Esta página explica como enviar automaticamente conclusões, recursos e origens de segurança do Security Command Center para o Cortex XSOAR. Também descreve como gerir os dados exportados. O Cortex XSOAR é uma plataforma de orquestração, automatização e resposta de segurança (SOAR) que carrega dados de segurança de uma ou mais origens e permite que as equipas de segurança geram respostas a incidentes. Pode usar o Cortex XSOAR para ver as conclusões e os recursos do Security Command Center, e para atualizar as conclusões quando os problemas são resolvidos.
Neste guia, garante que o Security Command Center e os serviços necessários estão configurados corretamente e permite que o Cortex XSOAR aceda a resultados e recursos no seu ambiente do Security Command Center. Google CloudAlgumas das instruções nesta página são compiladas a partir do guia de integrações do Cortex XSOAR no GitHub.
Antes de começar
Este guia pressupõe que tem uma versão funcional do Cortex XSOAR. Para começar a usar o Cortex XSOAR, inscreva-se.
Configure a autenticação e a autorização
Antes de estabelecer ligação ao Security Command Center para o Cortex XSOAR, tem de criar uma conta de serviço de gestão de identidade e de acesso (IAM) em cada organização do Google Cloud e conceder a essa conta as funções de IAM ao nível da organização e do projeto de que o Cortex XSOAR precisa.
Crie uma conta de serviço e conceda funções da IAM
Os passos seguintes usam a Google Cloud consola. Para outros métodos, consulte os links no final desta secção.
Conclua estes passos para cada Google Cloud organização a partir da qual quer importar dados do Centro de comandos de segurança.
- No mesmo projeto em que cria os tópicos do Pub/Sub, use a página Contas de serviço na Google Cloud consola para criar uma conta de serviço. Para obter instruções, consulte o artigo Criar e gerir contas de serviço.
Conceda à conta de serviço a seguinte função:
- Editor do Pub/Sub (
roles/pubsub.editor)
- Editor do Pub/Sub (
Copie o nome da conta de serviço que acabou de criar.
Use o seletor de projetos na Google Cloud consola para mudar para o nível da organização.
Abra a página IAM da organização:
Na página do IAM, clique em Conceder acesso. É aberto o painel Conceder acesso.
No painel Conceder acesso, conclua os seguintes passos:
- Na secção Adicionar membros, no campo Novos membros, cole o nome da conta de serviço.
Na secção Atribuir funções, use o campo Função para conceder as seguintes funções do IAM à conta de serviço:
- Editor de administração do centro de segurança (
roles/securitycenter.adminEditor) - Editor de configurações de notificações do centro de segurança
(
roles/securitycenter.notificationConfigEditor) - Visualizador da organização (
roles/resourcemanager.organizationViewer) - Cloud Asset Viewer (
roles/cloudasset.viewer) Clique em Guardar. A conta de serviço aparece no separador Autorizações da página IAM em Ver por responsáveis.
Por herança, a conta de serviço também se torna um principal em todos os projetos subordinados da organização. As funções aplicáveis ao nível do projeto são apresentadas como funções herdadas.
Para mais informações sobre como criar contas de serviço e conceder funções, consulte os seguintes tópicos:
Faculte as credenciais ao Cortex XSOAR
A forma como faculta as credenciais da IAM ao Cortex XSOAR difere consoante o local onde está a alojar o Cortex XSOAR.
Se estiver a alojar o Cortex XSOAR no Google Cloud, considere o seguinte:
A conta de serviço que criou e as funções ao nível da organização que lhe concedeu estão disponíveis automaticamente por herança da organização principal. Se estiver a usar várias Google Cloud organizações, adicione esta conta de serviço às outras organizações e conceda-lhe as funções de IAM descritas nos passos 5 a 7 do artigo Crie uma conta de serviço e conceda funções de IAM.
Se implementar o Cortex XSOAR num perímetro de serviço, crie as regras de entrada e saída. Para ver instruções, consulte o artigo Conceder acesso ao perímetro nos VPC Service Controls.
Se estiver a alojar o Cortex XSOAR no seu ambiente no local e o seu fornecedor de identidade suportar a federação de identidades da carga de trabalho, configure a federação de identidades da carga de trabalho e transfira os ficheiros de configuração das credenciais. Caso contrário, crie uma chave de conta de serviço para cada Google Cloud organização no formato JSON.
