En esta página, se describen dos métodos para exportar datos del Security Command Center, incluidos los recursos, los resultados y las marcas de seguridad:
- Exportaciones únicas de hallazgos, recursos, y marcas de seguridad
- Exportaciones continuas que exportan automáticamente resultados nuevos de Pub/Sub
Puedes exportar datos de Security Command Center con la consola de Google Cloud, Google Cloud CLI o la API de Security Command Center.
También puedes transmitir los resultados a BigQuery. Para obtener más información, consulta Transmite los resultados a BigQuery para su análisis.
Exportaciones únicas
Las exportaciones únicas te permiten transferir y descargar de forma manual los resultados y los recursos históricos y actuales.
Para los resultados, puedes usar la consola de Google Cloud para transferir datos en formato JSON, JSONL o CSV a un bucket de Cloud Storage. También puedes descarga una cantidad limitada de resultados a tu estación de trabajo en formato CSV.
En el caso de los recursos, puedes descargar los datos desde la consola de Google Cloud. a tu estación de trabajo local como un archivo CSV.
Permisos
Para realizar exportaciones únicas, necesitas lo siguiente:
El rol de Identity and Access Management (IAM) Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer
) o cualquier rol que tenga el siguientes permisos:resourcemanager.organizations.get
(obligatorio solo a nivel de la organización activaciones de Security Command Center)resourcemanager.projects.get
(obligatorio para las activaciones a nivel de proyecto) de Security Command Center)securitycenter.assets.group
securitycenter.assets.list
securitycenter.findings.group
securitycenter.findings.list
securitycenter.sources.get
securitycenter.sources.list
securitycenter.userinterfacemetadata.get
La función de administrador de almacenamiento, que te permite almacenar datos en buckets de Cloud Storage.
Los roles de IAM de Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos y fuentes de seguridad depende del nivel al que se te otorga acceso. Para obtener más información Para conocer los roles de Security Command Center, consulta Control de acceso.
Residencia de datos y exportaciones únicas
No puedes incluir ninguno de tus datos que están sujetos a la residencia de datos en el filtro de una exportación única a Cloud Storage.
Si especificas una propiedad que contiene datos controlados en el filtro de resultados, Security Command Center muestra un mensaje de error cuando intentas realizar la exportación.
Exporta datola consola de Google Cloud
Con la consola de Google Cloud, puedes hacer lo siguiente:
- Exporta los resultados a un bucket de Cloud Storage
- Descarga los resultados en un archivo CSV
- Exporta recursos a un archivo CSV
Exporta los resultados a un bucket de Cloud Storage
En esta sección, se describe cómo exportar datos de Security Command Center a un bucket de Cloud Storage. Cuando haces clic en Exportar en la página Resultados de la consola de Google Cloud, Security Command Center obtiene automáticamente credenciales o permisos para escribir en el bucket de Cloud Storage.
Los resultados se exportan en operaciones separadas. Puedes exportar un archivo JSON, un JSONL o CSV a un bucket de Cloud Storage existente, o crear un bucket durante el proceso de exportación. Puedes exportar todos los resultados actuales selecciona los filtros que quieres usar antes de realizar la exportación.
No puedes exportar los resultados a un bucket de Cloud Storage que tenga política de retención configurada.
Ve a la página Resultados en la consola de Google Cloud.
En la barra de herramientas, haz clic en el selector de proyectos
y selecciona tu proyecto, organización o carpeta.Aplica filtros a la búsqueda de resultados para seleccionar los resultados que necesitas exportar. Para obtener más información sobre cómo crear filtros, consulte Encuentra y visualiza resultados específicos.
Cuando termine de crear el filtro, haga clic en Exportar y, luego, en Una vez, haz clic en Cloud Storage.
En la página Exportar, configura la exportación:
- En la sección Exportar a, especifica los siguientes campos:
- En el campo Nombre del proyecto, especifica el proyecto que contiene lo siguiente: el bucket de Cloud Storage.
- En el campo Ruta de acceso de exportación, que solo aparece después de que especificas un proyecto, haz clic en Explorar.
- En el panel Seleccionar objeto, selecciona un bucket de Cloud Storage existente o crea un bucket de almacenamiento.
- Después de seleccionar o crear un bucket, en Nombre del archivo, ingresa un nombre para el archivo de exportación.
- Haz clic en Seleccionar.
- En la sección Criterios de exportación, especifica los siguientes campos:
- Haz clic en Agrupar resultados por y selecciona cómo deseas hacerlo. agrupar los datos de exportación.
