Esta página foi traduzida pela API Cloud Translation.

Envie dados do Security Command Center para o Elastic Stack através do Docker

Esta página explica como usar um contentor Docker para alojar a instalação do Elastic Stack e enviar automaticamente as conclusões, os recursos, os registos de auditoria e as origens de segurança do Security Command Center para o Elastic Stack. Também descreve como gerir os dados exportados.

O Docker é uma plataforma para gerir aplicações em contentores. O Elastic Stack é uma plataforma de informações de segurança e gestão de eventos (SIEM) que introduz dados de uma ou mais origens e permite que as equipas de segurança geram respostas a incidentes e realizem estatísticas em tempo real. A configuração do Elastic Stack abordada neste guia inclui quatro componentes:

Filebeat: um agente leve instalado em anfitriões de limite, como máquinas virtuais (VM), que pode ser configurado para recolher e encaminhar dados
Logstash: um serviço de transformação que introduz dados, mapeia-os em campos obrigatórios e encaminha os resultados para o Elasticsearch
Elasticsearch: um motor de base de dados de pesquisa que armazena dados
Kibana: alimenta painéis de controlo que lhe permitem visualizar e analisar dados

Neste guia, configura o Docker, garante que os serviços do Security Command Center e Google Cloud necessários estão configurados corretamente e usa um módulo personalizado para enviar resultados, recursos, registos de auditoria e origens de segurança para o Elastic Stack.

A figura seguinte ilustra o caminho dos dados quando usa o Elastic Stack com o Security Command Center.

Integração do Security Command Center e do Elastic Stack (clique para aumentar)

Configure a autenticação e a autorização

Antes de se ligar ao Elastic Stack, tem de criar uma conta de serviço de gestão de identidade e acesso (IAM) em cada Google Cloud organização que quer ligar e conceder à conta as funções de IAM ao nível da organização e do projeto de que o Elastic Stack precisa.

Crie uma conta de serviço e conceda funções da IAM

Os passos seguintes usam a Google Cloud consola. Para outros métodos, consulte os links no final desta secção.

Conclua estes passos para cada Google Cloud organização a partir da qual quer importar dados do Centro de comandos de segurança.

No mesmo projeto em que cria os tópicos do Pub/Sub, use a página Contas de serviço na Google Cloud consola para criar uma conta de serviço. Para obter instruções, consulte o artigo Criar e gerir contas de serviço.
Conceda à conta de serviço as seguintes funções:
- Administrador do Pub/Sub (roles/pubsub.admin)
- Proprietário de recursos da nuvem (roles/cloudasset.owner)
Copie o nome da conta de serviço que acabou de criar.
Use o seletor de projetos na Google Cloud consola para mudar para o nível da organização.
Abra a página IAM da organização:

Aceda ao IAM
Na página do IAM, clique em Conceder acesso. É aberto o painel Conceder acesso.
No painel Conceder acesso, conclua os seguintes passos:
1. Na secção Adicionar membros, no campo Novos membros, cole o nome da conta de serviço.
2. Na secção Atribuir funções, use o campo Função para conceder as seguintes funções do IAM à conta de serviço:
3. Editor de administração do centro de segurança (roles/securitycenter.adminEditor)
4. Editor de configurações de notificações do centro de segurança (roles/securitycenter.notificationConfigEditor)
5. Visualizador da organização (roles/resourcemanager.organizationViewer)
6. Cloud Asset Viewer (roles/cloudasset.viewer)
7. Logs Configuration Writer (roles/logging.configWriter)
8. Clique em Guardar. A conta de serviço aparece no separador Autorizações da página IAM em Ver por responsáveis.
  
  Por herança, a conta de serviço também se torna um principal em todos os projetos subordinados da organização. As funções aplicáveis ao nível do projeto são apresentadas como funções herdadas.

Para mais informações sobre como criar contas de serviço e conceder funções, consulte os seguintes tópicos:

Faculte as credenciais ao Elastic Stack

A forma como faculta as credenciais do IAM ao Elastic Stack varia consoante o local onde está a alojar o Elastic Stack.

