Mengirimkan data Security Command Center ke Cortex XSOAR

Halaman ini menjelaskan cara otomatis mengirim temuan, aset, dan sumber keamanan Security Command Center ke Cortex XSOAR. Artikel ini juga menjelaskan cara mengelola data yang diekspor. Cortex XSOAR adalah platform orkestrasi, otomatisasi, dan respons keamanan (SOAR) yang menyerap data keamanan dari satu atau beberapa sumber dan memungkinkan tim keamanan mengelola respons terhadap insiden. Anda dapat menggunakan Cortex XSOAR untuk melihat temuan dan aset Security Command Center, serta memperbarui temuan saat masalah terselesaikan.

Dalam panduan ini, Anda memastikan bahwa layanan Security Command Center dan Google Cloud yang diperlukan dikonfigurasi dengan benar, dan mengaktifkan Cortex XSOAR untuk mengakses temuan dan aset di lingkungan Security Command Center Anda. Beberapa petunjuk di halaman ini dikompilasi dari panduan integrasi Cortex XSOAR di GitHub.

Sebelum memulai

Panduan ini mengasumsikan bahwa Anda memiliki versi Cortex XSOAR yang berfungsi. Untuk memulai dengan Cortex XSOAR, daftar.

Mengonfigurasi autentikasi dan otorisasi

Sebelum menghubungkan Security Command Center ke Cortex XSOAR, Anda harus membuat akun layanan Identity and Access Management (IAM) di setiap organisasi Google Cloud dan memberikan akun tersebut peran IAM tingkat organisasi dan tingkat project yang diperlukan Cortex XSOAR.

Membuat akun layanan dan memberikan peran IAM

Langkah-langkah berikut menggunakan konsol Google Cloud. Untuk metode lainnya, lihat link di bagian akhir bagian ini.

Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

  1. Di project yang sama dengan tempat Anda membuat topik Pub/Sub, gunakan halaman Service Accounts di konsol Google Cloud untuk membuat akun layanan. Untuk mengetahui petunjuknya, lihat Membuat dan mengelola akun layanan.
  2. Berikan peran berikut ke akun layanan:

    • Pub/Sub Editor (roles/pubsub.editor)
  3. Salin nama akun layanan yang baru saja Anda buat.

  4. Gunakan pemilih project di konsol Google Cloud untuk beralih ke level organisasi.

  5. Buka halaman IAM untuk organisasi:

    Buka IAM

  6. Pada halaman IAM, klik Berikan akses. Panel akses grant akan terbuka.

  7. Di panel Berikan akses, selesaikan langkah-langkah berikut:

    1. Di bagian Tambahkan akun utama di kolom New principals, tempelkan nama akun layanan.
    2. Di bagian Assign roles, gunakan kolom Role untuk memberikan peran IAM berikut ke akun layanan:

    3. Security Center Admin Editor (roles/securitycenter.adminEditor)
    4. Security Center Notification Configurations Editor (roles/securitycenter.notificationConfigEditor)
    5. Organization Viewer (roles/resourcemanager.organizationViewer)
    6. Cloud Asset Viewer (roles/cloudasset.viewer)
    7. Klik Simpan. Akun layanan akan muncul di tab Permissions di halaman IAM pada bagian View by principals.

      Dengan pewarisan, akun layanan juga menjadi akun utama di semua project turunan organisasi. Peran yang berlaku di level project dicantumkan sebagai peran yang diwarisi.

Untuk mengetahui informasi selengkapnya tentang cara membuat akun layanan dan memberikan peran, lihat topik berikut:

Memberikan kredensial ke Cortex XSOAR

Bergantung pada tempat Anda menghosting Cortex XSOAR, cara Anda memberikan kredensial IAM ke Cortex XSOAR akan berbeda.

Mengonfigurasi notifikasi

Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

  1. Siapkan notifikasi temuan sebagai berikut:

    1. Aktifkan Security Command Center API.
    2. Buat filter untuk mengekspor temuan.
    3. Buat topik Pub/Sub untuk temuan. NotificationConfig harus menggunakan topik Pub/Sub yang Anda buat untuk temuan.
  2. Aktifkan Cloud Asset API untuk project Anda.