- Haz clic en el campo Formato y selecciona JSON, JSONL o CSV.
- Haz clic en el campo Período y selecciona el período del que deseas exportar los resultados.
- En la sección Búsqueda de resultados, confirma que la consulta aparezca a medida que lo que espera.
- Debajo de la consulta, confirma que la cantidad y el tipo de resultados coincidentes son lo que esperas.
- Haz clic en Exportar.
Si seleccionaste un archivo existente en el bucket, aparecerá el cuadro de diálogo Confirmar reemplazo.
- Para reemplazar el archivo existente, haz clic en Confirmar.
- Para cambiar el archivo que estás escribiendo, haz clic en Cancelar y, luego, en Explora en el cuadro Exportar ruta y selecciona o crea una .
- En la sección Exportar a, especifica los siguientes campos:
Los datos configurados se guardan en el bucket de Cloud Storage que que especificaste.
Descarga datos exportados de un bucket de Cloud Storage
Para descargar los datos exportados de JSON, JSONL o CSV, sigue estos pasos:
Ve a la página Navegador de Storage en la consola de Google Cloud.
Selecciona tu proyecto y, luego, haz clic en el bucket al que exportaste los datos.
Selecciona la casilla de verificación que se encuentra al lado del archivo de exportación y, luego, haz clic en Descargar.
En el cuadro de diálogo Guardar archivo, selecciona la ubicación en la que deseas guardar el archivo y, luego, haz clic en Guardar.
El archivo JSON, JSONL o CSV se descarga en la ubicación que especificaste.
Exportar los resultados a un archivo CSV
Para configurar la exportación, puedes filtrar los resultados por categoría, gravedad y otras propiedades. Todos los resultados que coincidan con el filtro se incluyen en el archivo CSV.
Puedes descargar hasta 1,000 resultados directamente en tu estación de trabajo. Si la cantidad de resultados supera los 1,000, se te redireccionará automáticamente. a la página Exportar resultados a Cloud Storage, en la que puedes exportar los datos a un bucket de Cloud Storage.
Los registros de resultados se exportan con un conjunto predeterminado de columnas, que podrían no coincidir con lo que ves en la consola de Google Cloud. Es decir, ocultar o mostrar columnas con la columna
opciones de visualización no cambia las columnas que se exportan. De manera similar, cambiar El valor Filas por página no afecta el contenido exportado.Para exportar los resultados a un archivo CSV, sigue estos pasos:
En la página de Security Command Center de la consola de Google Cloud, ve a la página Hallazgos.
En la barra de herramientas, haz clic en el selector de proyectos
y selecciona tu proyecto, organización o carpeta.Opcional: Para acotar los resultados que se exportarán, aplica un filtro.
Haz clic en
Exportar y, luego, en CSV. Security Command Center comenzará a exportar los resultados.Cuando se complete la exportación, aparecerá una notificación en la barra de herramientas.
En la barra de herramientas, haz clic en el ícono de notificación.
En la notificación Exportación guardada como CSV, haz clic en Descargar. El archivo CSV archivo en tu estación de trabajo local.
Exportar elementos a un archivo CSV
Puedes descargar los datos de los recursos a un archivo CSV desde la página Recursos en la consola de Google Cloud.
Para descargar los datos de activos en un archivo CSV, sigue estos pasos:
En la consola de Google Cloud, ve a la página Recursos de Security Command Center.
En la barra de herramientas, haz clic el selector de proyectos de
selecciona tu proyecto, organización o carpeta.Usar el panel Filtros rápidos o el campo Filtro del recurso panel de resultados para seleccionar los recursos que necesitas exportar. Para obtener más información sobre cómo filtrar recursos, consulta Cómo filtrar recursos.
Arriba de los recursos que se muestran, haz clic en Exportar y, luego, en Descargar CSV. El los datos de los recursos en el panel de resultados se descargan en tu estación de trabajo.
Exportar datos con los métodos de la API
Puedes exportar recursos, resultados y marcas de seguridad a un Cloud Storage tu estación de trabajo local con la API de Security Command Center.
Exporta datos de recursos con los métodos de la API
Para exportar o enumerar datos de recursos, usa la API de Cloud Asset Inventory. Para obtener más información, consulta Exporta el historial y los metadatos de los recursos.
Los métodos y campos de recursos de la API de Security Command Center dejaron de estar disponibles. se quitarán a partir del 26 de junio de 2024.
Hasta que se quiten, los usuarios que hayan activado Security Command Center antes 26 de junio de 2023 Puede usar los métodos de recursos de la API de Security Command Center para enumerar y exportar datos de recursos, pero estos métodos solo admiten que admite Security Command Center.
