Invio di dati di Security Command Center a Elastic Stack utilizzando Docker

In questa pagina viene spiegato come utilizzare un Docker. container per ospitare il tuo Stack Elastic installare l'installazione e inviare automaticamente risultati, asset, log di controllo e sicurezza di Security Command Center a Elastic Stack. Descrive inoltre come gestire i dati esportati.

Docker è una piattaforma per la gestione delle applicazioni nei container. Elastic Stack è un una piattaforma SIEM (Security Information and Event Management) che importa i dati una o più fonti e consente ai team di sicurezza di gestire le risposte agli incidenti eseguire analisi in tempo reale. La configurazione dello stack elastico discussa in questo include quattro componenti:

  • Filebeat: un agente leggero installato su host perimetrali, come (VM), che possono essere configurate per raccogliere e inoltrare dati
  • Logstash: un servizio di trasformazione che importa i dati e li mappa in campi obbligatori e inoltra i risultati a Elasticsearch
  • Elasticsearch: un motore del database di ricerca che archivia i dati
  • Kibana: supporta le dashboard che ti consentono di visualizzare e analizzare i dati.

In questa guida configurerai Docker, assicurati che le chiavi Security Command Center e I servizi Google Cloud siano configurati correttamente e utilizzano un modulo personalizzato per inviare risultati, asset, audit log e origini di sicurezza in Elastic Stack.

La figura seguente illustra il percorso dei dati quando si utilizza Elastic Stack con Security Command Center.

Integrazione di Security Command Center ed Elastic Stack (fai clic per ingrandire)
Integrazione di Security Command Center ed Elastic Stack (fai clic per ingrandire)

Configura autenticazione e autorizzazione

Prima di connetterti a Elastic Stack, devi creare un Account di servizio Identity and Access Management (IAM) in ogni organizzazione Google Cloud che vuoi connettere e concedere all'account sia a livello di organizzazione che di progetto i ruoli IAM necessari a Elastic Stack.

Creare un account di servizio e concedere ruoli IAM

I passaggi seguenti utilizzano la console Google Cloud. Per altri metodi, consulta i link alla fine di questa sezione.

Completa questi passaggi per ogni organizzazione Google Cloud in cui vuoi importare Security Command Center da cui proviene.

  1. Nello stesso progetto in cui crei i tuoi argomenti Pub/Sub, utilizza il Account di servizio della console Google Cloud per per creare un account di servizio. Per istruzioni, vedi Creazione e gestione degli account di servizio.

  2. Concedi all'account di servizio i ruoli seguenti:

    • Amministratore Pub/Sub (roles/pubsub.admin)
    • Proprietario asset cloud (roles/cloudasset.owner)

  3. Copia il nome dell'account di servizio che hai appena creato.

  4. Utilizza il selettore progetti nella console Google Cloud per effettuare il passaggio a livello di organizzazione.

  5. Apri la pagina IAM per l'organizzazione:

    Vai a IAM

  6. Nella pagina IAM, fai clic su Concedi l'accesso. La concessione si apre il riquadro di accesso.

  7. Nel riquadro Concedi l'accesso, completa i seguenti passaggi:

    1. Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.

    2. Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere i seguenti ruoli IAM all'account di servizio:

      • Editor amministratore Centro sicurezza (roles/securitycenter.adminEditor)
      • Editor configurazioni notifiche Centro sicurezza (roles/securitycenter.notificationConfigEditor)
      • Visualizzatore organizzazione (roles/resourcemanager.organizationViewer)
      • Cloud Asset Viewer (roles/cloudasset.viewer)
      • Writer configurazione log (roles/logging.configWriter)

    3. Fai clic su Salva. L'account di sicurezza viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.

      Per ereditarietà, l'account di servizio diventa anche un'entità in i progetti figlio dell'organizzazione e i ruoli applicabili sono elencati come ruoli ereditati.

Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione dei ruoli, consulta i seguenti argomenti:

Fornisci le credenziali a Elastic Stack

A seconda di dove ospiti Elastic Stack, il modo in cui fornisci Le credenziali IAM sono diverse da quelle di Elastic Stack.

Configura le notifiche

Completa questi passaggi per ogni organizzazione Google Cloud in cui vuoi importare Security Command Center da cui proviene.

