Usa módulos personalizados con Security Health Analytics

En esta página, se explica cómo crear, ver, actualizar y borrar módulos personalizados para las estadísticas del estado de la seguridad con la consola de Google Cloud o Google Cloud CLI.

Para obtener más información introductoria, consulta Descripción general de los módulos personalizados para las estadísticas del estado de la seguridad.

Antes de comenzar

Para poder trabajar con módulos personalizados, debes cumplir con los siguientes requisitos previos:

  • Necesitas el nivel Premium de Security Command Center. Más información sobre los niveles de Security Command Center, consulta Descripción general de la activación de Security Command Center.
  • Se deben habilitar las estadísticas del estado de seguridad. Para obtener información sobre cómo habilitar Security Health Analytics, consulta Habilita o inhabilita un servicio integrado.
  • Se debe otorgar a tu cuenta de usuario uno o más roles de Identity and Access Management (IAM) que contengan los permisos necesarios. Para obtener más información, consulta Permisos de IAM obligatorios.
  • Si deseas escribir tus propios módulos personalizados y subirlos a Security Command Center con los comandos de gcloud, necesitas Google Cloud CLI. Para obtener información sobre la instalación del gcloud CLI, consulta Instala gcloud CLI.
  • Si la API de Security Command Center aún no está habilitada, debes habilitarla antes de que puedas usar módulos personalizados para Security Health Analytics. Puedes habilita la API de Security Command Center en la Página Biblioteca de APIs en la consola de Google Cloud.
  • Para comprender los límites de uso de Security Health Analytics, consulta Cuotas de módulos personalizados

Permisos de IAM obligatorios

Para trabajar con módulos personalizados, necesitas lo siguiente: Identity and Access Management (IAM) permisos:

Permiso Función
securitycenter.securityhealthanalyticscustommodules.create
securitycenter.securityhealthanalyticscustommodules.update
securitycenter.securityhealthanalyticscustommodules.delete		 roles/securitycenter.settingsEditor
roles/securitycenter.admin
securitycenter.securityhealthanalyticscustommodules.get
securitycenter.securityhealthanalyticscustommodules.list		 roles/securitycenter.settingsViewer
roles/securitycenter.adminViewer
roles/securitycenter.admin
securitycenter.securityhealthanalyticscustommodules.test roles/securitycenter.securityHealthAnalyticsCustomModulesTester
roles/securitycenter.adminViewer
roles/securitycenter.adminEditor
roles/securitycenter.admin

Para obtener más información sobre los permisos y roles de IAM y cómo otorgarlos, consulta Otorga un rol de IAM mediante la consola de Google Cloud.

Cómo crear un módulo personalizado

En esta sección, se explica cómo crear módulos personalizados con el la consola de Google Cloud o gcloud CLI.

Para probar tu módulo personalizado como un paso del proceso de creación, debes para preparar las definiciones de recursos de prueba en un archivo YAML. Para obtener instrucciones, consulta Crea recursos de prueba en un archivo YAML.

Para crear un módulo personalizado, selecciona el método que deseas usar. las siguientes pestañas:

Consola de Google Cloud

Para crear un módulo personalizado en la consola de Google Cloud, completa los los siguientes pasos:

  1. Ve a la página Configuración de Security Command Center en la consola de Google Cloud.

    Ir a la configuración

  2. Si se te solicita, selecciona la organización, la carpeta o el proyecto en el que necesitas crear el módulo personalizado.

  3. En la tarjeta Security Health Analytics, haz clic en Administrar configuración.

  4. Haz clic en la pestaña Módulos.

  5. Haz clic en Crear módulo. Se abrirá la página Crea un módulo para Security Health Analytics.

  6. En el panel Configure module, define el nombre visible, los recursos y los para analizar y la lógica de detección:

    1. En el campo Module name, especifica un nombre para el módulo. El nombre debe tener entre 1 y 128 caracteres y comenzar con una una letra minúscula y contener caracteres alfanuméricos o guiones bajos solamente. Este nombre se convierte en la categoría de hallazgo de los hallazgos que produce este detector. No puedes cambiar el nombre después del módulo cuando se cree.

