Inviare i dati di Security Command Center a Elastic Stack utilizzando Docker

Questa pagina spiega come utilizzare un contenitore Docker per ospitare l'installazione di Elastic Stack e inviare automaticamente a Elastic Stack i risultati, gli asset, i log di controllo e le origini di sicurezza di Security Command Center. Descrive inoltre come gestire i dati esportati.

Docker è una piattaforma per la gestione di applicazioni in container. Elastic Stack è una piattaforma SIEM (Security Information and Event Management) che importa i dati da una o più origini e consente ai team di sicurezza di gestire le risposte agli incidenti ed eseguire analisi in tempo reale. La configurazione di Elastic Stack descritta in questa guida include quattro componenti:

• Filebeat: un agente leggero installato su host edge, come le macchine virtuali (VM), che può essere configurato per raccogliere e inoltrare i dati
• Logstash: un servizio di trasformazione che importa i dati, li mappa nei campi obbligatori e inoltra i risultati a Elasticsearch
• Elasticsearch: un motore del database di ricerca che memorizza i dati
• Kibana: consente di creare dashboard che ti consentono di visualizzare e analizzare i dati

In questa guida, configuri Docker, ti assicuri che i servizi Google Cloud e Security Command Center richiesti siano configurati correttamente e utilizzi un modulo personalizzato per inviare elementi rilevati, asset, log di controllo e origini di sicurezza a Elastic Stack.

La figura seguente illustra il percorso dei dati quando utilizzi Elastic Stack con Security Command Center.

Configurare l'autenticazione e l'autorizzazione

Prima di connetterti a Elastic Stack, devi creare un account di servizio Identity and Access Management (IAM) in ogni organizzazione Google Cloud che vuoi collegare e concedere all'account i ruoli IAM sia a livello di organizzazione sia a livello di progetto di cui Elastic Stack ha bisogno.

Creare un account di servizio e concedere i ruoli IAM

I passaggi che seguono utilizzano la console Google Cloud. Per altri metodi, consulta i link alla fine di questa sezione.

Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.

1. Nello stesso progetto in cui crei gli argomenti Pub/Sub, utilizza la pagina Account di servizio nella console Google Cloud per creare un account di servizio. Per le istruzioni, vedi Creazione e gestione degli account di servizio.

2. Concedi all'account di servizio i seguenti ruoli:

   • Pub/Sub Admin (roles/pubsub.admin)
   • Proprietario della risorsa cloud (roles/cloudasset.owner)

3. Copia il nome dell'account di servizio appena creato.

4. Utilizza il selettore dei progetti nella console Google Cloud per passare al livello dell'organizzazione.

5. Apri la pagina IAM dell'organizzazione:

   Vai a IAM

6. Nella pagina IAM, fai clic su Concedi l'accesso. Viene visualizzato il riquadro Concedi accesso.

7. Nel riquadro Concedi l'accesso, completa i seguenti passaggi:

   1. Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.

   2. Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere all'account di servizio i seguenti ruoli IAM:

   3. Editor amministratore Centro sicurezza (roles/securitycenter.adminEditor)
   4. Editor configurazioni notifiche Centro sicurezza (roles/securitycenter.notificationConfigEditor)
   5. Organization Viewer (roles/resourcemanager.organizationViewer)
   6. Cloud Asset Viewer (roles/cloudasset.viewer)
   7. Logs Configuration Writer (roles/logging.configWriter)

   8. Fai clic su Salva. L'account di servizio viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.

      Per eredità, l'account di servizio diventa un principale anche in tutti i progetti secondari dell'organizzazione. I ruoli applicabili a livello di progetto sono elencati come ruoli ereditati.

Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione di ruoli, consulta i seguenti argomenti:

• Creazione e gestione degli account di servizio
• Concessione, modifica e revoca dell'accesso alle risorse

Fornisci le credenziali a Elastic Stack

A seconda di dove ospiti Elastic Stack, la modalità di impostazione delle credenziali IAM in Elastic Stack varia.

• Se ospiti il contenitore Docker in Google Cloud, considera quanto segue:

  • Aggiungi l'account di servizio alla VM che ospiterà i tuoi nodi Kubernetes. Se utilizzi più organizzazioni Google Cloud, aggiungi questo account di servizio alle altre organizzazioni e concedi i ruoli IAM descritti nei passaggi da 5 a 7 dell'articolo Creare un account di servizio e assegnare i ruoli IAM.