  1. Configura le notifiche sui risultati nel seguente modo:

    1. Abilita l'API Security Command Center.
    2. Crea un filtro per esportare i risultati e gli asset desiderati.
    3. Crea quattro argomenti Pub/Sub: uno ciascuno per risultati, risorse, audit log e asset. NotificationConfig devi utilizzare l'argomento Pub/Sub che crei per i risultati.

    Ti serviranno l'ID organizzazione, l'ID progetto e Pub/Sub dei nomi degli argomenti di questa attività per configurare Elastic Stack.

  2. Abilita l'API Cloud Asset per progetto.

installa i componenti Docker ed Elasticsearch

Segui questi passaggi per installare i componenti Docker ed Elasticsearch nel tuo ambiente.

Installa Docker Engine e Docker Compose

Puoi installare Docker per utilizzarlo on-premise o con un provider cloud. Per ottenere inizia, completa le seguenti guide nella documentazione del prodotto Docker:

Installare Elasticsearch e Kibana

L'immagine Docker che hai installato in Installa Docker include Logstash e Filebeat. Se non hai ancora Elasticsearch e Kibana usa le seguenti guide per installare le applicazioni:

Per completare la guida, hai bisogno delle seguenti informazioni derivanti da queste attività:

  • Stack Elastic: host, porta, certificato, nome utente e password
  • Kibana: host, porta, certificato, nome utente e password

Scarica il modulo GoApp

Questa sezione spiega come scaricare il modulo GoApp, un programma Go gestito da Security Command Center. Il modulo automatizza il processo di pianificazione L'API Security Command Center effettua le chiamate e recupera regolarmente i dati di Security Command Center per l'utilizzo stack elastico,

Per installare GoApp, segui questi passaggi:

  1. In una finestra del terminale, installa wget, un'app utility software utilizzata per recuperare contenuti dai server web.

    Per le distribuzioni Ubuntu e Debian, esegui questo comando:

      # apt-get install wget

    Per le distribuzioni RHEL, CentOS e Fedora, esegui questo comando:

      # yum install wget

  2. Installa unzip, un'utilità software gratuita utilizzata per estrarre i contenuti dei file ZIP.

    Per le distribuzioni Ubuntu e Debian, esegui questo comando:

    # apt-get install unzip

    Per le distribuzioni RHEL, CentOS e Fedora, esegui questo comando:

    # yum install unzip

  3. Crea una directory per l'installazione di GoogleSCCElasticIntegration pacchetto:

    mkdir GoogleSCCElasticIntegration

  4. Scarica il pacchetto di installazione GoogleSCCElasticIntegration:

    wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip

  5. Estrai i contenuti del pacchetto di installazione di GoogleSCCElasticIntegration nella Directory GoogleSCCElasticIntegration:

    unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration

  6. Crea una directory di lavoro per archiviare ed eseguire GoApp componenti del modulo:

    mkdir WORKING_DIRECTORY

    Sostituisci WORKING_DIRECTORY con il nome della directory.

  7. Vai alla directory di installazione di GoogleSCCElasticIntegration:

    cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/

    Sostituisci ROOT_DIRECTORY con il percorso della directory che contiene GoogleSCCElasticIntegration .

  8. Spostare install, config.yml, dashboards.ndjson e la cartella templates (con i file filebeat.tmpl, logstash.tmpl e docker.tmpl) nella cartella di lavoro .

    mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY

    Sostituisci WORKING_DIRECTORY con il percorso della directory di lavoro.

installa il container Docker

Per configurare il container Docker, devi scaricare e installare un'immagine preformattata da Google Cloud che contiene Logstash e Filebeat. Per informazioni sui Docker, vai al repository di Container Registry nella console Google Cloud.

Vai a Container Registry

Durante l'installazione, configuri il modulo GoApp con Security Command Center e le credenziali di Elastic Stack.

  1. Vai alla directory di lavoro:

    cd /WORKING_DIRECTORY

    Sostituisci WORKING_DIRECTORY con il percorso della directory di lavoro.

  2. Verifica che nella directory di lavoro siano presenti i seguenti file:

      ├── config.yml
  ├── install
  ├── dashboards.ndjson
  ├── templates
      ├── filebeat.tmpl
      ├── docker.tmpl
      ├── logstash.tmpl

  3. In un editor di testo, apri il file config.yml e aggiungi le variabili richieste. Se una variabile non è richiesta, puoi lasciarla vuota.