Anda memerlukan ID organisasi, ID project, dan ID langganan Pub/Sub dari tugas ini untuk mengonfigurasi Cortex XSOAR. Untuk mengambil ID organisasi dan project ID, lihat Mengambil ID organisasi dan Mengidentifikasi project.

Mengonfigurasi Cortex XSOAR

Jika diberi akses, Cortex XSOAR akan menerima temuan dan update aset secara real time.

Untuk menggunakan Security Command Center dengan Cortex XSOAR, lakukan langkah-langkah berikut:

  1. Instal paket konten Google Cloud SCC dari Cortex XSOAR Marketplace.

    Paket konten adalah modul yang dikelola oleh Security Command Center yang mengotomatiskan proses penjadwalan panggilan API Security Command Center dan secara rutin mengambil data Security Command Center untuk digunakan di Cortext XSOAR.

  2. Di menu aplikasi Cortex XSOAR, buka Settings, lalu klik Integrations.

  3. Di bagian Integrasi, pilih Server & Layanan.

  4. Telusuri dan pilih GoogleCloudSCC.

  5. Untuk membuat dan mengonfigurasi instance integrasi baru, klik Tambahkan instance.

  6. Masukkan informasi ke kolom berikut sesuai kebutuhan:

    Parameter Deskripsi Wajib
    Konfigurasi Akun Layanan Salah satu dari berikut ini, seperti yang dijelaskan di Sebelum memulai:
    • Konten file JSON Akun Layanan, jika Anda membuat kunci akun layanan
    • Isi file konfigurasi kredensial, jika Anda menggunakan workload identity federation
    Benar
    ID Organisasi ID untuk organisasi Anda Benar
    Mengambil insiden Mengaktifkan insiden pengambilan Salah
    ID Project ID project yang akan digunakan untuk mengambil insiden; jika kosong, ID project yang terdapat dalam file JSON yang diberikan akan digunakan Salah
    ID Langganan ID langganan Pub/Sub Anda Benar
    Insiden Maksimum Jumlah maksimum insiden yang akan diambil selama setiap pengambilan Salah
    Jenis insiden Jenis insiden Salah
    Percayai sertifikat apa pun (tidak aman) Mengaktifkan kepercayaan pada semua sertifikat Salah
    Gunakan setelan proxy sistem Mengaktifkan setelan proxy sistem Salah
    Interval Pengambilan Insiden Waktu antara pengambilan untuk informasi insiden yang diperbarui Salah
    Tingkat Log Level log untuk paket konten Salah

  7. Klik Uji.

    Jika konfigurasi valid, Anda akan melihat pesan "berhasil". Jika tidak valid, Anda akan mendapatkan pesan error.

  8. Klik Simpan dan keluar.

  9. Ulangi langkah 5 hingga 8 untuk setiap organisasi.

Cortex XSOAR otomatis memetakan kolom dari temuan Security Command Center ke kolom Cortex XSOAR yang sesuai. Untuk mengganti pilihan atau mempelajari lebih lanjut Cortex XSOAR, baca dokumentasi produk.

Konfigurasi Cortex XSOAR telah selesai. Bagian Kelola temuan dan aset menjelaskan cara melihat dan mengelola data Security Command Center di layanan.

Mengupgrade paket konten Google Cloud SCC

Bagian ini menjelaskan cara mengupgrade dari versi sebelumnya.

  1. Akses paket konten Google Cloud SCC versi terbaru dari Cortex XSOAR Marketplace.

  2. Klik Download with Dependencies.

  3. Klik Instal.

  4. Klik Refresh content.

Upgrade ini mempertahankan informasi konfigurasi Anda sebelumnya. Untuk menggunakan workload identity federation, tambahkan file konfigurasi, seperti yang dijelaskan dalam Mengonfigurasi Cortex XSOAR.

