Security Command Center-Daten an Cortex XSOAR senden

Auf dieser Seite wird erläutert, wie Ergebnisse, Assets und Sicherheitsquellen von Security Command Center automatisch an Cortx XSOAR gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten. Cortex XSOAR ist eine Plattform der Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR), die Sicherheitsdaten aus einer oder mehreren Quellen aufnimmt und es Sicherheitsteams ermöglicht, Antworten auf Vorfälle zu verwalten. Sie können Cortex XSOAR verwenden, um Ihre Ergebnisse und Assets im Security Command Center anzusehen und die Ergebnisse zu aktualisieren, wenn Probleme behoben wurden.

In dieser Anleitung sorgen Sie dafür, dass die erforderlichen Security Command Center- und Google Cloud-Dienste ordnungsgemäß konfiguriert sind. Außerdem aktivieren Sie Cortex XSOAR für den Zugriff auf Ergebnisse und Assets in Ihrer Security Command Center-Umgebung. Einige der Anleitungen auf dieser Seite stammen aus dem Integrationsleitfaden für Cortex XSOAR auf GitHub.

Hinweise

In dieser Anleitung wird davon ausgegangen, dass Sie eine funktionierende Version von Cortex XSOAR haben. Für einen Einstieg in Cortex XSOAR registrieren Sie sich.

Authentifizierung und Autorisierung konfigurieren

Bevor Sie eine Verbindung zu Security Command Center mit Cortex XSOAR herstellen, müssen Sie in jeder Google Cloud-Organisation ein IAM-Dienstkonto (Identity and Access Management) erstellen und diesem Konto die IAM-Rollen auf Organisations- und Projektebene gewähren, die Cortex XSOAR benötigt.

Dienstkonto erstellen und IAM-Rollen zuweisen

In den folgenden Schritten wird die Google Cloud Console verwendet. Informationen zu anderen Methoden finden Sie über die Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

1. Erstellen Sie in dem Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, in der Google Cloud Console auf der Seite Dienstkonten ein Dienstkonto. Eine Anleitung finden Sie unter Dienstkonten erstellen und verwalten.

2. Gewähren Sie dem Dienstkonto die folgende Rolle:

   • Pub/Sub-Bearbeiter (roles/pubsub.editor)

3. Kopieren Sie den Namen des soeben erstellten Dienstkontos.

4. Wechseln Sie mithilfe der Projektauswahl in der Google Cloud Console zur Organisationsebene.

5. Öffnen Sie die IAM-Seite für die Organisation:

   IAM aufrufen

6. Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Steuerfeld „Zugriff gewähren“ wird geöffnet.

7. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:

   1. Fügen Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.

   2. Verwenden Sie im Abschnitt Rollen zuweisen das Feld Rolle, um dem Dienstkonto die folgenden IAM-Rollen zuzuweisen:

      • Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
      • Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters (roles/securitycenter.notificationConfigEditor)
      • Organisationsbetrachter (roles/resourcemanager.organizationViewer)
      • Cloud-Asset-Betrachter (roles/cloudasset.viewer)

   3. Klicken Sie auf Speichern. Das Sicherheitskonto wird auf dem Tab Berechtigungen der Seite IAM unter Nach Hauptkonten ansehen angezeigt.

      Durch die Übernahme wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation und die auf Projektebene anwendbaren Rollen werden als übernommene Rollen aufgelistet.

Weitere Informationen zum Erstellen von Dienstkonten und zum Gewähren von Rollen finden Sie in den folgenden Themen:

• Dienstkonten erstellen und verwalten
• Zugriff auf Ressourcen erteilen, ändern und entziehen

Geben Sie die Anmeldedaten für Cortex XSOAR an

Je nachdem, wo Sie Cortex XSOAR hosten, unterscheidet sich die Bereitstellung der IAM-Anmeldedaten für Cortex XSOAR.

• Wenn Sie Cortex XSOAR in Google Cloud hosten, werden das erstellte Dienstkonto und die ihm zugewiesenen Rollen auf Organisationsebene automatisch von der übergeordneten Organisation übernommen. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und gewähren Sie ihm die IAM-Rollen, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen zuweisen beschrieben werden.

• Wenn Sie Cortex XSOAR in Ihrer lokalen Umgebung hosten und Ihr Identitätsanbieter die Identitätsföderation von Arbeitslasten unterstützt, konfigurieren Sie die Identitätsföderation von Arbeitslasten und laden Sie die Konfigurationsdateien für Anmeldedaten herunter. Andernfalls erstellen Sie einen Dienstkontoschlüssel für jede Google Cloud-Organisation im JSON-Format.

• Wenn Sie Cortex XSOAR in Microsoft Azure oder Amazon Web Services hosten, konfigurieren Sie die Identitätsföderation von Arbeitslasten und laden Sie die Konfigurationsdateien für Anmeldedaten herunter. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und gewähren Sie ihm die IAM-Rollen, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen erstellen beschrieben werden.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

1. So richten Sie Ergebnisbenachrichtigungen ein:

   1. Aktivieren Sie die Security Command Center API.
   2. Erstellen Sie einen Filter, um Ergebnisse zu exportieren.
   3. Erstellen Sie ein Pub/Sub-Thema für Ergebnisse. NotificationConfig muss das Pub/Sub-Thema verwenden, das Sie für Ergebnisse erstellen.