Para obtener información sobre el uso de los métodos de la API de recursos obsoletos, consulta de fichas.
Exporta datos de resultados con la API de Security Command Center
Para exportar resultados con la API de Security Command Center, sigue la guía para enumerar hallazgos de seguridad Luego, descarga o exporta las respuestas de la API.
Para enumerar los resultados con las marcas de seguridad adjuntas, puedes usar los siguientes métodos de la API:
Los métodos devuelven hallazgos con su conjunto completo de propiedades, atributos y marcas asociadas en formato JSON. Si tu aplicación requiere que los datos estén en un formato diferente, debes escribir código personalizado para convertir el resultado de JSON.
Si especificas un valor en el campo groupBy
, puedes usar los siguientes métodos:
El método GroupFindings
muestra una lista de un
de los resultados de una organización, agrupados por propiedades especificadas.
Exporta los resultados con gcloud CLI
Usar comandos de Google Cloud CLI en Cloud Shell para exportar resultados a un bucket de Cloud Storage, sigue estos pasos:
Abra Cloud Shell.
Para escribir resultados en un archivo, agrega una cadena de salida al comandos de gcloud CLI para resultados de la ficha.
Por ejemplo, con el siguiente comando, se almacenan los resultados enumerados en un archivo de texto llamado
FINDINGS.txt
.gcloud scc findings list PARENT_ID --source=SOURCE_ID \ --location=locations/LOCATION --filter="FILTER" > FINDINGS.txt
Reemplaza lo siguiente:
FILTER
: una expresión opcional para limitar la lista de los resultados impresos a aquellos que coincidan con la expresión del filtro.LOCATION
: Si la residencia de datos está habilitada, especifica la ubicación de Security Command Center en la que se almacenan los resultados.Especifica la marca
--location
si la residencia de datos no está habilitada que enumera los hallazgos con la API de Security Command Center v2 el único valor válido para la marca esglobal
.
PARENT_ID
: Es el ID de cualquiera de las siguientes opciones. recursos superiores:- Organización, especificada como
organizations/ORGANIZATION_ID
oORGANIZATION_ID
- Carpeta, especificada como
folders/FOLDER_ID
- Proyecto, especificado como
projects/PROJECT_ID
- Organización, especificada como
SOURCE_ID
: es el ID de origen del proveedor de resultados. Para encontrar un ID de la fuente, consulta Obtener el ID de la fuenteFINDINGS.txt
: Es el nombre y la extensión de un objetivo. para almacenar la lista de resultados.
Copia
FINDINGS.txt
en el bucket de Cloud Storage.gcloud storage cp FINDINGS.txt gs://BUCKET_NAME
Reemplaza
BUCKET_NAME
con el nombre de tu bucket:Para guardar
FINDINGS.txt
en tu estación de trabajo local, en lugar de una bucket de Cloud Storage, ejecuta el siguiente comando:cloudshell download FINDINGS.txt
Exportaciones continuas
Las exportaciones continuas simplifican el proceso de exportar automáticamente los hallazgos de Security Command Center a Pub/Sub Cuando se escriben resultados nuevos, se exportan de forma automática a temas de Pub/Sub designados casi en tiempo real, lo que te permite integrarlos a tu flujo de trabajo existente.
Para obtener más información sobre Pub/Sub, consulta ¿Qué es Pub/Sub?
Comparación entre las exportaciones continuas y las notificaciones de resultados
Security Command Center te permite configurar
cómo encontrar notificaciones
para Pub/Sub con la API de Security Command Center. La API requiere que uses Google Cloud CLI para configurar temas de Pub/Sub, crear filtros de resultados y crear archivos NotificationConfigs
que contengan parámetros de configuración a fin de enviar notificaciones. Las exportaciones continuas ofrecen la misma funcionalidad, pero la creación de exportaciones se simplifica mediante la consola de Google Cloud.
Permisos
Para crear y administrar exportaciones continuas, necesitas una de las siguientes funciones.
roles/securitycenter.adminEditor
roles/securitycenter.adminViewer
También puedes usar cualquier función que tenga los siguientes permisos:
Para ver o publicar temas de Pub/Sub, sigue estos pasos:
pubsub.topics.publish
pubsub.topics.list
Para ver la página de exportaciones continuas, haz lo siguiente:
securitycenter.notificationconfig.get
securitycenter.notificationconfig.list
Para administrar las exportaciones continuas, haz lo siguiente:
securitycenter.notificationconfig.create
securitycenter.notificationconfig.update
securitycenter.notificationconfig.delete
Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.