    Variabile Descrizione Obbligatorio
    elasticsearch La sezione per la configurazione di Elasticsearch. Obbligatorio
    host L'indirizzo IP dell'host dello stack Elastic. Obbligatorio
    password La tua password per Elasticsearch. Facoltativo
    port La porta per l'host dello stack Elastic. Obbligatorio
    username Il tuo nome utente Elasticsearch. Facoltativo
    cacert Il certificato del server Elasticsearch (ad esempio path/to/cacert/elasticsearch.cer). Facoltativo
    http_proxy Un link con nome utente, password, indirizzo IP e porta per l'host proxy (ad esempio, http://USER:PASSWORD@PROXY_IP:PROXY_PORT). Facoltativo
    kibana La sezione per la configurazione di Kibana. Obbligatorio
    host L'indirizzo IP o il nome host a cui si collegherà il server Kibana. Obbligatorio
    password La tua password Kibana. Facoltativo
    port La porta per il server Kibana. Obbligatorio
    username Il tuo nome utente Kibana. Facoltativo
    cacert Il certificato del server Kibana (ad esempio, path/to/cacert/kibana.cer). Facoltativo
    cron La sezione per la configurazione cron. Facoltativo
    asset La sezione per la configurazione del cron degli asset (ad esempio 0 */45 * * * *). Facoltativo
    source La sezione per la configurazione del cron di origine (ad esempio 0 */45 * * * *). Per ulteriori informazioni, consulta l'articolo Generatore di espressioni cron. Facoltativo
    organizations La sezione relativa alla configurazione dell'organizzazione Google Cloud. Per aggiungere più organizzazioni Google Cloud, copia tutto da - id: a subscription_name in resource. Obbligatorio
    id L'ID della tua organizzazione. Obbligatorio
    client_credential_path Uno dei seguenti:
    • Il percorso del file JSON, se utilizzi le chiavi dell'account di servizio.
    • Il file di configurazione delle credenziali, se utilizzi la federazione delle identità per i carichi di lavoro, come descritto in Prima di iniziare.
    • Non specificare nulla se questa è l'organizzazione Google Cloud in cui stai installando il container Docker.
    		 Facoltativo, a seconda dell'ambiente
    update Se esegui l'upgrade da una versione precedente, n per no o y per sì Facoltativo
    project La sezione per l'ID progetto. Obbligatorio
    id L'ID per il progetto che contiene l'argomento Pub/Sub. Obbligatorio
    auditlog La sezione per l'argomento e la sottoscrizione Pub/Sub per gli audit log. Facoltativo
    topic_name Il nome dell'argomento Pub/Sub per gli audit log Facoltativo
    subscription_name Il nome della sottoscrizione Pub/Sub per gli audit log Facoltativo
    findings La sezione per l'argomento e la sottoscrizione Pub/Sub per i risultati. Facoltativo
    topic_name Il nome dell'argomento Pub/Sub per i risultati. Facoltativo
    start_date La data facoltativa per iniziare la migrazione dei risultati, ad esempio: 2021-04-01T12:00:00+05:30 Facoltativo
    subscription_name Nome della sottoscrizione Pub/Sub per i risultati. Facoltativo
    asset La sezione per la configurazione degli asset. Facoltativo
    iampolicy La sezione dedicata all'argomento e alla sottoscrizione Pub/Sub per i criteri IAM. Facoltativo
    topic_name Il nome dell'argomento Pub/Sub per IAM criteri. Facoltativo
    subscription_name Il nome della sottoscrizione Pub/Sub per i criteri IAM. Facoltativo
    resource La sezione per l'argomento e la sottoscrizione Pub/Sub per le risorse. Facoltativo
    topic_name Il nome dell'argomento Pub/Sub per le risorse. Facoltativo
    subscription_name Il nome della sottoscrizione Pub/Sub per le risorse. Facoltativo

    File config.yml di esempio

    L'esempio seguente mostra un file config.yml che include due organizzazioni Google Cloud. 

