Mengirim data Security Command Center ke Cortex XSOAR

Halaman ini menjelaskan cara mengirim temuan, aset, dan sumber keamanan Security Command Center secara otomatis ke Cortex XSOAR. Artikel ini juga menjelaskan cara mengelola data yang diekspor. Cortex XSOAR adalah platform orkestrasi keamanan, otomatisasi, dan respons (SOAR) yang menyerap data keamanan dari satu atau beberapa sumber dan memungkinkan tim keamanan mengelola respons terhadap insiden. Anda dapat menggunakan Cortex XSOAR untuk melihat temuan dan aset Security Command Center, serta memperbarui temuan saat masalah terselesaikan.

Dalam panduan ini, Anda memastikan bahwa layanan Security Command Center dan Google Cloud yang diperlukan telah dikonfigurasi dengan benar, dan memungkinkan Cortex XSOAR mengakses temuan dan aset di lingkungan Security Command Center Anda. Beberapa petunjuk di halaman ini dikompilasi dari panduan integrasi Cortex XSOAR di GitHub.

Sebelum memulai

Panduan ini mengasumsikan bahwa Anda memiliki versi Cortex XSOAR yang berfungsi. Untuk mulai menggunakan Cortex XSOAR, daftar.

Mengonfigurasi autentikasi dan otorisasi

Sebelum terhubung ke Security Command Center ke Cortex XSOAR, Anda harus membuat akun layanan Identity and Access Management (IAM) di setiap organisasi Google Cloud dan memberikan peran IAM level organisasi maupun level project yang diperlukan Cortex XSOAR ke akun tersebut.

Membuat akun layanan dan memberikan peran IAM

Langkah-langkah berikut dilakukan menggunakan konsol Google Cloud. Untuk metode lainnya, lihat link di akhir bagian ini.

Selesaikan langkah-langkah berikut untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

  1. Dalam project yang sama tempat Anda membuat topik Pub/Sub, gunakan halaman Service Accounts di Google Cloud Console untuk membuat akun layanan. Untuk mengetahui petunjuknya, lihat Membuat dan mengelola akun layanan.

  2. Berikan peran berikut kepada akun layanan:

    • Editor Pub/Sub (roles/pubsub.editor)

  3. Salin nama akun layanan yang baru saja Anda buat.

  4. Gunakan pemilih project di Konsol Google Cloud untuk beralih ke tingkat organisasi.

  5. Buka halaman IAM untuk organisasi:

    Buka IAM

  6. Pada halaman IAM, klik Berikan akses. Panel berikan akses akan terbuka.

  7. Di panel Berikan akses, selesaikan langkah-langkah berikut:

    1. Di bagian Add principals di kolom New principals, tempelkan nama akun layanan.

    2. Di bagian Tetapkan peran, gunakan kolom Peran untuk memberikan peran IAM berikut ke akun layanan:

      • Editor Admin Pusat Keamanan (roles/securitycenter.adminEditor)
      • Editor Konfigurasi Notifikasi Pusat Keamanan (roles/securitycenter.notificationConfigEditor)
      • Organization Viewer (roles/resourcemanager.organizationViewer)
      • Viewer Aset Cloud (roles/cloudasset.viewer)

    3. Klik Simpan. Akun keamanan muncul di tab Permissions pada halaman IAM di bagian View by principals.

      Berdasarkan pewarisan, akun layanan juga menjadi akun utama di semua project turunan organisasi dan peran yang berlaku di level project dicantumkan sebagai peran yang diwarisi.

Untuk mengetahui informasi selengkapnya tentang cara membuat akun layanan dan memberikan peran, lihat topik berikut:

Memberikan kredensial ke Cortex XSOAR

Bergantung pada tempat Anda menghosting Cortex XSOAR, cara Anda memberikan kredensial IAM ke Cortex XSOAR berbeda-beda.

Mengonfigurasi notifikasi

Selesaikan langkah-langkah berikut untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

  1. Siapkan notifikasi temuan sebagai berikut:

    1. Mengaktifkan Security Command Center API.
    2. Buat filter untuk mengekspor temuan.
    3. Buat topik Pub/Sub untuk temuan. NotificationConfig harus menggunakan topik Pub/Sub yang Anda buat untuk temuan.