Residencia de datos y exportaciones continuas
Si la residencia de datos está habilitada para Security Command Center, las configuraciones que definen las exportaciones continuas a Pub/Sub (recursos notificationConfig
) están sujetas al control de residencia de datos y se almacenan en una ubicación de Security Command Center que selecciones.
Para exportar los resultados de una ubicación de Security Command Center a Pub/Sub, debes configurar la infraestructura exportar en la misma ubicación de Security Command Center que los resultados.
Debido a que los filtros que se usan en las las exportaciones pueden contener datos sujetos a controles de residencia, asegúrate de especificar la ubicación correcta antes de crearlos. Security Command Center no restringe la ubicación que creas exportarás.
Las exportaciones continuas se almacenan solo en la ubicación en las que se crean y no se pueden ver ni editar en otras ubicaciones.
Después de crear una exportación continua, no puedes cambiar su ubicación. Para cambiar la ubicación, debes borrar la exportación continua y volver a crearla en la nueva ubicación.
Para recuperar una exportación continua mediante llamadas a la API, haz lo siguiente:
debes especificar la ubicación en el nombre completo del recurso de la
notificationConfig
Por ejemplo:
GET https://securitycenter.googleapis.com/v2/{name=organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01}
Del mismo modo, para recuperar una exportación continua usando
en gcloud CLI, debes especificar la ubicación
en el nombre completo del recurso de la configuración o mediante --locations
marca. Por ejemplo:
gcloud scc notifications describe myContinuousExport organizations/123 \ --location=locations/us
Crea una exportación continua a Pub/Sub
Las exportaciones continuas te permiten automatizar la exportación de todos los resultados futuros a Pub/Sub o crea filtros para exportar hallazgos futuros que cumplan con con criterios específicos. Puedes filtrar los resultados por categoría, fuente, tipo de recurso, marcas de seguridad, gravedad, estado y otras variables.
Tu organización puede crear un máximo de 500 exportaciones continuas.
Para crear una exportación de Pub/Sub, haz lo siguiente:
Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
En la barra de herramientas, haz clic el selector de proyectos de
selecciona tu proyecto, organización o carpeta.Opcional: Si está habilitada la residencia de datos para Security Command Center y, luego, cambia la ubicación de los datos según sea necesario.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación de la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
En el campo Resultados de la búsqueda, selecciona los hallazgos que deseas exportar. utilizando cualquiera de los siguientes métodos:
Si haces clic en Agregar filtro para seleccionar las propiedades de los resultados que que se deben exportar.
El diálogo Seleccionar filtro te permite elegir atributos y valores admitidos de resultados.
- Selecciona un atributo de hallazgo o escribe su nombre en la Cuadro Buscar atributos de hallazgos. Se mostrará una lista de los atributos secundarios disponibles.
- Selecciona un atributo secundario. Se mostrará un campo de selección en el que puedes crear la instrucción de consulta con el atributo secundario que seleccionaste, un operador de consulta y uno o más valores para el atributo secundario.
- En el panel, selecciona el operador y uno o más valores para el atributo secundario. Para obtener más información sobre los operadores de consulta y las funciones que usan, consulta Operadores de consulta en el menú Agregar filtros.
- Haz clic en Aplicar.
Se cerrará el cuadro de diálogo y se actualizará tu consulta.
- Repite hasta que la consulta de los resultados contenga todos los atributos que deseas.
Codificando de forma manual la consulta de resultados en el editor de consultas. Puedes usa los operadores de SQL estándar
AND
,OR
, es igual a (=
), tiene (:
) y no (-
) para especificar las propiedades y los valores de estos que necesitas exportar.A medida que escribes tu consulta, aparece un menú de autocompletar, en el que puedes seleccionar nombres y funciones de filtro.
Por ejemplo, la siguiente consulta silencia los resultados de
anomalous IAM grant
de gravedad baja y media enprod-project
, y excluye los tipos de recursos en los que el nombre contiene la substringcompute
:severity="LOW" OR severity="MEDIUM" AND category="Persistence: IAM Anomalous Grant" AND resource.project_display_name="prod-project" AND -resource.type:"compute"
Para ver más ejemplos sobre cómo filtrar resultados, consulta Cómo filtrar notificaciones.
Revisa la consulta resultante para comprobar que sea correcta. Para hacer cambios, borra o agregar propiedades y filtrar valores según sea necesario.
