Invio dei dati di Security Command Center a Cortex XSOAR

In questa pagina viene spiegato come inviare automaticamente risultati, asset e origini di sicurezza di Security Command Center a Cortex XSOAR. Descrive inoltre come gestire i dati esportati. Cortex XSOAR è una piattaforma SOAR (Security Orchestration, Automation and Response) che importa dati di sicurezza da una o più fonti e consente ai team di sicurezza di gestire le risposte agli incidenti. Puoi utilizzare Cortex XSOAR per visualizzare i risultati e gli asset di Security Command Center e per aggiornare i risultati una volta risolti i problemi.

In questa guida, assicura che i servizi Security Command Center e Google Cloud richiesti siano configurati correttamente e consenti a Cortex XSOAR di accedere a risultati e asset nel tuo ambiente Security Command Center. Alcune delle istruzioni in questa pagina sono compilate dalla guida alle integrazioni di Cortex XSOAR su GitHub.

Prima di iniziare

Questa guida presuppone che tu abbia una versione funzionante di Cortex XSOAR. Per iniziare a utilizzare Cortex XSOAR, registrati.

Configura autenticazione e autorizzazione

Prima di connetterti a Security Command Center a Cortex XSOAR, devi creare un account di servizio Identity and Access Management (IAM) in ogni organizzazione Google Cloud e concedere all'account i ruoli IAM a livello di organizzazione e di progetto necessari a Cortex XSOAR.

Creare un account di servizio e concedere ruoli IAM

I passaggi seguenti utilizzano la console Google Cloud. Per altri metodi, consulta i link alla fine di questa sezione.

Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.

1. Nello stesso progetto in cui crei i tuoi argomenti Pub/Sub, utilizza la pagina Account di servizio nella console Google Cloud per creare un account di servizio. Per le istruzioni, consulta Creazione e gestione degli account di servizio.

2. Concedi all'account di servizio il ruolo seguente:

   • Editor Pub/Sub (roles/pubsub.editor)

3. Copia il nome dell'account di servizio che hai appena creato.

4. Utilizza il selettore di progetti nella console Google Cloud per passare al livello di organizzazione.

5. Apri la pagina IAM per l'organizzazione:

   Vai a IAM

6. Nella pagina IAM, fai clic su Concedi l'accesso. Si apre il riquadro Concedi l'accesso.

7. Nel riquadro Concedi l'accesso, completa i seguenti passaggi:

   1. Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.

   2. Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere i seguenti ruoli IAM all'account di servizio:

      • Editor amministratore Centro sicurezza (roles/securitycenter.adminEditor)
      • Editor configurazioni notifiche Centro sicurezza (roles/securitycenter.notificationConfigEditor)
      • Visualizzatore organizzazione (roles/resourcemanager.organizationViewer)
      • Cloud Asset Viewer (roles/cloudasset.viewer)

   3. Fai clic su Salva. L'account di sicurezza viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.

      Per ereditarietà, l'account di servizio diventa anche un'entità in tutti i progetti figlio dell'organizzazione e i ruoli applicabili a livello di progetto sono elencati come ruoli ereditati.

Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione dei ruoli, consulta i seguenti argomenti:

• Creazione e gestione degli account di servizio
• Concessione, modifica e revoca dell'accesso alle risorse

Fornisci le credenziali a Cortex XSOAR

A seconda di dove ospiti Cortex XSOAR, il modo in cui fornisci le credenziali IAM a Cortex XSOAR varia.

• Se ospiti Cortex XSOAR in Google Cloud, l'account di servizio che hai creato e i ruoli a livello di organizzazione che gli hai concesso sono disponibili automaticamente per ereditarietà dall'organizzazione principale. Se utilizzi più organizzazioni Google Cloud, aggiungi questo account di servizio alle altre organizzazioni e assegnagli i ruoli IAM descritti nei passaggi da 5 a 7 di Creare un account di servizio e concedere ruoli IAM.

• Se ospiti Cortex XSOAR nel tuo ambiente on-premise e il tuo provider di identità supporta la federazione delle identità per i carichi di lavoro, configura la federazione delle identità per i carichi di lavoro e scarica i file di configurazione delle credenziali. In caso contrario, crea una chiave dell'account di servizio in formato JSON per ogni organizzazione Google Cloud.

