Crear y gestionar perfiles de seguridad de prevención de amenazas

En esta página se explica cómo crear y gestionar perfiles de seguridad de tipo threat-prevention mediante la consola de Google Cloud o la interfaz de línea de comandos de Google Cloud.

Antes de empezar

Roles

Para obtener los permisos que necesitas para crear, ver, actualizar o eliminar perfiles de seguridad, pide a tu administrador que te conceda los roles de gestión de identidades y accesos necesarios en tu organización. Para obtener más información sobre cómo conceder roles, consulta el artículo sobre cómo gestionar el acceso.

Crear un perfil de seguridad de prevención de amenazas

Cuando creas un perfil de seguridad de prevención de amenazas (perfil de seguridad de tipo threat-prevention), puedes especificar el nombre del perfil de seguridad como una cadena o como un identificador de URL único. La URL única de un perfil de seguridad de ámbito de organización se puede crear con el siguiente formato:

organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME

Si usas un identificador de URL único para el nombre del perfil de seguridad, la organización y la ubicación del perfil de seguridad ya se incluyen en el identificador de URL. Sin embargo, si solo usas el nombre del perfil de seguridad, debes especificar la organización y la ubicación por separado. Para obtener más información sobre los identificadores únicos de URL, consulta las especificaciones del perfil de seguridad.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Selecciona la pestaña Perfiles de seguridad.

  4. Haz clic en Create profile (Crear perfil).

  5. Escribe un nombre en el campo Nombre.

  6. Opcional: Escribe una descripción en el campo Descripción.

  7. Para crear un perfil de seguridad de Cloud Next Generation Firewall Enterprise, en la sección Propósito, selecciona Cloud NGFW Enterprise.

  8. Para crear un perfil de seguridad de prevención de amenazas, en la sección Tipo, selecciona Prevención de amenazas.

  9. Haz clic en Continuar.

También puedes añadir prevalencias de gravedad y de amenazas:

  1. En Sustituciones de gravedad, haz clic en Editar junto al nivel de gravedad que quieras sustituir.
  2. En la lista Acción de anulación, selecciona la acción adecuada para el nivel de gravedad.
  3. Para añadir una anulación de firma de amenaza, haga clic en Añadir firma por ID.
  4. En el campo Signature ID (ID de firma), introduce el ID de la amenaza que quieras anular. Puedes ver los IDs de las amenazas en el panel de control de amenazas.
  5. En la lista Acción de anulación, selecciona la acción adecuada para el ID de amenaza.
  6. Haz clic en Crear.

gcloud

Para crear un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention create:

gcloud network-security security-profiles threat-prevention create NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    --description DESCRIPTION

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad de prevención de amenazas. Puede especificar el nombre como una cadena o como un identificador de URL único.

    Si usas un identificador de URL único para la marca NAME, puedes omitir las marcas ORGANIZATION_ID y LOCATION.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad de prevención de amenazas. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: la ubicación del perfil de seguridad de prevención de amenazas.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca NAME, puede omitir la marca LOCATION.

  • PROJECT_ID: ID de proyecto opcional que se va a usar para las cuotas y las restricciones de acceso del perfil de seguridad de prevención de amenazas.

  • DESCRIPTION: descripción opcional del perfil de seguridad de prevención de amenazas.

Ver un perfil de seguridad de prevención de amenazas

Puede ver los detalles de un perfil de seguridad de prevención de amenazas específico de una organización.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña se muestra una lista de perfiles de seguridad configurados.

  3. Haga clic en un perfil de seguridad de tipo Prevención de amenazas para ver los detalles del perfil.

gcloud

Para ver los detalles de un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles describe:

  gcloud network-security security-profiles describe NAME \
      --organization ORGANIZATION_ID \
      --location LOCATION

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad de tipo threat-prevention que quieras describir. Puedes especificar el nombre como una cadena o como un identificador de URL único.

Si usas un identificador de URL único para la marca NAME, puedes omitir las marcas ORGANIZATION_ID y LOCATION.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad de prevención de amenazas. Si usa un identificador de URL único para la marca NAME, puede omitir la marca ORGANIZATION_ID.

  • LOCATION: la ubicación del perfil de seguridad de prevención de amenazas. La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca NAME, puede omitir la marca LOCATION.

Lista de perfiles de seguridad de prevención de amenazas

Puedes enumerar todos los perfiles de seguridad de prevención de amenazas de una organización.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña se muestra una lista de perfiles de seguridad configurados.

gcloud

Para obtener una lista de todos los perfiles de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention list:

gcloud network-security security-profiles threat-prevention list \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

Haz los cambios siguientes:

  • ORGANIZATION_ID: la organización en la que se crean los perfiles de seguridad de prevención de amenazas.

  • LOCATION: la ubicación de los perfiles de seguridad de prevención de amenazas. La ubicación siempre está definida como global.

  • PROJECT_ID: ID de proyecto opcional que se va a usar para las cuotas y las restricciones de acceso del perfil de seguridad de prevención de amenazas.