Se estiver a alojar o contentor Docker no Google Cloud, considere o seguinte:
- Adicione a conta de serviço à VM que vai alojar os seus nós do Kubernetes. Se estiver a usar várias Google Cloud organizações, adicione esta conta de serviço às outras organizações e conceda-lhe as funções de IAM descritas nos passos 5 a 7 do artigo Crie uma conta de serviço e conceda funções de IAM.
- Se implementar o contentor Docker num perímetro de serviço, crie as regras de entrada e saída. Para ver instruções, consulte o artigo Conceder acesso ao perímetro nos VPC Service Controls.
Se estiver a alojar o contentor Docker no seu ambiente no local, crie uma chave de conta de serviço para cada Google Cloud organização. Precisa das chaves da conta de serviço no formato JSON para concluir este guia.

Para saber mais sobre as práticas recomendadas para armazenar as chaves de conta de serviço em segurança, consulte o artigo Práticas recomendadas para gerir chaves de conta de serviço.
Se estiver a instalar o contentor Docker noutra nuvem, configure a federação de identidades da carga de trabalho e transfira os ficheiros de configuração das credenciais. Se estiver a usar várias Google Cloud organizações, adicione esta conta de serviço às outras organizações e conceda-lhe as funções de IAM descritas nos passos 5 a 7 do artigo Crie uma conta de serviço e conceda funções de IAM.

Configure as notificações

Conclua estes passos para cada Google Cloud organização a partir da qual quer importar dados do Centro de comandos de segurança.

Configure as notificações de localização da seguinte forma:
1. Ative a API Security Command Center.
2. Crie um filtro para exportar conclusões e recursos.
3. Crie quatro tópicos do Pub/Sub: um para cada um dos seguintes elementos: resultados, recursos, registos de auditoria e recursos. O NotificationConfigtem de usar o tópico Pub/Sub que cria para as descobertas.
Precisa do ID da organização, do ID do projeto e dos nomes dos tópicos do Pub/Sub desta tarefa para configurar o Elastic Stack.
Ative a Cloud Asset API para o seu projeto.

Instale os componentes do Docker e do Elasticsearch

Siga estes passos para instalar os componentes do Docker e do Elasticsearch no seu ambiente.

Instale o Docker Engine e o Docker Compose

Pode instalar o Docker para utilização no local ou com um fornecedor de nuvem. Para começar, conclua os seguintes guias na documentação do produto do Docker:

Instale o Elasticsearch e o Kibana

A imagem Docker que instalou em Instalar Docker inclui o Logstash e o Filebeat. Se ainda não tiver o Elasticsearch e o Kibana instalados, use os seguintes guias para instalar as aplicações:

Precisa das seguintes informações dessas tarefas para concluir este guia:

Elastic Stack: anfitrião, porta, certificado, nome de utilizador e palavra-passe
Kibana: anfitrião, porta, certificado, nome de utilizador e palavra-passe

Transfira o módulo GoApp

Esta secção explica como transferir o módulo GoApp, um programa Go mantido pelo Security Command Center. O módulo automatiza o processo de agendamento de chamadas da API Security Command Center e obtém regularmente dados do Security Command Center para utilização no Elastic Stack.

Para instalar o GoApp, faça o seguinte:

Numa janela de terminal, instale o wget, um utilitário de software gratuito usado para obter conteúdo de servidores Web.

Para distribuições Ubuntu e Debian, execute o seguinte:
```
apt-get install wget
```
Para as distribuições RHEL, CentOS e Fedora, execute o seguinte:
```
yum install wget
```
Instale o unzip, um utilitário de software gratuito usado para extrair o conteúdo de ficheiros ZIP.

