Nesta página, explicamos como enviar automaticamente descobertas, recursos e origens de segurança do Security Command Center para o Cortex XSOAR (em inglês). Também descreve como gerenciar os dados exportados. O Cortex XSOAR é uma plataforma de orquestração, automação e resposta de segurança (SOAR, na sigla em inglês) que ingere dados de segurança de uma ou mais fontes e permite que as equipes de segurança gerenciem respostas a incidentes. É possível usar o Cortex XSOAR para visualizar as descobertas e os recursos do Security Command Center e atualizar as descobertas quando os problemas são resolvidos.
Neste guia, você garante que os serviços necessários do Security Command Center e do Google Cloud estão configurados corretamente e permite que o Cortex XSOAR acesse descobertas e recursos no ambiente do Security Command Center. Algumas das instruções nesta página são compiladas a partir do guia de integrações do Cortex XSOAR no GitHub.
Antes de começar
Este guia pressupõe que você tenha uma versão em funcionamento do Cortex XSOAR. Para começar a usar o Cortex XSOAR, faça sua inscrição.
Configurar autenticação e autorização
Antes de se conectar ao Security Command Center ao Cortex XSOAR, você precisa criar uma conta de serviço do Identity and Access Management (IAM) em cada organização do Google Cloud e conceder a essa conta no papéis do IAM no nível da organização e do projeto de que o Cortex XSOAR precisa.
Criar uma conta de serviço e conceder papéis do IAM
As etapas a seguir usam o console do Google Cloud. Para ver outros métodos, consulte os links no final desta seção.
Conclua estas etapas para cada organização do Google Cloud de onde você quer importar dados do Security Command Center.
- No mesmo projeto em que você cria os tópicos do Pub/Sub, use a página Contas de serviço no console do Google Cloud para criar uma conta de serviço. Veja instruções em Como criar e gerenciar contas de serviço.
Conceda à conta de serviço a este papel:
- Editor do Pub/Sub (
roles/pubsub.editor
)
- Editor do Pub/Sub (
Copie o nome da conta de serviço que você acabou de criar.
Use o seletor de projetos no console do Google Cloud para mudar para o nível da organização.
Abra a página IAM da organização:
Na página do IAM, clique em Conceder acesso. O painel de concessão de acesso é aberto.
No painel Conceder acesso, conclua as seguintes etapas:
- Na seção Adicionar principais no campo Novos principais, cole o nome da conta de serviço.
Na seção Atribuir papéis, use o campo Papel para conceder os seguintes papéis do IAM à conta de serviço:
- Editor administrador da Central de segurança (
roles/securitycenter.adminEditor
) - Editor de configurações de notificação da Central de segurança
(
roles/securitycenter.notificationConfigEditor
) - Leitor da organização (
roles/resourcemanager.organizationViewer
) - Leitor de recursos do Cloud (
roles/cloudasset.viewer
) Clique em Salvar. A conta de serviço aparece na guia Permissões da página IAM em Ver pelos principais.
Por herança, a conta de serviço também se torna uma conta principal em todos os projetos filhos da organização. Os papéis aplicáveis no nível do projeto são listados como papéis herdados.
Para mais informações sobre como criar contas de serviço e conceder papéis, consulte estes tópicos:
Forneça as credenciais para o Cortex XSOAR
Dependendo de onde você está hospedando o Cortex XSOAR, a forma de fornecer as credenciais do IAM ao Cortex XSOAR muda.
Se você hospeda o Cortex XSOAR no Google Cloud, considere o seguinte:
A conta de serviço criada e os papéis no nível da organização que você concedeu a ela estão disponíveis automaticamente por herança da organização mãe. Se você estiver usando várias organizações do Google Cloud, adicione essa conta de serviço às outras organizações e conceda a ela os papéis do IAM descritos nas etapas 5 a 7 de Criar uma conta de serviço e conceder papéis do IAM.
Se você implantar o Cortex XSOAR em um perímetro de serviço, crie as regras de entrada e saída. Para instruções, consulte Como conceder acesso ao perímetro no VPC Service Controls.
