arrow_back

Comienza a usar Security Command Center

Acceder Unirse
Quick tip: Review the prerequisites before you run the lab
Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the student account, which may cause extra charges incurred to your personal account.
Pon a prueba tus conocimientos y compártelos con nuestra comunidad
done
Obtén acceso a más de 700 labs prácticos, insignias de habilidad y cursos

Comienza a usar Security Command Center

Lab 1 hora universal_currency_alt 1 crédito show_chart Introductorio
info Es posible que este lab incorpore herramientas de IA para facilitar tu aprendizaje.
Pon a prueba tus conocimientos y compártelos con nuestra comunidad
done
Obtén acceso a más de 700 labs prácticos, insignias de habilidad y cursos

GSP1124

Logotipo de los labs de autoaprendizaje de Google Cloud

Descripción general

Security Command Center (SCC) es una plataforma de supervisión de seguridad que ayuda a los usuarios a hacer lo siguiente:

  • Descubrir parámetros de configuración incorrectos relacionados con la seguridad de los recursos de Google Cloud
  • Denunciar amenazas activas en entornos de Google Cloud
  • Solucionar vulnerabilidades en recursos de Google Cloud

En este lab, empezarás a usar Security Command Center y explorarás la interfaz, los parámetros de configuración y los hallazgos de vulnerabilidades del servicio.

Objetivos

En este lab, aprenderás a realizar las siguientes tareas:

  • Explorar los elementos de la interfaz de SCC
  • Definir los parámetros de configuración de SCC a nivel de proyecto
  • Analizar y solucionar los hallazgos de vulnerabilidades de SCC

Requisitos previos

Se recomienda, pero no es obligatorio, que conozcas los siguientes temas antes de comenzar este lab:

Configuración y requisitos

Antes de hacer clic en el botón Comenzar lab

Lee estas instrucciones. Los labs son cronometrados y no se pueden pausar. El cronómetro, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.

Este lab práctico te permitirá realizar las actividades correspondientes en un entorno de nube real, no en uno de simulación o demostración. Para ello, se te proporcionan credenciales temporales nuevas que utilizarás para acceder a Google Cloud durante todo el lab.

Para completar este lab, necesitarás lo siguiente:

  • Acceso a un navegador de Internet estándar (se recomienda el navegador Chrome)
Nota: Usa una ventana de navegador privada o de Incógnito para ejecutar este lab. Así evitarás cualquier conflicto entre tu cuenta personal y la cuenta de estudiante, lo que podría generar cargos adicionales en tu cuenta personal.
  • Tiempo para completar el lab: Recuerda que, una vez que comienzas un lab, no puedes pausarlo.
Nota: Si ya tienes un proyecto o una cuenta personal de Google Cloud, no los uses en este lab para evitar cargos adicionales en tu cuenta.

Cómo iniciar tu lab y acceder a la consola de Google Cloud

  1. Haga clic en el botón Comenzar lab. Si debe pagar por el lab, se abrirá una ventana emergente para que seleccione su forma de pago. A la izquierda, se encuentra el panel Detalles del lab, que tiene estos elementos:

    • El botón Abrir la consola de Google Cloud
    • El tiempo restante
    • Las credenciales temporales que debe usar para el lab
    • Otra información para completar el lab, si es necesaria

  2. Haz clic en Abrir la consola de Google Cloud (o haz clic con el botón derecho y selecciona Abrir el vínculo en una ventana de incógnito si ejecutas el navegador Chrome).

    El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

    Sugerencia: Ordene las pestañas en ventanas separadas, una junto a la otra.

    Nota: Si ves el diálogo Elegir una cuenta, haz clic en Usar otra cuenta.

  3. De ser necesario, copia el nombre de usuario a continuación y pégalo en el diálogo Acceder.

    {{{user_0.username | "Username"}}}

    También puedes encontrar el nombre de usuario en el panel Detalles del lab.