2. Aktivieren Sie die Cloud Asset API für Ihr Projekt.

Sie benötigen Ihre Organisations-ID, Ihre Projekt-ID und Ihre Pub/Sub-Abo-ID aus dieser Aufgabe, um Cortex XSOAR zu konfigurieren. Informationen zum Abrufen Ihrer Organisations-ID und Projekt-ID finden Sie unter Organisations-ID abrufen bzw. Projekte identifizieren.

Cortex XSOAR konfigurieren

Wenn Zugriff gewährt wird, erhält Cortex XSOAR Ergebnisse und Asset-Aktualisierungen in Echtzeit.

Führen Sie die folgenden Schritte aus, um Security Command Center mit Cortex XSOAR zu verwenden:

1. Installieren Sie das Google Cloud SCC-Inhaltspaket aus dem Cortex XSOAR Marketplace.

   Das Content-Pack ist ein Modul, das von Security Command Center verwaltet wird und das Verfahren zur Planung von Security Command Center API-Aufrufen automatisiert und regelmäßig Security Command Center-Daten zur Verwendung in Cortext XSOAR abruft.

2. Rufen Sie im Cortex XSOAR-Anwendungsmenü die Einstellungen auf und klicken Sie dann auf Integrationen.

3. Wählen Sie unter Integrationen die Option Server und Dienste aus.

4. Suchen Sie nach GoogleCloudSCC und wählen Sie es aus.

5. Klicken Sie auf Instanz hinzufügen, um eine neue Integrationsinstanz zu erstellen und zu konfigurieren.

6. Geben Sie nach Bedarf Informationen in die folgenden Felder ein:

   Parameter	Beschreibung	Erforderlich
   Dienstkontokonfiguration	Führen Sie einen der folgenden Schritte aus, wie unter Vorbereitung beschrieben: Der Inhalt der JSON-Datei des Dienstkontos, wenn Sie einen Dienstkontoschlüssel erstellt haben Der Inhalt der Konfigurationsdatei für Anmeldedaten, wenn Sie die Workload Identity-Föderation verwenden	Wahr
   Organisations-ID	Die ID für Ihre Organisation	Wahr
   Vorfälle abrufen	Aktiviert den Abrufvorfall	Falsch
   Projekt-ID	Die ID des Projekts, das zum Abrufen von Vorfällen verwendet werden soll. Wenn das Feld leer ist, wird die ID des Projekts in der bereitgestellten JSON-Datei verwendet.	Falsch
   Abo-ID	Die ID Ihres Pub/Sub-Abos	Wahr
   Maximale Vorfälle	Die maximale Anzahl von Vorfällen, die bei jedem Abruf abgerufen werden sollen	Falsch
   Typ des Vorfalls	Art des Vorfalls	Falsch
   Einem Zertifikat vertrauen (nicht sicher)	Aktiviert die Vertrauensstellung für alle Zertifikate	Falsch
   Proxy-Einstellungen des Systems verwenden	Aktiviert Systemproxyeinstellungen	Falsch
   Abrufintervall für Vorfälle	Zeit zwischen dem Abrufen aktualisierter Vorfallinformationen	Falsch
   Protokollebene	Die Protokollebene für das Inhaltspaket	Falsch

7. Klicken Sie auf Test.

   Wenn die Konfiguration gültig ist, wird die Meldung "erfolgreich" angezeigt. Wenn das Feld ungültig ist, erhalten Sie eine Fehlermeldung.

8. Klicken Sie auf Speichern und beenden.

9. Wiederholen Sie die Schritte 5 bis 8 für jede Organisation.

Cortex XSOAR ordnet Felder aus Security Command Center automatisch den entsprechenden Cortex XSOAR-Feldern zu. Informationen zum Überschreiben der Auswahl oder zu weitere Informationen zu Cronx XSOAR finden Sie in der Produktdokumentation.

Die Konfiguration von Cortex XSOAR ist abgeschlossen. Im Abschnitt Ergebnisse und Assets verwalten wird erläutert, wie Sie Security Command Center-Daten im Dienst ansehen und verwalten.

Upgrade für das Google Cloud SCC-Inhaltspaket durchführen

In diesem Abschnitt wird beschrieben, wie Sie ein Upgrade von einer vorherigen Version durchführen.

1. Im Cortex XSOAR Marketplace können Sie auf die neueste Version des Google Cloud SCC-Inhaltspakets zugreifen.

2. Klicken Sie auf Mit Abhängigkeiten herunterladen.

3. Klicken Sie auf Installieren.

4. Klicken Sie auf Inhalt aktualisieren.

Für das Upgrade werden die vorherigen Konfigurationsinformationen beibehalten. Fügen Sie die Konfigurationsdatei hinzu, wie unter Cortex XSOAR konfigurieren beschrieben, um die Workload Identity-Föderation zu verwenden.

