Como enviar dados do Security Command Center para o Cortex XSOAR

Nesta página, explicamos como enviar automaticamente descobertas, recursos e origens de segurança do Security Command Center para o Cortex XSOAR (em inglês). Também descreve como gerenciar os dados exportados. O Cortex XSOAR é uma plataforma de orquestração, automação e resposta de segurança (SOAR, na sigla em inglês) que ingere dados de segurança de uma ou mais fontes e permite que as equipes de segurança gerenciem respostas a incidentes. É possível usar o Cortex XSOAR para visualizar as descobertas e os recursos do Security Command Center e atualizar as descobertas quando os problemas são resolvidos.

Neste guia, você garante que os serviços necessários do Security Command Center e do Google Cloud estão configurados corretamente e permite que o Cortex XSOAR acesse descobertas e recursos no ambiente do Security Command Center. Algumas das instruções sobre essa são compiladas a partir do sistema de arquivos Cortex XSOAR guia de integrações no GitHub.

Antes de começar

Este guia pressupõe que você tenha uma versão em funcionamento do Cortex XSOAR. Para começar com o Cortex XSOAR, Inscreva-se.

Configurar autenticação e autorização

Antes de se conectar ao Security Command Center ao Cortex XSOAR, você precisa criar uma conta de serviço do Identity and Access Management (IAM) em cada organização do Google Cloud e conceder a essa conta no papéis do IAM no nível da organização e do projeto de que o Cortex XSOAR precisa.

Criar uma conta de serviço e conceder papéis do IAM

As etapas a seguir usam o console do Google Cloud. Para ver outros métodos, consulte os links no final desta seção.

Conclua estas etapas para cada organização do Google Cloud de onde você quer importar dados do Security Command Center.

  1. No mesmo projeto em que você cria os tópicos do Pub/Sub, use a página Contas de serviço no console do Google Cloud para criar uma conta de serviço. Veja instruções em Como criar e gerenciar contas de serviço.
  2. Conceda à conta de serviço a este papel:

    • Editor do Pub/Sub (roles/pubsub.editor)
  3. Copie o nome da conta de serviço que você acabou de criar.

  4. Use o seletor de projetos no console do Google Cloud para mudar para o nível da organização.

  5. Abra a página IAM da organização:

    Acessar IAM

  6. Na página do IAM, clique em Conceder acesso. O painel de concessão de acesso é aberto.

  7. No painel Conceder acesso, conclua as seguintes etapas:

    1. Na seção Adicionar principais no campo Novos principais, cole o nome da conta de serviço.
    2. Na seção Atribuir papéis, use o campo Papel para conceder os seguintes papéis do IAM à conta de serviço:

      • Editor administrador da Central de segurança (roles/securitycenter.adminEditor)
      • Editor de configurações de notificação da Central de segurança (roles/securitycenter.notificationConfigEditor)
      • Leitor da organização (roles/resourcemanager.organizationViewer)
      • Leitor de recursos do Cloud (roles/cloudasset.viewer)
    3. Clique em Save. A conta de segurança aparece na guia Permissões da página IAM em Ver pelos principais.

      Por herança, a conta de serviço também se torna uma conta principal em todos os projetos filhos da organização e os papéis aplicáveis no nível do projeto são listados como papéis herdados.

Para mais informações sobre como criar contas de serviço e conceder papéis, consulte estes tópicos:

Forneça as credenciais para o Cortex XSOAR

Dependendo de onde você está hospedando o Cortex XSOAR, a forma de fornecer as credenciais do IAM ao Cortex XSOAR muda.

Configurar notificações

Conclua estas etapas para cada organização do Google Cloud de onde você quer importar dados do Security Command Center.

  1. Configurar notificações de descoberta como segue:

    1. Ative a API Security Command Center.
    2. Crie um filtro para exportar descobertas.
    3. Crie um tópico do Pub/Sub para descobertas. O NotificationConfig precisa usar o tópico do Pub/Sub criado para as descobertas.
  2. Ative a API Cloud Asset no projeto.

Você precisará do ID da organização, do ID do projeto e do ID da assinatura do Pub/Sub nesta tarefa para configurar o Cortex XSOAR. Para recuperar esses IDs, consulte Como recuperar o ID da organização e a Como identificar projetos, respectivamente.

Configurar o Cortex XSOAR

Quando tiver acesso, o Cortex XSOAR receberá descobertas e atualizações de recursos em tempo real.

Para usar o Security Command Center com o Cortex XSOAR, execute as seguintes etapas:

  1. Instale o pacote de conteúdo SCC do Google Cloud do Cortex XSOAR Marketplace.

    O pacote de conteúdo é um módulo mantido pelo Security Command Center que automatiza o processo de agendamento de chamadas de API do Security Command Center e recupera regularmente os dados do Security Command Center para uso no Cortext XSOAR.

