Halaman ini menjelaskan cara otomatis mengirim temuan, aset, dan sumber keamanan Security Command Center ke Cortex XSOAR. Artikel ini juga menjelaskan cara mengelola data yang diekspor. Cortex XSOAR adalah platform orkestrasi, otomatisasi, dan respons keamanan (SOAR) yang menyerap data keamanan dari satu atau beberapa sumber dan memungkinkan tim keamanan mengelola respons terhadap insiden. Anda dapat menggunakan Cortex XSOAR untuk melihat temuan dan aset Security Command Center, serta memperbarui temuan saat masalah terselesaikan.
Dalam panduan ini, Anda memastikan bahwa layanan Security Command Center dan Google Cloud yang diperlukan dikonfigurasi dengan benar, dan mengaktifkan Cortex XSOAR untuk mengakses temuan dan aset di lingkungan Security Command Center Anda. Beberapa petunjuk di halaman ini dikompilasi dari panduan integrasi Cortex XSOAR di GitHub.
Sebelum memulai
Panduan ini mengasumsikan bahwa Anda memiliki versi Cortex XSOAR yang berfungsi. Untuk memulai dengan Cortex XSOAR, daftar.
Mengonfigurasi autentikasi dan otorisasi
Sebelum menghubungkan Security Command Center ke Cortex XSOAR, Anda harus membuat akun layanan Identity and Access Management (IAM) di setiap organisasi Google Cloud dan memberikan akun tersebut peran IAM tingkat organisasi dan tingkat project yang diperlukan Cortex XSOAR.
Membuat akun layanan dan memberikan peran IAM
Langkah-langkah berikut menggunakan konsol Google Cloud. Untuk metode lainnya, lihat link di bagian akhir bagian ini.
Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.
- Di project yang sama dengan tempat Anda membuat topik Pub/Sub, gunakan halaman Service Accounts di konsol Google Cloud untuk membuat akun layanan. Untuk mengetahui petunjuknya, lihat Membuat dan mengelola akun layanan.
Berikan peran berikut ke akun layanan:
- Pub/Sub Editor (
roles/pubsub.editor
)
- Pub/Sub Editor (
Salin nama akun layanan yang baru saja Anda buat.
Gunakan pemilih project di konsol Google Cloud untuk beralih ke level organisasi.
Buka halaman IAM untuk organisasi:
Pada halaman IAM, klik Berikan akses. Panel akses grant akan terbuka.
Di panel Berikan akses, selesaikan langkah-langkah berikut:
- Di bagian Tambahkan akun utama di kolom New principals, tempelkan nama akun layanan.
Di bagian Assign roles, gunakan kolom Role untuk memberikan peran IAM berikut ke akun layanan:
- Security Center Admin Editor (
roles/securitycenter.adminEditor
) - Security Center Notification Configurations Editor
(
roles/securitycenter.notificationConfigEditor
) - Organization Viewer (
roles/resourcemanager.organizationViewer
) - Cloud Asset Viewer (
roles/cloudasset.viewer
) Klik Simpan. Akun layanan akan muncul di tab Permissions di halaman IAM pada bagian View by principals.
Dengan pewarisan, akun layanan juga menjadi akun utama di semua project turunan organisasi. Peran yang berlaku di level project dicantumkan sebagai peran yang diwarisi.
Untuk mengetahui informasi selengkapnya tentang cara membuat akun layanan dan memberikan peran, lihat topik berikut:
Memberikan kredensial ke Cortex XSOAR
Bergantung pada tempat Anda menghosting Cortex XSOAR, cara Anda memberikan kredensial IAM ke Cortex XSOAR akan berbeda.
Jika Anda menghosting Cortex XSOAR di Google Cloud, pertimbangkan hal berikut:
Akun layanan yang Anda buat dan peran tingkat organisasi yang Anda berikan akan tersedia secara otomatis melalui pewarisan dari organisasi induk. Jika Anda menggunakan beberapa organisasi Google Cloud, tambahkan akun layanan ini ke organisasi lain dan berikan peran IAM yang dijelaskan pada langkah 5 hingga 7 di Membuat akun layanan dan memberikan peran IAM.
Jika Anda men-deploy Cortex XSOAR di perimeter layanan, buat aturan masuk dan keluar. Untuk mengetahui petunjuknya, lihat Memberikan akses perimeter di Kontrol Layanan VPC.