  • Se esegui il deployment del container Docker in un perimetro di servizio, crea le regole di traffico in entrata e in uscita. Per istruzioni, vedi Concedere l'accesso al perimetro in Controlli di servizio VPC.

• Se ospiti il contenitore Docker nel tuo ambiente on-premise, crea una chiave dell'account di servizio per ogni organizzazione Google Cloud. Per completare questa guida, devi disporre delle chiavi dell'account di servizio in formato JSON.

  Per scoprire le best practice per archiviare le chiavi degli account di servizio in modo sicuro, consulta le best practice per la gestione delle chiavi degli account di servizio.

• Se stai installando il contenitore Docker in un altro cloud, configura la federazione delle identità per i carichi di lavoro e scarica i file di configurazione delle credenziali. Se utilizzi più organizzazioni Google Cloud, aggiungi questo account di servizio alle altre organizzazioni e assegnagli i ruoli IAM descritti nei passaggi da 5 a 7 dell'articolo Creare un account di servizio e assegnare i ruoli IAM.

Configura le notifiche

Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.

1. Configura le notifiche dei risultati come segue:

   1. Abilita l'API Security Command Center.
   2. Crea un filtro per esportare risultati e asset.
   3. Crea quattro argomenti Pub/Sub: uno per risultati, risorse, log di controllo e asset. NotificationConfig deve utilizzare l'argomento Pub/Sub che crei per i risultati.

   Per configurare Elastic Stack, avrai bisogno dell'ID organizzazione, dell'ID progetto e dei nomi degli argomenti Pub/Sub di questa attività.

2. Abilita l'API Cloud Asset per il tuo progetto.

Installa i componenti Docker ed Elasticsearch

Segui questi passaggi per installare i componenti Docker ed Elasticsearch nel tuo ambiente.

Installa Docker Engine e Docker Compose

Puoi installare Docker per l'utilizzo on-premise o con un provider cloud. Per iniziare, consulta le seguenti guide nella documentazione del prodotto Docker:

• Installare Docker Engine (Linux)
• Installa Docker Compose

Installa Elasticsearch e Kibana

L'immagine Docker installata in Installare Docker include Logstash e Filebeat. Se non hai ancora installato Elasticsearch e Kibana, consulta le seguenti guide per installare le applicazioni:

• Installazione di Elasticsearch

• Installa Kibana

Per completare questa guida, sono necessarie le seguenti informazioni da queste attività:

• Elastic Stack: host, porta, certificato, nome utente e password
• Kibana: host, porta, certificato, nome utente e password

Scarica il modulo GoApp

Questa sezione spiega come scaricare il modulo GoApp, un programma Go gestito da Security Command Center. Il modulo automatizza il processo di pianificazione delle chiamate all'API Security Command Center e recupera regolarmente i dati di Security Command Center per utilizzarli in Elastic Stack.

Per installare GoApp:

1. In una finestra del terminale, installa wget, un'utilità software gratuita utilizzata per recuperare contenuti dai server web.

   Per le distribuzioni Ubuntu e Debian, esegui quanto segue:

   apt-get install wget
   

   Per le distribuzioni RHEL, CentOS e Fedora, esegui quanto segue:

   yum install wget
   

2. Installa unzip, un'utilità software gratuita utilizzata per estrarre i contenuti degli archivi ZIP.

   Per le distribuzioni Ubuntu e Debian, esegui quanto segue:

   apt-get install unzip
   

   Per le distribuzioni RHEL, CentOS e Fedora, esegui quanto segue:

   yum install unzip
   

3. Crea una directory per il pacchetto di installazione di GoogleSCCElasticIntegration:

   mkdir GoogleSCCElasticIntegration
   

4. Scarica il pacchetto di installazione di GoogleSCCElasticIntegration:

   wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip
   

5. Estrai i contenuti del pacchetto di installazione di GoogleSCCElasticIntegration nella directoryGoogleSCCElasticIntegration:

   unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration
   

6. Crea una directory di lavoro per archiviare ed eseguire i componenti del modulo GoApp:

   mkdir WORKING_DIRECTORY
   

   Sostituisci WORKING_DIRECTORY con il nome della directory.