Para distribuições Ubuntu e Debian, execute o seguinte:
```
apt-get install unzip
```
Para as distribuições RHEL, CentOS e Fedora, execute o seguinte:
```
yum install unzip
```
Crie um diretório para o pacote de instalação do GoogleSCCElasticIntegration:
```
mkdir GoogleSCCElasticIntegration
```

Transfira o pacote de instalação do GoogleSCCElasticIntegration:

wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip

Extraia o conteúdo do pacote de instalação do GoogleSCCElasticIntegration para o diretório GoogleSCCElasticIntegration:
```
unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration
```
Crie um diretório de trabalho para armazenar e executar os componentes do módulo GoApp:
```
mkdir WORKING_DIRECTORY
```
Substitua WORKING_DIRECTORY pelo nome do diretório.
Navegue para o diretório de instalação do GoogleSCCElasticIntegration:
```
cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/
```
Substitua ROOT_DIRECTORY pelo caminho para o diretório que contém o diretório GoogleSCCElasticIntegration.
Mova install, config.yml, dashboards.ndjson e a pasta templates (com os ficheiros filebeat.tmpl, logstash.tmpl e docker.tmpl) para o diretório de trabalho.
```
mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY
```
Substitua WORKING_DIRECTORY pelo caminho para o seu diretório de trabalho.

Instale o contentor Docker

Para configurar o contentor Docker, transfere e instala uma imagem pré-formatada que Google Cloud contém o Logstash e o Filebeat. Para informações sobre a imagem do Docker, aceda ao repositório do Artifact Registry na Google Cloud consola.

Aceda ao Artifact Registry

Durante a instalação, configura o módulo GoApp com as credenciais do Security Command Center e do Elastic Stack.

Navegue para o diretório de trabalho:
```
cd /WORKING_DIRECTORY
```
Substitua WORKING_DIRECTORY pelo caminho para o seu diretório de trabalho.

Verifique se os seguintes ficheiros aparecem no seu diretório de trabalho:

  ├── config.yml
  ├── install
  ├── dashboards.ndjson
  ├── templates
      ├── filebeat.tmpl
      ├── docker.tmpl
      ├── logstash.tmpl

Num editor de texto, abra o ficheiro config.yml e adicione as variáveis pedidas. Se uma variável não for obrigatória, pode deixá-la em branco.