  4. Haz clic en Siguiente.

  5. Copia la contraseña que aparece a continuación y pégala en el diálogo Te damos la bienvenida.

    {{{user_0.password | "Password"}}}

    También puedes encontrar la contraseña en el panel Detalles del lab.

  6. Haz clic en Siguiente.

    Importante: Debes usar las credenciales que te proporciona el lab. No uses las credenciales de tu cuenta de Google Cloud. Nota: Usar tu propia Cuenta de Google podría generar cargos adicionales.

  7. Haga clic para avanzar por las páginas siguientes:

    • Acepta los Términos y Condiciones.
    • No agregues opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
    • No te registres para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Google Cloud en esta pestaña.

Nota: Para ver un menú con una lista de productos y servicios de Google Cloud, haz clic en el menú de navegación que se encuentra en la parte superior izquierda. Ícono del menú de navegación

Activa Cloud Shell

Cloud Shell es una máquina virtual que cuenta con herramientas para desarrolladores. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud. Cloud Shell proporciona acceso de línea de comandos a tus recursos de Google Cloud.

  1. Haz clic en Activar Cloud Shell Ícono de Activar Cloud Shell en la parte superior de la consola de Google Cloud.

Cuando te conectes, habrás completado la autenticación, y el proyecto estará configurado con tu PROJECT_ID. El resultado contiene una línea que declara el PROJECT_ID para esta sesión:

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud es la herramienta de línea de comandos de Google Cloud. Viene preinstalada en Cloud Shell y es compatible con la función de autocompletado con tabulador.

  1. Puedes solicitar el nombre de la cuenta activa con este comando (opcional):
gcloud auth list

  1. Haz clic en Autorizar.

  2. Ahora, el resultado debería verse de la siguiente manera:

Resultado:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. Puedes solicitar el ID del proyecto con este comando (opcional):
gcloud config list project

Resultado:

[core] project = <project_ID>

Resultado de ejemplo:

[core] project = qwiklabs-gcp-44776a13dea667a6 Nota: Para obtener toda la documentación de gcloud, consulta la guía con la descripción general de gcloud CLI en Google Cloud.

Situación

5ce916afc496a60c.jpeg


Cymbal Bank es un banco minorista estadounidense con más de 2,000 sucursales en los 50 estados. Ofrece servicios completos de débito y crédito basados en una plataforma sólida de pagos. Cymbal Bank es una institución de servicios financieros heredada que se está transformando de forma digital.

Cymbal Bank se fundó en 1920 con el nombre de Troxler. El grupo Cymbal adquirió la empresa en 1975 tras haber estado invirtiendo en los cajeros automáticos de su propiedad. A medida que el banco crecía hasta convertirse en un líder nacional, puso énfasis estratégico en modernizar la experiencia del cliente tanto de forma presencial en sus sucursales como de forma digital a través de una aplicación que lanzaron en 2014. Cymbal Bank emplea a 42,000 personas en todo el país y, en 2019, registró $24,000 millones en ingresos.

Quiere integrar una plataforma centralizada de supervisión de seguridad para ayudar a supervisar amenazas y corregir vulnerabilidades en todos los recursos de Google Cloud para las aplicaciones de banca corporativa. Como Cloud Security Engineer, tu tarea consistirá en estudiar las funciones de vanguardia de Security Command Center para hacer una presentación frente al director de tecnología sobre los beneficios del servicio.

Tarea 1: Explora los elementos de la interfaz de SCC

En esta tarea, explorarás la interfaz de Security Command Center (SCC) para conocer las funciones principales del servicio.

  1. En la consola de Cloud, en el menú de navegación (Ícono del menú de navegación), selecciona Seguridad > Resumen de riesgos.
Nota: Si recibes un mensaje que te indica "Crea una organización", simplemente actualiza el navegador.
  1. En la página Resumen de riesgos, desplázate hacia abajo y analiza los paneles de información que se refieren a Nuevas amenazas a lo largo del tiempo y Vulnerabilidades por tipo de recurso.