    2. En Agregar tipo de recurso, especifica de uno a cinco tipos de recursos. para escanear. No puedes especificar un tipo de recurso más de una vez.

      Para obtener una lista de los tipos de recursos admitidos, consulta Tipos de recursos admitidos.

    3. En el Editor de expresiones, escribe expresiones CEL para ejecutar verificaciones booleanas en una o más propiedades del recurso que especificaste en el último paso. Para activar un hallazgo, expresión debe resolverse como TRUE. Por ejemplo, la siguiente expresión activa un hallazgo si un recurso CryptoKey tiene un período de rotación definido y el es superior a 2,592,000 segundos (30 días):

      has(resource.rotationPeriod) && (resource.rotationPeriod > duration('2592000s'))

      Para obtener más información, consulta lo siguiente:

    4. Haz clic en Siguiente. Se abrirá el panel Definir detalles de hallazgo.

  7. En el panel Definir detalles del hallazgo, describe el problema al que que detecta el módulo personalizado, como su gravedad, cuál es el problema cómo solucionar el problema y cualquier dato que desees incluir en el como propiedades fuente personalizadas:

    1. En el campo Gravedad, especifica la gravedad del problema. Puedes especificar Low, Medium, High o Critical. Medium es el valor predeterminado.

      Para obtener información sobre los niveles de gravedad, consulta Clasificaciones de gravedad para los resultados.

    2. En el campo Finding description, explica el problema que detecta el módulo personalizado. Esta explicación aparece en cada hallazgo para ayudar a los equipos de seguridad a comprender y abordar los el problema detectado.

    3. En el campo Cómo encontrar los próximos pasos, explica los pasos que que el equipo de seguridad puede tomar para solucionar o abordar de algún otro modo el problema detectado.

      Los pasos se muestran con cada instancia de hallazgo. Incluye información específica medidas que el equipo de seguridad puede tomar para abordar el problema, lo más rápido posible.

    4. Opcional: En el campo Propiedades de resultados personalizadas, especifica hasta 10 pares nombre-valor para definir las propiedades fuente personalizadas devolver con cada instancia de un hallazgo. La información se muestra como propiedades de origen en el JSON del hallazgo y se muestra en la pestaña Source properties en los detalles del hallazgo de la consola de Google Cloud. Especifica el texto o los valores de propiedad como Pares clave-valor:

      • En el campo Nombre de la propiedad, especifica un nombre para el evento personalizado. propiedad fuente. El nombre debe cumplir con las siguientes reglas:
        • Debe comenzar con una letra minúscula.
        • El nombre debe contener solo caracteres alfanuméricos guiones bajos.
        • El nombre debe tener entre 1 y 128 caracteres de longitud.
        • Cada nombre debe ser único entre las otras propiedades de origen.
      • En el campo Valor de la propiedad, especifica una de las siguientes opciones: en 1,024 caracteres o menos:
        • Es una cadena de texto encerrada entre comillas. Las comillas se incluyen en el límite de 1,024 caracteres. Por ejemplo: "This string provides additional useful information."
        • Cualquier propiedad del recurso que se analiza. Por ejemplo, si revisas el recurso CryptoKey, puedes especificar resource.rotationPeriod. El valor de se muestra la propiedad rotationPeriod.

    5. Haz clic en Siguiente. Se abrirá el panel Enable module.

  8. Opcional: Usa el menú desplegable del panel Habilitar módulo para Especifica si el módulo personalizado se habilita o inhabilita al momento de la creación. De forma predeterminada, los módulos personalizados se habilitan después de su creación. Si especificas Inhabilitar; puedes habilitar el módulo más adelante en la pestaña Módulos en en la página de configuración de Security Health Analytics.