  2. Aktifkan Cloud Asset API untuk project Anda.

Anda memerlukan ID organisasi, project ID, dan ID langganan Pub/Sub dari tugas ini untuk mengonfigurasi Cortex XSOAR. Untuk mengambil ID organisasi dan project ID Anda, baca artikel Mengambil ID organisasi dan Mengidentifikasi project.

Mengonfigurasi Cortex XSOAR

Setelah akses diberikan, Cortex XSOAR akan menerima pembaruan temuan dan aset secara real time.

Untuk menggunakan Security Command Center dengan Cortex XSOAR, lakukan langkah-langkah berikut:

  1. Instal paket konten Google Cloud SCC dari Cortex XSOAR Marketplace.

    Paket konten adalah modul yang dikelola oleh Security Command Center yang mengotomatiskan proses penjadwalan panggilan Security Command Center API dan secara rutin mengambil data Security Command Center untuk digunakan di Cortext XSOAR.

  2. Di menu aplikasi Cortex XSOAR, buka Settings, lalu klik Integrations.

  3. Di bagian Integrations, pilih Servers & Services.

  4. Telusuri dan pilih GoogleCloudSCC.

  5. Untuk membuat dan mengonfigurasi instance integrasi baru, klik Tambahkan instance.

  6. Masukkan informasi ke kolom berikut sesuai kebutuhan:

    Parameter Deskripsi Wajib
    Konfigurasi Akun Layanan Salah satu hal berikut, seperti yang dijelaskan di Sebelum memulai:
    • Isi file JSON Akun Layanan, jika Anda membuat kunci akun layanan
    • Konten file konfigurasi kredensial, jika Anda menggunakan federation workload identity
    		 Benar
    ID Organisasi ID untuk organisasi Anda Benar
    Insiden pengambilan Mengaktifkan insiden pengambilan Salah
    Project ID ID project yang akan digunakan untuk mengambil insiden; jika kosong, ID project yang terdapat dalam file JSON yang disediakan akan digunakan Salah
    ID Langganan ID langganan Pub/Sub Anda Benar
    Insiden Maks. Jumlah maksimum insiden yang akan diambil selama setiap pengambilan Salah
    Jenis insiden Jenis insiden Salah
    Percayai sertifikat apa pun (tidak aman) Mengaktifkan kepercayaan pada semua sertifikat Salah
    Gunakan setelan proxy sistem Mengaktifkan setelan proxy sistem Salah
    Interval Pengambilan Insiden Waktu antara pengambilan informasi insiden yang diperbarui Salah
    Tingkat Log Level log untuk paket konten Salah

  7. Klik Uji.

    Jika konfigurasi valid, Anda akan melihat pesan "berhasil". Jika tidak valid, Anda mendapat pesan {i>error<i}.

  8. Klik Save and exit.

  9. Ulangi langkah 5 hingga 8 untuk setiap organisasi.

Cortex XSOAR secara otomatis memetakan kolom dari temuan Security Command Center ke kolom Cortex XSOAR yang sesuai. Untuk mengganti pilihan atau mempelajari Cortex XSOAR lebih lanjut, baca dokumentasi produk.

Konfigurasi Cortex XSOAR selesai. Bagian Mengelola temuan dan aset menjelaskan cara melihat dan mengelola data Security Command Center di layanan.

Mengupgrade paket konten SCC Google Cloud

Bagian ini menjelaskan cara melakukan upgrade dari versi sebelumnya.

  1. Akses paket konten SCC Google Cloud versi terbaru dari Cortex XSOAR Marketplace.

  2. Klik Download with Dependencies.

  3. Klik Install (Instal).

  4. Klik Muat ulang konten.

Upgrade mempertahankan informasi konfigurasi Anda sebelumnya. Untuk menggunakan gabungan workload identity, tambahkan file konfigurasi, seperti yang dijelaskan dalam Mengonfigurasi Cortex XSOAR.