7. Vai alla directory di installazione di GoogleSCCElasticIntegration:

   cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/
   

   Sostituisci ROOT_DIRECTORY con il percorso della directory che contiene la directory GoogleSCCElasticIntegration.

8. Sposta install, config.yml, dashboards.ndjson e la cartella templates (con i file filebeat.tmpl, logstash.tmpl e docker.tmpl) nella directory di lavoro.

   mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY
   

   Sostituisci WORKING_DIRECTORY con il percorso della directory di lavoro.

Installa il container Docker

Per configurare il container Docker, scarica e installa un'immagine preformattata da Google Cloud contenente Logstash e Filebeat. Per informazioni sull'immagine Docker, vai al repository Artifact Registry nella console Google Cloud.

Vai ad Artifact Registry

Durante l'installazione, configura il modulo GoApp con le credenziali di Security Command Center e di Elastic Stack.

1. Vai alla tua directory di lavoro:

   cd /WORKING_DIRECTORY
   

   Sostituisci WORKING_DIRECTORY con il percorso della directory di lavoro.

2. Verifica che i seguenti file siano presenti nella tua directory di lavoro:

     ├── config.yml
     ├── install
     ├── dashboards.ndjson
     ├── templates
         ├── filebeat.tmpl
         ├── docker.tmpl
         ├── logstash.tmpl
   

3. In un editor di testo, apri il file config.yml e aggiungi le variabili richieste. Se una variabile non è obbligatoria, puoi lasciarla vuota.

   Variabile	Descrizione	Obbligatorio
   elasticsearch	La sezione per la configurazione di Elasticsearch.	Obbligatorio
   host	L'indirizzo IP dell'host di Elastic Stack.	Obbligatorio
   password	La tua password di Elasticsearch.	Facoltativo
   port	La porta per l'host Elastic Stack.	Obbligatorio
   username	Il tuo nome utente Elasticsearch.	Facoltativo
   cacert	Il certificato per il server Elasticsearch (ad esempio path/to/cacert/elasticsearch.cer).	Facoltativo
   http_proxy	Un link con il nome utente, la password, l'indirizzo IP e la porta per l'host proxy (ad esempio http://USER:PASSWORD@PROXY_IP:PROXY_PORT).	Facoltativo
   kibana	La sezione per la configurazione di Kibana.	Obbligatorio
   host	L'indirizzo IP o il nome host a cui verrà associato il server Kibana.	Obbligatorio
   password	La password di Kibana.	Facoltativo
   port	La porta per il server Kibana.	Obbligatorio
   username	Il tuo nome utente di Kibana.	Facoltativo
   cacert	Il certificato per il server Kibana (ad esempio path/to/cacert/kibana.cer).	Facoltativo
   cron	La sezione per la configurazione di cron.	Facoltativo
   asset	La sezione per la configurazione cron della risorsa (ad es. 0 */45 * * * *).	Facoltativo
   source	La sezione per la configurazione del cron di origine (ad es. 0 */45 * * * *). Per ulteriori informazioni, consulta Generatore di espressioni CRON.	Facoltativo
   organizations	La sezione per la configurazione dell'organizzazione Google Cloud. Per aggiungere più organizzazioni Google Cloud, copia tutto da - id: a subscription_name in resource.	Obbligatorio
   id	Il tuo ID organizzazione.	Obbligatorio
   client_credential_path	Uno dei seguenti: Il percorso del file JSON, se utilizzi le chiavi dell'account di servizio. Il file di configurazione delle credenziali, se utilizzi la federazione delle identità per i carichi di lavoro. Non specificare nulla se si tratta dell'organizzazione Google Cloud in cui stai installando il contenitore Docker.	(Facoltativo) A seconda dell'ambiente
   update	Se stai eseguendo l'upgrade da una versione precedente, inserisci n per no o y per sì	Facoltativo
   project	La sezione per l'ID progetto.	Obbligatorio
   id	L'ID del progetto contenente l'argomento Pub/Sub.	Obbligatorio
   auditlog	La sezione per l'argomento e la sottoscrizione Pub/Sub per i log di controllo.	Facoltativo
   topic_name	Il nome dell'argomento Pub/Sub per i log di controllo	Facoltativo
   subscription_name	Il nome della sottoscrizione Pub/Sub per i log di controllo	Facoltativo
   findings	La sezione per l'argomento e la sottoscrizione Pub/Sub per i risultati.	Facoltativo
   topic_name	Il nome dell'argomento Pub/Sub per i risultati.	Facoltativo
   start_date	La data facoltativa per iniziare la migrazione dei risultati, ad esempio, 2021-04-01T12:00:00+05:30	Facoltativo
   subscription_name	Il nome della sottoscrizione Pub/Sub per i risultati.	Facoltativo
   asset	La sezione per la configurazione dell'asset.	Facoltativo
   iampolicy	La sezione relativa all'argomento e alla sottoscrizione Pub/Sub per i criteri IAM.	Facoltativo
   topic_name	Il nome dell'argomento Pub/Sub per i criteri IAM.	Facoltativo
   subscription_name	Il nome della sottoscrizione Pub/Sub per i criteri IAM.	Facoltativo
   resource	La sezione per l'argomento e la sottoscrizione Pub/Sub per le risorse.	Facoltativo
   topic_name	Il nome dell'argomento Pub/Sub per le risorse.	Facoltativo
   subscription_name	Il nome della sottoscrizione Pub/Sub per le risorse.	Facoltativo