Eliminar un perfil de seguridad de prevención de amenazas

Puede eliminar un perfil de seguridad de prevención de amenazas especificando su nombre, ubicación y organización. Sin embargo, si un perfil de seguridad se hace referencia en un grupo de perfiles de seguridad, no se puede eliminar.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña se muestra una lista de perfiles de seguridad configurados.

  3. Seleccione el perfil de seguridad de prevención de amenazas que quiera eliminar y, a continuación, haga clic en Eliminar.

  4. Haz clic en Eliminar de nuevo para confirmar la acción.

gcloud

Para eliminar un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention delete:

gcloud network-security security-profiles threat-prevention delete NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad de prevención de amenazas que quieres eliminar. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad de prevención de amenazas. Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: la ubicación del perfil de seguridad de prevención de amenazas.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca NAME, puede omitir la marca LOCATION.

  • PROJECT_ID: ID de proyecto opcional que se va a usar para las cuotas y las restricciones de acceso del perfil de seguridad de prevención de amenazas.

Importar un perfil de seguridad de prevención de amenazas

Puede importar un perfil de seguridad de prevención de amenazas (creado de forma personalizada o exportado anteriormente) desde un archivo YAML. Al importar un perfil de seguridad de prevención de amenazas, si ya existe un perfil con el mismo nombre, Cloud NGFW lo actualiza.

gcloud

Para importar un perfil de seguridad de prevención de amenazas desde un archivo YAML, usa el comando gcloud network-security security-profiles import:

gcloud network-security security-profiles import NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --source FILE_NAME

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad de tipo threat-prevention que quieras importar. Puedes especificar el nombre como una cadena o como un identificador de URL único.

    Si usas un identificador de URL único para la marca NAME, puedes omitir las marcas ORGANIZATION_ID y LOCATION.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad de prevención de amenazas. Si usa un identificador de URL único para la marca NAME, puede omitir la marca ORGANIZATION_ID.

  • LOCATION: la ubicación del perfil de seguridad de prevención de amenazas. La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca NAME, puede omitir la marca LOCATION.

  • FILE_NAME: la ruta al archivo YAML que contiene los datos de exportación de la configuración del perfil de seguridad de prevención de amenazas. Por ejemplo,threat-prevention-sp.yaml.

    El archivo YAML no debe contener ningún campo de solo salida. También puedes omitir la marca source para leer desde la entrada estándar.

Exportar un perfil de seguridad de prevención de amenazas

Puede exportar un perfil de seguridad de prevención de amenazas a un archivo YAML. Por ejemplo, en lugar de usar la interfaz de usuario para modificar un perfil de seguridad grande, puede usar esta función para exportar el perfil de seguridad, modificarlo rápidamente e importarlo de nuevo.

gcloud

Para exportar un perfil de seguridad de prevención de amenazas a un archivo YAML, usa el comando gcloud network-security security-profiles export:

gcloud network-security security-profiles export NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --destination FILE_NAME

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad de tipo threat-prevention que quieras exportar. Puedes especificar el nombre como una cadena o como un identificador de URL único.

    Si usas un identificador de URL único para la marca NAME, puedes omitir las marcas ORGANIZATION_ID y LOCATION.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad de prevención de amenazas. Si usa un identificador de URL único para la marca NAME, puede omitir la marca ORGANIZATION_ID.

  • LOCATION: la ubicación del perfil de seguridad de prevención de amenazas. La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca NAME, puede omitir la marca LOCATION.

  • FILE_NAME: la ruta al archivo YAML en el que Cloud NGFW exportará la configuración del perfil de seguridad de prevención de amenazas. Por ejemplo,threat-prevention-sp.yaml.

    Los datos de configuración exportados no contienen ningún campo de solo salida. También puedes omitir la marca destination para escribir en la salida estándar.

Añadir acciones de anulación en un perfil de seguridad de prevención de amenazas

Puede anular las acciones asociadas a firmas de amenazas o niveles de gravedad específicos en un perfil de seguridad de prevención de amenazas.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Seleccione la pestaña Perfiles de seguridad.En ella se muestra una lista de los perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad en el que quieras anular las acciones y, a continuación, haz clic en Editar.

  4. En Sustituciones de gravedad, haz clic en Editar junto al nivel de gravedad que quieras sustituir.

  5. En la lista Acción de anulación, selecciona la acción adecuada para el nivel de gravedad.

  6. Haz clic en Confirmar.

  7. Haz clic en Guardar.

gcloud

Para añadir una anulación a un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention add-override:

gcloud network-security security-profiles threat-prevention add-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
    --action ACTION

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad. Puede especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: la ubicación del perfil de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca NAME, puede omitir la marca LOCATION.

  • PROJECT_ID: ID de proyecto opcional que se va a usar para las cuotas y las restricciones de acceso del perfil de seguridad.

  • SEVERITIES: lista de niveles de gravedad separados por comas para anular la acción. El endpoint del cortafuegos aplica la marca --action configurada a todas las amenazas de los niveles de gravedad especificados. La gravedad puede ser cualquiera de las siguientes:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS: lista separada por comas de IDs de firmas de amenazas para anular la acción. El endpoint de cortafuegos aplica la marca --action configurada a todas las amenazas de los IDs de amenaza especificados.

