Security Command Center-Daten an Cortex XSOAR senden

Auf dieser Seite wird erläutert, wie Ergebnisse, Assets und Sicherheitsquellen von Security Command Center automatisch an Cortx XSOAR gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten. Cortex XSOAR ist eine Plattform der Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR), die Sicherheitsdaten aus einer oder mehreren Quellen aufnimmt und es Sicherheitsteams ermöglicht, Antworten auf Vorfälle zu verwalten. Sie können Cortex XSOAR verwenden, um Ihre Ergebnisse und Assets im Security Command Center anzusehen und die Ergebnisse zu aktualisieren, wenn Probleme behoben wurden.

In dieser Anleitung sorgen Sie dafür, dass die erforderlichen Security Command Center- und Google Cloud-Dienste ordnungsgemäß konfiguriert sind. Außerdem aktivieren Sie Cortex XSOAR für den Zugriff auf Ergebnisse und Assets in Ihrer Security Command Center-Umgebung. Einige der Anleitungen auf dieser Seite stammen aus dem Integrationsleitfaden für Cortex XSOAR auf GitHub.

Hinweise

In dieser Anleitung wird davon ausgegangen, dass Sie eine funktionierende Version von Cortex XSOAR haben. Für einen Einstieg in Cortex XSOAR registrieren Sie sich.

Authentifizierung und Autorisierung konfigurieren

Bevor Sie eine Verbindung zu Security Command Center mit Cortex XSOAR herstellen, müssen Sie in jeder Google Cloud-Organisation ein IAM-Dienstkonto (Identity and Access Management) erstellen und diesem Konto die IAM-Rollen auf Organisations- und Projektebene gewähren, die Cortex XSOAR benötigt.

Dienstkonto erstellen und IAM-Rollen zuweisen

In den folgenden Schritten wird die Google Cloud Console verwendet. Informationen zu anderen Methoden finden Sie über die Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. Erstellen Sie in dem Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, in der Google Cloud Console auf der Seite Dienstkonten ein Dienstkonto. Eine Anleitung finden Sie unter Dienstkonten erstellen und verwalten.
  2. Gewähren Sie dem Dienstkonto die folgende Rolle:

    • Pub/Sub-Bearbeiter (roles/pubsub.editor)
  3. Kopieren Sie den Namen des soeben erstellten Dienstkontos.

  4. Wechseln Sie mithilfe der Projektauswahl in der Google Cloud Console zur Organisationsebene.

  5. Öffnen Sie die IAM-Seite für die Organisation:

    IAM aufrufen

  6. Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Steuerfeld „Zugriff gewähren“ wird geöffnet.

  7. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:

    1. Fügen Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.
    2. Verwenden Sie im Abschnitt Rollen zuweisen das Feld Rolle, um dem Dienstkonto die folgenden IAM-Rollen zuzuweisen:

      • Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
      • Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters (roles/securitycenter.notificationConfigEditor)
      • Organisationsbetrachter (roles/resourcemanager.organizationViewer)
      • Cloud-Asset-Betrachter (roles/cloudasset.viewer)
    3. Klicken Sie auf Speichern. Das Sicherheitskonto wird auf dem Tab Berechtigungen der Seite IAM unter Nach Hauptkonten ansehen angezeigt.

      Durch die Übernahme wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation und die auf Projektebene anwendbaren Rollen werden als übernommene Rollen aufgelistet.

Weitere Informationen zum Erstellen von Dienstkonten und zum Gewähren von Rollen finden Sie in den folgenden Themen:

Geben Sie die Anmeldedaten für Cortex XSOAR an

Je nachdem, wo Sie Cortex XSOAR hosten, unterscheidet sich die Bereitstellung der IAM-Anmeldedaten für Cortex XSOAR.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. So richten Sie Ergebnisbenachrichtigungen ein:

    1. Aktivieren Sie die Security Command Center API.
    2. Erstellen Sie einen Filter, um Ergebnisse zu exportieren.
    3. Erstellen Sie ein Pub/Sub-Thema für Ergebnisse. NotificationConfig muss das Pub/Sub-Thema verwenden, das Sie für Ergebnisse erstellen.
  2. Aktivieren Sie die Cloud Asset API für Ihr Projekt.

Sie benötigen Ihre Organisations-ID, Ihre Projekt-ID und Ihre Pub/Sub-Abo-ID aus dieser Aufgabe, um Cortex XSOAR zu konfigurieren. Informationen zum Abrufen Ihrer Organisations-ID und Projekt-ID finden Sie unter Organisations-ID abrufen bzw. Projekte identifizieren.

