GSP1164

Descripción general

Security Command Center (SCC) es una plataforma de supervisión de seguridad que ayuda a los usuarios a hacer lo siguiente:

• Descubrir parámetros de configuración incorrectos relacionados con la seguridad de los recursos de Google Cloud
• Denunciar amenazas activas en entornos de Google Cloud
• Solucionar vulnerabilidades en recursos de Google Cloud

En este lab, aprenderás sobre Security Command Center explorando los recursos analizados y las funciones de exportación del servicio.

Objetivos

En este lab, aprenderás a realizar las siguientes tareas:

• Crear una canalización de exportación continua a Pub/Sub
• Exportar y analizar hallazgos de SCC en una tabla de BigQuery

Requisitos previos

Se recomienda que conozcas los siguientes temas antes de comenzar este lab:

• Conceptos de computación en la nube
• Consola de Google Cloud
• Las clasificaciones de gravedad para los hallazgos (se recomienda, pero no es obligatorio).
• Pub/Sub y BigQuery (recomendado, pero no obligatorio).

Configuración y requisitos

Antes de hacer clic en el botón Comenzar lab

Lee estas instrucciones. Los labs cuentan con un temporizador que no se puede pausar. El temporizador, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.

Este lab práctico te permitirá realizar las actividades correspondientes en un entorno de nube real, no en uno de simulación o demostración. Para ello, se te proporcionan credenciales temporales nuevas que utilizarás para acceder a Google Cloud durante todo el lab.

Para completar este lab, necesitarás lo siguiente:

• Acceso a un navegador de Internet estándar. Se recomienda el navegador Chrome.

Nota: Usa una ventana del navegador privada o de incógnito (opción recomendada) para ejecutar el lab. Así evitarás conflictos entre tu cuenta personal y la cuenta de estudiante, lo que podría generar cargos adicionales en tu cuenta personal.

• Tiempo para completar el lab (recuerda que, una vez que comienzas un lab, no puedes pausarlo).

Nota: Usa solo la cuenta de estudiante para este lab. Si usas otra cuenta de Google Cloud, es posible que se apliquen cargos a esa cuenta.

Cómo iniciar tu lab y acceder a la consola de Google Cloud

1. Haz clic en el botón Comenzar lab. Si debes pagar por el lab, se abrirá un diálogo para que selecciones la forma de pago. A la izquierda, se encuentra el panel Detalles del lab, que tiene estos elementos:

   • El botón para abrir la consola de Google Cloud
   • El tiempo restante
   • Las credenciales temporales que debes usar para el lab
   • Otra información para completar el lab, si es necesaria

2. Haz clic en Abrir la consola de Google Cloud (o haz clic con el botón derecho y selecciona Abrir el vínculo en una ventana de incógnito si ejecutas el navegador Chrome).

   El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

   Sugerencia: Ordena las pestañas en ventanas separadas, una junto a la otra.

   Nota: Si ves el diálogo Elegir una cuenta, haz clic en Usar otra cuenta.

3. De ser necesario, copia el nombre de usuario a continuación y pégalo en el diálogo Acceder.

   {{{user_0.username | "Username"}}}

   También puedes encontrar el nombre de usuario en el panel Detalles del lab.

4. Haz clic en Siguiente.

5. Copia la contraseña que aparece a continuación y pégala en el diálogo Te damos la bienvenida.

   {{{user_0.password | "Password"}}}

   También puedes encontrar la contraseña en el panel Detalles del lab.

6. Haz clic en Siguiente.

   Importante: Debes usar las credenciales que te proporciona el lab. No uses las credenciales de tu cuenta de Google Cloud. Nota: Usar tu propia cuenta de Google Cloud para este lab podría generar cargos adicionales.

7. Haz clic para avanzar por las páginas siguientes:

   • Acepta los Términos y Condiciones.
   • No agregues opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
   • No te registres para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Google Cloud en esta pestaña.

Nota: Para acceder a los productos y servicios de Google Cloud, haz clic en el menú de navegación o escribe el nombre del servicio o producto en el campo Buscar.

Activa Cloud Shell

Cloud Shell es una máquina virtual que cuenta con herramientas para desarrolladores. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud. Cloud Shell proporciona acceso de línea de comandos a tus recursos de Google Cloud.