  2. No menu do aplicativo Cortex XSOAR, acesse Settings e clique em Integrations.

  3. Em Integrations, selecione Servers & Services.

  4. Pesquise e selecione GoogleCloudSCC.

  5. Para criar e configurar uma nova instância de integração, clique em Adicionar instância.

  6. Insira informações nos seguintes campos, conforme necessário:

    Parâmetro Descrição Valor
    Configuração da conta de serviço Conforme descrito em Antes de começar, siga estas etapas:
    • O conteúdo do arquivo JSON da conta de serviço, se você tiver criado uma chave da conta de serviço
    • O conteúdo do arquivo de configuração de credencial, se você estiver usando a federação de identidade da carga de trabalho
    Verdadeiro
    ID da organização o ID da organização Verdadeiro
    Buscar incidentes Ativa o incidente de busca Falso
    ID do projeto o ID do projeto a ser usado para buscar incidentes. Se estiver vazio, o ID do projeto contido no arquivo JSON fornecido será usado Falso
    ID da assinatura O ID da sua assinatura do Pub/Sub Verdadeiro
    Número máximo de incidentes O número máximo de incidentes a serem buscados durante cada recuperação Falso
    Tipo de incidente O tipo de incidente Falso
    Confiar em qualquer certificado (não seguro) Permite confiar em todos os certificados Falso
    Usar configurações do proxy do sistema Ativa as configurações de proxy do sistema Falso
    Intervalo de busca de incidentes Tempo entre a recuperação de informações atualizadas sobre incidentes Falso
    Nível do registro O nível de registro do pacote de conteúdo Falso

  7. Clique em Teste.

    Se a configuração for válida, você verá uma mensagem de êxito. Se inválido, você receberá uma mensagem de erro.

  8. Clique em Salvar e sair.

  9. Repita as etapas de 5 a 8 para cada organização.

O Cortex XSOAR mapeia automaticamente os campos das descobertas do Security Command Center para os campos apropriados do Cortex XSOAR. Para modificar as seleções ou saber mais sobre o Cortex XSOAR, leia a documentação do produto.

A configuração do Cortex XSOAR foi concluída. A seção Gerenciar descobertas e recursos explica como visualizar e gerenciar dados do Security Command Center no serviço.

Fazer upgrade do pacote de conteúdo SCC do Google Cloud

Esta seção descreve como fazer upgrade de uma versão anterior.

  1. Acesse a versão mais recente do pacote de conteúdo SCC do Google Cloud no Cortex XSOAR Marketplace.

  2. Clique em Fazer download com dependências.

  3. Clique em Instalar.

  4. Clique em Atualizar conteúdo.

A atualização mantém as informações de configuração anteriores. Para usar a federação de identidade da carga de trabalho, adicione o arquivo de configuração, conforme descrito em Configurar o Cortex XSOAR.

Gerencie descobertas e recursos

Você pode ver e atualizar recursos e descobertas usando a interface de linha de comando (CLI) do Cortex XSOAR. É possível executar comandos como parte da triagem e remediação automática ou em um manual.

Para ver nomes e descrições de todos os métodos e argumentos compatíveis com a CLI do Cortex XSOAR e exemplos de saída, consulte Comandos.

As descobertas são compiladas nos serviços integrados do Security Command Center: Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, além de todos os serviços integrados que você ativar.

Listar recursos

Para listar os recursos da sua organização, use o método google-cloud-scc-asset-list do Cortex XSOAR. Por exemplo, o comando a seguir lista recursos em que lifecycleState está Ativo e limita a resposta a três recursos:

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

O símbolo de exclamação (!) nas amostras de código é obrigatório para iniciar comandos no Cortex XSOAR. Isso não representa negação ou N NOTO.

Ver recursos de recurso

Para listar os recursos contidos nos recursos pai, como projetos, use o comando google-cloud-scc-asset-resource-list do Cortex XSOAR. Por exemplo, o comando a seguir lista recursos com uma assetType de compute.googleapis.com/Disk e limita a resposta a dois recursos:

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

Caracteres curinga e expressões regulares são compatíveis. Por exemplo, assetType=".*Instance" lista recursos em que o tipo de recurso termina com "instância".

Ver descobertas

Para listar as descobertas da sua organização ou uma fonte de segurança, use o comando google-cloud-scc-finding-list do Cortex XSOAR. Por exemplo, o comando a seguir lista descobertas ativas com gravidade crítica para todas as origens e limita a resposta a três descobertas:

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

Também é possível filtrar as descobertas. O comando a seguir lista todas as descobertas classificadas como ameaças:

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

Atualizar descobertas

Para atualizar uma descoberta, use o comando google-cloud-scc-finding-update do Cortex XSOAR. Forneça o name ou o nome do recurso relativo da descoberta usando o seguinte formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.

Por exemplo, o comando a seguir atualiza a gravidade de uma descoberta:

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

Substitua:

  • <var>ORGANIZATION_ID</var> pelo ID da organização. Para recuperar o ID da organização e do projeto, consulte Como recuperar o ID da organização.
  • <var>SOURCE_ID</var> pelo ID da origem de segurança. Para encontrar um ID de origem, consulte Como conseguir o ID de origem.
  • <var>FINDING_ID</var> pelo código de descoberta incluído nos detalhes da descoberta.

Atualizar status da descoberta

É possível atualizar o status de uma descoberta usando o comando google-cloud-scc-finding-status-update do Cortex XSOAR. Forneça o name ou o nome do recurso relativo da descoberta usando o seguinte formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.

Por exemplo, o seguinte comando define o status de descoberta como ativo:

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

Substitua:

  • <var>ORGANIZATION_ID</var> pelo ID da organização. Para recuperar o ID da organização e do projeto, consulte Como recuperar o ID da organização.
  • <var>SOURCE_ID</var> pelo ID da origem de segurança. Para encontrar um ID de origem, consulte Como conseguir o ID de origem.
  • <var>FINDING_ID</var> pelo código de descoberta incluído nos detalhes da descoberta.

Proprietários de recursos

Para listar os proprietários de um recurso, use o comando google-cloud-scc-asset-owner-get do Cortex XSOAR. Você precisa fornecer o nome do projeto no formato projects/PROJECT_NUMBER. Por exemplo, o comando a seguir lista o proprietário do projeto fornecido.

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

Para adicionar vários projetos ao comando, use um separador de vírgula, por exemplo, projectName="projects/123456789, projects/987654321"

A seguir