    elasticsearch:
  host: 127.0.0.1
  password: changeme
  port: 9200
  username: elastic
  cacert: path/to/cacert/elasticsearch.cer
http_proxy: http://user:password@proxyip:proxyport
kibana:
  host: 127.0.0.1
  password: changeme
  port: 5601
  username: elastic
  cacert: path/to/cacert/kibana.cer
cron:
  asset: 0 */45 * * * *
  source: 0 */45 * * * *
organizations:
  – id: 12345678910
    client_credential_path:
    update:
    project:
      id: project-id-12345
    auditlog:
      topic_name: auditlog.topic_name
      subscription_name: auditlog.subscription_name
    findings:
      topic_name: findings.topic_name
      start_date: 2021-05-01T12:00:00+05:30
      subscription_name: findings.subscription_name
    asset:
      iampolicy:
        topic_name: iampolicy.topic_name
        subscription_name: iampolicy.subscription_name
      resource:
        topic_name: resource.topic_name
        subscription_name: resource.subscription_name
  – id: 12345678911
    client_credential_path:
    update:
    project:
      id: project-id-12346
    auditlog:
      topic_name: auditlog2.topic_name
      subscription_name: auditlog2.subscription_name
    findings:
      topic_name: findings2.topic_name
      start_date: 2021-05-01T12:00:00+05:30
      subscription_name: findings1.subscription_name
    asset:
      iampolicy:
        topic_name: iampolicy2.topic_name
        subscription_name: iampolicy2.subscription_name
      resource:
        topic_name: resource2.topic_name
        subscription_name: resource2.subscription_name

  4. Esegui questi comandi per installare l'immagine Docker e configurare Modulo GoApp.

    chmod +x install
./install

    Il modulo GoApp scarica l'immagine Docker, installa l'immagine e imposta il container.

  5. Al termine del processo, copia l'indirizzo email dell'account di servizio WriterIdentity dall'output dell'installazione.

    docker exec googlescc_elk ls
docker exec googlescc_elk cat Sink_}}HashId{{

    La directory di lavoro deve avere la seguente struttura:

      ├── config.yml
  ├── dashboards.ndjson
  ├── docker-compose.yml
  ├── install
  ├── templates
      ├── filebeat.tmpl
      ├── logstash.tmpl
      ├── docker.tmpl
  └── main
      ├── client_secret.json
      ├── filebeat
      │          └── config
      │                   └── filebeat.yml
      ├── GoApp
      │       └── .env
      └── logstash
                 └── pipeline
                            └── logstash.conf

Aggiorna le autorizzazioni per gli audit log

Per aggiornare le autorizzazioni in modo che gli audit log possano essere inviati al tuo SIEM:

  1. Vai alla pagina degli argomenti Pub/Sub.

    Vai a Pub/Sub

  2. Seleziona il progetto che include gli argomenti Pub/Sub.

  3. Seleziona l'argomento Pub/Sub che hai creato per gli audit log.

  4. In Autorizzazioni, aggiungi l'account di servizio WriterIdentity (che hai copiato nel passaggio 4 della procedura di installazione) come nuova entità e assegnagli il ruolo Publisher Pub/Sub. Il criterio dell'audit log è stato aggiornato.

Le configurazioni Docker ed Elastic Stack sono complete. Ora puoi configurare Kibana.

Visualizza i log Docker

  1. Apri un terminale ed esegui questo comando per visualizzare il tuo container tra cui gli ID contenitore. Prendi nota dell'ID del container in cui Elastic Stack installato.

    docker container ls

  2. Per avviare un container e visualizzarne i log, esegui questi comandi:

    docker exec -it CONTAINER_ID /bin/bash
cat go.log

    Sostituisci CONTAINER_ID con l'ID del container in cui Elastic Stack installato.

Configura Kibana

Completa questi passaggi quando installi il container Docker per la prima volta.

  1. Apri kibana.yml in un editor di testo.

    sudo vim KIBANA_DIRECTORY/config/kibana.yml

    Sostituisci KIBANA_DIRECTORY con il percorso della cartella di installazione di Kibana.

  2. Aggiorna le seguenti variabili:

    • server.port: la porta da utilizzare per il server back-end di Kibana; il valore predefinito è 5601
    • server.host: l'indirizzo IP o il nome host a cui il server Kibana eseguire il binding
    • elasticsearch.hosts: l'indirizzo IP e la porta dell'istanza Elasticsearch da utilizzare per le query
    • server.maxPayloadBytes: la dimensione massima del payload in byte per l'input richieste del server; il valore predefinito è 1.048.576
    • url_drilldown.enabled: un valore booleano che controlla la capacità di passare dalla dashboard di Kibana a URL interni o esterni; il valore predefinito è true

    La configurazione completata è simile alla seguente:

      server.port: PORT
  server.host: "HOST"
  elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
  server.maxPayloadBytes: 5242880
  url_drilldown.enabled: true

Importa dashboard Kibana

  1. Apri l'applicazione Kibana.
  2. Nel menu di navigazione, vai a Gestione dello stack e fai clic su Salvati oggetti.
  3. Fai clic su Importa, vai alla directory di lavoro e seleziona dashboards.ndjson. Vengono importate le dashboard e creati i pattern dell'indice.