Las amenazas y las vulnerabilidades son dos tipos diferentes de clases de hallazgos que SCC usa para categorizar e informar problemas de seguridad en tu entorno. Consulta la documentación Cómo encontrar clases para obtener más información.

  • En Amenazas, se notifica a los usuarios de Google Cloud sobre las actividades sospechosas actuales que hay en sus entornos de Google Cloud, como una cuenta de servicio que investiga sus propios permisos.
  • En Vulnerabilidades, se proporciona información sobre parámetros de configuración incorrectos o vulnerabilidades de recursos, como un puerto TCP abierto o una biblioteca desactualizada que se ejecuta en una máquina virtual.

Un hallazgo es un registro generado por SCC que proporciona detalles sobres los datos de vulnerabilidades o amenazas en el panel de Security Command Center.

  1. En la tarjeta Nuevas amenazas a lo largo del tiempo, haz clic en la pestaña Resultados por tipo de recurso.

En esa tarjeta, se enumeran las amenazas activas actuales de tu proyecto, que surgieron durante un período que se determinó en el menú desplegable "Intervalo de tiempo", en el lado derecho del panel de información.

Nota: En esta instancia del lab, la cantidad de amenazas es cero porque estás en un proyecto de zona de pruebas de Google Cloud que nunca recibió un ataque. En otro lab, Investiga y detecta amenazas con Security Command Center, explorarás cómo protegerte de las amenazas.

De forma predeterminada, el menú desplegable del intervalo de tiempo muestra todas las amenazas que hubo durante los últimos 7 días, pero puedes ver todas las amenazas que hubo durante los últimos 180 días.

  1. En el selector de Intervalo de tiempo, selecciona Últimos 180 días.
  2. Desplázate hacia abajo hasta la tarjeta Vulnerabilidades por tipo de recurso.
Vulnerabilidades activas en los últimos 180 días

Debería haber alrededor de 80 vulnerabilidades activas enumeradas.

La mayoría de esos resultados se generan porque, para los propósitos de este lab, usas una red de VPC predeterminada, que es insegura debido a su diseño. Por ejemplo, incluye reglas de firewall que otorgan acceso SSH y RDP desde cualquier dirección IP.

  1. Ahora desplázate a la tarjeta Vulnerabilidades activas.

  2. Si no está seleccionada de forma predeterminada, haz clic en la pestaña Resultados por categoría.

Allí, se mostrarán las vulnerabilidades del entorno organizadas según diferentes categorías de vulnerabilidades y su gravedad. La gravedad es una propiedad del resultado que ayuda a calcular el riesgo potencial que un problema representa para el entorno de Google Cloud.

El nivel de gravedad no se puede cambiar. Cada tipo de hallazgo tiene un nivel de gravedad que SCC estableció de manera predeterminada. A continuación, se incluye una lista de los diferentes tipos de gravedad y ejemplos comunes:

  • Crítica: Por ejemplo, una sesión de shell inversa que se inició desde un Pod de GKE.
  • Alta: Por ejemplo, un puerto SSH abierto para todo Internet (0.0.0.0/0).
  • Media: Por ejemplo, se otorgó uno de los roles primitivos de IAM (propietario/editor/visualizador) a un usuario o una cuenta de servicio.
  • Baja: Por ejemplo, no se recopilan registros de flujo de VPC.
  • Sin especificar: Puede aparecer en SCC, pero no es común.

En la página Cómo encontrar la gravedad, se describen los criterios detallados para establecer la gravedad de un resultado en SCC.