   File config.yml di esempio

   L'esempio seguente mostra un file config.yml che include due organizzazioni Google Cloud.

   elasticsearch:
     host: 127.0.0.1
     password: changeme
     port: 9200
     username: elastic
     cacert: path/to/cacert/elasticsearch.cer
   http_proxy: http://user:password@proxyip:proxyport
   kibana:
     host: 127.0.0.1
     password: changeme
     port: 5601
     username: elastic
     cacert: path/to/cacert/kibana.cer
   cron:
     asset: 0 */45 * * * *
     source: 0 */45 * * * *
   organizations:
     – id: 12345678910
       client_credential_path:
       update:
       project:
         id: project-id-12345
       auditlog:
         topic_name: auditlog.topic_name
         subscription_name: auditlog.subscription_name
       findings:
         topic_name: findings.topic_name
         start_date: 2021-05-01T12:00:00+05:30
         subscription_name: findings.subscription_name
       asset:
         iampolicy:
           topic_name: iampolicy.topic_name
           subscription_name: iampolicy.subscription_name
         resource:
           topic_name: resource.topic_name
           subscription_name: resource.subscription_name
     – id: 12345678911
       client_credential_path:
       update:
       project:
         id: project-id-12346
       auditlog:
         topic_name: auditlog2.topic_name
         subscription_name: auditlog2.subscription_name
       findings:
         topic_name: findings2.topic_name
         start_date: 2021-05-01T12:00:00+05:30
         subscription_name: findings1.subscription_name
       asset:
         iampolicy:
           topic_name: iampolicy2.topic_name
           subscription_name: iampolicy2.subscription_name
         resource:
           topic_name: resource2.topic_name
           subscription_name: resource2.subscription_name
   

4. Esegui i seguenti comandi per installare l'immagine Docker e configurare il modulo GoApp.

   chmod +x install
   ./install
   

   Il modulo GoApp scarica l'immagine Docker, la installa e configura il container.

5. Al termine della procedura, copia l'indirizzo email dell'account di servizio WriterIdentity dall'output dell'installazione.

   docker exec googlescc_elk ls
   docker exec googlescc_elk cat Sink_}}HashId{{
   

   La directory di lavoro deve avere la seguente struttura:

     ├── config.yml
     ├── dashboards.ndjson
     ├── docker-compose.yml
     ├── install
     ├── templates
         ├── filebeat.tmpl
         ├── logstash.tmpl
         ├── docker.tmpl
     └── main
         ├── client_secret.json
         ├── filebeat
         │          └── config
         │                   └── filebeat.yml
         ├── GoApp
         │       └── .env
         └── logstash
                    └── pipeline
                               └── logstash.conf
   

Aggiornare le autorizzazioni per gli audit log

Per aggiornare le autorizzazioni in modo che i log di controllo possano essere inviati al tuo SIEM:

1. Vai alla pagina degli argomenti Pub/Sub.

   Vai a Pub/Sub.

