Security Command Center-Daten an Cortex XSOAR senden

Auf dieser Seite wird erläutert, wie Ergebnisse, Assets und Sicherheitsquellen von Security Command Center automatisch an Cortx XSOAR gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten. Cortex XSOAR ist eine Plattform der Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR), die Sicherheitsdaten aus einer oder mehreren Quellen aufnimmt und es Sicherheitsteams ermöglicht, Antworten auf Vorfälle zu verwalten. Sie können Cortex XSOAR verwenden, um Ihre Ergebnisse und Assets im Security Command Center anzusehen und die Ergebnisse zu aktualisieren, wenn Probleme behoben wurden.

In diesem Leitfaden sorgen Sie dafür, dass die erforderlichen Security Command Center- und Google Cloud-Dienste ordnungsgemäß konfiguriert sind und aktivieren Cortex XSOAR, um auf Ergebnisse und Assets in der Security Command Center-Umgebung zuzugreifen. Einige Anweisungen auf dieser Seite werden aus dem Integrationsleitfaden von Cortex XSOAR auf GitHub kompiliert.

Hinweise

In dieser Anleitung wird davon ausgegangen, dass Sie eine funktionierende Version von Cortex XSOAR haben. Für einen Einstieg in Cortex XSOAR registrieren Sie sich.

Authentifizierung und Autorisierung konfigurieren

Bevor Sie eine Verbindung zwischen Security Command Center und Cortex XSOAR herstellen, müssen Sie in jeder Google Cloud-Organisation ein IAM-Dienstkonto (Identity and Access Management) erstellen und diesem Konto die IAM-Rollen auf Organisations- und Projektebene zuweisen, die Cortex XSOAR benötigt.

Dienstkonto erstellen und IAM-Rollen gewähren

In den folgenden Schritten wird die Google Cloud Console verwendet. Weitere Methoden finden Sie in den Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. Erstellen Sie in demselben Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, in der Google Cloud Console auf der Seite Dienstkonten ein Dienstkonto. Eine Anleitung dazu finden Sie unter Dienstkonten erstellen und verwalten.
  2. Weisen Sie dem Dienstkonto die folgende Rolle zu:

    • Pub/Sub-Bearbeiter (roles/pubsub.editor)
  3. Kopieren Sie den Namen des soeben erstellten Dienstkontos.

  4. Verwenden Sie die Projektauswahl in der Google Cloud Console, um zur Organisationsebene zu wechseln.

  5. Öffnen Sie die Seite IAM für die Organisation:

    Seite „IAM“

  6. Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Steuerfeld „Zugriff gewähren“ wird geöffnet.

  7. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:

    1. Fügen Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.
    2. Weisen Sie im Bereich Rollen zuweisen dem Dienstkonto im Feld Rolle die folgenden IAM-Rollen zu:

    3. Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
    4. Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters (roles/securitycenter.notificationConfigEditor)
    5. Organisationsbetrachter (roles/resourcemanager.organizationViewer)
    6. Cloud-Asset-Betrachter (roles/cloudasset.viewer)
    7. Klicken Sie auf Speichern. Das Dienstkonto wird auf der Seite IAM auf dem Tab Berechtigungen unter Nach Hauptkonten filtern angezeigt.

      Durch Vererbung wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation. Die auf Projektebene anwendbaren Rollen werden als übernommene Rollen aufgeführt.

Weitere Informationen zum Erstellen von Dienstkonten und zum Zuweisen von Rollen finden Sie unter den folgenden Links:

Anmeldedaten für Cortex XSOAR angeben

Je nachdem, wo Sie Cortex XSOAR hosten, unterscheiden sich die IAM-Anmeldedaten, die Sie für Cortex XSOAR angeben.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. So richten Sie Ergebnisbenachrichtigungen ein:

    1. Aktivieren Sie die Security Command Center API.
    2. Erstellen Sie einen Filter, um Ergebnisse zu exportieren.
    3. Erstellen Sie ein Pub/Sub-Thema für Ergebnisse. NotificationConfig muss das Pub/Sub-Thema verwenden, das Sie für Ergebnisse erstellen.
  2. Aktivieren Sie die Cloud Asset API für Ihr Projekt.

Sie benötigen Ihre Organisations-ID, Ihre Projekt-ID und Ihre Pub/Sub-Abo-ID aus dieser Aufgabe, um Cortex XSOAR zu konfigurieren. Informationen zum Abrufen Ihrer Organisations-ID und Projekt-ID finden Sie unter Organisations-ID abrufen bzw. Projekte identifizieren.