Mengelola temuan dan aset

Anda dapat melihat dan memperbarui aset dan temuan menggunakan antarmuka command line (CLI) Cortex XSOAR. Anda dapat menjalankan perintah sebagai bagian dari mitigasi dan pengelompokan otomatis, atau dalam playbook.

Untuk nama dan deskripsi semua metode dan argumen yang didukung untuk CLI Cortex XSOAR, dan contoh output, lihat Perintah.

Temuan dikompilasi dari layanan bawaan Security Command Center—Security Health Analytics, Web Security Scanner, Event Threat Detection, dan Container Threat Detection—dan layanan terintegrasi apa pun yang Anda aktifkan.

Mencantumkan aset

Untuk menampilkan daftar aset organisasi, gunakan metode google-cloud-scc-asset-list Cortex XSOAR. Misalnya, perintah berikut mencantumkan aset dengan lifecycleState Aktif dan membatasi respons ke tiga aset:

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

Simbol tanda seru (!) dalam contoh kode adalah simbol yang diperlukan untuk memulai perintah di Cortex XSOAR. Tanda ini tidak mewakili negasi atau NOT.

Melihat referensi aset

Untuk mencantumkan aset yang terdapat dalam resource induk, seperti project, gunakan perintah google-cloud-scc-asset-resource-list Cortex XSOAR. Misalnya, perintah berikut mencantumkan aset dengan assetType dari compute.googleapis.com/Disk dan membatasi respons ke dua aset:

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

Karakter pengganti dan ekspresi reguler didukung. Misalnya, assetType=".*Instance" mencantumkan aset dengan jenis aset yang diakhiri dengan "instance".

Lihat temuan

Untuk mencantumkan temuan untuk organisasi atau sumber keamanan, gunakan perintah google-cloud-scc-finding-list Cortex XSOAR. Misalnya, perintah berikut mencantumkan temuan aktif dengan tingkat keparahan kritis untuk semua sumber dan membatasi respons ke tiga temuan:

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

Anda juga dapat memfilter temuan. Perintah berikut mencantumkan temuan yang diklasifikasikan sebagai ancaman:

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

Memperbarui temuan

Anda dapat memperbarui temuan menggunakan perintah google-cloud-scc-finding-update Cortex XSOAR. Anda harus memberikan name, atau nama resource relatif, dari temuan, menggunakan format berikut: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.

Misalnya, perintah berikut memperbarui tingkat keparahan temuan:

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

Ganti kode berikut:

  • <var>ORGANIZATION_ID</var> dengan ID organisasi Anda. Untuk mengambil ID organisasi dan project ID, lihat Mengambil ID organisasi.
  • <var>SOURCE_ID</var> dengan ID sumber keamanan. Untuk menemukan ID sumber, lihat Mendapatkan ID sumber.
  • <var>FINDING_ID</var> dengan ID temuan yang disertakan dalam detail temuan.

Memperbarui status temuan

Anda dapat memperbarui status temuan menggunakan perintah google-cloud-scc-finding-status-update Cortex XSOAR. Anda harus memberikan name, atau nama resource relatif, dari temuan, menggunakan format berikut: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.

Misalnya, perintah berikut menetapkan status temuan ke aktif:

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

Ganti kode berikut:

  • <var>ORGANIZATION_ID</var> dengan ID organisasi Anda. Untuk mengambil ID organisasi dan project ID, lihat Mengambil ID organisasi.
  • <var>SOURCE_ID</var> dengan ID sumber keamanan. Untuk menemukan ID sumber, lihat Mendapatkan ID sumber.
  • <var>FINDING_ID</var> dengan ID temuan yang disertakan dalam detail temuan.

Mendapatkan pemilik aset

Untuk mencantumkan pemilik aset, gunakan perintah google-cloud-scc-asset-owner-get Cortex XSOAR. Anda harus memberikan nama project dalam bentuk projects/PROJECT_NUMBER. Misalnya, perintah berikut mencantumkan pemilik project yang diberikan.

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

Untuk menambahkan beberapa project ke perintah, gunakan pemisah koma, misalnya, projectName="projects/123456789, projects/987654321"

Langkah selanjutnya