2. Seleziona il progetto che include gli argomenti Pub/Sub.

3. Seleziona l'argomento Pub/Sub che hai creato per i log di controllo.

4. In Autorizzazioni, aggiungi l'account di servizio WriterIdentity (che hai copiato nel passaggio 4 della procedura di installazione) come nuova entità e assegnagli il ruolo Publisher Pub/Sub. Il criterio del log di controllo viene aggiornato.

Le configurazioni di Docker ed Elastic Stack sono complete. Ora puoi configurare Kibana.

Visualizza i log di Docker

1. Apri un terminale ed esegui il seguente comando per visualizzare le informazioni sul contenitore, inclusi gli ID contenitore. Prendi nota dell'ID del contenitore in cui è installato Elastic Stack.

   docker container ls
   

2. Per avviare un contenitore e visualizzarne i log, esegui i seguenti comandi:

   docker exec -it CONTAINER_ID /bin/bash
   cat go.log
   

   Sostituisci CONTAINER_ID con l'ID del contenitore in cui è installato Elastic Stack.

Configura Kibana

Completa questi passaggi quando installi il container Docker per la prima volta.

1. Apri kibana.yml in un editor di testo.

   sudo vim KIBANA_DIRECTORY/config/kibana.yml
   

   Sostituisci KIBANA_DIRECTORY con il percorso della cartella di installazione di Kibana.

2. Aggiorna le seguenti variabili:

   • server.port: la porta da utilizzare per il server di backend di Kibana; il valore predefinito è 5601
   • server.host: l'indirizzo IP o il nome host a cui verrà associato il server Kibana
   • elasticsearch.hosts: l'indirizzo IP e la porta dell'istanza Elasticsearch da utilizzare per le query
   • server.maxPayloadBytes: la dimensione massima del payload in byte per le richieste del server in entrata; il valore predefinito è 1.048.576
   • url_drilldown.enabled: un valore booleano che controlla la possibilità di navigare dalla dashboard di Kibana a URL interni o esterni. Il valore predefinito è true

   La configurazione completata è simile alla seguente:

     server.port: PORT
     server.host: "HOST"
     elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
     server.maxPayloadBytes: 5242880
     url_drilldown.enabled: true
   

Importa le dashboard di Kibana

1. Apri l'applicazione Kibana.
2. Nel menu di navigazione, vai a Gestione dello stack e poi fai clic su Oggetti salvati.
3. Fai clic su Importa, vai alla directory di lavoro e seleziona dashboards.ndjson. Le dashboard vengono importate e vengono creati pattern di indice.

Esegui l'upgrade del container Docker

Se hai implementato una versione precedente del modulo GoApp, puoi eseguire l'upgrade a una versione più recente. Quando esegui l'upgrade del contenitore Docker a una versione più recente, puoi mantenere la configurazione esistente dell'account di servizio, gli argomenti Pub/Sub e i componenti ElasticSearch.

Se stai eseguendo l'upgrade da un'integrazione che non utilizzava un contenitore Docker, consulta Eseguire l'upgrade all'ultima release.

1. Se esegui l'upgrade dalla versione 1, completa le seguenti azioni:

   1. Aggiungi il ruolo Writer configurazione log (roles/logging.configWriter) all'account di servizio.

   2. Crea un argomento Pub/Sub per i log di controllo.

2. Se stai installando il contenitore Docker in un altro cloud, configura la federazione delle identità per i carichi di lavoro e scarica il file di configurazione delle credenziali.

3. Se vuoi, per evitare problemi durante l'importazione delle nuove dashboard, rimuovi quelle esistenti da Kibana:

   1. Apri l'applicazione Kibana.
   2. Nel menu di navigazione, vai a Gestione dello stack e poi fai clic su Oggetti salvati.
   3. Cerca Google SCC.
   4. Seleziona tutte le dashboard da rimuovere.
   5. Fai clic su Elimina.

4. Rimuovi il container Docker esistente:

   1. Apri un terminale e arresta il contenitore:

      docker stop CONTAINER_ID
      

      Sostituisci CONTAINER_ID con l'ID del contenitore in cui è installato Elastic Stack.