Haz clic en Actualizar resultados coincidentes. En una tabla, se muestran los resultados que coinciden con tu consulta. Para obtener más información sobre los resultados de la consulta, visita Edita una consulta de resultados en la consola de Google Cloud.
Haz clic en Exportar y, luego, en Continuar, haz clic en Pub/Sub.
Revisa el filtro para asegurarte de que sea correcto y, si es necesario, regresa a la página Resultados para modificarlo.
En Nombre de la exportación continua, ingresa un nombre para la exportación.
En Descripción de la exportación continua, ingresa una descripción para la exportación.
En Exportar a, selecciona un proyecto para tu exportación. No puedes crear un proyecto en esta página. Para crear un proyecto nuevo, consulta Crea un proyecto.
En Tema de Pub/Sub, selecciona el tema en el que deseas exportar los resultados. Para crear un tema, haz lo siguiente:
- Selecciona Crea un tema.
- Ingresa un ID del tema y, luego, selecciona otras opciones según sea necesario:
- Aprende a crear y administrar esquemas.
- Obtén más información sobre el uso de claves de encriptación administradas por el cliente (CMEK) con Pub/Sub.
- Haz clic en Crear tema.
Haz clic en Guardar. Verás una confirmación y volverás a la página de resultados.
Sigue la guía para crear una suscripción. para el tema de Pub/Sub.
Se completó la configuración de exportación de Pub/Sub. Para publicar notificaciones, se crea una cuenta de servicio para ti con el formato service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com
.
A esta cuenta de servicio se le otorga la función roles/securitycenter.notificationServiceAgent
a nivel de organización de forma automática. Esta función de cuenta de servicio es obligatoria para que las notificaciones funcionen.
Prueba exportaciones continuas
Para confirmar que una exportación funciona, realiza los siguientes pasos a fin de activar o desactivar los resultados entre los estados activos y los inactivos.
Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
Haz clic en el botón Editar consulta. Se abrirá el Editor de consultas.
Edita la consulta para que tanto los resultados activos como los inactivos que se muestran. La siguiente consulta omite la propiedad
state
en mostrar todos los resultados, excepto los silenciados:NOT mute="MUTED"
Si es necesario, usa el editor de consultas para volver a ingresar las variables de filtro que coincidan con el filtro de exportación que pruebas.
Haz clic en el cuadro junto al nombre de un resultado.
Selecciona Cambiar el estado activo y, luego, selecciona Inactivo.
Vuelve a seleccionar el resultado que marcaste como inactivo.
Selecciona Cambiar el estado activo y, luego, selecciona Activo. Se envía una notificación por el resultado recién activo.
Ve a la página Pub/Sub en la consola de Google Cloud.
En la lista de temas, haz clic en el nombre de tu tema.
Selecciona
Ver mensajes.En el panel Mensajes, selecciona tu suscripción de la lista desplegable para ver la búsqueda de notificaciones. Si es necesario, haz clic en Extraer para actualizar los mensajes.
Administra exportaciones continuas
Para ver, editar o borrar exportaciones, haz lo siguiente:
Ve a la página Configuración en Security Command Center.
En la barra de herramientas, haz clic el selector de proyectos de
selecciona tu proyecto, organización o carpeta.Opcional: Si está habilitada la residencia de datos para Security Command Center y, luego, cambia la ubicación de los datos según sea necesario.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación en la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
Selecciona Exportaciones continuas. Verás una lista de exportaciones continuas para tu proyecto, organización o carpeta.
En la página Exportaciones continuas de Configuración, puedes crear, ver, editar, y borrar las exportaciones continuas.
Visualiza los resultados relacionados
Para ver los resultados que coincidan con un filtro de exportación, haz lo siguiente:
- En la página Exportaciones continuas, junto al nombre de una exportación, selecciona Más y, luego, haz clic en Ver filtros relacionados.
- La página Resultados se carga con resultados que coinciden con el filtro de exportación.
Edita exportaciones continuas
- En la página Exportaciones continuas, haz clic en el nombre de la exportación que deseas. para verlos o modificarlos, o bien haga clic en Más
- Selecciona Editar.
- Ingresa una descripción nueva, cambia el proyecto en el que se guardan las exportaciones, o ingresa un tema nuevo de Pub/Sub.
- Cuando termines, haz clic en Guardar.
Borra exportaciones continuas
- En la página Exportaciones continuas, haz clic en el nombre de la exportación que deseas. borrar.
- Haz clic en delete Borrar.
- En el cuadro de diálogo, haz clic en Borrar. La exportación se borra.
¿Qué sigue?
Obtén más información sobre cómo encontrar notificaciones.