Se você hospedar o Cortex XSOAR no seu ambiente local e o provedor de identidade oferecer suporte à federação de identidade da carga de trabalho, configure a federação de identidade da carga de trabalho e faça o download dos arquivos de configuração de credenciais. Caso contrário, crie uma chave de conta de serviço para cada organização do Google Cloud no formato JSON.
Se você estiver hospedando o Cortex XSOAR no Microsoft Azure ou no Amazon Web Services, configure a federação de identidade da carga de trabalho e faça o download dos arquivos de configuração de credenciais. Se você estiver usando várias organizações do Google Cloud, adicione essa conta de serviço às outras organizações e conceda a ela os papéis do IAM descritos nas etapas 5 a 7 de Criar uma conta de serviço e conceder papéis do IAM.
Configurar notificações
Conclua estas etapas para cada organização do Google Cloud de onde você quer importar dados do Security Command Center.
Configure as notificações de localização da seguinte forma:
- Ative a API Security Command Center.
- Crie um filtro para exportar descobertas.
- Crie um tópico do Pub/Sub para descobertas.
O
NotificationConfig
precisa usar o tópico do Pub/Sub criado para as descobertas.
Ative a API Cloud Asset no projeto.
Você precisará do ID da organização, do ID do projeto e do ID da assinatura do Pub/Sub nesta tarefa para configurar o Cortex XSOAR. Para recuperar esses IDs, consulte Como recuperar o ID da organização e a Como identificar projetos, respectivamente.
Configurar o Cortex XSOAR
Quando tiver acesso, o Cortex XSOAR receberá descobertas e atualizações de recursos em tempo real.
Para usar o Security Command Center com o Cortex XSOAR, execute as seguintes etapas:
Instale o pacote de conteúdo SCC do Google Cloud do Cortex XSOAR Marketplace.
O pacote de conteúdo é um módulo mantido pelo Security Command Center que automatiza o processo de agendamento de chamadas de API do Security Command Center e recupera regularmente os dados do Security Command Center para uso no Cortext XSOAR.
No menu do aplicativo Cortex XSOAR, acesse Settings e clique em Integrations.
Em Integrations, selecione Servers & Services.
Pesquise e selecione GoogleCloudSCC.
Para criar e configurar uma nova instância de integração, clique em Adicionar instância.
Insira informações nos seguintes campos, conforme necessário:
Parâmetro Descrição Valor Configuração da conta de serviço Conforme descrito em Antes de começar, siga estas etapas: - O conteúdo do arquivo JSON da conta de serviço, se você tiver criado uma chave da conta de serviço
- O conteúdo do arquivo de configuração de credencial, se você estiver usando a federação de identidade da carga de trabalho
Verdadeiro ID da organização o ID da organização Verdadeiro Buscar incidentes Ativa o incidente de busca Falso ID do projeto o ID do projeto a ser usado para buscar incidentes. Se estiver vazio, o ID do projeto contido no arquivo JSON fornecido será usado Falso ID da assinatura O ID da sua assinatura do Pub/Sub Verdadeiro Número máximo de incidentes O número máximo de incidentes a serem buscados durante cada recuperação Falso Tipo de incidente O tipo de incidente Falso Confiar em qualquer certificado (não seguro) Permite confiar em todos os certificados Falso Usar configurações do proxy do sistema Ativa as configurações de proxy do sistema Falso Intervalo de busca de incidentes Tempo entre a recuperação de informações atualizadas sobre incidentes Falso Nível do registro O nível de registro do pacote de conteúdo Falso Clique em Teste.
Se a configuração for válida, você verá uma mensagem de êxito. Se inválido, você receberá uma mensagem de erro.
Clique em Salvar e sair.
Repita as etapas de 5 a 8 para cada organização.
O Cortex XSOAR mapeia automaticamente os campos das descobertas do Security Command Center para os campos apropriados do Cortex XSOAR. Para modificar as seleções ou saber mais sobre o Cortex XSOAR, leia a documentação do produto.
A configuração do Cortex XSOAR foi concluída. A seção Gerenciar descobertas e recursos explica como visualizar e gerenciar dados do Security Command Center no serviço.
Fazer upgrade do pacote de conteúdo SCC do Google Cloud
Esta seção descreve como fazer upgrade de uma versão anterior.
Acesse a versão mais recente do pacote de conteúdo SCC do Google Cloud no Cortex XSOAR Marketplace.