Variável	Descrição	Obrigatória
`elasticsearch`	A secção para a configuração do Elasticsearch.	Obrigatória
`host`	O endereço IP do anfitrião do Elastic Stack.	Obrigatória
`password`	A sua palavra-passe do Elasticsearch.	Opcional
`port`	A porta do anfitrião do Elastic Stack.	Obrigatória
`username`	O seu nome de utilizador do Elasticsearch.	Opcional
`cacert`	O certificado do servidor Elasticsearch (por exemplo, `path/to/cacert/elasticsearch.cer`).	Opcional
`http_proxy`	Um link com o nome de utilizador, a palavra-passe, o endereço IP e a porta do anfitrião do proxy (por exemplo, `http://USER:PASSWORD@PROXY_IP:PROXY_PORT`).	Opcional
`kibana`	A secção para a configuração do Kibana.	Obrigatória
`host`	O endereço IP ou o nome de anfitrião ao qual o servidor Kibana vai associar-se.	Obrigatória
`password`	A sua palavra-passe do Kibana.	Opcional
`port`	A porta do servidor Kibana.	Obrigatória
`username`	O seu nome de utilizador do Kibana.	Opcional
`cacert`	O certificado para o servidor Kibana (por exemplo, `path/to/cacert/kibana.cer`).	Opcional
`cron`	A secção para a configuração do cron.	Opcional
`asset`	A secção para a configuração cronológica do recurso (por exemplo, `0 /45 * * *`).	Opcional
`source`	A secção para a configuração cron da origem (por exemplo, `0 /45 * * *`). Para mais informações, consulte o gerador de expressões cron.	Opcional
`organizations`	A secção para a Google Cloud configuração da organização. Para adicionar várias Google Cloud organizações, copie tudo de `- id:` para `subscription_name` em `resource`.	Obrigatória
`id`	O ID da sua organização.	Obrigatória
`client_credential_path`	Uma das seguintes opções: O caminho para o seu ficheiro JSON, se estiver a usar chaves de contas de serviço. O ficheiro de configuração de credenciais, se estiver a usar a federação de identidade da carga de trabalho. Não especifique nada se esta for a Google Cloud organização na qual está a instalar o contentor Docker.	Opcional, consoante o seu ambiente
`update`	Se está a atualizar a partir de uma versão anterior, `n` para não ou `y` para sim	Opcional
`project`	A secção para o ID do seu projeto.	Obrigatória
`id`	O ID do projeto que contém o tópico Pub/Sub.	Obrigatória
`auditlog`	A secção para o tópico e a subscrição do Pub/Sub para registos de auditoria.	Opcional
`topic_name`	O nome do tópico Pub/Sub para registos de auditoria	Opcional
`subscription_name`	O nome da subscrição do Pub/Sub para registos de auditoria	Opcional
`findings`	A secção para o tópico e a subscrição do Pub/Sub para as descobertas.	Opcional
`topic_name`	O nome do tópico Pub/Sub para as conclusões.	Opcional
`start_date`	A data opcional para começar a migrar as descobertas, por exemplo: `2021-04-01T12:00:00+05:30`	Opcional
`subscription_name`	O nome da subscrição do Pub/Sub para as descobertas.	Opcional
`asset`	A secção para a configuração do recurso.	Opcional
`iampolicy`	A secção para o tópico e a subscrição do Pub/Sub para políticas IAM.	Opcional
`topic_name`	O nome do tópico do Pub/Sub para políticas de IAM.	Opcional
`subscription_name`	O nome da subscrição do Pub/Sub para políticas IAM.	Opcional
`resource`	A secção para o tópico e a subscrição do Pub/Sub para recursos.	Opcional
`topic_name`	O nome do tópico do Pub/Sub para recursos.	Opcional
`subscription_name`	O nome da subscrição do Pub/Sub para recursos.	Opcional

Ficheiro de exemplo `config.yml`

O exemplo que se segue mostra um ficheiro config.yml que inclui duas Google Cloud organizações.

elasticsearch:
  host: 127.0.0.1
  password: changeme
  port: 9200
  username: elastic
  cacert: path/to/cacert/elasticsearch.cer
http_proxy: http://user:password@proxyip:proxyport
kibana:
  host: 127.0.0.1
  password: changeme
  port: 5601
  username: elastic
  cacert: path/to/cacert/kibana.cer
cron:
  asset: 0 */45 * * * *
  source: 0 */45 * * * *
organizations:
  – id: 12345678910
    client_credential_path:
    update:
    project:
      id: project-id-12345
    auditlog:
      topic_name: auditlog.topic_name
      subscription_name: auditlog.subscription_name
    findings:
      topic_name: findings.topic_name
      start_date: 2021-05-01T12:00:00+05:30
      subscription_name: findings.subscription_name
    asset:
      iampolicy:
        topic_name: iampolicy.topic_name
        subscription_name: iampolicy.subscription_name
      resource:
        topic_name: resource.topic_name
        subscription_name: resource.subscription_name
  – id: 12345678911
    client_credential_path:
    update:
    project:
      id: project-id-12346
    auditlog:
      topic_name: auditlog2.topic_name
      subscription_name: auditlog2.subscription_name
    findings:
      topic_name: findings2.topic_name
      start_date: 2021-05-01T12:00:00+05:30
      subscription_name: findings1.subscription_name
    asset:
      iampolicy:
        topic_name: iampolicy2.topic_name
        subscription_name: iampolicy2.subscription_name
      resource:
        topic_name: resource2.topic_name
        subscription_name: resource2.subscription_name

Execute os seguintes comandos para instalar a imagem do Docker e configurar o módulo GoApp.
```
chmod +x install
./install
```
O módulo GoApp transfere a imagem Docker, instala a imagem e configura o contentor.