Nota: Ten en cuenta que los hallazgos sobre puertos RDP y SSH abiertos tienen niveles altos de gravedad.
  1. Ahora selecciona la pestaña Resultados por tipo de recurso. Se mostrarán las vulnerabilidades categorizadas por los diferentes tipos de recursos de Google Cloud disponibles.
Nota: Este proyecto tiene una red de VPC predeterminada, por lo que la mayoría de los hallazgos guarda relación con componentes de red, como firewalls, redes o subredes.
  1. Por último, selecciona la pestaña Hallazgos por proyecto. Esta pestaña está diseñada para usarse con SCC a nivel de un nodo raíz de organización o carpeta.
Nota: En el lab, tenemos acceso solo a un proyecto. Por este motivo, esa pestaña solo contiene el nombre del proyecto actual.
  1. En el portal Seguridad, al que accedes si seleccionas Seguridad en el menú de navegación (Ícono del menú de navegación), observa las distintas pestañas que aparecen en el encabezado de Security Command Center. A continuación, se incluye una descripción de cada una.
Sección de SCC Descripción
Resumen de riesgos Muestra las vulnerabilidades de tu entorno organizadas según diferentes categorías y gravedad.
Amenazas Incluye una breve descripción general de los resultados que se clasifican como amenazas en SCC. Algunos ejemplos podrían ser un intento exitoso de Ataque de fuerza bruta: SSH, un software de criptominería que se ejecuta en recursos de procesamiento, es decir, Ejecución: Regla de YARA para la minería de criptomonedas y una sesión de shell inversa que se inició desde un contenedor de GKE.
Vulnerabilidades Te brinda una descripción general rápida de todos los parámetros de configuración incorrectos o los defectos en el software que podrían existir en el ámbito actual (ya sea en el proyecto, la carpeta o la organización). Eso otorga un acceso más detallado a las vulnerabilidades y permite desglosar cada una de ellas. Algunos ejemplos de vulnerabilidades son un puerto MySQL abierto para todo Internet, una instancia de roles básicos usados, p. ej., el rol de propietario/editor/visualizador asignado a un usuario o una cuenta de servicio, y una página web o una aplicación web vulnerables a ataques de XSS.
Cumplimiento Se muestra información sobre la compatibilidad de tu proyecto con los estándares de cumplimiento más importantes como CIS, PCI DSS y NIST 800-53, entre otros.
Recursos Incluye información sobre los recursos de Cloud Asset Inventory, que supervisa de forma continua los recursos de tu entorno de nube.
Resultados Te permite explorar todos los resultados disponibles en la base de datos de SCC.
Origen Detalla los módulos de software que analizan la configuración de recursos de Google Cloud y supervisan las actividades actuales por medio de la lectura del archivo de registro y la verificación de procesos actuales en ejecución.
Administración de la postura Te permite usar el servicio de postura de seguridad en SCC. Consulta la guía Cómo administrar una postura de seguridad para obtener más detalles.

Tarea 2. Configura los parámetros de SCC a nivel de proyecto

En esta tarea, explorarás cómo configurar los parámetros de SCC a nivel del proyecto.

  1. Haz clic en Configuración en la esquina superior derecha de la página Resumen de riesgos.

  2. Asegúrate de estar en la pestaña Servicios.

En esta pestaña, puedes configurar los parámetros de los servicios integrados de SCC, que también se llaman fuentes ("el cerebro de SCC" que exploraste en la tarea anterior). A los efectos de este lab, los términos servicios y fuentes son intercambiables.

Los servicios detectan amenazas y vulnerabilidades, y le proporcionan información a SCC. La mayoría está disponible solo en la edición Premium de SCC, que se proporciona en este lab.

A continuación, se detallan los servicios integrados que puedes configurar:

  • Security Health Analytics (SHA): Encuentra y también informa parámetros de configuración incorrectos de recursos (registros inhabilitados, permisos adicionales de IAM y servicios expuestos públicamente). Esto es lo que tenemos actualmente habilitado en nuestro proyecto y lo que detectó las 76 vulnerabilidades.
  • Web Security Scanner (WSS): Analiza aplicaciones web disponibles públicamente que están expuestas a través de direcciones IP externas y verifica vulnerabilidades de OWASP Top 10.
  • Container Threat Detection (CTD): Detecta los ataques más comunes en el entorno de ejecución de los contenedores en un SO optimizado para contenedores.
  • Event Threat Detection (ETD): Proporciona análisis de amenazas basados en registros, que supervisan continuamente registros de Google Workspace y Google Cloud con el objetivo de analizar en busca de amenazas potenciales.
  • Virtual Machine Threat Detection: Analiza la memoria de las instancias de VM a nivel de un hipervisor y puede detectar actividades sospechosas en la memoria de las VMs. Los ejemplos son módulos de kernel inesperados o software que ejecuta criptominería.