Cortex XSOAR konfigurieren

Wenn Zugriff gewährt wird, erhält Cortex XSOAR Ergebnisse und Asset-Aktualisierungen in Echtzeit.

Führen Sie die folgenden Schritte aus, um Security Command Center mit Cortex XSOAR zu verwenden:

  1. Installieren Sie das Google Cloud SCC-Inhaltspaket vom Cortex XSOAR Marketplace.

    Das Content-Pack ist ein Modul, das von Security Command Center verwaltet wird und das Verfahren zur Planung von Security Command Center API-Aufrufen automatisiert und regelmäßig Security Command Center-Daten zur Verwendung in Cortext XSOAR abruft.

  2. Rufen Sie im Cortex XSOAR-Anwendungsmenü die Einstellungen auf und klicken Sie dann auf Integrationen.

  3. Wählen Sie unter Integrationen die Option Server und Dienste aus.

  4. Suchen Sie nach GoogleCloudSCC und wählen Sie es aus.

  5. Klicken Sie auf Instanz hinzufügen, um eine neue Integrationsinstanz zu erstellen und zu konfigurieren.

  6. Geben Sie nach Bedarf Informationen in die folgenden Felder ein:

    Parameter Beschreibung Erforderlich
    Dienstkontokonfiguration Führen Sie einen der folgenden Schritte aus, wie unter Vorbereitung beschrieben:
    • Der Inhalt der JSON-Datei des Dienstkontos, wenn Sie einen Dienstkontoschlüssel erstellt haben
    • Der Inhalt der Konfigurationsdatei für Anmeldedaten, wenn Sie die Workload Identity-Föderation verwenden
    Wahr
    Organisations-ID Die ID für Ihre Organisation Wahr
    Vorfälle abrufen Aktiviert den Abrufvorfall Falsch
    Projekt-ID Die ID des Projekts, das zum Abrufen von Vorfällen verwendet werden soll. Wenn leer, wird die ID des Projekts verwendet, das in der bereitgestellten JSON-Datei enthalten ist. Falsch
    Abo-ID Die ID Ihres Pub/Sub-Abos Wahr
    Maximale Vorfälle Die maximale Anzahl von Vorfällen, die bei jedem Abruf abgerufen werden sollen Falsch
    Typ des Vorfalls Art des Vorfalls Falsch
    Einem Zertifikat vertrauen (nicht sicher) Aktiviert die Vertrauensstellung für alle Zertifikate Falsch
    Proxy-Einstellungen des Systems verwenden Aktiviert Systemproxyeinstellungen Falsch
    Abrufintervall für Vorfälle Zeit zwischen Abrufen aktualisierter Informationen zu Vorfällen Falsch
    Protokollebene Die Protokollebene für das Inhaltspaket Falsch

  7. Klicken Sie auf Test.

    Wenn die Konfiguration gültig ist, wird die Meldung "erfolgreich" angezeigt. Wenn das Feld ungültig ist, erhalten Sie eine Fehlermeldung.

  8. Klicken Sie auf Speichern und schließen.

  9. Wiederholen Sie die Schritte 5 bis 8 für jede Organisation.

Cortex XSOAR ordnet Felder aus Security Command Center automatisch den entsprechenden Cortex XSOAR-Feldern zu. Informationen zum Überschreiben der Auswahl oder zu weitere Informationen zu Cronx XSOAR finden Sie in der Produktdokumentation.

Die Konfiguration von Cortex XSOAR ist abgeschlossen. Im Abschnitt Ergebnisse und Assets verwalten wird erläutert, wie Sie Security Command Center-Daten im Dienst anzeigen und verwalten.

Upgrade für das Google Cloud SCC-Inhaltspaket durchführen

In diesem Abschnitt wird beschrieben, wie Sie ein Upgrade von einer vorherigen Version durchführen.

  1. Rufen Sie die neueste Version des Google Cloud SCC-Inhaltspakets über den Cortex XSOAR Marketplace auf.

  2. Klicken Sie auf Mit Abhängigkeiten herunterladen.

  3. Klicken Sie auf Installieren.

  4. Klicken Sie auf Inhalt aktualisieren.

Für das Upgrade werden die vorherigen Konfigurationsinformationen beibehalten. Fügen Sie die Konfigurationsdatei hinzu, wie unter Cortex XSOAR konfigurieren beschrieben, um die Workload Identity-Föderation zu verwenden.

Ergebnisse und Assets verwalten

Sie können Assets und Ergebnisse über die Befehlszeilenschnittstelle von Cortex XSOAR anzeigen und aktualisieren. Sie können Befehle als Teil der automatischen Sichtung und Korrektur oder in einem Playbook ausführen.