Esegui l'upgrade del container Docker

Se hai eseguito il deployment di una versione precedente del modulo GoApp, puoi eseguire l'upgrade a una versione più recente. Quando esegui l'upgrade del container Docker a una versione più recente, puoi mantenere configurazione dell'account di servizio esistente, Pub/Sub argomenti e componenti ElasticSearch.

Se esegui l'upgrade da un'integrazione che non utilizza un container Docker, consulta Eseguire l'upgrade alla release più recente.

  1. Se stai eseguendo l'upgrade dalla versione 1, completa queste operazioni:

    1. Aggiungi il ruolo Writer configurazione log (roles/logging.configWriter) all'account di servizio.

    2. Crea un argomento Pub/Sub per i tuoi log di controllo.

  2. Se installi il container Docker in un altro cloud, configura la federazione delle identità per i carichi di lavoro e scarica il file di configurazione delle credenziali.

  3. Facoltativamente, per evitare problemi durante l'importazione delle nuove dashboard, rimuovi quelle esistenti da Kibana:

    1. Apri l'applicazione Kibana.
    2. Nel menu di navigazione, vai a Gestione degli stack e fai clic su Oggetti salvati.
    3. Cerca Google SCC.
    4. Seleziona tutte le dashboard da rimuovere.
    5. Fai clic su Elimina.

  4. Rimuovi il container Docker esistente:

    1. Apri un terminale e arresta il container:

      docker stop CONTAINER_ID

      Sostituisci CONTAINER_ID con l'ID del container in cui è installato Elastic Stack.

    2. Rimuovi il container Docker:

      docker rm CONTAINER_ID

      Se necessario, aggiungi -f prima dell'ID contenitore per rimuovere il contenitore con forza.

  5. Completa i passaggi da 1 a 7 descritti in Scaricare il modulo GoApp.

  6. Sposta il file config.env esistente dall'installazione precedente nella directory \update.

  7. Se necessario, concedi l'autorizzazione di eseguibile per eseguire ./update:

    chmod +x ./update
./update

  8. Esegui ./update per convertire config.env in config.yml.

  9. Verifica che il file config.yml includa la configurazione esistente. In caso contrario, esegui di nuovo ./update.

  10. Per supportare più organizzazioni Google Cloud, aggiungi un'altra configurazione dell'organizzazione al file config.yml.

  11. Sposta il file config.yml nella directory di lavoro dove si trova il file install.

  12. Completa i passaggi descritti in Installare Docker.

  13. Completa i passaggi descritti in Aggiornare le autorizzazioni per i log di controllo.

  14. Importa le nuove dashboard, come descritto in Importare le dashboard di Kibana. Questo passaggio sovrascriverà le dashboard Kibana esistenti.

Visualizzare e modificare le dashboard Kibana

Puoi usare dashboard personalizzate in Elastic Stack per visualizzare e analizzare risultati, risorse e fonti di sicurezza. Le dashboard mostrano elementi critici rilevare i risultati e aiutare il team responsabile della sicurezza a prioritizzare le correzioni.

Dashboard panoramica

La dashboard Panoramica contiene una serie di grafici che mostrano il totale numero di risultati nelle tue organizzazioni Google Cloud per livello di gravità, categoria e stato. I risultati vengono compilati dalla piattaforma integrata di Security Command Center come Security Health Analytics, Web Security Scanner, Event Threat Detection, Container Threat Detection ed eventuali servizi integrati che attivi.

Per filtrare i contenuti in base a criteri come errori di configurazione o vulnerabilità, puoi selezionare la classe individuazione.

I grafici aggiuntivi mostrano le categorie, i progetti e gli asset che vengono generati più risultati.

Dashboard degli asset

La dashboard Asset mostra le tabelle che mostrano il tuo account Google Cloud asset. Le tabelle mostrano i proprietari degli asset, il numero di asset per tipo di risorsa e progetti e gli asset aggiunti e aggiornati più di recente.

Puoi filtrare i dati degli asset per organizzazione, nome asset, tipo di asset e principali, nonché visualizzare rapidamente in dettaglio i risultati per asset specifici. Se fai clic sul nome di un asset, si aprirà la pagina Asset di Security Command Center nella console Google Cloud, con la visualizzazione dei dettagli dell'asset selezionato.