Se estiver a alojar o Cortex XSOAR no Microsoft Azure ou nos Amazon Web Services, configure a federação de identidades da carga de trabalho e transfira os ficheiros de configuração das credenciais. Se estiver a usar várias Google Cloud organizações, adicione esta conta de serviço às outras organizações e conceda-lhe as funções de IAM descritas nos passos 5 a 7 do artigo Crie uma conta de serviço e conceda funções de IAM.
Configure as notificações
Conclua estes passos para cada Google Cloud organização a partir da qual quer importar dados do Centro de comandos de segurança.
Configure as notificações de localização da seguinte forma:
- Ative a API Security Command Center.
- Crie um filtro para exportar as conclusões.
- Crie um tópico do Pub/Sub para as descobertas.
O
NotificationConfigtem de usar o tópico Pub/Sub que criar para as descobertas.
Ative a API Cloud Asset para o seu projeto.
Precisa do ID da organização, do ID do projeto e do ID da subscrição do Pub/Sub desta tarefa para configurar o Cortex XSOAR. Para obter o ID da organização e o ID do projeto, consulte os artigos Obter o ID da organização e Identificar projetos, respetivamente.
Configure o Cortex XSOAR
Quando lhe é concedido acesso, o Cortex XSOAR recebe atualizações de resultados e recursos em tempo real.
Para usar o Security Command Center com o Cortex XSOAR, siga estes passos:
Instale o pacote de conteúdo Google Cloud SCC a partir do Cortex XSOAR Marketplace.
O pacote de conteúdo é um módulo mantido pelo Security Command Center que automatiza o processo de agendamento de chamadas da API Security Command Center e obtém regularmente dados do Security Command Center para utilização no Cortext XSOAR.
No menu da aplicação Cortex XSOAR, navegue para Definições e, de seguida, clique em Integrações.
Em Integrações, selecione Servidores e serviços.
Pesquise e selecione GoogleCloudSCC.
Para criar e configurar uma nova instância de integração, clique em Adicionar instância.
Introduza informações nos seguintes campos, conforme necessário:
Parâmetro Descrição Obrigatório Configuração da conta de serviço Uma das seguintes opções, conforme descrito em Antes de começar: - O conteúdo do ficheiro JSON da conta de serviço, se tiver criado uma chave da conta de serviço
- O conteúdo do ficheiro de configuração das credenciais, se estiver a usar a federação de identidade da carga de trabalho
True ID da organização O ID da sua organização True Obtenha incidentes Ativa o incidente de obtenção Falso ID do projeto O ID do projeto a usar para obter incidentes; se estiver vazio, é usado o ID do projeto contido no ficheiro JSON fornecido Falso ID da Subscrição O ID da sua subscrição do Pub/Sub True Máximo de incidentes O número máximo de incidentes a obter durante cada obtenção Falso Tipo de incidente O tipo de incidente Falso Confiar em qualquer certificado (não seguro) Permite confiar em todos os certificados Falso Usar definições de proxy do sistema Ativa as definições de proxy do sistema Falso Intervalo de obtenção de incidentes Tempo entre obtenções de informações de incidentes atualizadas Falso Nível de registo O nível de registo do pacote de conteúdo Falso Clique em Testar.
Se a configuração for válida, é apresentada uma mensagem de "êxito". Se for inválido, recebe uma mensagem de erro.
Clique em Guardar e sair.
Repita os passos 5 a 8 para cada organização.
O Cortex XSOAR mapeia automaticamente os campos das conclusões do Security Command Center para os campos adequados do Cortex XSOAR. Para substituir seleções ou saber mais sobre o Cortex XSOAR, leia a documentação do produto.
A configuração do Cortex XSOAR está concluída. A secção Gerir resultados e recursos explica como ver e gerir os dados do Security Command Center no serviço.
Atualize o pacote de conteúdo do Google Cloud SCC
Esta secção descreve como fazer a atualização a partir de uma versão anterior.
Aceda à versão mais recente do pacote de conteúdo Google Cloud SCC a partir do Cortex XSOAR Marketplace.
Clique em Transferir com dependências.
Clique em Instalar.