1. Haz clic en Activar Cloud Shell en la parte superior de la consola de Google Cloud.

2. Haz clic para avanzar por las siguientes ventanas:

   • Continúa en la ventana de información de Cloud Shell.
   • Autoriza a Cloud Shell para que use tus credenciales para realizar llamadas a la API de Google Cloud.

Cuando te conectes, habrás completado la autenticación, y el proyecto estará configurado con tu Project_ID, . El resultado contiene una línea que declara el Project_ID para esta sesión:

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud es la herramienta de línea de comandos de Google Cloud. Viene preinstalada en Cloud Shell y es compatible con la función de autocompletado con tabulador.

3. Puedes solicitar el nombre de la cuenta activa con este comando (opcional):

gcloud auth list

4. Haz clic en Autorizar.

Resultado:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. Puedes solicitar el ID del proyecto con este comando (opcional):

gcloud config list project

Resultado:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Nota: Para obtener toda la documentación de gcloud, en Google Cloud, consulta la guía con la descripción general de gcloud CLI.

Situación

Cymbal Bank es un banco minorista estadounidense con más de 2,000 sucursales en los 50 estados. Ofrece servicios completos de débito y crédito basados en una plataforma sólida de pagos. Cymbal Bank es una institución de servicios financieros heredada que se está transformando de forma digital.

Cymbal Bank se fundó en 1920 con el nombre de Troxler. El grupo Cymbal adquirió la empresa en 1975 tras haber estado invirtiendo en los cajeros automáticos de su propiedad. A medida que el banco crecía hasta convertirse en un líder nacional, puso énfasis estratégico en modernizar la experiencia del cliente tanto de forma presencial en sus sucursales como de forma digital a través de una aplicación que lanzaron en 2014. Cymbal Bank emplea a 42,000 personas en todo el país y, en 2019, registró $24,000 millones en ingresos.

Quiere integrar una plataforma centralizada de supervisión de seguridad para ayudar a supervisar amenazas y corregir vulnerabilidades en todos los recursos de Google Cloud para las aplicaciones de banca corporativa. Como Cloud Security Engineer, tu tarea consistirá en estudiar las funciones de vanguardia de Security Command Center para hacer una presentación frente al director de tecnología sobre los beneficios del servicio.

Tarea 1: Crea una canalización de exportación continua a Pub/Sub

Security Command Center puede exportar resultados de seguridad a recursos externos con varios métodos, incluidos los siguientes:

• Exportaciones continuas a un conjunto de datos de BigQuery.
• Exportaciones continuas a Pub/Sub.
• Exportaciones únicas a archivos CSV
• Exportaciones únicas a buckets de Cloud Storage como archivos JSON.

En esta tarea, explorarás cómo configurar exportaciones continuas de hallazgos a Pub/Sub.

Nota: Las exportaciones continuas de hallazgos solo funcionan para los hallazgos recién creados.

Las exportaciones continuas a Pub/Sub suelen usarse para reenviar hallazgos a sistemas externos de administración de seguridad, como Splunk o QRadar.

Para los fines de este lab, exportarás tus hallazgos a un tema de Pub/Sub y, luego, simularás una aplicación recuperando los mensajes de una suscripción de Pub/Sub.

Nota: Puedes consultar la página de documentación para obtener más información sobre ¿Qué es Pub/Sub?

Crear un tema de Pub/Sub y una suscripción

Antes de configurar una exportación de SCC, primero debes crear un tema y una suscripción de Pub/Sub.

1. En la barra de título de la consola de Google Cloud, escribe Pub/Sub en el campo de búsqueda y presiona Intro. Luego, haz clic en el resultado de búsqueda superior, Pub/Sub.
2. Haz clic en el botón Crear tema en la página Temas.
3. Ingresa export-findings-pubsub-topic en el ID del tema.
4. Deja el resto de los parámetros con la configuración predeterminada y haz clic en Crear.

Esto inicia automáticamente el proceso de creación de un tema de Pub/Sub y una suscripción asociada.

5. Haz clic en Suscripciones en el menú de la izquierda.

6. Haz clic en export-findings-pubsub-topic-sub. Si no ves la suscripción en la lista, actualiza la página del navegador.

Esto te proporciona un panel de estadísticas y métricas relacionadas con los mensajes publicados en esta suscripción.

