Envía datos de Security Command Center a SOAR de Google Security Operations

En esta página, se explica cómo enviar automáticamente los resultados, los recursos, los registros de auditoría y las fuentes de seguridad de Security Command Center a Google Security Operations SOAR. También se describe cómo administrar los datos exportados.

Antes de comenzar, asegúrate de que los servicios de Security Command Center y Google Cloud necesarios estén configurados de forma correcta y habilita la SOAR de Google SecOps para acceder a los hallazgos, los registros de auditoría y los recursos de tu entorno de Security Command Center. Para obtener más información sobre la integración de Security Command Center en Google SecOps SOAR, consulta Security Command Center en la documentación de Google Security Operations.

Configura la autenticación y la autorización

Antes de conectarte a Google SecOps SOAR, debes crear una cuenta de servicio de Identity and Access Management y otorgarle roles de IAM a nivel de la organización y del proyecto.

Crea una cuenta de servicio y otorga roles de IAM

En este documento, esta cuenta de servicio también se denomina cuenta de servicio del usuario. En los siguientes pasos, se usa la consola de Google Cloud . Para conocer otros métodos, consulta los vínculos que aparecen al final de esta sección.

Completa estos pasos para cada organización de Google Cloud desde la que quieras importar datos de Security Command Center.

  1. En el mismo proyecto en el que creas tus temas de Pub/Sub, usa la página Cuentas de servicio en la consola de Google Cloud para crear una cuenta de servicio. Para obtener instrucciones, consulta Crea y administra cuentas de servicio.

  2. Otorga el siguiente rol a la cuenta de servicio:

    • Editor de Pub/Sub (roles/pubsub.editor)

  3. Copia el nombre de la cuenta de servicio que acabas de crear.

  4. Usa el selector de proyectos en la consola de Google Cloud para cambiar al nivel de la organización.

  5. Abre la página de IAM de la organización:

    Ve a IAM

  6. En la página de IAM, haz clic en Otorgar acceso. Se abrirá el panel para otorgar acceso.

  7. En el panel Otorgar acceso, completa los siguientes pasos:

    1. En la sección Agregar principales, en el campo Principales nuevas, pega el nombre de la cuenta de servicio.

    2. En la sección Asignar roles, usa el campo Rol para otorgar los siguientes roles de IAM a la cuenta de servicio:

      • Visualizador administrador del centro de seguridad (roles/securitycenter.adminViewer)
      • Editor de configuraciones de notificación del centro de seguridad (roles/securitycenter.notificationConfigEditor)
      • Visualizador de la organización (roles/resourcemanager.organizationViewer)
      • Visualizador de recursos de Cloud (roles/cloudasset.viewer)

    3. Haz clic en Guardar. La cuenta de servicio aparece en la pestaña Permisos de la página IAM en Ver por principales.

      Por herencia, la cuenta de servicio también se convierte en principal en todos los proyectos secundarios de la organización. Los roles que se pueden aplicar a nivel del proyecto se enumeran como roles heredados.

Si deseas obtener más información para crear cuentas de servicio y otorgar roles, consulta los siguientes temas:

Crea una cuenta de servicio para la suplantación

En este documento, esta cuenta de servicio también se denomina cuenta de servicio de SOAR. Crea una cuenta de servicio para actuar en nombre de la cuenta de servicio del usuario y sus permisos.

  1. En la consola de Google SecOps SOAR, navega a Response y, luego, haz clic en Integrations setup.

  2. En la página Configuración de integraciones, haz clic en Crear una instancia nueva. Se abrirá el diálogo Agregar instancia.

  3. En la lista Integraciones, selecciona Google Security Command Center y haz clic en Guardar. Se abrirá el diálogo Google Security Command Center - Configure Instance.

  4. En el campo Correo electrónico de Workload Identity, especifica el ID de correo electrónico de la cuenta de servicio.

  5. Haz clic en Guardar.

Proporciona las credenciales a Google SecOps SOAR

Según dónde alojes Google SecOps SOAR, la forma en que proporcionas las credenciales de IAM a Google SecOps SOAR varía.

  • Si alojas Google SecOps SOAR en Google Cloud, la cuenta de servicio del usuario que creaste y los roles a nivel de la organización que le otorgaste están disponibles automáticamente por herencia de la organización principal.
  • Si alojas Google SecOps SOAR en tu entorno local, crea una clave para la cuenta de servicio del usuario que creaste. Para completar esta tarea, necesitarás el archivo JSON de la clave de la cuenta de servicio. Si deseas obtener información sobre las prácticas recomendadas para almacenar las claves de tu cuenta de servicio de forma segura, consulta Prácticas recomendadas para administrar claves de cuentas de servicio.

Configurar las notificaciones

Completa estos pasos para cada organización de Google Cloud desde la que quieras importar datos de Security Command Center.

