Crear y gestionar perfiles de seguridad

En esta página se explica cómo crear y gestionar perfiles de seguridad mediante la consola de Google Cloud y la CLI de Google Cloud.

Antes de empezar

Roles

Para obtener los permisos que necesitas para crear, ver, actualizar o eliminar perfiles de seguridad, pide a tu administrador que te conceda los roles de gestión de identidades y accesos necesarios en tu organización. Para obtener más información sobre cómo conceder roles, consulta el artículo sobre cómo gestionar el acceso.

Crear un perfil de seguridad

Solo puedes crear un perfil de seguridad de tipo threat-prevention.

Cuando creas un perfil de seguridad, puedes especificar su nombre como una cadena o como un identificador de URL único. La URL única de un perfil de seguridad de ámbito de organización se puede crear con el siguiente formato:

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME

Si usas un identificador de URL único para el nombre del perfil de seguridad, la organización y la ubicación del perfil de seguridad ya se incluyen en el identificador de URL. Sin embargo, si solo usas el nombre del perfil de seguridad, debes especificar la organización y la ubicación por separado. Para obtener más información sobre los identificadores únicos de URL, consulta las especificaciones del perfil de seguridad.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Selecciona la pestaña Perfiles de seguridad.

Configura un perfil de seguridad de prevención de amenazas:

  1. Haz clic en Create profile (Crear perfil).
  2. Escribe un nombre en el campo Nombre.
  3. Opcional: Escribe una descripción en el campo Descripción.
  4. Haz clic en Continuar.

También puedes añadir prevalencias de gravedad y de amenazas:

  1. En Sustituciones de gravedad, haz clic en Editar junto al nivel de gravedad que quieras sustituir.
  2. En la lista Acción de anulación, selecciona la acción adecuada para el nivel de gravedad.
  3. Para añadir una anulación de firma de amenaza, haga clic en Añadir firma por ID.
  4. En el campo Signature ID (ID de firma), introduce el ID de la amenaza que quieras anular. Puedes ver los IDs de las amenazas en el panel de control de amenazas.
  5. En la lista Acción de anulación, selecciona la acción adecuada para el ID de amenaza.
  6. Haz clic en Crear.

gcloud

Para crear un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention create:

gcloud network-security security-profiles threat-prevention \
   create NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   --description DESCRIPTION

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad. Puede especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad. Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: la ubicación del perfil de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca name, puede omitir la marca location.

  • PROJECT_ID: ID de proyecto opcional que se va a usar para las cuotas y las restricciones de acceso del perfil de seguridad.

  • DESCRIPTION: descripción opcional del perfil de seguridad.

Mostrar perfiles de seguridad

Puedes enumerar todos los perfiles de seguridad de prevención de amenazas de una organización.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña se muestra una lista de perfiles de seguridad configurados.

gcloud

Para obtener una lista con todos los perfiles de seguridad de prevención de amenazas, utiliza el comando gcloud network-security security-profiles threat-prevention list:

gcloud network-security security-profiles threat-prevention list \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID

Haz los cambios siguientes:

  • ORGANIZATION_ID: la organización en la que se crean los perfiles de seguridad.

  • LOCATION: la ubicación de los perfiles de seguridad. La ubicación siempre está definida como global.

  • PROJECT_ID: ID de proyecto opcional que se va a usar para las cuotas y las restricciones de acceso del perfil de seguridad.

Eliminar un perfil de seguridad

Puede eliminar un perfil de seguridad de prevención de amenazas especificando su nombre, ubicación y organización. Sin embargo, si un perfil de seguridad se hace referencia en un grupo de perfiles de seguridad, no se puede eliminar.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña se muestra una lista de perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad que quieras eliminar y, a continuación, haz clic en Eliminar.

  4. Haz clic en Eliminar de nuevo para confirmar la acción.

gcloud

Para eliminar un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention delete:

gcloud network-security security-profiles threat-prevention \
   delete NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad que quieres eliminar. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad. Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: la ubicación del perfil de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca name, puede omitir la marca location.

  • PROJECT_ID: ID de proyecto opcional que se va a usar para las cuotas y las restricciones de acceso del perfil de seguridad.

Añadir acciones de anulación en un perfil de seguridad

Puedes anular las acciones asociadas a firmas de amenazas específicas o a niveles de gravedad en un perfil de seguridad.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Seleccione la pestaña Perfiles de seguridad.En ella se muestra una lista de los perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad en el que quieras anular las acciones y, a continuación, haz clic en Editar.

  4. En Sustituciones de gravedad, haz clic en Editar junto al nivel de gravedad que quieras sustituir.

  5. En la lista Acción de anulación, selecciona la acción adecuada para el nivel de gravedad.

  6. Haz clic en Confirmar.

  7. Haz clic en Guardar.

gcloud

Para añadir una anulación a un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention add-override:

gcloud network-security security-profiles threat-prevention \
   add-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
   --action ACTION

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad. Puede especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: la ubicación del perfil de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca name, puede omitir la marca location.