Crea una exportación continua de hallazgos

1. En la consola de Cloud, en el menú de navegación (), haz clic en Seguridad > Resumen de riesgos y, luego, en Configuración en la parte superior de la página.

2. Haz clic en la pestaña Exportaciones continuas.

3. Haz clic en el botón Crear exportación de Pub/Sub.

4. En Nombre de la exportación continua, ingresa export-findings-pubsub.

5. En Descripción de la exportación continua, ingresa Exportaciones continuas de hallazgos a Pub/Sub y BigQuery.

6. En Nombre del proyecto, selecciona , que es el ID del proyecto en el que estás trabajando. No selecciones Qwiklabs Resources.

7. En el campo Selecciona un tema de Cloud Pub/Sub, elige projects//topics/export-findings-pubsub-topic.

8. Establece la consulta de hallazgos de la siguiente manera:

state="ACTIVE" AND NOT mute="MUTED"

Esta consulta garantiza que todos los hallazgos nuevos ACTIVOS y NO SILENCIADOS se reenvíen al tema de Pub/Sub recién creado.

Nota: Es posible que veas el mensaje de que se encontraron varias coincidencias. Recuerda que los hallazgos existentes no se reenvían al tema de Pub/Sub.

9. Haz clic en Guardar.

Ahora creaste una exportación continua de Security Command Center a Pub/Sub.

Crea nuevos hallazgos para exportar a Pub/Sub

En esta sección, crearás nuevos hallazgos y verificarás cómo se exportan a Pub/Sub.

1. Abre una sesión nueva de Cloud Shell.

2. Ejecuta el siguiente comando para crear una nueva máquina virtual:

gcloud compute instances create instance-1 --zone={{{project_0.default_zone|lab zone}}} \ --machine-type e2-micro \ --scopes=https://www.googleapis.com/auth/cloud-platform

3. Asegúrate de recibir un resultado similar al siguiente.

Resultado:

NAME: instance-1 ZONE: us-central-a MACHINE_TYPE: e2-micro PREEMPTIBLE: INTERNAL_IP: 10.128.0.2 EXTERNAL_IP: 34.69.82.225 STATUS: RUNNING Nota: Si recibes un mensaje de error que dice ERROR: (gcloud.compute.instances.create) You do not currently have an active account selected, vuelve a ejecutar el comando.

Este comando crea una nueva instancia de VM con una dirección IP pública y una cuenta de servicio predeterminada adjunta.

Si realizas esta actividad, se generarán de inmediato tres nuevos hallazgos de vulnerabilidades:

• Dirección IP pública
• Cuenta de servicio predeterminada usada
• Arranque seguro de Compute inhabilitado

4. En la barra de título de la consola de Google Cloud, escribe Pub/Sub en el campo de búsqueda y presiona Intro. Luego, haz clic en el resultado de búsqueda superior, Pub/Sub. Luego, haz clic en Suscripciones en el menú de la izquierda.

5. Selecciona la suscripción export-findings-pubsub-topic-sub.

6. Haz clic en la pestaña Mensajes.

7. Selecciona la casilla de verificación Habilitar mensajes de acuse de recibo.

8. Haz clic en el botón Extraer.

Deberías recibir una lista de mensajes en esta suscripción. Estas se relacionan con la dirección IP pública, la cuenta de servicio predeterminada que se usa y las vulnerabilidades de arranque seguro de procesamiento inhabilitado.

Nota: Puedes hacer clic en el botón Opciones de visualización de columnas en la lista de mensajes para modificar los detalles de los mensajes que se muestran, como body.finding.category para obtener más detalles.

Cuando extraes los mensajes de la suscripción de Pub/Sub, simulas el comportamiento de una aplicación que puede reenviar estos mensajes a otro sistema de supervisión de seguridad, como Splunk.

Haz clic en Revisar mi progreso para verificar el objetivo. Crear una canalización de exportación continua a Pub/Sub

Tarea 2: Exporta y analiza los hallazgos de SCC con BigQuery

Los hallazgos de SCC también se pueden exportar a un conjunto de datos de BigQuery. Esto puede ser útil para crear paneles analíticos que puedes usar para verificar qué tipo de hallazgos aparecen con mayor frecuencia en tu organización.