  1. Configura las notificaciones de hallazgos de la siguiente manera:

    1. Habilita la API de Security Command Center.
    2. Crea un tema de Pub/Sub para los hallazgos.
    3. Crea un objeto NotificationConfig que contenga el filtro para los hallazgos que deseas exportar. NotificationConfig debe usar el tema de Pub/Sub que creaste para los resultados.

  2. Habilita la API de Cloud DLP para el proyecto.

Necesitarás el ID de tu organización, el ID del proyecto y el ID de la suscripción a Pub/Sub de esta tarea para configurar Google SecOps SOAR. Para recuperar el ID de tu organización y el ID del proyecto, consulta Recupera el ID de tu organización y Cómo identificar proyectos, respectivamente.

Configura Google SecOps SOAR

Google SecOps SOAR permite a las empresas y a los proveedores de servicios de seguridad administrados (MSSP) recopilar datos y alertas de seguridad de diferentes fuentes combinando la organización y la automatización, la inteligencia sobre amenazas y la respuesta ante incidentes.

Para usar Security Command Center con Google SecOps SOAR, completa los siguientes pasos:

  1. En la consola de Google SecOps SOAR, navega a Marketplace y, luego, haz clic en Integrations.

  2. Busca Google Security Command Center y, luego, instala la integración de Security Command Center que aparece en los resultados de la búsqueda.

  3. En la integración de Google Security Command Center, haz clic en Configurar. Se abrirá el diálogo Google Security Command Center - Configure Instance.

  4. Opcional: Para crear un entorno nuevo o editar la configuración del entorno, haz clic en Pantalla de configuración. La página Environments se abrirá en una pestaña nueva.

  5. En la página Entornos, selecciona el entorno para el que deseas configurar la instancia de integración.

  6. En el entorno seleccionado, haz clic en Crear una instancia nueva. Se abrirá el diálogo Agregar instancia.

  7. En la lista Integraciones, selecciona Google Security Command Center y haz clic en Guardar. Se abrirá el diálogo Google Security Command Center - Configure Instance.

  8. Especifica los parámetros de configuración y haz clic en Guardar.

    Parámetro Descripción Obligatorio
    Raíz de la API Es la raíz de la API de la instancia de Security Command Center. Por ejemplo, securitycenter.googleapis.com.
    ID de la organización ID de la organización cuyos hallazgos deseas exportar. No
    ID del proyecto Es el ID del proyecto que se usará en la integración de Security Command Center. No
    ID del proyecto de cuota Es el ID de tu proyecto de Google Cloud para el uso de la API y la facturación. Google Cloud No
    ID de ubicación Es el ID de la ubicación que se usará en la integración de Security Command Center. El ID de ubicación predeterminado es global. No
    Cuenta de servicio del usuario Cuenta de servicio que creaste en Crea una cuenta de servicio y otorga roles de IAM. Si alojas Google SecOps SOAR en tu entorno local, proporciona el ID de la clave de la cuenta de servicio y todo el contenido del archivo JSON de la cuenta de servicio.
    Correo electrónico de Workload Identity Correo electrónico que creaste en Crea una cuenta de servicio para la suplantación. Es el correo electrónico del cliente de la cuenta de servicio que reemplaza el uso de la cuenta de servicio del usuario que se puede usar para la suplantación. Se debe otorgar a la cuenta de servicio de SOAR el rol de IAM Service Account Token Creator en la cuenta de servicio del usuario.
    Verificar SSL Habilita esta opción para verificar que el certificado SSL que se usa para la conexión al servidor de Security Command Center sea válido.

  9. Para verificar que la integración esté configurada correctamente, haz clic en Probar.

  10. Después de la verificación correcta, haz clic en Guardar.

Actualiza la integración de Google Security Command Center

Para actualizar la integración de Google Security Command Center, completa los siguientes pasos:

  1. En la consola de Google SecOps SOAR, navega a Marketplace y, luego, haz clic en Integrations.

  2. Busca la integración de Google Security Command Center y haz clic en Actualizar a VERSION_NUMBER.

Trabaja con hallazgos y recursos

Google SecOps SOAR usa conectores para transferir alertas de una variedad de fuentes de datos a la plataforma.

Recupera alertas de Security Command Center para analizarlas en SOAR de Google SecOps

Debes configurar un conector para extraer información sobre los hallazgos de Security Command Center. Para configurar el conector, consulta Ingiere tus datos (conectores).

Establece los siguientes parámetros en Google SecOps SOAR para configurar el conector de Google Security Command Center - Findings.