Mengelola temuan dan aset

Anda dapat melihat dan memperbarui aset serta temuan menggunakan antarmuka command line (CLI) Cortex XSOAR. Anda dapat menjalankan perintah sebagai bagian dari triaging dan perbaikan otomatis, atau di playbook.

Untuk mengetahui nama dan deskripsi semua metode dan argumen yang didukung untuk CLI Cortex XSOAR, serta contoh output, lihat Perintah.

Temuan dikompilasi dari layanan bawaan Security Command Center—Security Health Analytics, Web Security Scanner, Event Threat Detection, dan Container Threat Detection—serta semua layanan terintegrasi yang Anda aktifkan.

Cantumkan aset

Untuk mencantumkan aset organisasi Anda, gunakan metode google-cloud-scc-asset-list Cortex XSOAR. Misalnya, perintah berikut mencantumkan aset dengan lifecycleState dalam status Aktif dan membatasi respons ke tiga aset:

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

Simbol tanda seru (!) dalam contoh kode adalah simbol yang diperlukan untuk memulai perintah di Cortex XSOAR. Pernyataan tersebut tidak mewakili negasi atau NOT.

Lihat aset aset

Untuk mencantumkan aset yang terdapat dalam resource induk, misalnya project, gunakan perintah google-cloud-scc-asset-resource-list Cortex XSOAR. Misalnya, perintah berikut mencantumkan aset dengan assetType dari compute.googleapis.com/Disk dan membatasi respons terhadap dua aset:

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

Karakter pengganti dan ekspresi reguler didukung. Misalnya, assetType=".*Instance" mencantumkan aset yang jenis asetnya diakhiri dengan "instance".

Lihat temuan

Untuk mencantumkan temuan untuk organisasi Anda atau sumber keamanan, gunakan perintah google-cloud-scc-finding-list Cortex XSOAR. Misalnya, perintah berikut mencantumkan temuan aktif dengan tingkat keparahan kritis untuk semua sumber dan membatasi respons terhadap tiga temuan:

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

Anda juga dapat memfilter temuan Anda. Perintah berikut mencantumkan setiap temuan yang diklasifikasikan sebagai ancaman:

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

Perbarui temuan

Anda dapat memperbarui temuan menggunakan perintah google-cloud-scc-finding-update Cortex XSOAR. Anda harus memberikan name, atau nama resource relatif, dari temuan, menggunakan format berikut: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.

Misalnya, perintah berikut memperbarui tingkat keseriusan temuan:

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

Ganti kode berikut:

  • <var>ORGANIZATION_ID</var> dengan ID organisasi Anda. Untuk mengambil ID organisasi dan project ID, baca artikel Mengambil ID organisasi.
  • <var>SOURCE_ID</var> dengan ID sumber keamanan. Untuk menemukan ID sumber, lihat Mendapatkan ID sumber.
  • <var>FINDING_ID</var> dengan ID temuan yang disertakan dalam detail temuan.

Perbarui status temuan

Anda dapat memperbarui status temuan menggunakan perintah google-cloud-scc-finding-status-update Cortex XSOAR. Anda harus memberikan name, atau nama resource relatif, dari temuan, menggunakan format berikut: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.

Misalnya, perintah berikut menetapkan status temuan menjadi aktif:

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

Ganti kode berikut:

  • <var>ORGANIZATION_ID</var> dengan ID organisasi Anda. Untuk mengambil ID organisasi dan project ID, baca artikel Mengambil ID organisasi.
  • <var>SOURCE_ID</var> dengan ID sumber keamanan. Untuk menemukan ID sumber, lihat Mendapatkan ID sumber.
  • <var>FINDING_ID</var> dengan ID temuan yang disertakan dalam detail temuan.

Mendapatkan pemilik aset

Untuk menampilkan daftar pemilik aset, gunakan perintah google-cloud-scc-asset-owner-get Cortex XSOAR. Anda harus memberikan nama project dalam bentuk projects/PROJECT_NUMBER. Misalnya, perintah berikut menampilkan daftar pemilik project yang disediakan.

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

Untuk menambahkan beberapa project ke perintah, gunakan pemisah koma, misalnya, projectName="projects/123456789, projects/987654321"

Langkah selanjutnya