本页面介绍如何自动将 Security Command Center 发现结果、资产和安全来源发送到 Cortex XSOAR。还介绍了如何管理导出的数据。 Cortex XSOAR 是一个安全编排、自动化和响应 (SOAR) 平台,可从一个或多个来源提取安全数据,并使安全团队能够管理对突发事件的响应。您可以使用 Cortex XSOAR 查看 Security Command Center 的发现结果和资产,并在解决问题后更新发现结果。
在本指南中,确保正确配置所需的 Security Command Center 和 Google Cloud 服务,并启用 Cortex XSOAR 以访问 Security Command Center 环境中的发现结果和资产。本页面上的一些说明根据 GitHub 上的 Cortex XSOAR 集成指南编译。
准备工作
本指南假定您拥有 Cortex XSOAR 的工作版本。要开始使用 Cortex XSOAR,请注册。
配置身份验证和授权
在将 Security Command Center 连接到 Cortex XSOAR 之前,您需要在每个 Google Cloud 组织中创建 Identity and Access Management (IAM) 服务账号,并为该服务账号授予 Cortex XSOAR 所需的组织级和项目级 IAM 角色。
创建服务账号并授予 IAM 角色
以下步骤使用 Google Cloud 控制台。对于其他方法,请参阅本部分末尾的链接。
对您要从中导入 Security Command Center 数据的每个 Google Cloud 组织完成以下步骤。
- 在创建 Pub/Sub 主题的同一项目中,使用 Google Cloud 控制台的服务账号页面创建一个服务账号。如需查看相关说明,请参阅创建和管理服务账号。
授予该服务账号以下角色:
- Pub/Sub Editor (
roles/pubsub.editor)
- Pub/Sub Editor (
复制您刚刚创建的服务帐号的名称。
使用 Google Cloud 控制台中的项目选择器切换到组织级层。
打开组织的 IAM 页面:
在 IAM 页面上,点击授予访问权限。此时将打开授予访问权限面板。
在授予访问权限面板中,完成以下步骤:
- 在新的主账号字段的添加主账号部分,粘贴服务账号的名称。
在分配角色部分中,使用角色字段向服务账号授予以下 IAM 角色:
- Security Center Admin Editor (
roles/securitycenter.adminEditor) - Security Center Notification Configurations Editor (
roles/securitycenter.notificationConfigEditor) - Organization Viewer (
roles/resourcemanager.organizationViewer) - Cloud Asset Viewer (
roles/cloudasset.viewer)
- Security Center Admin Editor (
点击保存。安全账号会显示在 IAM 页面的权限标签页上的按主账号查看下方。
通过继承,该服务账号也会成为组织的所有子项目中的主账号,并且适用于项目级层的角色被列为继承的角色。
如需详细了解如何创建服务账号并授予角色,请参阅以下主题:
向 Cortex XSOAR 提供凭据
向 Cortex XSOAR 提供 IAM 凭据的方式有所不同,具体取决于您托管 Cortex XSOAR 的位置。
如果您在 Google Cloud 中托管 Cortex XSOAR,则您创建的服务账号以及您向其授予的组织级角色可通过从父级组织继承来自动获得。 如果您使用多个 Google Cloud 组织,请将此服务账号添加到其他组织,并为其授予 IAM 角色(请参阅创建服务账号并授予 IAM 角色中的第 5 步到第 7 步)。
如果您在本地环境中托管 Cortex XSOAR,并且您的身份提供方支持工作负载身份联合,请配置工作负载身份联合并下载凭据配置文件。否则,请以 JSON 格式为每个 Google Cloud 组织创建一个服务帐号密钥。
如果您在 Microsoft Azure 或 Amazon Web Services 中托管 Cortex XSOAR,请配置工作负载身份联合并下载凭据配置文件。如果您使用多个 Google Cloud 组织,请将此服务帐号添加到其他组织,并向其授予创建服务帐号并授予 IAM 角色步骤 5 到 7 中所述的 IAM 角色。
配置通知
对您要从中导入 Security Command Center 数据的每个 Google Cloud 组织完成以下步骤。
设置发现结果通知,如下所示:
- 启用 Security Command Center API。
- 创建过滤条件以导出发现结果。
- 为发现结果创建 Pub/Sub 主题。
NotificationConfig必须使用您为发现结果创建的 Pub/Sub 主题。
为您的项目启用 Cloud Asset API。
您将需要此任务中的组织 ID、项目 ID 和 Pub/Sub 订阅 ID 来配置 Cortex XSOAR。要检索组织 ID 和项目 ID,请分别参阅检索组织 ID 和识别项目。
配置 Cortex XSOAR
获得访问权限后,Cortex XSOAR 将实时接收发现结果和资产更新。
要将 Security Command Center 与 Cortex XSOAR 一起使用,请执行以下步骤:
从 Cortex XSOAR Marketplace 安装 Google Cloud SCC 内容包。
该内容包是一个由 Security Command Center 维护的模块,可自动安排 Security Command Center API 调用并定期检索 Security Command Center 数据以在 Cortext XSOAR 中使用。
在 Cortex XSOAR 应用菜单中,导航到设置,然后点击集成。
在集成下,选择服务器和服务。
搜索并选择 GoogleCloudSCC。
如需创建和配置新的集成实例,请点击添加实例。
根据需要在下列字段中输入信息:
参数 说明 必需 服务账号配置 以下之一,如准备工作中所述: - 服务账号 JSON 文件的内容(如果您创建了服务账号密钥)
- 凭据配置文件的内容(如果您使用工作负载身份联合)
