a tu directorio de trabajo en el que se encuentra el archivo install.

  12. Completa los pasos en Instala Docker.

  13. Completa los pasos de la sección Actualiza los permisos de los registros de auditoría.

  14. Importa los paneles nuevos, como se describe en Importa los paneles de Kibana. En este paso, se reemplazarán tus paneles de Kibana existentes.

Visualiza y edita los paneles de Kibana

Puedes usar paneles personalizados en Elastic Stack para visualizar y analizar tus hallazgos, elementos y fuentes de seguridad. Los paneles muestran hallazgos esenciales y ayudan a tu equipo de seguridad a priorizar correcciones.

Panel de descripción general

El panel Descripción general contiene una serie de gráficos que muestran la cantidad total de hallazgos de tus organizaciones de Google Cloud por nivel de gravedad, categoría y estado. Los hallazgos se compilan a partir de los servicios integrados de Security Command Center, como Security Health Analytics, Web Security Scanner, Event Threat Detection, Container Threat Detection y cualquier servicio integrado que habilites.

Para filtrar contenido por criterios como parámetros de configuración incorrectos o vulnerabilidades, puedes elegir la Clase del hallazgo.

Los gráficos adicionales muestran qué categorías, proyectos y elementos generan a mayor cantidad de hallazgos.

Panel de recursos

En el panel Recursos, se muestran las tablas que muestran tus elementos de Google Cloud. En las tablas, se muestran los propietarios de los elementos, los recuentos de elementos por tipo, proyecto de recursos y los elementos más recientes que se agregaron y actualizaron.

Puedes filtrar los datos de los elementos por organización, nombre, tipo y superiores. Además, puedes desglosar los hallazgos para elementos específicos con rapidez. Si haces clic en el nombre de un elemento, se te redireccionará a la página Recursos de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del elemento seleccionado.

Panel de registros de auditoría

En el panel Registros de auditoría, se muestra una serie de gráficos y tablas en los que se muestra información de registro de auditoría. Los registros de auditoría que se incluyen en el panel son la actividad del administrador, el acceso a los datos, los eventos del sistema y los registros de auditoría de política que se denegaron. La tabla incluye la hora, la gravedad, el tipo de registro, el nombre del registro, el nombre del servicio, el nombre del recurso y el tipo de recurso.

Puedes filtrar los datos por organización, fuente (como un proyecto), gravedad, tipo de registro y tipo de recurso.

Panel de hallazgos

En el panel Hallazgos, se incluyen gráficos que muestran los hallazgos más recientes. Los gráficos proporcionan información sobre la cantidad de hallazgos, su gravedad, categoría y estado. También puedes ver los hallazgos activos con el tiempo y qué proyectos o recursos tienen la mayor cantidad.

Puedes filtrar los datos por organización y clase de hallazgo.

Si haces clic en un nombre de hallazgo, se te redireccionará a la página Hallazgos de Security Command Center en la consola de Google Cloud y se mostrarán los detalles del hallazgo seleccionado.

Panel de fuentes

En el panel Fuentes, se muestra la cantidad total de hallazgos y fuentes de seguridad, la cantidad de hallazgos por nombre de fuente y una tabla de todas tus fuentes de seguridad. Las columnas de la tabla incluyen el nombre, el nombre visible y la descripción.

Agrega columnas

  1. Navega a un panel.
  2. Haz clic en Editar y, luego, en Editar visualización.
  3. En Add sub-bucket, elige Split rows.
  4. En la lista, elige la agregación de Términos.
  5. En el menú desplegable Descendente, elige ascendente o descendente. En el campo Tamaño, escribe la cantidad máxima de filas para la tabla.
  6. Elige la columna que deseas agregar y haz clic en Actualizar.
  7. Guarda los cambios.

Oculta o quita columnas

  1. Navega al panel.
  2. Haz clic en Editar.
  3. Para ocultar una columna, junto al nombre de la columna, haz clic en el ícono de visibilidad o de ojo.
  4. Para quitar una columna, junto al nombre de la columna, haz clic en la X o en el ícono de borrar.

Desinstala la integración en Elasticsearch

Completa las siguientes secciones para quitar la integración entre Security Command Center y Elasticsearch.

Quita paneles, índices y patrones de índice

Quita los paneles cuando quieras desinstalar esta solución.

  1. Navega a los paneles.

  2. Busca Google SCC y elige todos los paneles.

  3. Haz clic en Delete dashboards.

  4. Navega a Stack Management > Index Management.

  5. Cierra los siguientes índices:

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs

  6. Navega a Stack Management > Index Patterns.

  7. Cierra los siguientes patrones:

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs

Desinstala Docker

  1. Borra el objeto NotificationConfig para Pub/Sub. Para encontrar el nombre de NotificationConfig, ejecuta el siguiente comando:

    docker exec googlescc_elk ls
docker exec googlescc_elk cat NotificationConf_}}HashId{{

  2. Quita los feeds de Pub/Sub para los elementos, los hallazgos, las políticas de IAM y los registros de auditoría. Para encontrar los nombres de los feeds, ejecuta el siguiente comando:

    docker exec googlescc_elk ls
docker exec googlescc_elk cat Feed_}}HashId{{

  3. Quita el receptor de los registros de auditoría. Para encontrar el nombre del receptor, ejecuta el siguiente comando:

    docker exec googlescc_elk ls
docker exec googlescc_elk cat Sink_}}HashId{{

  4. Para ver la información del contenedor, incluidos los IDs de contenedor, abre la terminal y ejecuta el siguiente comando:

    docker container ls

  5. Detén el contenedor:

    docker stop CONTAINER_ID

    Reemplaza CONTAINER_ID por el ID del contenedor en el que está instalado Elastic Stack.

  6. Quita el contenedor de Docker:

    docker rm CONTAINER_ID

    Si es necesario, agrega -f antes del ID del contenedor para quitarlo de manera forzosa.

  7. Quita la imagen de Docker:

    docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest

  8. Borra el directorio de trabajo y el archivo docker-compose.yml:

    rm -rf ./main docker-compose.yml

¿Qué sigue?