Jika Anda menghosting Cortex XSOAR di lingkungan lokal, dan penyedia identitas Anda mendukung workload identity federation, konfigurasi workload identity federation dan download file konfigurasi kredensial. Jika tidak, buat kunci akun layanan untuk setiap organisasi Google Cloud dalam format JSON.
Jika Anda menghosting Cortex XSOAR di Microsoft Azure atau Amazon Web Services, konfigurasi workload identity federation dan download file konfigurasi kredensial. Jika Anda menggunakan beberapa organisasi Google Cloud, tambahkan akun layanan ini ke organisasi lain dan berikan peran IAM yang dijelaskan dalam langkah 5 hingga 7 di artikel Membuat akun layanan dan memberikan peran IAM.
Mengonfigurasi notifikasi
Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.
Siapkan notifikasi temuan sebagai berikut:
- Aktifkan Security Command Center API.
- Buat filter untuk mengekspor temuan.
- Buat topik Pub/Sub untuk temuan.
NotificationConfig
harus menggunakan topik Pub/Sub yang Anda buat untuk temuan.
Aktifkan Cloud Asset API untuk project Anda.
Anda memerlukan ID organisasi, ID project, dan ID langganan Pub/Sub dari tugas ini untuk mengonfigurasi Cortex XSOAR. Untuk mengambil ID organisasi dan project ID, lihat Mengambil ID organisasi dan Mengidentifikasi project.
Mengonfigurasi Cortex XSOAR
Jika diberi akses, Cortex XSOAR akan menerima temuan dan update aset secara real time.
Untuk menggunakan Security Command Center dengan Cortex XSOAR, lakukan langkah-langkah berikut:
Instal paket konten Google Cloud SCC dari Cortex XSOAR Marketplace.
Paket konten adalah modul yang dikelola oleh Security Command Center yang mengotomatiskan proses penjadwalan panggilan API Security Command Center dan secara rutin mengambil data Security Command Center untuk digunakan di Cortext XSOAR.
Di menu aplikasi Cortex XSOAR, buka Settings, lalu klik Integrations.
Di bagian Integrasi, pilih Server & Layanan.
Telusuri dan pilih GoogleCloudSCC.
Untuk membuat dan mengonfigurasi instance integrasi baru, klik Tambahkan instance.
Masukkan informasi ke kolom berikut sesuai kebutuhan:
Parameter Deskripsi Wajib Konfigurasi Akun Layanan Salah satu dari berikut ini, seperti yang dijelaskan di Sebelum memulai: - Konten file JSON Akun Layanan, jika Anda membuat kunci akun layanan
- Isi file konfigurasi kredensial, jika Anda menggunakan workload identity federation
Benar ID Organisasi ID untuk organisasi Anda Benar Mengambil insiden Mengaktifkan insiden pengambilan Salah ID Project ID project yang akan digunakan untuk mengambil insiden; jika kosong, ID project yang terdapat dalam file JSON yang diberikan akan digunakan Salah ID Langganan ID langganan Pub/Sub Anda Benar Insiden Maksimum Jumlah maksimum insiden yang akan diambil selama setiap pengambilan Salah Jenis insiden Jenis insiden Salah Percayai sertifikat apa pun (tidak aman) Mengaktifkan kepercayaan pada semua sertifikat Salah Gunakan setelan proxy sistem Mengaktifkan setelan proxy sistem Salah Interval Pengambilan Insiden Waktu antara pengambilan untuk informasi insiden yang diperbarui Salah Tingkat Log Level log untuk paket konten Salah Klik Uji.
Jika konfigurasi valid, Anda akan melihat pesan "berhasil". Jika tidak valid, Anda akan mendapatkan pesan error.
Klik Simpan dan keluar.
Ulangi langkah 5 hingga 8 untuk setiap organisasi.
Cortex XSOAR otomatis memetakan kolom dari temuan Security Command Center ke kolom Cortex XSOAR yang sesuai. Untuk mengganti pilihan atau mempelajari lebih lanjut Cortex XSOAR, baca dokumentasi produk.
Konfigurasi Cortex XSOAR telah selesai. Bagian Kelola temuan dan aset menjelaskan cara melihat dan mengelola data Security Command Center di layanan.
Mengupgrade paket konten Google Cloud SCC
Bagian ini menjelaskan cara mengupgrade dari versi sebelumnya.
Akses paket konten Google Cloud SCC versi terbaru dari Cortex XSOAR Marketplace.
Klik Download with Dependencies.
Klik Instal.
Klik Refresh content.
Upgrade ini mempertahankan informasi konfigurasi Anda sebelumnya. Untuk menggunakan workload identity federation, tambahkan file konfigurasi, seperti yang dijelaskan dalam Mengonfigurasi Cortex XSOAR.