Quando o processo estiver concluído, copie o endereço de email da conta de serviço WriterIdentity a partir do resultado da instalação.

docker exec googlescc_elk ls
docker exec googlescc_elk cat Sink_&#125;&#125;HashId&#123;&#123;

O diretório de trabalho deve ter a seguinte estrutura:

  ├── config.yml
  ├── dashboards.ndjson
  ├── docker-compose.yml
  ├── install
  ├── templates
      ├── filebeat.tmpl
      ├── logstash.tmpl
      ├── docker.tmpl
  └── main
      ├── client_secret.json
      ├── filebeat
      │          └── config
      │                   └── filebeat.yml
      ├── GoApp
      │       └── .env
      └── logstash
                 └── pipeline
                            └── logstash.conf

Atualize as autorizações para registos de auditoria

Para atualizar as autorizações para que os registos de auditoria possam fluir para o seu SIEM:

Navegue para a página de tópicos do Pub/Sub.

Aceda ao Pub/Sub
Selecione o projeto que inclui os seus tópicos do Pub/Sub.
Selecione o tópico do Pub/Sub que criou para os registos de auditoria.
Em Autorizações, adicione a conta de serviço WriterIdentity (que copiou no passo 4 do procedimento de instalação) como um novo principal e atribua-lhe a função Publicador do Pub/Sub. A política de registo de auditoria é atualizada.

As configurações do Docker e do Elastic Stack estão concluídas. Agora, pode configurar o Kibana.

Veja os registos do Docker

Abra um terminal e execute o seguinte comando para ver as informações do contentor, incluindo os IDs dos contentores. Tome nota do ID do contentor onde o Elastic Stack está instalado.
```
docker container ls
```
Para iniciar um contentor e ver os respetivos registos, execute os seguintes comandos:
```
docker exec -it CONTAINER_ID /bin/bash
cat go.log
```
Substitua CONTAINER_ID pelo ID do contentor onde o Elastic Stack está instalado.

Configure o Kibana

Conclua estes passos quando instalar o contentor Docker pela primeira vez.

Abra kibana.yml num editor de texto.
```
sudo vim KIBANA_DIRECTORY/config/kibana.yml
```
Substitua KIBANA_DIRECTORY pelo caminho para a pasta de instalação do Kibana.
Atualize as seguintes variáveis:
- server.port: a porta a usar para o servidor de back-end do Kibana; a predefinição é 5601
- server.host: o endereço IP ou o nome de anfitrião ao qual o servidor Kibana vai associar-se
- elasticsearch.hosts: o endereço IP e a porta da instância do Elasticsearch a usar para consultas
- server.maxPayloadBytes: o tamanho máximo da carga útil em bytes para pedidos de servidor recebidos; o valor predefinido é 1 048 576
- url_drilldown.enabled: um valor booleano que controla a capacidade de navegar do painel de controlo do Kibana para URLs internos ou externos; o valor predefinido é true
A configuração concluída é semelhante à seguinte:
```
  server.port: PORT
  server.host: "HOST"
  elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
  server.maxPayloadBytes: 5242880
  url_drilldown.enabled: true
```

Importe painéis de controlo do Kibana

Abra a aplicação Kibana.
No menu de navegação, aceda a Gestão da pilha e, de seguida, clique em Objetos guardados.
Clique em Importar, navegue para o diretório de trabalho e selecione dashboards.ndjson. Os painéis de controlo são importados e os padrões de índice são criados.

Atualize o contentor do Docker

Se implementou uma versão anterior do módulo GoApp, pode atualizar para uma versão mais recente. Quando atualiza o contentor Docker para uma versão mais recente, pode manter a configuração da conta de serviço existente, os tópicos do Pub/Sub e os componentes do ElasticSearch.

Se estiver a atualizar a partir de uma integração que não usava um contentor Docker, consulte o artigo Atualize para a versão mais recente.