• Se ospiti Cortex XSOAR in Microsoft Azure o Amazon Web Services, configura la federazione delle identità per i carichi di lavoro e scarica i file di configurazione delle credenziali. Se utilizzi più organizzazioni Google Cloud, aggiungi questo account di servizio alle altre organizzazioni e assegnagli i ruoli IAM descritti nei passaggi da 5 a 7 di Creare un account di servizio e concedere ruoli IAM.

Configura le notifiche

Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.

1. Configura le notifiche sui risultati nel seguente modo:

   1. Abilita l'API Security Command Center.
   2. Crea un filtro per esportare i risultati.
   3. Crea un argomento Pub/Sub per i risultati. NotificationConfig deve utilizzare l'argomento Pub/Sub che crei per i risultati.

2. Abilita l'API Cloud Asset per il tuo progetto.

Per configurare Cortex XSOAR, sono necessari l'ID organizzazione, l'ID progetto e l'ID sottoscrizione Pub/Sub di questa attività. Per recuperare l'ID organizzazione e l'ID progetto, consulta rispettivamente le sezioni Recupero dell'ID organizzazione e Identificazione dei progetti.

Configura Cortex XSOAR

Una volta concesso l'accesso, Cortex XSOAR riceverà gli aggiornamenti dei risultati e delle risorse in tempo reale.

Per utilizzare Security Command Center con Cortex XSOAR, segui questi passaggi:

1. Installa il pacchetto di contenuti Google Cloud SCC da Cortex XSOAR Marketplace.

   Il pacchetto di contenuti è un modulo gestito da Security Command Center che automatizza il processo di pianificazione delle chiamate API di Security Command Center e recupera regolarmente i dati di Security Command Center per l'utilizzo in Cortext XSOAR.

2. Nel menu dell'applicazione Cortex XSOAR, vai a Settings (Impostazioni) e quindi fai clic su Integrations (Integrazioni).

3. In Integrations (Integrazioni), seleziona Servers & Services (Server e servizi).

4. Cerca e seleziona GoogleCloudSCC.

5. Per creare e configurare una nuova istanza di integrazione, fai clic su Aggiungi istanza.

6. Inserisci le informazioni necessarie nei seguenti campi:

   Parametro	Descrizione	Obbligatorio
   Configurazione dell'account di servizio	Uno dei seguenti, come descritto in Prima di iniziare: I contenuti del file JSON dell'account di servizio, se hai creato una chiave dell'account di servizio Contenuti del file di configurazione delle credenziali, se utilizzi la federazione delle identità per i carichi di lavoro	True
   ID organizzazione	L'ID della tua organizzazione	True
   Recupero incidenti	Abilita l'incidente di recupero	False
   ID progetto	L'ID del progetto da utilizzare per recuperare gli incidenti. Se vuoto, viene utilizzato l'ID del progetto contenuto nel file JSON fornito.	False
   ID abbonamento	L'ID della tua sottoscrizione Pub/Sub.	True
   Numero massimo di incidenti	Il numero massimo di incidenti da recuperare durante ogni recupero	False
   Tipo di incidente	Il tipo di incidente	False
   Considera attendibile qualsiasi certificato (non sicuro)	Abilita l'attendibilità su tutti i certificati	False
   Utilizza le impostazioni del proxy di sistema	Attiva le impostazioni del proxy di sistema	False
   Intervallo di recupero incidenti	Tempo tra i recuperi per le informazioni aggiornate sugli incidenti	False
   Livello di log	Livello log del pacchetto di contenuti	False

7. Fai clic su Test.

   Se la configurazione è valida, viene visualizzato un messaggio di operazione riuscita. Se non è valida, riceverai un messaggio di errore.

8. Fai clic su Salva ed esci.

9. Ripeti i passaggi da 5 a 8 per ogni organizzazione.

Cortex XSOAR mappa automaticamente i campi dai risultati di Security Command Center ai campi Cortex XSOAR appropriati. Per eseguire l'override delle selezioni o per ulteriori informazioni su Cortex XSOAR, leggi la documentazione del prodotto.

La configurazione di Cortex XSOAR è completa. La sezione Gestisci risultati e asset spiega come visualizzare e gestire i dati di Security Command Center nel servizio.

Esegui l'upgrade del pacchetto di contenuti Google Cloud SCC

Questa sezione descrive come eseguire l'upgrade da una versione precedente.