  1. Haz clic en el vínculo Administrar configuración de Security Health Analytics.

  2. Haz clic en la pestaña Módulos.

Los módulos son unidades predefinidas o personalizadas de lógica de detección. Como puedes ver, SCC brinda muchos tipos de módulos que pueden ayudar a detectar diferentes parámetros de configuración incorrectos de recursos. Además, facilita la habilitación y la inhabilitación de distintos tipos de módulos para respaldar tu postura de seguridad y los recursos que quieres supervisar.

  1. En el campo de filtro, escribe VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED y presiona Intro.

  2. Selecciona Habilitar en el menú desplegable Estado.

Con esta opción habilitada, Security Health Analytics verifica si falta la propiedad enableFlowLogs de las subredes de VPC o si se estableció en falso.

Nota: SCC demora en empezar a analizar recursos cuando se usa un módulo recién habilitado.

Ahora que conoces los distintos servicios de Security Command Center y sabes cómo configurarlos, puedes explorar cómo identificar y corregir una vulnerabilidad con SCC.

Tarea 3. Analiza y soluciona hallazgos de vulnerabilidades de SCC

En esta tarea, aprenderás a administrar y mitigar resultados de vulnerabilidades.

Cómo marcar un resultado como INACTIVO para cambiar su estado

  1. En el menú de navegación (Ícono del menú de navegación), selecciona Seguridad > Resumen de riesgos.
  2. En el menú de la izquierda, haz clic en la pestaña Resultados.
  3. Establece el selector de Intervalo de tiempo en la esquina superior derecha en Todo el período.

  1. En la esquina superior izquierda de la pantalla, busca la ventana Vista previa de la consulta, que incluye un filtro para explorar todos los hallazgos disponibles.

De forma predeterminada, la pestaña Resultados muestra los resultados que no se silenciaron y que tienen el estado ACTIVO.

Las dos propiedades de los hallazgos, estado y silenciar, definen su visibilidad en muchos de los filtros que se usan en SCC.

  • El analista de seguridad puede configurar el valor silenciar en los resultados, o esto se puede establecer automáticamente si el analista no quiere ver resultados no pertinentes y poco útiles en la interfaz de SCC.
  • La propiedad estado indica si un resultado requiere atención y no se solucionó todavía, o si ya se corrigió o abordó de alguna forma y dejó de estar activo.

Una manera recomendada de administrar el ciclo de vida de los resultados y ocultarlos es usar la propiedad silenciar. Por lo general, las fuentes de software se encargan de administrar la propiedad estado.

  1. En la tarjeta Filtros rápidos, selecciona la casilla de verificación asociada con la categoría Red predeterminada.

  1. Observa que la cadena de consulta en la Vista previa de la consulta cambió (ahora tiene AND category="DEFAULT_NETWORK" adjunto).

  2. En la sección Resultados de la búsqueda, selecciona la casilla de verificación asociada con Red predeterminada y, luego, Más acciones (Ícono de más acciones) > Cambiar el estado activo.

  3. Configura el estado como Inactivo para este resultado.

Ahora, se desactivó el resultado y se ocultó en la pantalla porque, de forma predeterminada, solo se muestran los resultados activos y no silenciados.

Aplica una consulta para filtrar los resultados

  1. Puedes restablecer la vista de la pestaña Resultados. Para ello, selecciona Resumen de riesgos y, luego, elige Resultados en el encabezado de SCC.

  1. Haz clic en el botón Editar consulta.

  2. Cambia la cadena de consulta en el Editor de consultas a category="DEFAULT_NETWORK".

  3. Cuando termines de editar, haz clic en el botón Aplicar.

    El cambio puede tardar uno o dos minutos en aplicarse. Una vez que lo haga, solo aparecerá un resultado para la red predeterminada.