Se estiver a atualizar a partir da v1, conclua estas ações:
1. Adicione a função Logs Configuration Writer (roles/logging.configWriter) à conta de serviço.
2. Crie um tópico Pub/Sub para os seus registos de auditoria.
Se estiver a instalar o contentor Docker noutra nuvem, configure a federação de identidades da carga de trabalho e transfira o ficheiro de configuração das credenciais.
Opcionalmente, para evitar problemas ao importar os novos painéis de controlo, remova os painéis de controlo existentes do Kibana:
1. Abra a aplicação Kibana.
2. No menu de navegação, aceda a Gestão da pilha e, de seguida, clique em Objetos guardados.
3. Pesquise Google SCC.
4. Selecione todos os painéis de controlo que quer remover.
5. Clique em Eliminar.
Remova o contentor Docker existente:
1. Abra um terminal e pare o contentor:
```
docker stop CONTAINER_ID
```
  Substitua CONTAINER_ID pelo ID do contentor onde o Elastic Stack está instalado.
2. Remova o contentor Docker:
```
docker rm CONTAINER_ID
```
  Se necessário, adicione -f antes do ID do contentor para remover o contentor à força.
Conclua os passos 1 a 7 em Transfira o módulo GoApp.
Mova o ficheiro config.env existente da instalação anterior para o diretório \update.
Se necessário, conceda autorização executável para executar ./update:
```
chmod +x ./update
./update
```
Execute ./update para converter config.env em config.yml.
Verifique se o ficheiro config.yml inclui a sua configuração existente. Caso contrário, volte a executar ./update.
Para suportar várias Google Cloud organizações, adicione outra configuração de organização ao ficheiro config.yml.
Mova o ficheiro config.yml para o diretório de trabalho, onde se encontra o ficheiro install.
Conclua os passos em Instale o Docker.
Conclua os passos em Atualize as autorizações para registos de auditoria.
Importe os novos painéis de controlo, conforme descrito no artigo Importe painéis de controlo do Kibana. Este passo substitui os seus painéis de controlo do Kibana existentes.

Veja e edite painéis de controlo do Kibana

Pode usar painéis de controlo personalizados no Elastic Stack para visualizar e analisar as suas descobertas, recursos e origens de segurança. Os painéis de controlo apresentam conclusões críticas e ajudam a sua equipa de segurança a dar prioridade às correções.

Painel de controlo de vista geral

O painel de controlo Vista geral contém uma série de gráficos que apresenta o número total de resultados nas suas organizações Google Cloud por nível de gravidade, categoria e estado. As conclusões são compiladas a partir dos serviços incorporados do Centro de comando de segurança, como o Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, e quaisquer serviços integrados que ativar.

Para filtrar conteúdo por critérios como configurações incorretas ou vulnerabilidades, pode selecionar a Classe de deteção.

Os gráficos adicionais mostram que categorias, projetos e recursos estão a gerar o maior número de resultados.

Painel de controlo de recursos

O painel de controlo Recursos apresenta tabelas que mostram os seus Google Cloud recursos. As tabelas mostram os proprietários dos recursos, as quantidades de recursos por tipo de recurso e projetos, bem como os recursos adicionados e atualizados mais recentemente.

Pode filtrar os dados dos recursos por organização, nome do recurso, tipo de recurso e elementos principais, e analisar rapidamente as conclusões relativas a recursos específicos. Se clicar no nome de um recurso, é redirecionado para a página Recursos do Security Command Center na Google Cloud consola e são apresentados os detalhes do recurso selecionado.

Painel de controlo dos registos de auditoria

O painel de controlo Registos de auditoria apresenta uma série de gráficos e tabelas que mostram informações dos registos de auditoria. Os registos de auditoria incluídos no painel de controlo são os registos de auditoria da atividade do administrador, de acesso aos dados, de eventos do sistema e de políticas recusadas. A tabela inclui a hora, a gravidade, o tipo de registo, o nome do registo, o nome do serviço, o nome do recurso e o tipo de recurso.