Parámetro Tipo Valor predeterminado Obligatorio Descripción
Nombre del campo del producto String Nombre del producto Es el nombre del campo de origen para recuperar el nombre del campo del producto.
Nombre del campo del evento String tipo Es el nombre del campo de origen para recuperar el nombre del campo del evento.
Nombre del campo del entorno String Vacío No Nombre del campo en el que se almacena el nombre del entorno. Si no se especifica el nombre del campo del entorno, se selecciona el entorno predeterminado.
Patrón de expresión regular del entorno String .* No Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Nombre del campo del entorno. El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Este parámetro se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, se selecciona el entorno predeterminado.
Tiempo de espera de la secuencia de comandos (segundos) Número entero 180 Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API String Es la raíz de la API de la instancia de Security Command Center. Por ejemplo, securitycenter.googleapis.com.
ID de la organización String No Es el ID de la organización que se debe usar en la integración de Google Security Command Center.
Cuenta de servicio del usuario Contraseña Cuenta de servicio que creaste en Crea una cuenta de servicio y otorga roles de IAM. Si alojas Google SecOps SOAR en tu entorno local, proporciona el ID de la clave de la cuenta de servicio y todo el contenido del archivo JSON de la cuenta de servicio.
Filtro de clase de hallazgo CSV Amenaza, vulnerabilidad, configuración incorrecta, SCC_Error, observación No

Se encuentran las clases que se deben ingerir. Los valores posibles son:

  • Amenaza
  • Vulnerabilidad
  • Configuración incorrecta
  • SCC_Error
  • Observación

Si no se proporciona nada, se incorporan los hallazgos de todas las clases.

Gravedad más baja que se recuperará String Alta No

Es la gravedad más baja que se usa para recuperar hallazgos. Los valores posibles son los siguientes:

  • Baja
  • Medio
  • Alta
  • Crítico

Nota: Si se incorpora un hallazgo con gravedad indefinida, tendrá gravedad media. Si no se proporciona nada, se incorporan los hallazgos con todos los niveles de gravedad.

Horas máximas hacia atrás Número entero 1 No Cantidad de horas desde las que se recuperarán los hallazgos. El límite máximo es 24.
Cantidad máxima de hallazgos para recuperar Número entero 100 No Cantidad de hallazgos que se procesarán en cada iteración del conector. El límite máximo es 1,000.
Usar la lista dinámica como lista de exclusión Casilla de verificación Inhabilitado Habilita la lista dinámica como lista de exclusión.
Verificar SSL Casilla de verificación Inhabilitado Habilita esta opción para verificar que el certificado SSL de la conexión al servidor de Security Command Center sea válido.
Dirección del servidor proxy String No Es la dirección del servidor proxy que se usará.
Nombre de usuario del proxy String No Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy Contraseña No Contraseña del proxy para la autenticación.

Enriquece los recursos

Para habilitar una investigación de seguridad, Google Security Operations ingiere datos contextuales de diferentes fuentes, realiza análisis sobre los datos y proporciona contexto adicional sobre los artefactos en el entorno del cliente.

Para enriquecer los recursos con información de Security Command Center, agrega la acción de enriquecer recursos a un playbook en Google SecOps SOAR y ejecuta el playbook. Para obtener más información, consulta Cómo agregar una acción.

Para configurar esta acción, establece los siguientes parámetros:

Parámetro Tipo Valor predeterminado Obligatorio Descripción
Nombre del campo del producto String Nombre del producto Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto.

Enumera las vulnerabilidades de las alertas

Para enumerar las vulnerabilidades relacionadas con las entidades en Security Command Center, agrega la acción list asset vulnerabilities a un playbook en Google Security Operations SOAR y ejecuta el playbook. Para obtener más información, consulta Cómo agregar una acción.

Para configurar esta acción, establece los siguientes parámetros:

Parámetro Tipo Valor predeterminado Obligatorio Descripción
Nombres de recursos de activos CSV Especifica una lista separada por comas de los nombres de los recursos de los activos para los que deseas devolver datos.
Plazo DDL Todo el período No

Especifica el período para la búsqueda de vulnerabilidades o errores de configuración. Los valores posibles son:

  • Última semana
  • Último mes
  • El año pasado
  • Todo el período
Tipos de registros DDL Vulnerabilidades y parámetros de configuración incorrectos No

Especifica el tipo de registro que se debe devolver. Los valores posibles son los siguientes:

  • Vulnerabilidades
  • Parámetros de configuración incorrectos
  • Vulnerabilidades y parámetros de configuración incorrectos
Tipo de salida DDL Estadísticas No

Especifica el tipo de salida que se debe devolver en el resultado JSON del activo. Los valores posibles son:

  • Estadísticas
  • Datos
  • Estadísticas y datos
Cantidad máxima de registros que se pueden devolver String 100 No Especifica la cantidad de registros que se devolverán por tipo de registro por recurso.

Actualiza los hallazgos

Para actualizar los resultados en Security Command Center, agrega la acción de actualización de resultados a un playbook en Google SecOps SOAR y ejecuta el playbook. Para obtener más información, consulta Cómo agregar una acción.

Para configurar esta acción, establece los siguientes parámetros:

Parámetro Tipo Valor predeterminado Obligatorio Descripción
Nombre del resultado CSV organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID Especifica una lista separada por comas de los nombres de los hallazgos que deseas actualizar.
Estado de silencio DDL No

Especifica el estado de silencio del hallazgo. Los valores posibles son:

  • Silenciar
  • Activar sonido
Estado DDL No

Especifica el estado del hallazgo. Los valores posibles son:

  • Activa
  • Inactiva