  9. Haz clic en Siguiente. Se abrirá el panel Módulo de prueba.

  10. Opcional: Antes de crear tu módulo personalizado, te recomendamos y probarlo.

    Para probar un módulo personalizado, sigue estos pasos:

    1. Crea un archivo YAML que contenga definiciones de recursos de prueba para el que tu módulo personalizado verifica.

      Para obtener información sobre cómo crear un archivo de datos de prueba, consulta Crea recursos de prueba en un archivo YAML.

    2. En Subir el archivo YAML, haz clic en Explorar para subir el archivo YAML. que contiene las definiciones de recursos de prueba. Comienza la prueba automáticamente cuando se sube el archivo.

    3. En Vista previa de los resultados de la prueba, verifica los resultados.

      • Si hay errores de sintaxis u otros errores en tu archivo YAML, Aparece un mensaje de error cerca de la parte inferior de la página del navegador.

      • Si la prueba es exitosa, muestra la siguiente información:

        • El nombre visible del módulo personalizado.
        • El nombre arbitrario que especificaste en la propiedad resource en el archivo de datos de prueba.
        • La organización, la carpeta o el proyecto en el que se encuentra el módulo se creó o se creará.

    Los resultados de las pruebas no se almacenan ni se escriben en Security Command Center.

    Para obtener más información, consulta Prueba módulos personalizados.

  11. Haz clic en Crear. Ya te devolviste a la página Módulos y deberías ver el módulo que creaste. con el estado Enabled

Los módulos personalizados nuevos no están disponibles de inmediato para que Security Health Analytics los use en los análisis. Para obtener más información, consulta Latencia de detección.

gcloud CLI

Para crear un módulo personalizado con los comandos gcloud, primero debes hacer lo siguiente: codificar la definición del módulo personalizado en un archivo YAML que incluya Expresiones en CEL para la lógica de detección y las propiedades de salida.

Después de completar la definición, debes subirla a Security Command Center con comandos de gcloud CLI.

  1. Codificar una definición de módulo personalizado en un archivo YAML según el instrucciones en Codifica un módulo personalizado para Security Health Analytics.
  2. Guarda el archivo YAML en una ubicación accesible para tu instancia. de gcloud CLI.

  3. Sube la definición personalizada a Security Command Center:

    gcloud scc custom-modules sha create \
    PARENT_FLAG=PARENT_ID \
    --display-name="MODULE_DISPLAY_NAME" \
    --enablement-state="ENABLEMENT_STATE" \
    --custom-config-from-file=MODULE_FILE_NAME.yaml

    Reemplaza lo siguiente:

    • PARENT_FLAG: el nivel en el que te encuentras creando el módulo personalizado, ya sea --organization, --folder o --project
    • PARENT_ID: Es el ID de la organización, la carpeta o proyecto en el que estás creando el módulo personalizado.
    • ENABLEMENT_STATE: enabled o disabled.
    • MODULE_DISPLAY_NAME: La categoría de hallazgo nombre que quieres mostrar cuando el módulo personalizado devuelve un resultado. Debe tener entre 1 y 128 caracteres y comenzar con una letra minúscula y contener solo caracteres alfanuméricos o guiones bajos.
    • MODULE_FILE_NAME: Es la ruta de acceso y el nombre de archivo de el archivo YAML que contiene la definición del módulo personalizado.

Latencia de detección

Después de crear o actualizar la definición de un módulo personalizado, puede haber un retraso de hasta varias horas antes de que el módulo personalizado nuevo o actualizado esté disponible para usarse en análisis.

La creación o modificación de un módulo personalizado no activa un análisis. Después de que un módulo personalizado está disponible para su uso, Security Health Analytics no comienza a usarlo hasta que el primer análisis por lotes o un cambio en la configuración del recurso de destino activa un análisis en tiempo real.

Para obtener más información sobre los tipos de análisis de Security Health Analytics, consulta Tipos de análisis de Security Health Analytics.

Actualiza un módulo personalizado

Puedes actualizar la mayoría de las propiedades de Security Health Analytics personalizadas módulos.