Namen und Beschreibungen aller unterstützten Methoden und Argumente für die Cortex-XSOAR-Befehlszeile und Ausgabebeispiele finden Sie unter Befehle.

Die Ergebnisse werden aus den integrierten Diensten von Security Command Center kompiliert: Security Health Analytics, Web Security Scanner, Event Threat Detection und Container Threat Detection sowie alle integrierten Dienste, die Sie aktivieren.

Assets auflisten

Verwenden Sie die Methode google-cloud-scc-asset-list von Cortex XSOAR, um die Assets Ihrer Organisation aufzulisten. Mit dem folgenden Befehl werden beispielsweise Assets aufgelistet, bei denen lifecycleState Aktiv ist und die Antwort auf drei Assets begrenzt wird:

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

Das Ausrufezeichen (!) in Codebeispielen ist ein erforderliches Symbol für den Start von Befehlen in Cortex XSOAR. Es stellt keine Negation oder NOT dar.

Asset-Ressourcen anzeigen

Verwenden Sie den Befehl google-cloud-scc-asset-resource-list von Cortex XSOAR, um Assets aufzulisten, die in übergeordneten Ressourcen enthalten sind, z. B. Projekte. Mit dem folgenden Befehl werden beispielsweise Assets mit einem assetType von compute.googleapis.com/Disk aufgelistet und die Antwort auf zwei Assets beschränkt:

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

Platzhalter und reguläre Ausdrücke werden unterstützt. Beispiel: assetType=".*Instance" listet Assets auf, deren Assettyp mit "Instanz" endet.

Ergebnisse anzeigen

Verwenden Sie den Befehl google-cloud-scc-finding-list von Cortex XSOAR, um Ergebnisse für Ihre Organisation oder eine Sicherheitsquelle aufzulisten. Mit dem folgenden Befehl werden beispielsweise aktive Ergebnisse mit kritischem Schweregrad für alle Quellen aufgelistet und die Antwort auf drei Ergebnisse beschränkt:

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

Sie können auch Ihre Ergebnisse filtern. Mit dem folgenden Befehl werden alle Ergebnisse aufgelistet, die als Bedrohungen klassifiziert sind:

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

Ergebnisse aktualisieren

Sie können ein Ergebnis mit dem Befehl google-cloud-scc-finding-update von Cortex XSOAR aktualisieren. Sie müssen den name-Namen oder den relativen Ressourcennamen des Ergebnisses im folgenden Format angeben: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.

Mit dem folgenden Befehl wird beispielsweise die Wichtigkeit eines Ergebnisses aktualisiert:

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

Dabei gilt:

  • <var>ORGANIZATION_ID</var> durch Ihre Organisations-ID. Informationen zum Abrufen Ihrer Organisations- und Projekt-ID finden Sie unter Organisations-ID abrufen.
  • <var>SOURCE_ID</var> durch die ID der Sicherheitsquelle. Informationen zum Suchen der Quell-ID finden Sie unter Quell-ID abrufen.
  • <var>FINDING_ID</var> durch die Ergebnis-ID, die in den Ergebnisdetails enthalten ist.

Ergebnisstatus aktualisieren

Sie können den Status eines Ergebnisses mit dem Befehl google-cloud-scc-finding-status-update von Cortex XSOAR aktualisieren. Sie müssen den name-Namen oder den relativen Ressourcennamen des Ergebnisses im folgenden Format angeben: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.

Der folgende Befehl setzt beispielsweise den Ergebnisstatus auf Aktiv:

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

Dabei gilt:

  • <var>ORGANIZATION_ID</var> durch Ihre Organisations-ID. Informationen zum Abrufen Ihrer Organisations- und Projekt-ID finden Sie unter Organisations-ID abrufen.
  • <var>SOURCE_ID</var> durch die ID der Sicherheitsquelle. Informationen zum Suchen der Quell-ID finden Sie unter Quell-ID abrufen.
  • <var>FINDING_ID</var> durch die Ergebnis-ID, die in den Ergebnisdetails enthalten ist.

Assetinhaber abrufen

Verwenden Sie den Befehl google-cloud-scc-asset-owner-get von Cortex XSOAR, um die Inhaber eines Assets aufzulisten. Sie müssen den Projektnamen im Format projects/PROJECT_NUMBER angeben. Mit dem folgenden Befehl wird beispielsweise der Inhaber des bereitgestellten Projekts aufgelistet.

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

Verwenden Sie ein Komma als Trennzeichen, um den Befehl mehrere Projekte hinzuzufügen, z. B. projectName="projects/123456789, projects/987654321".

Nächste Schritte