Mengelola temuan dan aset
Anda dapat melihat dan memperbarui aset dan temuan menggunakan antarmuka command line (CLI) Cortex XSOAR. Anda dapat menjalankan perintah sebagai bagian dari mitigasi dan pengelompokan otomatis, atau dalam playbook.
Untuk nama dan deskripsi semua metode dan argumen yang didukung untuk CLI Cortex XSOAR, dan contoh output, lihat Perintah.
Temuan dikompilasi dari layanan bawaan Security Command Center—Security Health Analytics, Web Security Scanner, Event Threat Detection, dan Container Threat Detection—dan layanan terintegrasi apa pun yang Anda aktifkan.
Mencantumkan aset
Untuk menampilkan daftar aset organisasi, gunakan metode
google-cloud-scc-asset-list
Cortex XSOAR. Misalnya, perintah berikut mencantumkan
aset dengan lifecycleState
Aktif dan membatasi respons ke tiga
aset:
!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE
Simbol tanda seru (!
) dalam contoh kode adalah simbol yang diperlukan untuk memulai perintah di Cortex XSOAR. Tanda ini tidak mewakili negasi atau NOT.
Melihat referensi aset
Untuk mencantumkan aset yang terdapat dalam resource induk, seperti project, gunakan perintah google-cloud-scc-asset-resource-list
Cortex XSOAR. Misalnya, perintah berikut mencantumkan aset dengan assetType
dari compute.googleapis.com/Disk
dan membatasi respons ke dua aset:
!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2
Karakter pengganti dan ekspresi reguler didukung. Misalnya,
assetType=".*Instance"
mencantumkan aset dengan jenis aset yang diakhiri dengan "instance".
Lihat temuan
Untuk mencantumkan temuan untuk organisasi atau sumber keamanan, gunakan perintah
google-cloud-scc-finding-list
Cortex XSOAR. Misalnya, perintah berikut
mencantumkan temuan aktif dengan tingkat keparahan kritis untuk semua sumber dan membatasi
respons ke tiga temuan:
!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"
Anda juga dapat memfilter temuan. Perintah berikut mencantumkan temuan yang diklasifikasikan sebagai ancaman:
!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""
Memperbarui temuan
Anda dapat memperbarui temuan menggunakan perintah
google-cloud-scc-finding-update
Cortex XSOAR. Anda harus memberikan name
, atau
nama resource relatif, dari temuan, menggunakan format berikut:
organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID
.
Misalnya, perintah berikut memperbarui tingkat keparahan temuan:
!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"
Ganti kode berikut:
<var>ORGANIZATION_ID</var>
dengan ID organisasi Anda. Untuk mengambil ID organisasi dan project ID, lihat Mengambil ID organisasi.<var>SOURCE_ID</var>
dengan ID sumber keamanan. Untuk menemukan ID sumber, lihat Mendapatkan ID sumber.<var>FINDING_ID</var>
dengan ID temuan yang disertakan dalam detail temuan.
Memperbarui status temuan
Anda dapat memperbarui status temuan menggunakan perintah
google-cloud-scc-finding-status-update
Cortex XSOAR. Anda harus memberikan name
, atau
nama resource relatif, dari temuan, menggunakan format berikut:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
.
Misalnya, perintah berikut menetapkan status temuan ke aktif:
!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"
Ganti kode berikut:
<var>ORGANIZATION_ID</var>
dengan ID organisasi Anda. Untuk mengambil ID organisasi dan project ID, lihat Mengambil ID organisasi.<var>SOURCE_ID</var>
dengan ID sumber keamanan. Untuk menemukan ID sumber, lihat Mendapatkan ID sumber.<var>FINDING_ID</var>
dengan ID temuan yang disertakan dalam detail temuan.
Mendapatkan pemilik aset
Untuk mencantumkan pemilik aset, gunakan perintah
google-cloud-scc-asset-owner-get
Cortex XSOAR. Anda harus memberikan nama project dalam
bentuk projects/PROJECT_NUMBER
. Misalnya, perintah berikut mencantumkan pemilik project yang diberikan.
!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"
Untuk menambahkan beberapa project ke perintah, gunakan pemisah koma, misalnya,
projectName="projects/123456789, projects/987654321"
Langkah selanjutnya
Pelajari lebih lanjut cara menyiapkan notifikasi temuan di Security Command Center.
Baca artikel tentang memfilter notifikasi temuan di Security Command Center.