  • PROTOCOLS: lista de protocolos de red separados por comas que se deben monitorizar para detectar amenazas de antivirus. Para obtener más información, consulta los protocolos admitidos.

  • ACTION: la acción para los IDs de amenazas o las gravedades especificados. Para obtener más información, consulta las acciones admitidas.

Listar las acciones de anulación en un perfil de seguridad de prevención de amenazas

Puede enumerar todas las acciones de anulación en un perfil de seguridad de prevención de amenazas.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Seleccione la pestaña Perfiles de seguridad.En ella se muestra una lista de los perfiles de seguridad configurados.

  3. Seleccione el perfil de seguridad para ver las acciones de sustitución de gravedad y las acciones de sustitución de firmas de amenazas configuradas.

gcloud

Para obtener una lista de todas las acciones de anulación de un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention list-overrides:

gcloud network-security security-profiles threat-prevention list-overrides NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad. Puede especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: la ubicación del perfil de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca NAME, puede omitir la marca LOCATION.

Actualizar las acciones de anulación en un perfil de seguridad de prevención de amenazas

Puedes actualizar las acciones de anulación de los niveles de gravedad o las firmas de amenazas en un perfil de seguridad de prevención de amenazas.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña se muestra una lista de perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad y, a continuación, haz clic en Editar.

  4. En Sustituciones de gravedad, haz clic en Editar junto al nivel de gravedad en el que quieras actualizar la acción de sustitución.

  5. En la lista Acción de anulación, selecciona la acción adecuada para el nivel de gravedad.

  6. Haz clic en Confirmar.

  7. Haz clic en Guardar.

gcloud

Para actualizar una acción de anulación en un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention update-override:

gcloud network-security security-profiles threat-prevention update-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
    --action ACTION

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad. Puede especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: la ubicación del perfil de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca NAME, puede omitir la marca LOCATION.

  • PROJECT_ID: ID de proyecto opcional que se va a usar para las cuotas y las restricciones de acceso del perfil de seguridad.

  • SEVERITIES: lista de niveles de gravedad separados por comas para los que quieres actualizar las anulaciones. La gravedad puede ser cualquiera de las siguientes:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS: lista de IDs de firmas de amenazas separados por comas para los que quieres actualizar las anulaciones.

  • PROTOCOLS: lista de protocolos de red separados por comas que se deben monitorizar para detectar amenazas de antivirus. Se admiten los siguientes protocolos:

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

  • ACTION: la acción predeterminada para los IDs de amenaza o las gravedades especificados. La acción puede ser una de las siguientes:

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

Eliminar acciones de anulación de un perfil de seguridad de prevención de amenazas

Puedes eliminar las acciones de anulación de los niveles de gravedad o las firmas de amenazas de un perfil de seguridad de prevención de amenazas.

Consola

  1. En la Google Cloud consola, ve a la página Perfiles de seguridad.

    Ve a Perfiles de seguridad.

  2. Selecciona la pestaña Perfiles de seguridad. En la pestaña se muestra una lista de perfiles de seguridad configurados.

  3. Selecciona el perfil de seguridad y, a continuación, haz clic en Editar.

  4. En Sustituciones de gravedad, haz clic en Editar junto al nivel de gravedad en el que quieras eliminar la acción de sustitución.

  5. En la lista Acción de anulación, selecciona Sin anulación.

  6. Haz clic en Confirmar.

  7. En Sustituciones de firmas, selecciona el ID de amenaza que quieras eliminar.

  8. Haz clic en Eliminar.

  9. Haz clic en Guardar.

gcloud

Para eliminar una acción de anulación de un perfil de seguridad de prevención de amenazas, usa el comando gcloud network-security security-profiles threat-prevention delete-override:

gcloud network-security security-profiles threat-prevention delete-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS]

Haz los cambios siguientes:

  • NAME: el nombre del perfil de seguridad. Puede especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION_ID: la organización en la que se crea el perfil de seguridad.

    Si usas un identificador de URL único para la marca NAME, puedes omitir la marca ORGANIZATION_ID.

  • LOCATION: la ubicación del perfil de seguridad.

    La ubicación siempre está definida como global. Si usa un identificador de URL único para la marca NAME, puede omitir la marca LOCATION.

  • PROJECT_ID: ID de proyecto opcional que se va a usar para las cuotas y las restricciones de acceso del perfil de seguridad.

  • SEVERITIES: lista separada por comas de los niveles de gravedad de los que quieres eliminar las anulaciones. La gravedad puede ser cualquiera de las siguientes:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS: lista separada por comas de los IDs de las firmas de amenazas para las que quieres eliminar las anulaciones.

  • PROTOCOLS: lista de protocolos de red separados por comas que se deben monitorizar para detectar amenazas de antivirus. Se admiten los siguientes protocolos:

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

Siguientes pasos