No se pueden cambiar las siguientes propiedades de un módulo personalizado:

  • El nombre visible.
  • El ID del módulo personalizado.
  • El nombre completo del recurso del módulo personalizado.

Cuando actualizas un módulo personalizado, los hallazgos que emitió ese módulo no se actualizan al mismo tiempo. Si los cambios en el módulo resultado en cambios a los hallazgos emitidos, estos reflejarán solo cambia después del próximo análisis por lotes o en tiempo real de Security Health Analytics.

Para modificar un módulo personalizado, puedes usar la consola de Google Cloud o con gcloud CLI. Haz clic en una de las siguientes pestañas instrucciones.

Consola de Google Cloud

Para actualizar un módulo personalizado existente en la consola de Google Cloud, sigue estos pasos: sigue estos pasos:

  1. Ve a la página Configuración de Security Command Center en la consola de Google Cloud.

    Ir a la configuración

  2. En el selector de proyectos, selecciona la organización, la carpeta o el proyecto en el que se creó originalmente el módulo personalizado. No puedes editar un módulo personalizado en ningún otro lugar.

  3. En la tarjeta Security Health Analytics, haz clic en Administrar configuración.

  4. Selecciona la pestaña Módulos. Toda la detección de Security Health Analytics se muestran los módulos.

  5. Usa el campo de filtro en la parte superior de la lista de módulos o desplázate para encontrar el módulo personalizado que debes modificar.

  6. En el lado derecho de la fila de tu módulo personalizado, haz clic en el botón Acción ícono de menú, .

  7. En el menú Acción, haz clic en el ícono Editar. (). El Se abrirá la página Ver módulo, en la que se mostrará la pestaña Configurar módulo.

  8. Edita los campos personalizados del módulo de cada pestaña en Ver módulo. página según sea necesario.

  9. Opcional: Antes de guardar las actualizaciones, te recomendamos que las pruebes.

    Para probar un módulo personalizado, sigue estos pasos:

    1. Crea un archivo YAML que contenga definiciones de recursos de prueba para el que tu módulo personalizado verifica.

      Para obtener información sobre cómo crear un archivo de datos de prueba, consulta Crea recursos de prueba en un archivo YAML.

    2. En Subir el archivo YAML, haz clic en Explorar para subir el archivo YAML. que contiene las definiciones de recursos de prueba. Comienza la prueba automáticamente cuando se sube el archivo.

    3. En Vista previa de los resultados de la prueba, verifica los resultados.

      • Si hay errores de sintaxis u otros errores en tu archivo YAML, Aparece un mensaje de error cerca de la parte inferior de la página del navegador.

      • Si la prueba es exitosa, muestra la siguiente información:

        • El nombre visible del módulo personalizado.
        • El nombre arbitrario que especificaste en la propiedad resource en el archivo de datos de prueba.
        • La organización, la carpeta o el proyecto en el que se encuentra el módulo se creó o se creará.

    Los resultados de las pruebas no se almacenan ni se escriben en Security Command Center.

    Para obtener más información, consulta Prueba módulos personalizados.

  10. Al final de la página, haz clic en Guardar. Los cambios se aplican a el módulo personalizado.

gcloud CLI

Para actualizar un módulo personalizado con gcloud CLI, primero debes editar la definición YAML del módulo personalizado y, luego, usar Comandos gcloud para actualizar el módulo personalizado en Security Health Analytics.

  1. Edita la definición del módulo personalizado. Para obtener información sobre cómo codificar una definición de módulo personalizado, consulta Cómo codificar un módulo personalizado para las estadísticas del estado de la seguridad.