  • PROJECT_ID: ID de proyecto opcional que se va a usar para las cuotas y las restricciones de acceso del perfil de seguridad.

  • SEVERITIES: lista de niveles de gravedad separados por comas para anular la acción. El endpoint del cortafuegos aplica la marca --action configurada a todas las amenazas de los niveles de gravedad especificados. La gravedad puede ser cualquiera de las siguientes:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS: lista separada por comas de IDs de firmas de amenazas para anular la acción. El endpoint de cortafuegos aplica la marca --action configurada a todas las amenazas de los IDs de amenaza especificados.

  • PROTOCOLS: lista de protocolos de red separados por comas que se deben monitorizar para detectar amenazas de antivirus. Para obtener más información, consulta los protocolos admitidos.

  • ACTION: la acción para los IDs de amenazas o las gravedades especificados. Para obtener más información, consulta las acciones admitidas.

Mostrar las acciones de anulación de un perfil de seguridad

Puedes enumerar todas las acciones de anulación de un perfil de seguridad.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Seleccione la pestaña Perfiles de seguridad.En ella se muestra una lista de los perfiles de seguridad configurados.

  3. Seleccione el perfil de seguridad para ver las acciones de sustitución de gravedad y las acciones de sustitución de firmas de amenazas configuradas.

gcloud

Para obtener una lista de todas las acciones de anulación de un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention list-overrides:

gcloud network-security security-profiles threat-prevention \
    list-overrides NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad. Puede especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: la ubicación del perfil de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca name, puede omitir la marca location.

Actualizar las acciones de anulación en un perfil de seguridad

Puedes actualizar las acciones de anulación de los niveles de gravedad o las firmas de amenazas de un perfil de seguridad.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña se muestra una lista de perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad y, a continuación, haz clic en Editar.

  4. En Sustituciones de gravedad, haz clic en Editar junto al nivel de gravedad en el que quieras actualizar la acción de sustitución.

  5. En la lista Acción de anulación, selecciona la acción adecuada para el nivel de gravedad.

  6. Haz clic en Confirmar.

  7. Haz clic en Guardar.

gcloud

Para actualizar una acción de anulación en un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention update-override:

gcloud network-security security-profiles threat-prevention \
   update-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
   --action ACTION

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad. Puede especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: la ubicación del perfil de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca name, puede omitir la marca location.

  • PROJECT_ID: ID de proyecto opcional que se va a usar para las cuotas y las restricciones de acceso del perfil de seguridad.

  • SEVERITIES: lista de niveles de gravedad separados por comas para los que quieres actualizar las anulaciones. La gravedad puede ser cualquiera de las siguientes:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS: lista de IDs de firmas de amenazas separados por comas para los que quieres actualizar las anulaciones.

  • PROTOCOLS: lista de protocolos de red separados por comas que se deben monitorizar para detectar amenazas de antivirus. Se admiten los siguientes protocolos:

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

  • ACTION: la acción predeterminada para los IDs de amenaza o las gravedades especificados. La acción puede ser una de las siguientes:

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

Eliminar acciones de anulación de un perfil de seguridad

Puedes eliminar las acciones de anulación de niveles de gravedad o firmas de amenazas de un perfil de seguridad.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña se muestra una lista de perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad y, a continuación, haz clic en Editar.

  4. En Sustituciones de gravedad, haz clic en Editar junto al nivel de gravedad en el que quieras eliminar la acción de sustitución.

  5. En la lista Acción de anulación, selecciona Sin anulación.

  6. Haz clic en Confirmar.

  7. En Sustituciones de firmas, selecciona el ID de amenaza que quieras eliminar.

  8. Haz clic en Eliminar.

  9. Haz clic en Guardar.

gcloud

Para eliminar una acción de anulación de un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention delete-override:

gcloud network-security security-profiles threat-prevention \
   delete-override NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad. Puede especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca name, puedes omitir la marca organization.

  • LOCATION: la ubicación del perfil de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca name, puede omitir la marca location.

  • PROJECT_ID: ID de proyecto opcional que se va a usar para las cuotas y las restricciones de acceso del perfil de seguridad.

  • SEVERITIES: lista separada por comas de los niveles de gravedad de los que quieres eliminar las anulaciones. La gravedad puede ser cualquiera de las siguientes:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS: lista separada por comas de los IDs de las firmas de amenazas para las que quieres eliminar las anulaciones.

  • PROTOCOLS: lista de protocolos de red separados por comas que se deben monitorizar para detectar amenazas de antivirus. Se admiten los siguientes protocolos:

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

Siguientes pasos