En el menú de la izquierda, en Filtros rápidos, observa que está seleccionada la casilla de verificación Mostrar inactivos. SCC te brinda la flexibilidad necesaria para buscar hallazgos activos y también inactivos. Ahora, puedes revertir el estado de este resultado.

  1. En la sección Resultados de la búsqueda, selecciona la casilla de verificación de Red predeterminada y, luego, Más acciones (Ícono de más acciones) > Cambiar el estado activo.

  2. Configura el estado de este resultado como Activo.

Los resultados se pueden activar y desactivar de forma manual, pero los usuarios no pueden borrarlos. Se borran automáticamente solo cuando no se actualizan en 13 meses por algún análisis.

Cuando se verifica un mismo resultado con un análisis de seguridad y no se detecta el parámetro de configuración incorrecto que desencadenó ese resultado, este se marca como INACTIVO. Si la vulnerabilidad todavía está presente en el sistema, el resultado permanecerá en estado ACTIVO.

  1. Haz clic en el botón Borrar todo junto a Filtros rápidos para restablecer la pestaña de resultados.

  2. En la ventana Vista previa de la consulta, haz clic en Editar consulta.

  3. Ahora copia y pega la siguiente consulta:

state="ACTIVE" AND NOT mute="MUTED" AND resource.type="google.compute.Subnetwork"
  1. Cuando termines de editar, haz clic en el botón Aplicar.

Ahora, se muestran todos los resultados relacionados con las subredes. En este lab, la red de VPC predeterminada se crea con el parámetro --subnet-mode=auto para que no se habilite la opción Acceso privado a Google en ninguna de sus subredes y para que ninguna de las subredes escriba registros de flujos de VPC.

Cómo filtrar los resultados por categoría y silenciarlos

Cuando trabajas en un entorno de pruebas, a veces necesitas ocultar ciertos resultados. En este caso, no quieres ver los resultados de SCC sobre el Acceso privado a Google en esta red, por lo que vas a silenciarlos.

  1. En la ventana Filtros rápidos, selecciona la categoría Acceso privado a Google inhabilitado.

  2. En el panel Resultados de la búsqueda, selecciona la casilla de verificación Categoría más alta para que se seleccionen todos los resultados con "Acceso privado a Google inhabilitado".

Casilla de verificación Categoría seleccionada

  1. Selecciona Más acciones (Ícono de más acciones) y haz clic en el botón Opciones para silenciar.

  2. En el menú desplegable, selecciona Aplicar anulación de silenciamiento. Con esa operación, se silencian los hallazgos existentes.

  3. Selecciona Resumen de riesgos en el menú de la izquierda y, luego, Resultados para restablecer la vista de resultados.

Ten en cuenta que los resultados con Acceso privado a Google inhabilitado ahora están silenciados y ya no se muestran. Silenciar es una forma eficiente de filtrar los resultados de SCC. Además, esto brinda un control detallado sobre los recursos y los resultados que te interesan.

Crea una regla de silenciamiento para ocultar ciertos resultados

Otra configuración incorrecta de la red predeterminada es que los registros de flujo de VPC también están inhabilitados en las subredes de esta red. Como estás trabajando en un entorno de pruebas, no necesitas que estén habilitados los registros de flujo de VPC.

En esta sección, silenciarás todos los resultados existentes y futuros relacionados con esta categoría.

  1. En la ventana Resultados de la búsqueda, selecciona Más acciones (Ícono de más acciones) > Opciones para silenciar > Administrar reglas de silencio.
  2. Haz clic en el botón Crear una regla de silenciamiento.
Nota: Puedes crear una configuración de SCC que silencie todos los resultados nuevos y existentes que cumplan los criterios, definidos en el campo Consulta de resultados. Ten en cuenta que antes silenciamos los resultados existentes con "Acceso privado a Google inhabilitado" (PGA).

Esa fue una operación que solo se realiza una vez, y los resultados detectados nuevos sobre PGA inhabilitado se informarán en SCC. Sin embargo, si creas una regla de silenciamiento, silenciarás todos los resultados nuevos y existentes.

