En esta página se explica cómo enviar automáticamente resultados, recursos y fuentes de seguridad de Security Command Center a Cortex XSOAR. También se describe cómo gestionar los datos exportados. Cortex XSOAR es una plataforma de orquestación, automatización y respuesta de seguridad (SOAR) que ingiere datos de seguridad de una o varias fuentes y permite a los equipos de seguridad gestionar las respuestas a los incidentes. Puedes usar Cortex XSOAR para ver tus hallazgos y recursos de Security Command Center, así como para actualizar los hallazgos cuando se resuelvan los problemas.
En esta guía, te aseguras de que los servicios de Security Command Center y Google Cloud necesarios estén configurados correctamente y habilitas Cortex XSOAR para que acceda a los resultados y los recursos de tu entorno de Security Command Center. Algunas de las instrucciones de esta página se han recopilado de la guía de integraciones de Cortex XSOAR en GitHub.
Antes de empezar
En esta guía se da por hecho que tienes una versión operativa de Cortex XSOAR. Para empezar a usar Cortex XSOAR, regístrate.
Configurar la autenticación y la autorización
Antes de conectar Security Command Center a Cortex XSOAR, debes crear una cuenta de servicio de gestión de identidades y accesos (IAM) en cada organización de Google Cloud y conceder a esa cuenta los roles de IAM a nivel de organización y de proyecto que necesita Cortex XSOAR.
Crear una cuenta de servicio y conceder roles de IAM
En los pasos siguientes se usa la consola de Google Cloud . Para ver otros métodos, consulta los enlaces que aparecen al final de esta sección.
Sigue estos pasos para cada organización de la que quieras importar datos de Security Command Center. Google Cloud
- En el mismo proyecto en el que crees tus temas de Pub/Sub, usa la página Cuentas de servicio de la consola de Google Cloud para crear una cuenta de servicio. Para ver instrucciones, consulta el artículo sobre cómo crear y gestionar cuentas de servicio.
Asigna a la cuenta de servicio el siguiente rol:
- Editor de Pub/Sub (
roles/pubsub.editor)
- Editor de Pub/Sub (
Copia el nombre de la cuenta de servicio que acabas de crear.
Usa el selector de proyectos de la Google Cloud consola para cambiar al nivel de organización.
Abre la página Gestión de identidades y accesos de la organización:
En la página de IAM, haz clic en Conceder acceso. Se abrirá el panel de concesión de acceso.
En el panel Conceder acceso, sigue estos pasos:
- En la sección Añadir principales, en el campo Principales nuevas, pega el nombre de la cuenta de servicio.
En la sección Asignar roles, usa el campo Rol para conceder los siguientes roles de gestión de identidades y accesos a la cuenta de servicio:
- Editor de administración del centro de seguridad (
roles/securitycenter.adminEditor) - Editor de configuraciones de notificaciones del centro de seguridad
(
roles/securitycenter.notificationConfigEditor) - Lector de organización (
roles/resourcemanager.organizationViewer) - Visor de recursos de Cloud (
roles/cloudasset.viewer) Haz clic en Guardar. La cuenta de servicio aparece en la pestaña Permisos de la página IAM, en Ver por principales.
Por herencia, la cuenta de servicio también se convierte en una entidad de seguridad en todos los proyectos secundarios de la organización. Los roles que se pueden aplicar a nivel de proyecto se muestran como roles heredados.
Para obtener más información sobre cómo crear cuentas de servicio y asignar roles, consulta los siguientes temas:
Proporciona las credenciales a Cortex XSOAR
En función de dónde alojes Cortex XSOAR, la forma de proporcionar las credenciales de IAM a Cortex XSOAR será diferente.
Si alojas Cortex XSOAR en Google Cloud, ten en cuenta lo siguiente:
La cuenta de servicio que has creado y los roles a nivel de organización que le has concedido están disponibles automáticamente por herencia de la organización principal. Si utilizas varias Google Cloud organizaciones, añade esta cuenta de servicio a las otras organizaciones y concédele los roles de gestión de identidades y accesos que se describen en los pasos del 5 al 7 del artículo Crear una cuenta de servicio y conceder roles de gestión de identidades y accesos.
Si implementas Cortex XSOAR en un perímetro de servicio, crea las reglas de entrada y salida. Para obtener instrucciones, consulta el artículo Conceder acceso al perímetro en Controles de Servicio de VPC.