Ergebnisse und Assets verwalten

Sie können Assets und Ergebnisse über die Befehlszeilenschnittstelle von Cortex XSOAR anzeigen und aktualisieren. Sie können Befehle als Teil der automatischen Sichtung und Korrektur oder in einem Playbook ausführen.

Namen und Beschreibungen aller unterstützten Methoden und Argumente für die Cortex-XSOAR-Befehlszeile und Ausgabebeispiele finden Sie unter Befehle.

Die Ergebnisse werden aus den integrierten Diensten von Security Command Center kompiliert: Security Health Analytics, Web Security Scanner, Event Threat Detection und Container Threat Detectionsowie alle integrierten Dienste, die Sie aktivieren.

Assets auflisten

Verwenden Sie die Methode google-cloud-scc-asset-list von Cortex XSOAR, um die Assets Ihrer Organisation aufzulisten. Mit dem folgenden Befehl werden beispielsweise Assets aufgelistet, bei denen lifecycleState Aktiv ist und die Antwort auf drei Assets begrenzt wird:

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

Das Ausrufezeichen (!) in Codebeispielen ist ein erforderliches Symbol für den Start von Befehlen in Cortex XSOAR. Es stellt keine Negation oder NOT dar.

Asset-Ressourcen anzeigen

Verwenden Sie den Befehl google-cloud-scc-asset-resource-list von Cortex XSOAR, um Assets aufzulisten, die in übergeordneten Ressourcen enthalten sind, z. B. Projekte. Mit dem folgenden Befehl werden beispielsweise Assets mit einem assetType von compute.googleapis.com/Disk aufgelistet und die Antwort auf zwei Assets beschränkt:

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

Platzhalter und reguläre Ausdrücke werden unterstützt. Beispiel: assetType=".*Instance" listet Assets auf, deren Assettyp mit "Instanz" endet.

Ergebnisse anzeigen

Verwenden Sie den Befehl google-cloud-scc-finding-list von Cortex XSOAR, um Ergebnisse für Ihre Organisation oder eine Sicherheitsquelle aufzulisten. Mit dem folgenden Befehl werden beispielsweise aktive Ergebnisse mit kritischem Schweregrad für alle Quellen aufgelistet und die Antwort auf drei Ergebnisse beschränkt:

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

Sie können auch Ihre Ergebnisse filtern. Mit dem folgenden Befehl werden alle Ergebnisse aufgelistet, die als Bedrohungen klassifiziert sind:

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

Ergebnisse aktualisieren

Sie können ein Ergebnis mit dem Befehl google-cloud-scc-finding-update von Cortex XSOAR aktualisieren. Sie müssen den name-Namen oder den relativen Ressourcennamen des Ergebnisses im folgenden Format angeben: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.

Mit dem folgenden Befehl wird beispielsweise die Wichtigkeit eines Ergebnisses aktualisiert:

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

Ersetzen Sie Folgendes:

• <var>ORGANIZATION_ID</var> durch Ihre Organisations-ID. Informationen zum Abrufen Ihrer Organisations- und Projekt-ID finden Sie unter Organisations-ID abrufen.
• <var>SOURCE_ID</var> durch die ID der Sicherheitsquelle. Informationen zum Suchen der Quell-ID finden Sie unter Quell-ID abrufen.
• <var>FINDING_ID</var> durch die Ergebnis-ID, die in den Ergebnisdetails enthalten ist.

Ergebnisstatus aktualisieren

Sie können den Status eines Ergebnisses mit dem Befehl google-cloud-scc-finding-status-update von Cortex XSOAR aktualisieren. Sie müssen den name-Namen oder den relativen Ressourcennamen des Ergebnisses im folgenden Format angeben: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.

Der folgende Befehl setzt beispielsweise den Ergebnisstatus auf Aktiv:

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

Ersetzen Sie Folgendes:

• <var>ORGANIZATION_ID</var> durch Ihre Organisations-ID. Informationen zum Abrufen Ihrer Organisations- und Projekt-ID finden Sie unter Organisations-ID abrufen.
• <var>SOURCE_ID</var> durch die ID der Sicherheitsquelle. Informationen zum Suchen der Quell-ID finden Sie unter Quell-ID abrufen.
• <var>FINDING_ID</var> durch die Ergebnis-ID, die in den Ergebnisdetails enthalten ist.

Assetinhaber abrufen

Verwenden Sie den Befehl google-cloud-scc-asset-owner-get von Cortex XSOAR, um die Inhaber eines Assets aufzulisten. Sie müssen den Projektnamen im Format projects/PROJECT_NUMBER angeben. Mit dem folgenden Befehl wird beispielsweise der Inhaber des bereitgestellten Projekts aufgelistet.

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

Verwenden Sie ein Komma als Trennzeichen, um den Befehl mehrere Projekte hinzuzufügen, z. B. projectName="projects/123456789, projects/987654321".

Nächste Schritte

• Weitere Informationen zum Einrichten von Benachrichtigungen finden in Security Command Center.

• Weitere Informationen zum Filtern von Ergebnisbenachrichtigungen in Security Command Center.