  1. En la nueva ventana que se abre, ingresa una regla de silenciamiento con el ID: muting-pga-findings.

  2. En la descripción de la regla de silenciamiento, escribe Regla de silenciamiento para registros de flujos de VPC.

  3. En el campo de entrada del filtro Consulta de resultados, ingresa el siguiente filtro:

category="FLOW_LOGS_DISABLED"
  1. Haz clic en el botón Guardar.

Deberías recibir una notificación que indica que se creó una regla de silenciamiento.

Haz clic en Revisar mi progreso para verificar que completaste este objetivo. Crear una regla de silenciamiento

  1. Ahora, para actualizar el panel principal de SCC, selecciona Hallazgos en el menú de la izquierda.

    Asegúrate de que no recibas ningún resultado con Acceso privado a Google inhabilitado ni Registros de flujo inhabilitados.

Nota: Si sigues viendo alguno de estos resultados, actualiza la pestaña del navegador.

Crea otra red de VPC para probar la regla de silenciamiento de resultados

En esta sección, crearás una red más con subredes configuradas automáticamente para probar las modificaciones recientes de tus reglas de detección.

  1. Abre una nueva sesión de Cloud Shell (Ícono de Activar Cloud Shell) y ejecuta el siguiente comando para crear la red:
gcloud compute networks create scc-lab-net --subnet-mode=auto Nota: La subred puede tardar unos minutos en crearse.

Asegúrate de que el resultado que recibas sea similar al siguiente.

Resultado:

Created [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-c6821aef4c0f/global/networks/SCC-lab-net]. NAME: SCC-lab-net SUBNET_MODE: AUTO BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4:

Haz clic en Revisar mi progreso para verificar que completaste este objetivo. Crear una red

  1. Cierra la ventana de Cloud Shell después de verificar el mensaje que se muestra arriba.

  2. Actualiza la ventana de resultados de SCC y observa el resultado Acceso privado a Google inhabilitado creado recientemente. Sin embargo, no hay ninguno sobre registros de flujos de VPC (esto se debe a la regla de silenciamiento que creaste antes).

    A pesar de que creaste reglas de silenciamiento para registros de flujos de VPC, SCC te sigue permitiendo verlos con el editor de consultas.

  3. Haz clic en el botón Editar consulta y pega lo siguiente para reemplazar el texto del filtro de consulta existente:

category="FLOW_LOGS_DISABLED"

  1. Haz clic en Aplicar.

    Consulta la ventana Resultados de la búsqueda y observa que, en la columna Nombre visible del recurso, aparecen las redes "defaults" y "SCC-lab-net".

Nota: Si no ves la red predeterminada en la lista, asegúrate de que el parámetro Filas por página esté configurado en 100. Verifica también que el parámetro Intervalo de tiempo esté configurado en el valor Todo el período.

  1. En la ventana Vista previa de la consulta, haz clic en Editar consulta.

  2. Ahora copia y pega la siguiente consulta para reemplazar el texto de la consulta anterior:

state="ACTIVE" AND NOT mute="MUTED"

  1. Cuando termines de editar, haz clic en el botón Aplicar.

    Se mostrarán los resultados que silenciaste anteriormente.

Investiga y corrige dos resultados con gravedad alta.

En esta sección, investigarás y explorarás cómo corregir dos resultados con gravedad alta.

  1. En la sección Filtros rápidos, desplázate hacia abajo hasta el tipo Gravedad y selecciona Alta en la lista de opciones de gravedad.

Deberías ver dos resultados: Puerto RDP abierto y Puerto SSH abierto. Se iniciaron porque la red “predeterminada” incluye dos reglas de firewall que habilitan el tráfico de SSH y RDP para todas las instancias en esa red de todo Internet.

  1. En la ventana Resultados de la búsqueda, haz clic en el resultado Puerto RDP abierto.

Aparecerá una ventana nueva que proporciona una descripción detallada del problema, una lista de los recursos afectados y los "Próximos pasos" para ayudarte a solucionarlo.