1. Accedi alla versione più recente del pacchetto di contenuti Google Cloud SCC da Cortex XSOAR Marketplace.

2. Fai clic su Scarica con dipendenze.

3. Fai clic su Installa.

4. Fai clic su Aggiorna contenuti.

L'upgrade conserva le informazioni di configurazione precedenti. Per utilizzare la federazione delle identità per i carichi di lavoro, aggiungi il file di configurazione, come descritto in Configurare Cortex XSOAR.

Gestisci risultati e asset

Puoi visualizzare e aggiornare asset e risultati utilizzando l'interfaccia a riga di comando (CLI) di Cortex XSOAR. Puoi eseguire i comandi come parte di una valutazione e correzione automatizzate o in un playbook.

Per nomi e descrizioni di tutti i metodi e argomenti supportati per l'interfaccia a riga di comando di Cortex XSOAR ed esempi di output, consulta Comandi.

I risultati vengono compilati dai servizi integrati di Security Command Center, ovvero Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, e da tutti i servizi integrati che abiliti.

Elencare gli asset

Per elencare le risorse della tua organizzazione, utilizza il metodo google-cloud-scc-asset-list di Cortex XSOAR. Ad esempio, il seguente comando elenca gli asset in cui lifecycleState è Attivo e limita la risposta a tre asset:

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

Il simbolo esclamativo (!) negli esempi di codice è obbligatorio per avviare i comandi in Cortex XSOAR. Non rappresenta né una negazione né un NOT.

Visualizza risorse asset

Per elencare gli asset contenuti nelle risorse padre, ad esempio i progetti, utilizza il comando google-cloud-scc-asset-resource-list di Cortex XSOAR. Ad esempio, il seguente comando elenca gli asset con assetType pari a compute.googleapis.com/Disk e limita la risposta a due asset:

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

Sono supportati i caratteri jolly e le espressioni regolari. Ad esempio, assetType=".*Instance" elenca gli asset in cui il tipo termina con "instance".

Visualizza risultati

Per elencare i risultati per la tua organizzazione o un'origine di sicurezza, utilizza il comando google-cloud-scc-finding-list di Cortex XSOAR. Ad esempio, il seguente comando elenca i risultati attivi con gravità critica per tutte le origini e limita la risposta a tre risultati:

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

Puoi anche filtrare i risultati. Il comando seguente elenca tutti i risultati classificati come minacce:

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

Aggiorna risultati

Puoi aggiornare un risultato utilizzando il comando google-cloud-scc-finding-update di Cortex XSOAR. Devi fornire name, o il nome risorsa relativa, del risultato, utilizzando il seguente formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.

Ad esempio, il seguente comando aggiorna la gravità di un risultato:

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

Sostituisci quanto segue:

• <var>ORGANIZATION_ID</var> con l'ID della tua organizzazione. Per recuperare l'ID organizzazione e l'ID progetto, consulta Recupero dell'ID organizzazione.
• <var>SOURCE_ID</var> con l'ID dell'origine di sicurezza. Per trovare un ID origine, consulta la pagina Recupero dell'ID origine.
• <var>FINDING_ID</var> con l'ID risultato incluso nei dettagli del risultato.

Aggiorna stato dei risultati

Puoi aggiornare lo stato di un risultato utilizzando il comando google-cloud-scc-finding-status-update di Cortex XSOAR. Devi fornire name, o il nome risorsa relativa, del risultato, utilizzando il seguente formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.

Ad esempio, il seguente comando imposta lo stato del risultato su Attivo:

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

Sostituisci quanto segue:

• <var>ORGANIZATION_ID</var> con l'ID della tua organizzazione. Per recuperare l'ID organizzazione e l'ID progetto, consulta Recupero dell'ID organizzazione.
• <var>SOURCE_ID</var> con l'ID dell'origine di sicurezza. Per trovare un ID origine, consulta la pagina Recupero dell'ID origine.
• <var>FINDING_ID</var> con l'ID risultato incluso nei dettagli del risultato.

Recupera i proprietari della risorsa

Per elencare i proprietari di una risorsa, utilizza il comando google-cloud-scc-asset-owner-get di Cortex XSOAR. Devi fornire il nome del progetto nel formato projects/PROJECT_NUMBER. Ad esempio, il comando seguente elenca il proprietario del progetto fornito.

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

Per aggiungere più progetti al comando, utilizza una virgola come separatore, ad esempio: projectName="projects/123456789, projects/987654321"

Passaggi successivi

• Scopri di più sulla configurazione della ricerca delle notifiche in Security Command Center.

• Scopri di più sul filtro delle notifiche sui risultati in Security Command Center.