Clique em Fazer download com dependências.
Clique em Instalar.
Clique em Atualizar conteúdo.
A atualização mantém as informações de configuração anteriores. Para usar a federação de identidade da carga de trabalho, adicione o arquivo de configuração, conforme descrito em Configurar o Cortex XSOAR.
Gerencie descobertas e recursos
Você pode ver e atualizar recursos e descobertas usando a interface de linha de comando (CLI) do Cortex XSOAR. É possível executar comandos como parte da triagem e remediação automática ou em um manual.
Para ver nomes e descrições de todos os métodos e argumentos compatíveis com a CLI do Cortex XSOAR e exemplos de saída, consulte Comandos.
As descobertas são compiladas nos serviços integrados do Security Command Center: Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, além de todos os serviços integrados que você ativar.
Listar recursos
Para listar os recursos da sua organização, use o método google-cloud-scc-asset-list
do Cortex XSOAR. Por exemplo, o comando a seguir lista recursos em que lifecycleState
está Ativo e limita a resposta a três recursos:
!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE
O símbolo de exclamação (!
) nas amostras de código é obrigatório para iniciar
comandos no Cortex XSOAR. Isso não representa negação ou N NOTO.
Ver recursos de recurso
Para listar os recursos contidos nos recursos pai, como projetos, use o comando google-cloud-scc-asset-resource-list
do Cortex XSOAR. Por exemplo, o
comando a seguir lista recursos com uma assetType
de
compute.googleapis.com/Disk
e limita a resposta a dois recursos:
!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2
Caracteres curinga e expressões regulares são compatíveis. Por exemplo,
assetType=".*Instance"
lista recursos em que o tipo de recurso termina com "instância".
Ver descobertas
Para listar as descobertas da sua organização ou uma fonte de segurança, use o comando google-cloud-scc-finding-list
do Cortex XSOAR. Por exemplo, o comando a seguir lista descobertas ativas com gravidade crítica para todas as origens e limita a resposta a três descobertas:
!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"
Também é possível filtrar as descobertas. O comando a seguir lista todas as descobertas classificadas como ameaças:
!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""
Atualizar descobertas
Para atualizar uma descoberta, use o comando google-cloud-scc-finding-update
do Cortex XSOAR. Forneça o name
ou o nome do recurso relativo da descoberta usando o seguinte formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID
.
Por exemplo, o comando a seguir atualiza a gravidade de uma descoberta:
!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"
Substitua:
<var>ORGANIZATION_ID</var>
pelo ID da organização. Para recuperar o ID da organização e do projeto, consulte Como recuperar o ID da organização.<var>SOURCE_ID</var>
pelo ID da origem de segurança. Para encontrar um ID de origem, consulte Como conseguir o ID de origem.<var>FINDING_ID</var>
pelo código de descoberta incluído nos detalhes da descoberta.
Atualizar status da descoberta
É possível atualizar o status de uma descoberta usando o comando google-cloud-scc-finding-status-update
do Cortex XSOAR. Forneça o name
ou o nome do recurso relativo da descoberta usando o seguinte formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
.
Por exemplo, o seguinte comando define o status de descoberta como ativo:
!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"
Substitua:
<var>ORGANIZATION_ID</var>
pelo ID da organização. Para recuperar o ID da organização e do projeto, consulte Como recuperar o ID da organização.<var>SOURCE_ID</var>
pelo ID da origem de segurança. Para encontrar um ID de origem, consulte Como conseguir o ID de origem.<var>FINDING_ID</var>
pelo código de descoberta incluído nos detalhes da descoberta.
Proprietários de recursos
Para listar os proprietários de um recurso, use o comando google-cloud-scc-asset-owner-get
do Cortex XSOAR. Você precisa fornecer o nome do projeto no
formato projects/PROJECT_NUMBER
. Por exemplo, o comando a seguir lista o proprietário do projeto fornecido.
!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"
Para adicionar vários projetos ao comando, use um separador de vírgula, por exemplo, projectName="projects/123456789, projects/987654321"
A seguir
Saiba mais sobre como configurar notificações de localização no Security Command Center.
Leia sobre como filtrar notificações de descoberta no Security Command Center.