Security Command Center-Daten an Cortex XSOAR senden

Auf dieser Seite wird erläutert, wie Ergebnisse, Assets und Sicherheitsquellen von Security Command Center automatisch an Cortx XSOAR gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten. Cortex XSOAR ist eine Plattform der Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR), die Sicherheitsdaten aus einer oder mehreren Quellen aufnimmt und es Sicherheitsteams ermöglicht, Antworten auf Vorfälle zu verwalten. Sie können Cortex XSOAR verwenden, um Ihre Ergebnisse und Assets im Security Command Center anzusehen und die Ergebnisse zu aktualisieren, wenn Probleme behoben wurden.

In dieser Anleitung sorgen Sie dafür, dass die erforderlichen Security Command Center- und Google Cloud-Dienste ordnungsgemäß konfiguriert sind, und aktivieren Cortex XSOAR, um auf Ergebnisse und Assets in Ihrer Security Command Center-Umgebung zuzugreifen. Einige Anleitungen auf dieser Seite stammen aus dem Integrationsleitfaden für Cortex XSOAR auf GitHub.

Hinweise

In dieser Anleitung wird davon ausgegangen, dass Sie eine funktionierende Version von Cortex XSOAR haben. Für einen Einstieg in Cortex XSOAR registrieren Sie sich.

Authentifizierung und Autorisierung konfigurieren

Bevor Sie eine Verbindung zwischen Security Command Center und Cortex XSOAR herstellen, müssen Sie in jeder Google Cloud-Organisation ein IAM-Dienstkonto (Identity and Access Management) erstellen und diesem Konto die IAM-Rollen auf Organisations- und Projektebene zuweisen, die für Cortex XSOAR erforderlich sind.

Dienstkonto erstellen und IAM-Rollen gewähren

In den folgenden Schritten wird die Google Cloud Console verwendet. Informationen zu anderen Methoden finden Sie über die Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

1. Verwenden Sie im selben Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, die Seite Dienstkonten in der Google Cloud Console, um ein Dienstkonto zu erstellen. Eine Anleitung dazu finden Sie unter Dienstkonten erstellen und verwalten.

2. Gewähren Sie dem Dienstkonto die folgende Rolle:

   • Pub/Sub-Bearbeiter (roles/pubsub.editor)

3. Kopieren Sie den Namen des Dienstkontos, das Sie gerade erstellt haben.

4. Wechseln Sie mit der Projektauswahl in der Google Cloud Console zur Organisationsebene.

5. Öffnen Sie die Seite IAM für die Organisation:

   IAM aufrufen

6. Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Zugriffssteuerfeld zum Gewähren von Zugriff wird geöffnet.

7. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:

   1. Fügen Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.

   2. Verwenden Sie im Abschnitt Rollen zuweisen das Feld Rolle, um dem Dienstkonto die folgenden IAM-Rollen zuzuweisen:

      • Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
      • Bearbeiter von Konfigurationen für Benachrichtigungen im Sicherheitscenter (roles/securitycenter.notificationConfigEditor)
      • Organisationsbetrachter (roles/resourcemanager.organizationViewer)
      • Cloud-Asset-Betrachter (roles/cloudasset.viewer)

   3. Klicken Sie auf Speichern. Das Sicherheitskonto wird auf der Seite IAM auf dem Tab Berechtigungen unter Nach Hauptkonten ansehen angezeigt.

      Durch Übernahme wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation und die Rollen, die auf Projektebene anwendbar sind, werden als übernommene Rollen aufgeführt.

Weitere Informationen zum Erstellen von Dienstkonten und Gewähren von Rollen finden Sie in den folgenden Themen:

• Dienstkonten erstellen und verwalten
• Zugriff auf Ressourcen erteilen, ändern und entziehen

Geben Sie die Anmeldedaten für Cortex XSOAR an

Je nachdem, wo Sie Cortex XSOAR hosten, unterscheidet sich die Bereitstellung der IAM-Anmeldedaten für Cortex XSOAR.

• Wenn Sie Cortex XSOAR in Google Cloud hosten, sind das von Ihnen erstellte Dienstkonto und die zugewiesenen Rollen auf Organisationsebene automatisch durch Übernahme der übergeordneten Organisation verfügbar. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und gewähren Sie ihm die IAM-Rollen, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen zuweisen beschrieben werden.

• Wenn Sie Cortex XSOAR in Ihrer lokalen Umgebung hosten und Ihr Identitätsanbieter die Workload Identity-Föderation unterstützt, konfigurieren Sie die Workload Identity-Föderation und laden Sie die Konfigurationsdateien für Anmeldedaten herunter. Alternativ erstellen Sie einen Dienstkontoschlüssel für jede Google Cloud-Organisation im JSON-Format.

• Wenn Sie Cortex XSOAR in Microsoft Azure oder Amazon Web Services hosten, konfigurieren Sie die Workload Identity-Föderation und laden Sie die Konfigurationsdateien für Anmeldedaten herunter. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und gewähren Sie ihm die IAM-Rollen, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen zuweisen beschrieben werden.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

1. So richten Sie Ergebnisbenachrichtigungen ein:

   1. Aktivieren Sie die Security Command Center API.
   2. Erstellen Sie einen Filter, um Ergebnisse zu exportieren.
   3. Erstellen Sie ein Pub/Sub-Thema für Ergebnisse. NotificationConfig muss das Pub/Sub-Thema verwenden, das Sie für Ergebnisse erstellen.

2. Aktivieren Sie die Cloud Asset API für Ihr Projekt.

Sie benötigen Ihre Organisations-ID, Ihre Projekt-ID und Ihre Pub/Sub-Abo-ID aus dieser Aufgabe, um Cortex XSOAR zu konfigurieren. Informationen zum Abrufen Ihrer Organisations-ID und Projekt-ID finden Sie unter Organisations-ID abrufen bzw. Projekte identifizieren.

Cortex XSOAR konfigurieren

Wenn Zugriff gewährt wird, erhält Cortex XSOAR Ergebnisse und Asset-Aktualisierungen in Echtzeit.

Führen Sie die folgenden Schritte aus, um Security Command Center mit Cortex XSOAR zu verwenden:

1. Installieren Sie das Google Cloud SCC-Inhaltspaket aus dem Cortex XSOAR Marketplace.

   Das Content-Pack ist ein Modul, das von Security Command Center verwaltet wird und das Verfahren zur Planung von Security Command Center API-Aufrufen automatisiert und regelmäßig Security Command Center-Daten zur Verwendung in Cortext XSOAR abruft.

2. Rufen Sie im Cortex XSOAR-Anwendungsmenü die Einstellungen auf und klicken Sie dann auf Integrationen.

3. Wählen Sie unter Integrationen die Option Server und Dienste aus.

4. Suchen Sie nach GoogleCloudSCC und wählen Sie es aus.

5. Klicken Sie auf Instanz hinzufügen, um eine neue Integrationsinstanz zu erstellen und zu konfigurieren.

6. Geben Sie nach Bedarf Informationen in die folgenden Felder ein:

   Parameter	Beschreibung	Erforderlich
   Dienstkontokonfiguration	Führen Sie einen der folgenden Schritte aus, wie unter Vorbereitung beschrieben: Der Inhalt der JSON-Datei des Dienstkontos, wenn Sie einen Dienstkontoschlüssel erstellt haben Der Inhalt der Konfigurationsdatei für Anmeldedaten, wenn Sie die Workload Identity-Föderation verwenden	Wahr
   Organisations-ID	Die ID für Ihre Organisation	Wahr
   Vorfälle abrufen	Aktiviert den Abrufvorfall	Falsch
   Projekt-ID	Die ID des Projekts, das zum Abrufen von Vorfällen verwendet werden soll. Wenn das Feld leer ist, wird die ID des Projekts verwendet, das in der bereitgestellten JSON-Datei enthalten ist.	Falsch
   Abo-ID	Die ID Ihres Pub/Sub-Abos	Wahr
   Maximale Vorfälle	Die maximale Anzahl von Vorfällen, die bei jedem Abruf abgerufen werden sollen	Falsch
   Typ des Vorfalls	Art des Vorfalls	Falsch
   Einem Zertifikat vertrauen (nicht sicher)	Aktiviert die Vertrauensstellung für alle Zertifikate	Falsch
   Proxy-Einstellungen des Systems verwenden	Aktiviert Systemproxyeinstellungen	Falsch
   Abrufintervall für Vorfälle	Zeit zwischen dem Abrufen aktualisierter Vorfallinformationen	Falsch
   Protokollebene	Die Protokollebene für das Inhaltspaket	Falsch

7. Klicken Sie auf Test.

   Wenn die Konfiguration gültig ist, wird die Meldung "erfolgreich" angezeigt. Wenn das Feld ungültig ist, erhalten Sie eine Fehlermeldung.

8. Klicken Sie auf Speichern und beenden.

9. Wiederholen Sie die Schritte 5 bis 8 für jede Organisation.

Cortex XSOAR ordnet Felder aus Security Command Center automatisch den entsprechenden Cortex XSOAR-Feldern zu. Informationen zum Überschreiben der Auswahl oder zu weitere Informationen zu Cronx XSOAR finden Sie in der Produktdokumentation.

Die Konfiguration von Cortex XSOAR ist abgeschlossen. Im Abschnitt Ergebnisse und Assets verwalten wird erläutert, wie Sie Security Command Center-Daten im Dienst ansehen und verwalten.

Upgrade für das Google Cloud SCC-Inhaltspaket durchführen

In diesem Abschnitt wird beschrieben, wie Sie ein Upgrade von einer vorherigen Version durchführen.

1. Rufen Sie die neueste Version des Google Cloud SCC-Inhaltspakets im Cortex XSOAR Marketplace auf.

2. Klicken Sie auf Mit Abhängigkeiten herunterladen.

3. Klicken Sie auf Installieren.

4. Klicken Sie auf Inhalt aktualisieren.

Für das Upgrade werden die vorherigen Konfigurationsinformationen beibehalten. Fügen Sie die Konfigurationsdatei hinzu, wie unter Cortex XSOAR konfigurieren beschrieben, um die Workload Identity-Föderation zu verwenden.

Ergebnisse und Assets verwalten

Sie können Assets und Ergebnisse über die Befehlszeilenschnittstelle von Cortex XSOAR anzeigen und aktualisieren. Sie können Befehle als Teil der automatischen Sichtung und Korrektur oder in einem Playbook ausführen.

Namen und Beschreibungen aller unterstützten Methoden und Argumente für die Cortex-XSOAR-Befehlszeile und Ausgabebeispiele finden Sie unter Befehle.

Die Ergebnisse werden aus den integrierten Diensten von Security Command Center kompiliert: Security Health Analytics, Web Security Scanner, Event Threat Detection und Container Threat Detectionsowie alle integrierten Dienste, die Sie aktivieren.

Assets auflisten

Verwenden Sie die Methode google-cloud-scc-asset-list von Cortex XSOAR, um die Assets Ihrer Organisation aufzulisten. Mit dem folgenden Befehl werden beispielsweise Assets aufgelistet, bei denen lifecycleState Aktiv ist und die Antwort auf drei Assets begrenzt wird:

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

Das Ausrufezeichen (!) in Codebeispielen ist ein erforderliches Symbol für den Start von Befehlen in Cortex XSOAR. Es stellt keine Negation oder NOT dar.

Asset-Ressourcen anzeigen

Verwenden Sie den Befehl google-cloud-scc-asset-resource-list von Cortex XSOAR, um Assets aufzulisten, die in übergeordneten Ressourcen enthalten sind, z. B. Projekte. Mit dem folgenden Befehl werden beispielsweise Assets mit einem assetType von compute.googleapis.com/Disk aufgelistet und die Antwort auf zwei Assets beschränkt:

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

Platzhalter und reguläre Ausdrücke werden unterstützt. Beispiel: assetType=".*Instance" listet Assets auf, deren Assettyp mit "Instanz" endet.

Ergebnisse anzeigen

Verwenden Sie den Befehl google-cloud-scc-finding-list von Cortex XSOAR, um Ergebnisse für Ihre Organisation oder eine Sicherheitsquelle aufzulisten. Mit dem folgenden Befehl werden beispielsweise aktive Ergebnisse mit kritischem Schweregrad für alle Quellen aufgelistet und die Antwort auf drei Ergebnisse beschränkt:

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

Sie können auch Ihre Ergebnisse filtern. Mit dem folgenden Befehl werden alle Ergebnisse aufgelistet, die als Bedrohungen klassifiziert sind:

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

Ergebnisse aktualisieren

Sie können ein Ergebnis mit dem Befehl google-cloud-scc-finding-update von Cortex XSOAR aktualisieren. Sie müssen den name-Namen oder den relativen Ressourcennamen des Ergebnisses im folgenden Format angeben: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.

Mit dem folgenden Befehl wird beispielsweise die Wichtigkeit eines Ergebnisses aktualisiert:

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

Ersetzen Sie Folgendes:

• <var>ORGANIZATION_ID</var> durch Ihre Organisations-ID. Informationen zum Abrufen Ihrer Organisations- und Projekt-ID finden Sie unter Organisations-ID abrufen.
• <var>SOURCE_ID</var> durch die ID der Sicherheitsquelle. Informationen zum Suchen der Quell-ID finden Sie unter Quell-ID abrufen.
• <var>FINDING_ID</var> durch die Ergebnis-ID, die in den Ergebnisdetails enthalten ist.

Ergebnisstatus aktualisieren

Sie können den Status eines Ergebnisses mit dem Befehl google-cloud-scc-finding-status-update von Cortex XSOAR aktualisieren. Sie müssen den name-Namen oder den relativen Ressourcennamen des Ergebnisses im folgenden Format angeben: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.

Der folgende Befehl setzt beispielsweise den Ergebnisstatus auf Aktiv:

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

Ersetzen Sie Folgendes:

• <var>ORGANIZATION_ID</var> durch Ihre Organisations-ID. Informationen zum Abrufen Ihrer Organisations- und Projekt-ID finden Sie unter Organisations-ID abrufen.
• <var>SOURCE_ID</var> durch die ID der Sicherheitsquelle. Informationen zum Suchen der Quell-ID finden Sie unter Quell-ID abrufen.
• <var>FINDING_ID</var> durch die Ergebnis-ID, die in den Ergebnisdetails enthalten ist.

Assetinhaber abrufen

Verwenden Sie den Befehl google-cloud-scc-asset-owner-get von Cortex XSOAR, um die Inhaber eines Assets aufzulisten. Sie müssen den Projektnamen im Format projects/PROJECT_NUMBER angeben. Mit dem folgenden Befehl wird beispielsweise der Inhaber des bereitgestellten Projekts aufgelistet.

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

Verwenden Sie ein Komma als Trennzeichen, um den Befehl mehrere Projekte hinzuzufügen, z. B. projectName="projects/123456789, projects/987654321".

Nächste Schritte

• Weitere Informationen zum Einrichten von Benachrichtigungen finden in Security Command Center.

• Weitere Informationen zum Filtern von Ergebnisbenachrichtigungen in Security Command Center.