  2. Guarda el archivo YAML editado en una ubicación a la que puedan acceder gcloud CLI.

  3. Para actualizar el módulo personalizado en Security Health Analytics, emite el siguiente :

    gcloud scc custom-modules sha update MODULE_ID \
   PARENT_FLAG=PARENT_ID \
   --enablement-state="ENABLED" \
   --custom-config-from-file=MODULE_FILE_NAME.yaml

    Reemplaza lo siguiente:

    • MODULE_ID: Es el ID o nombre completo del recurso de el módulo personalizado.
    • PARENT_FLAG: Es el nivel en el que se se creó el módulo, ya sea --organization, --folder o --project.
    • PARENT_ID: Es el ID de la organización, la carpeta o proyecto en el que se creó el módulo personalizado.
    • MODULE_FILE_NAME: Es la ruta de acceso y el nombre de archivo de el archivo YAML que contiene la definición del módulo personalizado.

Cómo ver un módulo personalizado

Selecciona una pestaña para obtener información sobre cómo ver una definición de módulo personalizado.

Consola de Google Cloud

Para ver los módulos personalizados en la consola de Google Cloud, sigue estos pasos:

  1. Ve a la página Security Health Analytics en Security Command Center. configuración.

    Ir a la configuración

  2. Haz clic en la pestaña Módulos. Se abrirá el panel Modules.

  3. Si es necesario, usa el campo de filtro ubicado en la parte superior de la lista de módulos. para encontrar el módulo personalizado que debes modificar.

  4. Para ver los detalles de la definición del módulo personalizado, haz clic en el botón Action ícono de menú, , a la derecha lado de la fila del módulo personalizado.

  5. En el menú de acciones, haz clic en el ícono Editar, . Se abre la página Ver módulo y se muestra la pestaña Configurar módulo.

  6. Haz clic en las pestañas de la página Ver módulo para ver todos los campos de la definición del módulo personalizado.

gcloud CLI

Para ver los detalles de un módulo personalizado, ingresa el siguiente comando:

gcloud scc custom-modules sha get MODULE_ID \
      PARENT_FLAG=PARENT_ID

Reemplaza lo siguiente:

  • MODULE_ID: Es el ID o nombre completo del recurso de el módulo personalizado.
  • PARENT_FLAG: Es el nivel en el que se se creó el módulo, ya sea --organization, --folder o --project.
  • PARENT_ID: Es el ID de la organización, la carpeta o proyecto en el que se creó el módulo personalizado.

Enumerar módulos personalizados

Selecciona una pestaña para obtener información sobre cómo mostrar una lista de módulos personalizados.

Consola de Google Cloud

  1. Ve a la página Security Health Analytics en Security Command Center. configuración.

    Ir a la configuración

  2. Haz clic en la pestaña Módulos. Se abrirá el panel Modules.

  3. Haz clic en el campo de filtro en la parte superior de la lista de módulos para mostrar la lista de tipos de filtro.

  4. Selecciona Tipo y, luego, ingresa Custom. Las listas de módulos se actualizan mostrar solo los módulos personalizados.

gcloud CLI

Para ver una lista de los módulos personalizados, ingresa siguiente comando:

gcloud scc custom-modules sha list \
    PARENT_FLAG=PARENT_ID

Reemplaza lo siguiente:

  • PARENT_FLAG: Es el nivel en el que se se creó el módulo, ya sea --organization, --folder o --project.
  • PARENT_ID: Es el ID de la organización, la carpeta o proyecto en el que se creó el módulo personalizado.

Cómo borrar un módulo personalizado

Puedes borrar un módulo personalizado de la organización, la carpeta o el proyecto en el que se creó, o de una organización o carpeta superior. No puedes borrar un módulo personalizado de una carpeta o proyecto que lo hereda.

Para aprender a borrar un módulo personalizado, selecciona una de las siguientes pestañas.

Consola de Google Cloud

  1. Ve a la página Configuración de Security Command Center en la consola de Google Cloud.

    Ir a la configuración

  2. Si se te solicita, selecciona tu organización, carpeta o proyecto.

  3. En la tarjeta Security Health Analytics, haz clic en Administrar configuración.

  4. Selecciona la pestaña Módulos. Toda la detección de Security Health Analytics se muestran los módulos.

  5. Usa el campo de filtro en la parte superior de la lista de módulos o desplázate para encontrar el módulo personalizado que debes modificar.