Dashboard degli audit log

La dashboard Log di controllo mostra una serie di grafici e tabelle che mostrano le informazioni degli audit log. Gli audit log inclusi nella dashboard sono le attività dell'amministratore, l'accesso ai dati, gli eventi di sistema e gli audit log negati per i criteri. La tabella include ora, gravità, tipo di log, nome log, nome servizio, nome risorsa e tipo di risorsa.

Puoi filtrare i dati per organizzazione, origine (ad esempio un progetto), gravità, tipo di log e tipo di risorsa.

Dashboard dei risultati

La dashboard Risultati include grafici che mostrano i risultati più recenti. I grafici forniscono informazioni sul numero di risultati, sulla loro gravità, sulla categoria e sullo stato. Puoi anche visualizzare i risultati attivi nel tempo e i progetti o le risorse con il maggior numero di risultati.

Puoi filtrare i dati in base all'organizzazione e alla classe del risultato.

Se fai clic su un nome risultato, ti reindirizzeremo alla pagina Risultati di Security Command Center in nella console Google Cloud e hai mostrato i dettagli del risultato selezionato.

Dashboard delle origini

La dashboard Origini mostra il numero totale di risultati e la sicurezza il numero di risultati per nome dell'origine e una tabella di tutti i dati fonti. Le colonne della tabella includono nome, nome visualizzato e descrizione.

Aggiungi colonne

  1. Accedi a una dashboard.
  2. Fai clic su Modifica e poi su Modifica visualizzazione.
  3. In Aggiungi bucket secondario, seleziona Righe divise.
  4. Nell'elenco, seleziona l'aggregazione Termini.
  5. Nel menu a discesa Decrescente, seleziona l'opzione crescente o decrescente. Nella Nel campo Dimensioni, inserisci il numero massimo di righe per la tabella.
  6. Seleziona la colonna da aggiungere e fai clic su Aggiorna.
  7. Salva le modifiche.

Nascondi o rimuovi colonne

  1. Vai alla dashboard.
  2. Fai clic su Modifica.
  3. Per nascondere una colonna, fai clic sulla visibilità o sull'icona a forma di occhio accanto al suo nome.
  4. Per rimuovere una colonna, fai clic sulla X accanto al suo nome oppure elimina .

Disinstalla l'integrazione con Elasticsearch

Completa le sezioni seguenti per rimuovere l'integrazione tra Security Command Center ed Elasticsearch.

Rimuovi dashboard, indici e pattern di indice

Rimuovi le dashboard quando vuoi disinstallare questa soluzione.

  1. Vai alle dashboard.

  2. Cerca Google SCC e seleziona tutte le dashboard.

  3. Fai clic su Elimina dashboard.

  4. Vai a Gestione dello stack > Gestione degli indici.

  5. Chiudi i seguenti indici:

    • gccassets
    • gccfindings
    • sorgenti gcc
    • gccauditlogs

  6. Vai a Gestione dello stack > Pattern di indice.

  7. Chiudi i seguenti pattern:

    • gccassets
    • gccfindings
    • sorgenti gcc
    • gccauditlogs

Disinstalla Docker

  1. Elimina il NotificationConfig per Pub/Sub. Per trovare il nome di NotificationConfig, esegui:

    docker exec googlescc_elk ls
docker exec googlescc_elk cat NotificationConf_}}HashId{{

  2. Rimuovi feed Pub/Sub per asset, risultati e IAM criteri e audit log. Per trovare i nomi dei feed, esegui:

    docker exec googlescc_elk ls
docker exec googlescc_elk cat Feed_}}HashId{{

  3. Rimuovi il sink per gli audit log. Per trovare il nome del sink, esegui:

    docker exec googlescc_elk ls
docker exec googlescc_elk cat Sink_}}HashId{{

  4. Per visualizzare le informazioni sul contenitore, inclusi gli ID contenitore, apri il terminale ed esegui questo comando:

    docker container ls

  5. Arresta il container:

    docker stop CONTAINER_ID

    Sostituisci CONTAINER_ID con l'ID del container in cui Elastic Stack installato.

  6. Rimuovi il container Docker:

    docker rm CONTAINER_ID

    Se necessario, aggiungi -f prima dell'ID contenitore per rimuovere il contenitore con decisione.

  7. Rimuovi l'immagine Docker:

    docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest

  8. Elimina la directory di lavoro e il file docker-compose.yml:

    rm -rf ./main docker-compose.yml

Passaggi successivi