  1. En la sección Próximos pasos, haz clic en el vínculo para ir a la página de reglas de firewall, que se abrirá en una pestaña nueva.

  2. Haz clic en la regla de firewall default-allow-rdp.

  3. Haz clic en Editar.

  4. Borra el rango de IP de origen 0.0.0.0/0.

  5. Agrega el siguiente rango de IP de origen 35.235.240.0/20 y presiona Intro.

Nota: Ese rango de direcciones IP se usa para conectarte a instancias de VM de manera segura por medio de Identity-Aware Proxy. Para obtener más información, consulta la página Usa IAP para el redireccionamiento de TCP.

No cambies ningún otro parámetro.

  1. Haz clic en Guardar.

  2. Después de guardar, cierra la pestaña del navegador en la que editaste la regla de firewall.

  3. Actualiza la pestaña del navegador de los resultados de SCC.

    Ahora deberías ver un solo resultado con una gravedad Alta: Puerto SSH abierto.

Actualiza las reglas de firewall para abordar un resultado

  1. Haz clic en el hallazgo de Puerto SSH abierto.

  2. Desplázate hacia abajo hasta la sección Próximos pasos y haz clic en el vínculo para ir a la página de reglas de firewall, que se abrirá en una pestaña nueva.

  3. Haz clic en la regla de firewall default-allow-ssh.

  4. Haz clic en Editar.

  5. Borra el rango de IP de origen 0.0.0.0/0.

  6. Agrega el siguiente rango de IP de origen 35.235.240.0/20 y presiona Intro.

    No cambies ningún otro parámetro.

  7. Haz clic en Guardar.

  8. Después de guardar, cierra la pestaña del navegador en la que editaste la regla de firewall.

Haz clic en Revisar mi progreso para verificar que completaste este objetivo. Actualizar las reglas de firewall

  1. Ahora, cierra la ventana que tiene una descripción del hallazgo y actualiza la ventana del navegador.

    No deberías ver ningún resultado con gravedad alta.

¡Felicitaciones!

En este lab, aprendiste a explorar los elementos de la interfaz de Security Command Center, definir la configuración de SCC a nivel del proyecto y analizar y corregir vulnerabilidades de SCC. También usaste SCC para identificar y corregir vulnerabilidades de seguridad críticas en tu entorno de Google Cloud.

Próximos pasos y más información

Capacitación y certificación de Google Cloud

Recibe la formación que necesitas para aprovechar al máximo las tecnologías de Google Cloud. Nuestras clases incluyen habilidades técnicas y recomendaciones para ayudarte a avanzar rápidamente y a seguir aprendiendo. Para que puedas realizar nuestros cursos cuando más te convenga, ofrecemos distintos tipos de capacitación de nivel básico a avanzado: a pedido, presenciales y virtuales. Las certificaciones te ayudan a validar y demostrar tus habilidades y tu conocimiento técnico respecto a las tecnologías de Google Cloud.

Actualización más reciente del manual: 26 de noviembre de 2024

Prueba más reciente del lab: 29 de abril de 2024

Copyright 2025 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.

Before you begin

  1. Labs create a Google Cloud project and resources for a fixed time
  2. Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
  3. On the top left of your screen, click Start lab to begin

Use private browsing

  1. Copy the provided Username and Password for the lab
  2. Click Open console in private mode

Sign in to the Console

  1. Sign in using your lab credentials. Using other credentials might cause errors or incur charges.
  2. Accept the terms, and skip the recovery resource page
  3. Don't click End lab unless you've finished the lab or want to restart it, as it will clear your work and remove the project

Este contenido no está disponible en este momento

Te enviaremos una notificación por correo electrónico cuando esté disponible

¡Genial!

Nos comunicaremos contigo por correo electrónico si está disponible

One lab at a time

Confirm to end all existing labs and start this one

Setup your console before you begin

Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the Student account, which may cause extra charges incurred to your personal account.