True 组织 ID 您的组织的 ID True 提取突发事件 启用提取突发事件 False 项目 ID 用于提取突发事件的项目的 ID;如果为空,则使用提供的 JSON 文件中包含的项目的 ID False 订阅 ID Pub/Sub 订阅的 ID True 突发事件数上限 每次检索期间要提取的突发事件数量上限 False 突发事件类型 突发事件的类型 False 信任任何证书(不安全) 允许信任所有证书 False 使用系统代理设置 启用系统代理设置 False 突发事件提取间隔 两次检索更新突发事件信息的间隔时间 False 日志级别 内容包的日志级别 False 点击 Test(测试)。
如果配置有效,您会看到一条“成功”消息。如果无效,您会收到错误消息。
点击保存并退出。
对每个组织重复执行第 5 步到第 8 步。
Cortex XSOAR 会将 Security Command Center 发现结果中的字段自动映射到相应的 Cortex XSOAR 字段。要替换所选内容或详细了解 Cortex XSOAR,请参阅产品文档。
Cortex XSOAR 的配置已完成。管理发现结果和资源部分介绍了如何查看和管理该服务中的 Security Command Center 数据。
升级 Google Cloud SCC 内容包
本部分介绍如何从先前版本升级。
从 Cortex XSOAR Marketplace 访问最新版本的 Google Cloud SCC 内容包。
点击 Download with Dependencies(下载且包含依赖项)。
点击 Install(安装)。
点击 Refresh content(刷新内容)。
升级会维护以前的配置信息。如需使用工作负载身份联合,请添加配置文件,如配置 Cortex XSOAR 中所述。
管理发现结果和资产
您可以使用 Cortex XSOAR 的命令行界面 (CLI) 查看和更新资产和发现结果。您可以在自动分类和修复过程中或在策略方案中运行命令。
如需了解 Cortex XSOAR CLI 所有受支持的方法和参数的名称和说明以及输出示例,请参阅命令。
发现结果是根据 Security Command Center 的内置服务(Security Health Analytics、Web Security Scanner、Event Threat Detection 和 Container Threat Detection)以及您启用的任何集成服务进行编译的。
列出资产
如需列出您组织的资产,请使用 Cortex XSOAR 的 google-cloud-scc-asset-list 方法。例如,以下命令列出了 lifecycleState 为 Active 的资产,并将响应限制为三个资产:
!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE
要启动 Cortex XSOAR 中的命令,必须使用代码示例中的感叹号 (!)。它不代表非运算 (NOT)。
查看资产资源
如需列出父资源(例如项目)中包含的资产,请使用 Cortex XSOAR 的 google-cloud-scc-asset-resource-list 命令。例如,以下命令列出了 assetType 为 compute.googleapis.com/Disk 的资产,并将响应限制为两个资产:
!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2
支持通配符和正则表达式。例如,assetType=".*Instance" 会列出资产类型以“instance”结尾的资产。
查看发现结果
如需列出您的组织或安全来源的发现结果,请使用 Cortex XSOAR 的 google-cloud-scc-finding-list 命令。例如,以下命令列出了所有来源以及严重程度为“严重”的有效发现结果,并将响应限制为三个发现结果:
!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"
您也可以过滤发现结果。以下命令列出了分类为威胁的所有发现结果:
!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""
更新发现结果
您可以使用 Cortex XSOAR 的 google-cloud-scc-finding-update 命令更新发现结果。您必须使用以下格式提供发现结果的 name 或相对资源名称:organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID。
例如,以下命令会更新发现结果的严重程度:
!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"
替换以下内容:
- 将
<var>ORGANIZATION_ID</var>替换为您的组织 ID。如需检索您的组织 ID 和项目 ID,请参阅检索组织 ID。 - 将
<var>SOURCE_ID</var>替换为安全来源的 ID。如需查找来源 ID,请参阅获取来源 ID。 - 将
<var>FINDING_ID</var>替换为发现结果详细信息中包含的发现结果 ID。
更新发现结果状态
您可以使用 Cortex XSOAR 的 google-cloud-scc-finding-status-update 命令更新发现结果的状态。您必须使用以下格式提供发现结果的 name 或相对资源名称:organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID。
例如,以下命令将发现结果状态设置为有效:
!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"
请替换以下内容:
- 将
<var>ORGANIZATION_ID</var>替换为您的组织 ID。如需检索您的组织 ID 和项目 ID,请参阅检索组织 ID。 - 将
<var>SOURCE_ID</var>替换为安全来源的 ID。如需查找来源 ID,请参阅获取来源 ID。 - 将
<var>FINDING_ID</var>替换为发现结果详细信息中包含的发现结果 ID。
获取资产所有者
要列出资产的所有者,请使用 Cortex XSOAR 的 google-cloud-scc-asset-owner-get 命令。您必须以 projects/PROJECT_NUMBER 格式提供项目名称。例如,以下命令列出了所提供的项目的所有者。
!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"
如需向该命令添加多个项目,请使用英文逗号分隔符,例如 projectName="projects/123456789, projects/987654321"