Por ahora, la configuración de exportaciones continuas solo se puede establecer con comandos (es decir, no en la consola).

1. Abre una sesión de Cloud Shell .
2. En tu sesión de Cloud Shell, ejecuta el siguiente comando para crear un nuevo conjunto de datos de BigQuery:

PROJECT_ID=$(gcloud config get project) bq --location={{{project_0.default_region|lab region}}} --apilog=/dev/null mk --dataset \ $PROJECT_ID:continuous_export_dataset

3. Aún no usaste una interfaz de línea de comandos de SCC en este proyecto, por lo que debes habilitar el servicio de SCC. Ejecuta el siguiente comando para habilitar el servicio en el proyecto actual:

gcloud services enable securitycenter.googleapis.com

4. Ahora, crea una nueva exportación con este comando:

gcloud scc bqexports create scc-bq-cont-export --dataset=projects/{{{project_0.project_id}}}/datasets/continuous_export_dataset --project={{{project_0.project_id|PROJECT_ID}}}

Asegúrate de recibir un mensaje de resultado similar al siguiente.

Resultado:

Created. dataset: projects/qwiklabs-gcp-04-571fad72c1e8/datasets/continuous_export_dataset mostRecentEditor: student-03-fbc57ac17933@qwiklabs.net name: projects/102856953036/bigQueryExports/SCC-bq-cont-export principal: service-org-616463121992@gcp-sa-scc-notification.iam.gserviceaccount.com updateTime: '2023-05-31T15:44:22.097585Z'

Una vez que se exportan los nuevos hallazgos a BigQuery, SCC crea una nueva tabla. Ahora puedes iniciar nuevos hallazgos de SCC.

5. Ejecuta los siguientes comandos para crear tres cuentas de servicio nuevas sin permisos de IAM y crear tres claves de cuenta de servicio administradas por el usuario para ellas.

for i in {0..2}; do gcloud iam service-accounts create sccp-test-sa-$i; gcloud iam service-accounts keys create /tmp/sa-key-$i.json \ --iam-account=sccp-test-sa-$i@{{{project_0.project_id|PROJECT_ID}}}.iam.gserviceaccount.com; done

Una vez que se crean nuevos hallazgos en SCC, se exportan a BigQuery. Para almacenarlos, la canalización de exportación crea una tabla nueva llamada findings.

6. Ejecuta el siguiente comando para obtener información de BigQuery sobre los hallazgos recién creados:

bq query --apilog=/dev/null --use_legacy_sql=false \ "SELECT finding_id,event_time,finding.category FROM continuous_export_dataset.findings"

Algunos segundos después, deberías obtener un resultado similar al siguiente:

Resultado:

+----------------------------------+---------------------+------------------------------------------+ | finding_id | event_time | category | +----------------------------------+---------------------+------------------------------------------+ | c5235ebb04b140198874ce52080422b8 | 2024-11-27 08:08:08 | Persistence: Service Account Key Created | | 94d933ee9803d0f1c807551fd22a0269 | 2024-11-27 08:08:04 | USER_MANAGED_SERVICE_ACCOUNT_KEY | +----------------------------------+---------------------+------------------------------------------+ Nota: Es posible que se demoren más de 10 minutos en generarse estos hallazgos. Vuelve a ejecutar el comando anterior si no recibes un resultado similar.

Haz clic en Revisar mi progreso para verificar el objetivo. Exporta hallazgos a un conjunto de datos de BigQuery

Exporta los hallazgos a un bucket de Cloud Storage y crea una tabla de BigQuery

Security Command Center suele habilitarse en infraestructuras de Google Cloud preexistentes y maduras. En cuanto se habilita SCC, comienza a analizar las vulnerabilidades existentes y, con el tiempo, podría informar miles de hallazgos en la infraestructura existente.

La interfaz de SCC podría no ser la mejor forma de ordenar y filtrar estos hallazgos, por lo que exportarlos a una base de datos de BigQuery es una práctica común para ejecutar análisis en ellos.

Aún no se admite la exportación directa de hallazgos a BigQuery. En su lugar, puedes usar un bucket de Google Cloud Storage como solución de almacenamiento intermedio.