  6. En el lado derecho de la fila de tu módulo personalizado, haz clic en el botón Acción ícono de menú, .

  7. En el menú Acción, haz clic en Borrar. La sección Borrar módulo personalizado cuando lo hagas.

  8. En el cuadro de diálogo, haz clic en Borrar.

gcloud CLI

Para borrar un módulo personalizado, ingresa el siguiente comando:

gcloud scc custom-modules sha delete MODULE_ID \
    PARENT_FLAG=PARENT_ID

Reemplaza lo siguiente:

  • MODULE_ID: Es el ID o nombre completo del recurso de el módulo personalizado.
  • PARENT_FLAG: Es el nivel en el que se se creó el módulo, ya sea --organization, --folder o --project.
  • PARENT_ID: Es el ID de la organización, la carpeta o el proyecto en el que se creó el módulo personalizado.

Los resultados de los módulos personalizados borrados se marcan como inactivos por Security Health Analytics en el siguiente análisis por lotes.

Revisa los resultados

Los resultados que generan los módulos personalizados se pueden ver en la consola de Google Cloud, la consola de Security Operations (para clientes empresariales) o la API de Security Command Center.

Console

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Hallazgos de Security Command Center.

    Ir a Hallazgos

  2. Selecciona tu organización o proyecto de Google Cloud.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Estadísticas del estado de la seguridad personalizadas. Los resultados de la búsqueda de resultados se actualizan para mostrar solo los los resultados obtenidos de esta fuente.
  4. Para ver los detalles de un hallazgo específico, haz clic en el nombre del hallazgo en Categoría. El del hallazgo, se abre el panel de detalles y se muestra la pestaña Resumen (Summary).
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre qué se detectó, el recurso afectado y, si están disponibles, los pasos que puedes realizar para corregir el hallazgo.
  6. Opcional: Para ver la definición JSON completa del hallazgo, haz clic en la pestaña JSON.

Consola de operaciones de seguridad (versión preliminar)

  1. En la consola de operaciones de seguridad, ve a la página Hallazgos. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. En la sección Agregaciones, haz clic para expandir el Nombre visible de la fuente. subsección.
  3. Selecciona Security Health Analytics Custom. Los resultados de la búsqueda de resultados se actualizan para mostrar solo los resultados de esta fuente.
  4. Para ver los detalles de un hallazgo específico, haz clic en el nombre del hallazgo en Categoría. El del hallazgo, se abre el panel de detalles y se muestra la pestaña Resumen (Summary).
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre qué se detectó, el recurso afectado y, si están disponibles, los pasos que puedes realizar para corregir el hallazgo.
  6. Opcional: Para ver la definición JSON completa del hallazgo, haz clic en la pestaña JSON.

gcloud CLI

Para ver los resultados, haz lo siguiente:

  1. Abre una ventana de terminal.

  2. Para obtener el ID de origen de Security Health Analytics, ejecuta el comando siguiente comando:

    gcloud scc sources describe organizations/ORGANIZATION_ID \
--source-display-name='Security Health Analytics Custom'

    El resultado debería mostrar un resultado como el siguiente. En el ejemplo, SOURCE_ID es un ID que asigna el servidor por motivos de seguridad fuentes de datos.

    description: ...
displayName: Security Health Analytics Custom
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

  3. Para enumerar todos los resultados generados por tus módulos personalizados, ejecuta el siguiente comando:

    gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID

  4. Para enumerar los resultados de un módulo personalizado específico, ejecuta el siguiente comando:

    gcloud scc findings list ORGANIZATION_ID --source=SOURCE_ID --filter="category=\"MODULE_NAME\""

¿Qué sigue?

Puedes administrar los resultados que generan los módulos personalizados como todos los resultados de Security Command Center. Para obtener instrucciones, consulta la siguiente información: