Auf dieser Seite wird erläutert, wie Ergebnisse, Assets und Sicherheitsquellen von Security Command Center automatisch an Cortx XSOAR gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten. Cortex XSOAR ist eine Plattform der Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR), die Sicherheitsdaten aus einer oder mehreren Quellen aufnimmt und es Sicherheitsteams ermöglicht, Antworten auf Vorfälle zu verwalten. Sie können Cortex XSOAR verwenden, um Ihre Ergebnisse und Assets im Security Command Center anzusehen und die Ergebnisse zu aktualisieren, wenn Probleme behoben wurden.
In diesem Leitfaden sorgen Sie dafür, dass die erforderlichen Security Command Center- und Google Cloud-Dienste ordnungsgemäß konfiguriert sind und aktivieren Cortex XSOAR, um auf Ergebnisse und Assets in der Security Command Center-Umgebung zuzugreifen. Einige Anweisungen auf dieser Seite werden aus dem Integrationsleitfaden von Cortex XSOAR auf GitHub kompiliert.
Hinweis
In dieser Anleitung wird davon ausgegangen, dass Sie eine funktionierende Version von Cortex XSOAR haben. Für einen Einstieg in Cortex XSOAR registrieren Sie sich.
Authentifizierung und Autorisierung konfigurieren
Bevor Sie eine Verbindung zu Security Command Center mit Cortex XSOAR herstellen, müssen Sie in jeder Google Cloud-Organisation ein Dienstkonto für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) erstellen und diesem Konto zuweisen sowohl auf Organisations- als auch auf Projektebene IAM-Rollen, die Cortex XSOAR benötigt.
Dienstkonto erstellen und IAM-Rollen gewähren
In den folgenden Schritten wird die Google Cloud Console verwendet. Weitere Methoden finden Sie in den Links am Ende dieses Abschnitts.
Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.
- Erstellen Sie in demselben Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, in der Google Cloud Console auf der Seite Dienstkonten ein Dienstkonto. Eine Anleitung dazu finden Sie unter Dienstkonten erstellen und verwalten.
Gewähren Sie dem Dienstkonto die folgende Rolle:
- Pub/Sub-Bearbeiter (
roles/pubsub.editor)
- Pub/Sub-Bearbeiter (
Kopieren Sie den Namen des soeben erstellten Dienstkontos.
Verwenden Sie die Projektauswahl in der Google Cloud Console, um zu wechseln bis hin zur Organisationsebene.
Öffnen Sie die Seite IAM für die Organisation:
Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Die Erteilung wird geöffnet.
Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:
- Gehen Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten so vor: fügen Sie den Namen des Dienstkontos ein.
Verwenden Sie im Bereich Rollen zuweisen das Feld Rolle, um die folgende IAM-Rollen für das Dienstkonto:
- Sicherheitscenter-Administratorbearbeiter (
roles/securitycenter.adminEditor) - Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters
(
roles/securitycenter.notificationConfigEditor) - Organisationsbetrachter (
roles/resourcemanager.organizationViewer) - Cloud-Asset-Betrachter (
roles/cloudasset.viewer) Klicken Sie auf Speichern. Das Dienstkonto wird auf dem Tab Berechtigungen angezeigt. auf der Seite IAM unter Nach Hauptkonten ansehen.
Durch Übernahme wird das Dienstkonto in allen untergeordneten Projekten der Organisation. Die auf Projektebene anwendbaren Rollen werden als übernommene Rollen aufgeführt.
Weitere Informationen zum Erstellen von Dienstkonten und zum Gewähren von Rollen finden Sie unter folgenden Themen:
Anmeldedaten für Cortex XSOAR angeben
Je nachdem, wo Sie Cortex XSOAR hosten, unterscheiden sich die IAM-Anmeldedaten, die Sie für Cortex XSOAR angeben.
Wenn Sie Cortex XSOAR in Google Cloud hosten, sollten Sie Folgendes in Betracht ziehen:
Das von Ihnen erstellte Dienstkonto und die zugewiesenen Rollen auf Organisationsebene sind automatisch durch Übernahme von der übergeordneten Organisation verfügbar. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und weisen Sie ihm die IAM-Rollen zu, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen zuweisen beschrieben sind.
Wenn Sie Cortex XSOAR in einem Dienstperimeter bereitstellen, erstellen Sie die Regeln für ein- und ausgehenden Traffic. Eine Anleitung finden Sie unter Perimeterzugriff in VPC Service Controls gewähren.
Wenn Sie Cortex XSOAR in Ihrer lokalen Umgebung hosten und Ihr Identitätsanbieter die Workload Identity-Föderation unterstützt, konfigurieren Sie die Workload Identity-Föderation und laden Sie die Konfigurationsdateien für Anmeldedaten herunter. Andernfalls Erstellen Sie einen Dienstkontoschlüssel für jede Google Cloud-Organisation im JSON-Format.
Wenn Sie Cortex XSOAR in Microsoft Azure oder Amazon Web Services hosten, Identitätsföderation von Arbeitslasten konfigurieren und laden Sie die Konfigurationsdateien für Anmeldedaten herunter. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto hinzu an die anderen Organisationen und gewähren ihr die IAM-Rollen Schritte 5 bis 7 von Erstellen Sie ein Dienstkonto und gewähren Sie IAM-Rollen.
Benachrichtigungen konfigurieren
Führen Sie diese Schritte für jede Google Cloud-Organisation aus, die Sie Security Command Center importieren möchten aus denen Daten stammen.
So richten Sie Ergebnisbenachrichtigungen ein:
- Aktivieren Sie die Security Command Center API.
- Erstellen Sie einen Filter, um Ergebnisse zu exportieren.
- Erstellen Sie ein Pub/Sub-Thema für Ergebnisse.
NotificationConfigmuss das Pub/Sub-Thema verwenden, das Sie für Ergebnisse erstellen.
Aktivieren Sie die Cloud Asset API für Ihr Projekt.
Sie benötigen Ihre Organisations-ID, Ihre Projekt-ID und Ihre Pub/Sub-Abo-ID aus dieser Aufgabe, um Cortex XSOAR zu konfigurieren. Informationen zum Abrufen Ihrer Organisations-ID und Projekt-ID finden Sie unter Organisations-ID abrufen bzw. Projekte identifizieren.
Cortex XSOAR konfigurieren
Wenn Zugriff gewährt wird, erhält Cortex XSOAR Ergebnisse und Asset-Aktualisierungen in Echtzeit.
Führen Sie die folgenden Schritte aus, um Security Command Center mit Cortex XSOAR zu verwenden:
Installieren Sie das Google Cloud SCC-Inhaltspaket vom Cortex XSOAR Marketplace.
Das Content-Pack ist ein Modul, das von Security Command Center verwaltet wird und das Verfahren zur Planung von Security Command Center API-Aufrufen automatisiert und regelmäßig Security Command Center-Daten zur Verwendung in Cortext XSOAR abruft.
Rufen Sie im Cortex XSOAR-Anwendungsmenü die Einstellungen auf und klicken Sie dann auf Integrationen.
Wählen Sie unter Integrationen die Option Server und Dienste aus.
Suchen Sie nach GoogleCloudSCC und wählen Sie es aus.
Klicken Sie auf Instanz hinzufügen, um eine neue Integrationsinstanz zu erstellen und zu konfigurieren.
Geben Sie nach Bedarf Informationen in die folgenden Felder ein:
Parameter Beschreibung Erforderlich Dienstkontokonfiguration Führen Sie einen der folgenden Schritte aus, wie unter Vorbereitung beschrieben: - Der Inhalt der JSON-Datei des Dienstkontos, wenn Sie einen Dienstkontoschlüssel erstellt haben
- Der Inhalt der Konfigurationsdatei für Anmeldedaten, wenn Sie die Workload Identity-Föderation verwenden
Wahr Organisations-ID Die ID für Ihre Organisation Wahr Vorfälle abrufen Aktiviert den Abrufvorfall Falsch Projekt-ID Die ID des Projekts, das zum Abrufen von Vorfällen verwendet werden soll. Wenn leer, wird die ID des Projekts verwendet, das in der bereitgestellten JSON-Datei enthalten ist. Falsch Abo-ID Die ID Ihres Pub/Sub-Abos Wahr Maximale Vorfälle Die maximale Anzahl von Vorfällen, die bei jedem Abruf abgerufen werden sollen Falsch Typ des Vorfalls Art des Vorfalls Falsch Einem Zertifikat vertrauen (nicht sicher) Aktiviert die Vertrauensstellung für alle Zertifikate Falsch Proxy-Einstellungen des Systems verwenden Aktiviert Systemproxyeinstellungen Falsch Abrufintervall für Vorfälle Zeit zwischen Abrufen aktualisierter Informationen zu Vorfällen Falsch Protokollebene Die Protokollebene für das Inhaltspaket Falsch Klicken Sie auf Test.
Wenn die Konfiguration gültig ist, wird die Meldung "erfolgreich" angezeigt. Wenn das Feld ungültig ist, erhalten Sie eine Fehlermeldung.
Klicken Sie auf Speichern und beenden.
Wiederholen Sie die Schritte 5 bis 8 für jede Organisation.
Cortex XSOAR ordnet Felder aus Security Command Center automatisch den entsprechenden Cortex XSOAR-Feldern zu. Informationen zum Überschreiben der Auswahl oder zu weitere Informationen zu Cronx XSOAR finden Sie in der Produktdokumentation.
Die Konfiguration von Cortex XSOAR ist abgeschlossen. Im Abschnitt Ergebnisse und Assets verwalten Security Command Center-Daten im Dienst ansehen und verwalten.
Upgrade für das Google Cloud SCC-Inhaltspaket durchführen
In diesem Abschnitt wird beschrieben, wie Sie ein Upgrade von einer vorherigen Version durchführen.
Rufen Sie die neueste Version des Google Cloud SCC-Inhaltspakets über den Cortex XSOAR Marketplace auf.
Klicken Sie auf Mit Abhängigkeiten herunterladen.
Klicken Sie auf Installieren.
Klicken Sie auf Inhalt aktualisieren.
Für das Upgrade werden die vorherigen Konfigurationsinformationen beibehalten. Fügen Sie die Konfigurationsdatei hinzu, wie unter Cortex XSOAR konfigurieren beschrieben, um die Workload Identity-Föderation zu verwenden.
Ergebnisse und Assets verwalten
Sie können Assets und Ergebnisse über die Befehlszeilenschnittstelle von Cortex XSOAR anzeigen und aktualisieren. Sie können Befehle als Teil der automatischen Sichtung und Korrektur oder in einem Playbook ausführen.
Namen und Beschreibungen aller unterstützten Methoden und Argumente für die Cortex-XSOAR-Befehlszeile und Ausgabebeispiele finden Sie unter Befehle.
Die Ergebnisse werden aus den integrierten Diensten von Security Command Center kompiliert: Security Health Analytics, Web Security Scanner, Event Threat Detection und Container Threat Detection sowie alle integrierten Dienste, die Sie aktivieren.
Assets auflisten
Verwenden Sie die Methode google-cloud-scc-asset-list von Cortex XSOAR, um die Assets Ihrer Organisation aufzulisten. Mit dem folgenden Befehl werden beispielsweise Assets aufgelistet, bei denen lifecycleState Aktiv ist und die Antwort auf drei Assets begrenzt wird:
!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE
Das Ausrufezeichen (!) in Codebeispielen ist ein erforderliches Symbol für den Start von Befehlen in Cortex XSOAR. Es stellt keine Negation oder NOT dar.
Asset-Ressourcen anzeigen
Verwenden Sie den Befehl google-cloud-scc-asset-resource-list von Cortex XSOAR, um Assets aufzulisten, die in übergeordneten Ressourcen enthalten sind, z. B. Projekte. Mit dem folgenden Befehl werden beispielsweise Assets mit einem assetType von compute.googleapis.com/Disk aufgelistet und die Antwort auf zwei Assets beschränkt:
!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2
Platzhalter und reguläre Ausdrücke werden unterstützt. Beispiel: assetType=".*Instance" listet Assets auf, deren Assettyp mit "Instanz" endet.
Ergebnisse anzeigen
Verwenden Sie den Befehl google-cloud-scc-finding-list von Cortex XSOAR, um Ergebnisse für Ihre Organisation oder eine Sicherheitsquelle aufzulisten. Mit dem folgenden Befehl werden beispielsweise aktive Ergebnisse mit kritischem Schweregrad für alle Quellen aufgelistet und die Antwort auf drei Ergebnisse beschränkt:
!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"
Sie können auch Ihre Ergebnisse filtern. Mit dem folgenden Befehl werden alle Ergebnisse aufgelistet, die als Bedrohungen klassifiziert sind:
!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""
Ergebnisse aktualisieren
Sie können ein Ergebnis mit dem Befehl google-cloud-scc-finding-update von Cortex XSOAR aktualisieren. Sie müssen den name-Namen oder den relativen Ressourcennamen des Ergebnisses im folgenden Format angeben: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.
Mit dem folgenden Befehl wird beispielsweise die Wichtigkeit eines Ergebnisses aktualisiert:
!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"
Dabei gilt:
<var>ORGANIZATION_ID</var>durch Ihre Organisations-ID. Informationen zum Abrufen Ihrer Organisations- und Projekt-ID finden Sie unter Organisations-ID abrufen.<var>SOURCE_ID</var>durch die ID der Sicherheitsquelle. Informationen zum Suchen der Quell-ID finden Sie unter Quell-ID abrufen.<var>FINDING_ID</var>durch die Ergebnis-ID, die in den Ergebnisdetails enthalten ist.
Ergebnisstatus aktualisieren
Sie können den Status eines Ergebnisses mit dem Befehl google-cloud-scc-finding-status-update von Cortex XSOAR aktualisieren. Sie müssen den name-Namen oder den relativen Ressourcennamen des Ergebnisses im folgenden Format angeben: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.
Der folgende Befehl setzt beispielsweise den Ergebnisstatus auf Aktiv:
!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"
Dabei gilt:
<var>ORGANIZATION_ID</var>durch Ihre Organisations-ID. Informationen zum Abrufen Ihrer Organisations- und Projekt-ID finden Sie unter Organisations-ID abrufen.<var>SOURCE_ID</var>durch die ID der Sicherheitsquelle. Informationen zum Suchen der Quell-ID finden Sie unter Quell-ID abrufen.<var>FINDING_ID</var>durch die Ergebnis-ID, die in den Ergebnisdetails enthalten ist.
Assetinhaber abrufen
Verwenden Sie den Befehl google-cloud-scc-asset-owner-get von Cortex XSOAR, um die Inhaber eines Assets aufzulisten. Sie müssen den Projektnamen im Format projects/PROJECT_NUMBER angeben. Mit dem folgenden Befehl wird beispielsweise der Inhaber des bereitgestellten Projekts aufgelistet.
!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"
Verwenden Sie ein Komma als Trennzeichen, um den Befehl mehrere Projekte hinzuzufügen, z. B. projectName="projects/123456789, projects/987654321".
Nächste Schritte
Weitere Informationen zum Einrichten von Ergebnisbenachrichtigungen in Security Command Center.
Weitere Informationen zu Ergebnisbenachrichtigungen filtern in Security Command Center.