Cortex XSOAR konfigurieren

Wenn Zugriff gewährt wird, erhält Cortex XSOAR Ergebnisse und Asset-Aktualisierungen in Echtzeit.

Führen Sie die folgenden Schritte aus, um Security Command Center mit Cortex XSOAR zu verwenden:

  1. Installieren Sie das Google Cloud SCC-Inhaltspaket aus dem Cortex XSOAR Marketplace.

    Das Content-Pack ist ein Modul, das von Security Command Center verwaltet wird und das Verfahren zur Planung von Security Command Center API-Aufrufen automatisiert und regelmäßig Security Command Center-Daten zur Verwendung in Cortext XSOAR abruft.

  2. Rufen Sie im Cortex XSOAR-Anwendungsmenü die Einstellungen auf und klicken Sie dann auf Integrationen.

  3. Wählen Sie unter Integrationen die Option Server und Dienste aus.

  4. Suchen Sie nach GoogleCloudSCC und wählen Sie es aus.

  5. Klicken Sie auf Instanz hinzufügen, um eine neue Integrationsinstanz zu erstellen und zu konfigurieren.

  6. Geben Sie nach Bedarf Informationen in die folgenden Felder ein:

    Parameter Beschreibung Erforderlich
    Dienstkontokonfiguration Führen Sie einen der folgenden Schritte aus, wie unter Vorbereitung beschrieben:
    • Der Inhalt der JSON-Datei des Dienstkontos, wenn Sie einen Dienstkontoschlüssel erstellt haben
    • Der Inhalt der Konfigurationsdatei für Anmeldedaten, wenn Sie die Workload Identity-Föderation verwenden
    Wahr
    Organisations-ID Die ID für Ihre Organisation Wahr
    Vorfälle abrufen Aktiviert den Abrufvorfall Falsch
    Projekt-ID Die ID des Projekts, das zum Abrufen von Vorfällen verwendet werden soll. Wenn das Feld leer ist, wird die ID des Projekts in der bereitgestellten JSON-Datei verwendet. Falsch
    Abo-ID Die ID Ihres Pub/Sub-Abos Wahr
    Maximale Vorfälle Die maximale Anzahl von Vorfällen, die bei jedem Abruf abgerufen werden sollen Falsch
    Typ des Vorfalls Art des Vorfalls Falsch
    Einem Zertifikat vertrauen (nicht sicher) Aktiviert die Vertrauensstellung für alle Zertifikate Falsch
    Proxy-Einstellungen des Systems verwenden Aktiviert Systemproxyeinstellungen Falsch
    Abrufintervall für Vorfälle Zeit zwischen dem Abrufen aktualisierter Vorfallinformationen Falsch
    Protokollebene Die Protokollebene für das Inhaltspaket Falsch

  7. Klicken Sie auf Test.

    Wenn die Konfiguration gültig ist, wird die Meldung "erfolgreich" angezeigt. Wenn das Feld ungültig ist, erhalten Sie eine Fehlermeldung.

  8. Klicken Sie auf Speichern und beenden.

  9. Wiederholen Sie die Schritte 5 bis 8 für jede Organisation.

Cortex XSOAR ordnet Felder aus Security Command Center automatisch den entsprechenden Cortex XSOAR-Feldern zu. Informationen zum Überschreiben der Auswahl oder zu weitere Informationen zu Cronx XSOAR finden Sie in der Produktdokumentation.

Die Konfiguration von Cortex XSOAR ist abgeschlossen. Im Abschnitt Ergebnisse und Assets verwalten wird erläutert, wie Sie Security Command Center-Daten im Dienst ansehen und verwalten.

Upgrade für das Google Cloud SCC-Inhaltspaket durchführen

In diesem Abschnitt wird beschrieben, wie Sie ein Upgrade von einer vorherigen Version durchführen.

  1. Im Cortex XSOAR Marketplace können Sie auf die neueste Version des Google Cloud SCC-Inhaltspakets zugreifen.

  2. Klicken Sie auf Mit Abhängigkeiten herunterladen.

  3. Klicken Sie auf Installieren.

  4. Klicken Sie auf Inhalt aktualisieren.

Für das Upgrade werden die vorherigen Konfigurationsinformationen beibehalten. Fügen Sie die Konfigurationsdatei hinzu, wie unter Cortex XSOAR konfigurieren beschrieben, um die Workload Identity-Föderation zu verwenden.

Ergebnisse und Assets verwalten

Sie können Assets und Ergebnisse über die Befehlszeilenschnittstelle von Cortex XSOAR anzeigen und aktualisieren. Sie können Befehle als Teil der automatischen Sichtung und Korrektur oder in einem Playbook ausführen.