Si alojas Cortex XSOAR en tu entorno local y tu proveedor de identidades admite la federación de identidades de cargas de trabajo, configura la federación de identidades de cargas de trabajo y descarga los archivos de configuración de las credenciales. De lo contrario, crea una clave de cuenta de servicio para cada organización en formato JSON. Google Cloud
Si alojas Cortex XSOAR en Microsoft Azure o Amazon Web Services, configura la federación de identidades de cargas de trabajo y descarga los archivos de configuración de las credenciales. Si utilizas varias Google Cloud organizaciones, añade esta cuenta de servicio a las demás organizaciones y concédele los roles de gestión de identidades y accesos que se describen en los pasos del 5 al 7 de Crear una cuenta de servicio y conceder roles de gestión de identidades y accesos.
Configurar notificaciones
Sigue estos pasos para cada organización de la que quieras importar datos de Security Command Center. Google Cloud
Configura las notificaciones de resultados de la siguiente manera:
- Habilita la API de Security Command Center.
- Crea un filtro para exportar resultados.
- Crea un tema de Pub/Sub para las detecciones.
El
NotificationConfigdebe usar el tema de Pub/Sub que crees para los resultados.
Habilita la API Cloud Asset en tu proyecto.
Para configurar Cortex XSOAR, necesitará el ID de su organización, el ID del proyecto y el ID de la suscripción de Pub/Sub de esta tarea. Para obtener el ID de tu organización y el ID de tu proyecto, consulta los artículos Obtener el ID de tu organización e Identificar proyectos, respectivamente.
Configurar Cortex XSOAR
Cuando se le conceda acceso, Cortex XSOAR recibirá resultados y actualizaciones de recursos en tiempo real.
Para usar Security Command Center con Cortex XSOAR, sigue estos pasos:
Instala el paquete de contenido Google Cloud SCC desde Cortex XSOAR Marketplace.
El paquete de contenido es un módulo que mantiene Security Command Center y que automatiza el proceso de programar llamadas a la API de Security Command Center y recuperar periódicamente datos de Security Command Center para usarlos en Cortex XSOAR.
En el menú de aplicaciones de Cortex XSOAR, ve a Settings (Configuración) y, a continuación, haz clic en Integrations (Integraciones).
En Integraciones, selecciona Servidores y servicios.
Busca y selecciona GoogleCloudSCC.
Para crear y configurar una instancia de integración, haz clic en Añadir instancia.
Introduce la información que se te pida en los siguientes campos:
Parámetro Descripción Obligatorio Configuración de la cuenta de servicio Una de las siguientes opciones, tal como se describe en la sección Antes de empezar: - El contenido del archivo JSON de la cuenta de servicio, si has creado una clave de cuenta de servicio
- El contenido del archivo de configuración de credenciales, si usas la federación de identidades de cargas de trabajo
Verdadero ID de organización El ID de tu organización Verdadero Obtener incidentes Habilita la obtención de incidentes. Falso ID del proyecto ID del proyecto que se usará para obtener incidentes. Si está vacío, se usará el ID del proyecto incluido en el archivo JSON proporcionado. Falso ID de suscripción El ID de tu suscripción de Pub/Sub Verdadero Número máximo de incidentes El número máximo de incidentes que se deben obtener en cada recuperación Falso Tipo de incidente El tipo de incidente Falso Confiar en cualquier certificado (no seguro) Permite confiar en todos los certificados. Falso Usar la configuración del servidor proxy del sistema Habilita la configuración del proxy del sistema. Falso Intervalo de obtención de incidentes Tiempo entre las recuperaciones de información actualizada sobre incidentes. Falso Nivel de registro Nivel de registro del paquete de contenido Falso Haz clic en Test (Probar).
Si la configuración es válida, verás un mensaje de confirmación. Si no es válido, recibirás un mensaje de error.
Haz clic en Guardar y salir.
Repite los pasos del 5 al 8 para cada organización.
Cortex XSOAR asigna automáticamente los campos de los resultados de Security Command Center a los campos de Cortex XSOAR correspondientes. Para anular selecciones o consultar más información sobre Cortex XSOAR, lee la documentación del producto.
Se ha completado la configuración de Cortex XSOAR. En la sección Gestionar resultados y recursos se explica cómo ver y gestionar los datos de Security Command Center en el servicio.
Actualizar el paquete de contenido de Google Cloud SCC
En esta sección se describe cómo actualizar desde una versión anterior.
Accede a la versión más reciente del paquete de contenido de Google Cloud SCC en el Marketplace de Cortex XSOAR.