Clique em Atualizar conteúdo.
A atualização mantém as informações de configuração anteriores. Para usar a federação de identidade da carga de trabalho, adicione o ficheiro de configuração, conforme descrito em Configurar o Cortex XSOAR.
Faça a gestão das descobertas e dos recursos
Pode ver e atualizar recursos e resultados através da interface de linhas de comando (CLI) do Cortex XSOAR. Pode executar comandos como parte da triagem e remediação automatizadas ou num plano de ação.
Para ver os nomes e as descrições de todos os métodos e argumentos suportados para a CLI do Cortex XSOAR, bem como exemplos de resultados, consulte Comandos.
As conclusões são compiladas a partir dos serviços incorporados do Security Command Center: Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, bem como quaisquer serviços integrados que ativar.
Apresentar recursos
Para listar os recursos da sua organização, use o método google-cloud-scc-asset-list do Cortex XSOAR. Por exemplo, o seguinte comando apresenta os recursos onde lifecycleState é Ativo e limita a resposta a três recursos:
!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE
O símbolo de exclamação (!) nos exemplos de código é um símbolo obrigatório para iniciar comandos no Cortex XSOAR. Não representa a negação ou o operador NOT.
Veja os recursos dos recursos
Para listar os recursos contidos em recursos principais, como projetos, use o comando google-cloud-scc-asset-resource-list do Cortex XSOAR. Por exemplo, o comando seguinte apresenta os recursos com um assetType de compute.googleapis.com/Disk e limita a resposta a dois recursos:
!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2
Os carateres universais e as expressões regulares são suportados. Por exemplo,
assetType=".*Instance" lista os recursos em que o tipo de recurso termina com "instance" (instância).
Veja as conclusões
Para listar as conclusões da sua organização ou de uma origem de segurança, use o comando google-cloud-scc-finding-list do Cortex XSOAR. Por exemplo, o comando seguinte
apresenta as deteções ativas com gravidade crítica para todas as origens e limita a
resposta a três deteções:
!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"
Também pode filtrar os resultados. O comando seguinte lista todas as descobertas classificadas como ameaças:
!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""
Atualize as conclusões
Pode atualizar uma descoberta através do comando google-cloud-scc-finding-update do Cortex XSOAR. Tem de fornecer o name ou o nome do recurso relativo da descoberta, usando o seguinte formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.
Por exemplo, o comando seguinte atualiza a gravidade de uma descoberta:
!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"
Substitua o seguinte:
<var>ORGANIZATION_ID</var>com o ID da sua organização. Para aceder ao ID da organização e ao ID do projeto, consulte o artigo Aceder ao ID da organização.<var>SOURCE_ID</var>com o ID da origem de segurança. Para encontrar um ID de origem, consulte o artigo Obter o ID de origem.<var>FINDING_ID</var>com o ID da descoberta incluído nos detalhes da descoberta.
Atualize o estado da descoberta
Pode atualizar o estado de uma descoberta através do comando google-cloud-scc-finding-status-update do Cortex XSOAR. Tem de fornecer o name ou o nome do recurso relativo da descoberta, usando o seguinte formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.
Por exemplo, o seguinte comando define o estado da descoberta como ativo:
!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"
Substitua o seguinte:
<var>ORGANIZATION_ID</var>com o ID da sua organização. Para aceder ao ID da organização e ao ID do projeto, consulte o artigo Aceder ao ID da organização.<var>SOURCE_ID</var>com o ID da origem de segurança. Para encontrar um ID de origem, consulte o artigo Obter o ID de origem.<var>FINDING_ID</var>com o ID da descoberta incluído nos detalhes da descoberta.
Obtenha proprietários de recursos
Para listar os proprietários de um recurso, use o comando google-cloud-scc-asset-owner-get do Cortex XSOAR. Tem de indicar o nome do projeto no formato projects/PROJECT_NUMBER. Por exemplo, o comando seguinte apresenta o proprietário do projeto fornecido.
!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"
Para adicionar vários projetos ao comando, use um separador de vírgula, por exemplo:
projectName="projects/123456789, projects/987654321"
O que se segue?
Saiba como configurar as notificações de deteção no Security Command Center.
Leia acerca da filtragem de notificações de resultados no Security Command Center.