Crea un bucket de Cloud Storage

Para exportar los hallazgos existentes a una interfaz de BigQuery, primero debes exportarlos a un bucket de Cloud Storage. En esta sección, crearás el bucket de almacenamiento.

1. En el menú de navegación () de la consola de Cloud, haz clic en Cloud Storage > Buckets.

2. Haz clic en el botón Crear.

3. Cada nombre de bucket en Google Cloud debe ser único. Establece el nombre del bucket como scc-export-bucket-.

4. Haz clic en Continuar.

5. Configura Tipo de ubicación como Región.

6. Elige para la ubicación.

7. No cambies ninguna otra configuración. Desplázate hacia abajo en la página y haz clic en Crear.

8. Haz clic en el botón Confirmar cuando se te pregunte si quieres “Aplicar la prevención de acceso público” a este bucket.

Exporta los hallazgos existentes como datos JSONL

En esta sección, exportarás tus hallazgos para usarlos en una base de datos de BigQuery.

1. En el menú de navegación () de la consola de Cloud, haz clic en Seguridad > Hallazgos.

2. Haz clic en el botón Exportar.

3. En la lista desplegable, selecciona Cloud Storage.

4. En el nombre del proyecto, selecciona el ID del proyecto como (no selecciones Recursos de Qwiklabs).

5. Luego, selecciona la ruta de exportación haciendo clic en el botón Explorar.

6. Haz clic en la flecha junto al botón scc-export-bucket-.

7. Establece el nombre del archivo como findings.jsonl y haz clic en Seleccionar.

8. En la lista desplegable Formato, selecciona JSONL.

9. Cambia el período a Todo el período.

   No modifiques la consulta de hallazgos predeterminada.

   El formulario final "Exportar a" debería ser similar al siguiente.

10. Haz clic en el botón Exportar.

Crea una tabla en BigQuery

En esta sección, usarás los datos de hallazgos exportados para crear una tabla en BigQuery.

1. En el menú de navegación () de la consola de Cloud, haz clic en BigQuery > Studio.

2. En el menú Explorar de la izquierda, haz clic en el botón + Agregar datos.

3. En una nueva ventana Agregar datos, haz clic en Google Cloud Storage como una de las fuentes de datos más populares.

4. Haz clic en Tabla externa o de BigLake para crear manualmente tablas de BigLake o externas en los datos de GCS y establece los siguientes parámetros:

Parámetro de configuración	Valor
Crear tabla desde	Google Cloud Storage
Selecciona el archivo del bucket de GCS	scc-export-bucket-/findings.jsonl
Formato del archivo	JSONL
Conjunto de datos	continuous_export_dataset
Tabla	old_findings
Tipo de tabla	Nativa
Esquema	Habilita el botón de activar o desactivar “Edit as text”

5. Ahora, pega el siguiente esquema:

[ { "mode": "NULLABLE", "name": "resource", "type": "JSON" }, { "mode": "NULLABLE", "name": "finding", "type": "JSON" } ]

6. Haz clic en el botón Crear tabla.

7. Una vez que se cree la tabla nueva, haz clic en el vínculo de la notificación que dice Ir a la tabla.

8. Haz clic en la pestaña Vista previa y confirma que puedes ver tus hallazgos existentes.

Haz clic en Revisar mi progreso para verificar el objetivo. Exporta hallazgos a un bucket de Cloud Storage y crea una tabla de BigQuery

¡Felicitaciones!

En este lab, aprendiste sobre Security Command Center, analizaste recursos y exportaste hallazgos a BigQuery.

Próximos pasos y más información

• Consulta el lab Identifica las vulnerabilidades en una aplicación con Security Command Center.

Capacitación y certificación de Google Cloud

Recibe la formación que necesitas para aprovechar al máximo las tecnologías de Google Cloud. Nuestras clases incluyen habilidades técnicas y recomendaciones para ayudarte a avanzar rápidamente y a seguir aprendiendo. Para que puedas realizar nuestros cursos cuando más te convenga, ofrecemos distintos tipos de capacitación de nivel básico a avanzado: a pedido, presenciales y virtuales. Las certificaciones te ayudan a validar y demostrar tus habilidades y tu conocimiento técnico respecto a las tecnologías de Google Cloud.

Última actualización del manual: 13 de junio de 2025

Prueba más reciente del lab: 13 de junio de 2025

Copyright 2025 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.