Pode filtrar os dados por organização, origem (como um projeto), gravidade, tipo de registo e tipo de recurso.

Painel de controlo de resultados

O painel de controlo Resultados inclui gráficos que mostram os seus resultados mais recentes. Os gráficos fornecem informações sobre o número de resultados, a respetiva gravidade, categoria e estado. Também pode ver as descobertas ativas ao longo do tempo e que projetos ou recursos têm mais descobertas.

Pode filtrar os dados por organização e classe de constatação.

Se clicar no nome de uma descoberta, é redirecionado para a página Descobertas do Security Command Center na consola Google Cloud e são apresentados os detalhes da descoberta selecionada.

Painel de controlo de origens

O painel de controlo Fontes mostra o número total de resultados e fontes de segurança, o número de resultados por nome da fonte e uma tabela de todas as suas fontes de segurança. As colunas da tabela incluem o nome, o nome a apresentar e a descrição.

Adicione colunas

Navegue para um painel de controlo.
Clique em Editar e, de seguida, em Editar visualização.
Em Adicionar subgrupo, selecione Dividir linhas.
Na lista, selecione a agregação de Termos.
No menu pendente Descendente, selecione ascendente ou descendente. No campo Tamanho, introduza o número máximo de linhas para a tabela.
Selecione a coluna que quer adicionar e clique em Atualizar.
Guarde as alterações.

Oculte ou remova colunas

Navegue para o painel de controlo.
Clique em Edit.
Para ocultar uma coluna, junto ao nome da coluna, clique no ícone de visibilidade ou de olho.
Para remover uma coluna, clique no X ou no ícone de eliminação junto ao nome da coluna.

Desinstale a integração com o Elasticsearch

Conclua as secções seguintes para remover a integração entre o Security Command Center e o Elasticsearch.

Remova painéis de controlo, índices e padrões de índice

Remova os painéis de controlo quando quiser desinstalar esta solução.

Navegue para os painéis de controlo.
Pesquise Google SCC e selecione todos os painéis de controlo.
Clique em Eliminar painéis de controlo.
Navegue para Gestão de stacks > Gestão de índices.
Feche os seguintes índices:
- gccassets
- gccfindings
- gccsources
- gccauditlogs
Navegue para Stack Management > Index Patterns.
Feche os seguintes padrões:
- gccassets
- gccfindings
- gccsources
- gccauditlogs

Desinstale o Docker

Elimine o NotificationConfig para o Pub/Sub. Para encontrar o nome do NotificationConfig, execute o seguinte comando:
```
docker exec googlescc_elk ls
docker exec googlescc_elk cat NotificationConf_&#125;&#125;HashId&#123;&#123;
```
Remova feeds Pub/Sub para recursos, resultados, políticas de IAM e registos de auditoria. Para encontrar os nomes dos feeds, execute o seguinte comando:
```
docker exec googlescc_elk ls
docker exec googlescc_elk cat Feed_&#125;&#125;HashId&#123;&#123;
```
Remova o destino dos registos de auditoria. Para encontrar o nome do lavatório, execute o seguinte comando:
```
docker exec googlescc_elk ls
docker exec googlescc_elk cat Sink_&#125;&#125;HashId&#123;&#123;
```
Para ver as informações do contentor, incluindo os IDs dos contentores, abra o terminal e execute o seguinte comando:
```
docker container ls
```
Pare o contentor:
```
docker stop CONTAINER_ID
```
Substitua CONTAINER_ID pelo ID do contentor onde o Elastic Stack está instalado.
Remova o contentor Docker:
```
docker rm CONTAINER_ID
```
Se necessário, adicione -f antes do ID do contentor para remover o contentor à força.

Remova a imagem do Docker:

docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest

Elimine o diretório de trabalho e o ficheiro docker-compose.yml:
```
rm -rf ./main docker-compose.yml
```

O que se segue?

Saiba como configurar as notificações de deteção no Security Command Center.
Leia acerca da filtragem de notificações de resultados no Security Command Center.