Haz clic en Descargar con dependencias.
Haz clic en Instalar.
Haz clic en Actualizar contenido.
La actualización mantiene la información de tu configuración anterior. Para usar la federación de identidades de cargas de trabajo, añade el archivo de configuración tal como se describe en Configurar Cortex XSOAR.
Gestionar resultados y recursos
Puedes ver y actualizar recursos y resultados con la interfaz de línea de comandos (CLI) de Cortex XSOAR. Puedes ejecutar comandos como parte de la evaluación y la corrección automatizadas, o en un manual de procedimientos.
Para ver los nombres y las descripciones de todos los métodos y argumentos admitidos de la interfaz de línea de comandos de Cortex XSOAR, así como ejemplos de resultados, consulta Comandos.
Los resultados se compilan a partir de los servicios integrados de Security Command Center: Security Health Analytics, Web Security Scanner, Event Threat Detection y Container Threat Detection, así como de los servicios integrados que habilites.
Mostrar recursos
Para enumerar los recursos de tu organización, usa el método google-cloud-scc-asset-list de Cortex XSOAR. Por ejemplo, el siguiente comando muestra los recursos en los que lifecycleState es Active y limita la respuesta a tres recursos:
!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE
El símbolo de exclamación (!) en los ejemplos de código es un símbolo obligatorio para iniciar comandos en Cortex XSOAR. No representa la negación ni la función NOT.
Ver recursos de un recurso
Para enumerar los recursos contenidos en recursos principales, como proyectos, usa el comando google-cloud-scc-asset-resource-list de Cortex XSOAR. Por ejemplo, el siguiente comando muestra los recursos con un assetType de compute.googleapis.com/Disk y limita la respuesta a dos recursos:
!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2
Se admiten comodines y expresiones regulares. Por ejemplo,
assetType=".*Instance" muestra los recursos cuyo tipo termina en "instance".
Ver resultados
Para enumerar los resultados de tu organización o de una fuente de seguridad, usa el comando google-cloud-scc-finding-list de Cortex XSOAR. Por ejemplo, el siguiente comando muestra las detecciones activas con gravedad crítica de todas las fuentes y limita la respuesta a tres detecciones:
!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"
También puedes filtrar los resultados. El siguiente comando muestra los resultados clasificados como amenazas:
!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""
Actualizar hallazgos
Puedes actualizar un resultado con el comando google-cloud-scc-finding-update de Cortex XSOAR. Debe proporcionar el name o el nombre de recurso relativo de la detección con el siguiente formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.
Por ejemplo, el siguiente comando actualiza la gravedad de una detección:
!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"
Haz los cambios siguientes:
<var>ORGANIZATION_ID</var>con el ID de tu organización. Para obtener el ID de tu organización y el ID de tu proyecto, consulta Obtener el ID de tu organización.<var>SOURCE_ID</var>con el ID de la fuente de seguridad. Para encontrar un ID de fuente, consulta Obtener el ID de fuente.<var>FINDING_ID</var>con el ID del resultado que se incluye en los detalles del resultado.
Actualizar el estado de los resultados
Puedes actualizar el estado de un resultado con el comando google-cloud-scc-finding-status-update de Cortex XSOAR. Debe proporcionar el name o el nombre de recurso relativo de la detección con el siguiente formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.
Por ejemplo, el siguiente comando define el estado del resultado como activo:
!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"
Haz los cambios siguientes:
<var>ORGANIZATION_ID</var>con el ID de tu organización. Para obtener el ID de tu organización y el ID de tu proyecto, consulta Obtener el ID de tu organización.<var>SOURCE_ID</var>con el ID de la fuente de seguridad. Para encontrar un ID de fuente, consulta Obtener el ID de fuente.<var>FINDING_ID</var>con el ID del resultado que se incluye en los detalles del resultado.
Obtener propietarios de recursos
Para enumerar los propietarios de un recurso, usa el comando google-cloud-scc-asset-owner-get de Cortex XSOAR. Debes proporcionar el nombre del proyecto en el formato projects/PROJECT_NUMBER. Por ejemplo, el siguiente comando muestra el propietario del proyecto proporcionado.
!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"
Para añadir varios proyectos al comando, usa una coma como separador. Por ejemplo:
projectName="projects/123456789, projects/987654321"
Siguientes pasos
Consulta más información sobre cómo configurar notificaciones de detecciones en Security Command Center.
Consulta información sobre cómo filtrar notificaciones de resultados en Security Command Center.