Namen und Beschreibungen aller unterstützten Methoden und Argumente für die Cortex-XSOAR-Befehlszeile und Ausgabebeispiele finden Sie unter Befehle.

Die Ergebnisse werden aus den integrierten Diensten von Security Command Center kompiliert: Security Health Analytics, Web Security Scanner, Event Threat Detection und Container Threat Detectionsowie alle integrierten Dienste, die Sie aktivieren.

Assets auflisten

Verwenden Sie die Methode google-cloud-scc-asset-list von Cortex XSOAR, um die Assets Ihrer Organisation aufzulisten. Mit dem folgenden Befehl werden beispielsweise Assets aufgelistet, bei denen lifecycleState Aktiv ist und die Antwort auf drei Assets begrenzt wird:

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

Das Ausrufezeichen (!) in Codebeispielen ist ein erforderliches Symbol für den Start von Befehlen in Cortex XSOAR. Es stellt keine Negation oder NOT dar.

Asset-Ressourcen anzeigen

Verwenden Sie den Befehl google-cloud-scc-asset-resource-list von Cortex XSOAR, um Assets aufzulisten, die in übergeordneten Ressourcen enthalten sind, z. B. Projekte. Mit dem folgenden Befehl werden beispielsweise Assets mit einem assetType von compute.googleapis.com/Disk aufgelistet und die Antwort auf zwei Assets beschränkt:

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

Platzhalter und reguläre Ausdrücke werden unterstützt. Beispiel: assetType=".*Instance" listet Assets auf, deren Assettyp mit "Instanz" endet.

Ergebnisse anzeigen

Verwenden Sie den Befehl google-cloud-scc-finding-list von Cortex XSOAR, um Ergebnisse für Ihre Organisation oder eine Sicherheitsquelle aufzulisten. Mit dem folgenden Befehl werden beispielsweise aktive Ergebnisse mit kritischem Schweregrad für alle Quellen aufgelistet und die Antwort auf drei Ergebnisse beschränkt:

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

Sie können auch Ihre Ergebnisse filtern. Mit dem folgenden Befehl werden alle Ergebnisse aufgelistet, die als Bedrohungen klassifiziert sind:

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

Ergebnisse aktualisieren

Sie können ein Ergebnis mit dem Befehl google-cloud-scc-finding-update von Cortex XSOAR aktualisieren. Sie müssen den name-Namen oder den relativen Ressourcennamen des Ergebnisses im folgenden Format angeben: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.

Mit dem folgenden Befehl wird beispielsweise die Wichtigkeit eines Ergebnisses aktualisiert:

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

Ersetzen Sie Folgendes:

  • <var>ORGANIZATION_ID</var> durch Ihre Organisations-ID. Informationen zum Abrufen Ihrer Organisations- und Projekt-ID finden Sie unter Organisations-ID abrufen.
  • <var>SOURCE_ID</var> durch die ID der Sicherheitsquelle. Informationen zum Suchen der Quell-ID finden Sie unter Quell-ID abrufen.
  • <var>FINDING_ID</var> durch die Ergebnis-ID, die in den Ergebnisdetails enthalten ist.

Ergebnisstatus aktualisieren

Sie können den Status eines Ergebnisses mit dem Befehl google-cloud-scc-finding-status-update von Cortex XSOAR aktualisieren. Sie müssen den name-Namen oder den relativen Ressourcennamen des Ergebnisses im folgenden Format angeben: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.

Der folgende Befehl setzt beispielsweise den Ergebnisstatus auf Aktiv:

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

Ersetzen Sie Folgendes:

  • <var>ORGANIZATION_ID</var> durch Ihre Organisations-ID. Informationen zum Abrufen Ihrer Organisations- und Projekt-ID finden Sie unter Organisations-ID abrufen.
  • <var>SOURCE_ID</var> durch die ID der Sicherheitsquelle. Informationen zum Suchen der Quell-ID finden Sie unter Quell-ID abrufen.
  • <var>FINDING_ID</var> durch die Ergebnis-ID, die in den Ergebnisdetails enthalten ist.

Assetinhaber abrufen

Verwenden Sie den Befehl google-cloud-scc-asset-owner-get von Cortex XSOAR, um die Inhaber eines Assets aufzulisten. Sie müssen den Projektnamen im Format projects/PROJECT_NUMBER angeben. Mit dem folgenden Befehl wird beispielsweise der Inhaber des bereitgestellten Projekts aufgelistet.

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

Verwenden Sie ein Komma als Trennzeichen, um den Befehl mehrere Projekte hinzuzufügen, z. B. projectName="projects/123456789, projects/987654321".

Nächste Schritte