   2. Rimuovi il contenitore Docker:

      docker rm CONTAINER_ID
      

      Se necessario, aggiungi -f prima dell'ID contenitore per rimuoverlo forzatamente.

5. Completa i passaggi da 1 a 7 descritti in Scaricare il modulo GoApp.

6. Sposta il file config.env esistente dall'installazione precedente nella directory \update.

7. Se necessario, concedi l'autorizzazione eseguibile per l'esecuzione di ./update:

   chmod +x ./update
   ./update
   

8. Esegui ./update per convertire config.env in config.yml.

9. Verifica che il file config.yml includa la configurazione esistente. In caso contrario, esegui di nuovo ./update.

10. Per supportare più organizzazioni Google Cloud, aggiungi un'altra configurazione dell'organizzazione al file config.yml.

11. Sposta il file config.yml nella directory di lavoro in cui si trova il file install.

12. Completa i passaggi descritti in Installare Docker.

13. Completa i passaggi descritti in Aggiornare le autorizzazioni per i log di controllo.

14. Importa le nuove dashboard, come descritto in Importare le dashboard di Kibana. Questo passaggio sovrascriverà le dashboard di Kibana esistenti.

Visualizzare e modificare le dashboard di Kibana

Puoi utilizzare le dashboard personalizzate in Elastic Stack per visualizzare e analizzare i risultati, gli asset e le origini di sicurezza. Le dashboard mostrano risultati critici e aiutano il team di sicurezza a dare la priorità alle correzioni.

Dashboard Panoramica

La dashboard Panoramica contiene una serie di grafici che mostrano il numero totale di risultati nelle organizzazioni Google Cloud in base a livello di gravità, categoria e stato. I risultati vengono compilati dai servizi integrati di Security Command Center, come Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, nonché da eventuali servizi integrati che attivi.

Per filtrare i contenuti in base a criteri come configurazioni errate o vulnerabilità, puoi selezionare la classe di risultati.

Altri grafici mostrano quali categorie, progetti e asset generano il maggior numero di risultati.

Dashboard Asset

La dashboard Asset mostra tabelle che mostrano le risorse Google Cloud. Le tabelle mostrano i proprietari degli asset, il numero di asset per tipo di risorsa e progetti, nonché gli asset aggiunti e aggiornati più di recente.

Puoi filtrare i dati delle risorse in base a organizzazione, nome, tipo e risorse principali e visualizzare rapidamente i risultati relativi a risorse specifiche. Se fai clic sul nome di una risorsa, viene visualizzata la pagina Asset di Security Command Center nella console Google Cloud e vengono mostrati i dettagli della risorsa selezionata.

Dashboard degli audit log

La dashboard Log di controllo mostra una serie di grafici e tabelle che mostrano le informazioni dei log di controllo. Gli audit log inclusi nella dashboard sono quelli relativi all'attività di amministrazione, all'accesso ai dati, agli eventi di sistema e agli accessi negati in base ai criteri. La tabella include ora, gravità, tipo di log, nome del log, nome del servizio, nome della risorsa e tipo di risorsa.

Puoi filtrare i dati in base a organizzazione, origine (ad esempio un progetto), gravità, tipo di log e tipo di risorsa.

Dashboard dei risultati

La dashboard Risultati include i grafici che mostrano i risultati più recenti. I grafici forniscono informazioni sul numero di risultati, sulla gravità, sulla categoria e sullo stato. Puoi anche visualizzare i risultati attivi nel tempo e i progetti o le risorse con il maggior numero di risultati.

Puoi filtrare i dati in base all'organizzazione e alla classe di ricerca.

Se fai clic sul nome di un risultato, viene visualizzata la pagina Risultati di Security Command Center nella console Google Cloud e vengono mostrati i dettagli del risultato selezionato.

Dashboard Origini

La dashboard Origini mostra il numero totale di risultati e origini di sicurezza, il numero di risultati per nome dell'origine e una tabella di tutte le origini di sicurezza. Le colonne della tabella includono nome, nome visualizzato e descrizione.

Aggiungi colonne

1. Vai a una dashboard.
2. Fai clic su Modifica e poi su Modifica visualizzazione.
3. In Aggiungi sottobucket, seleziona Dividi righe.
4. Nell'elenco, seleziona l'aggregazione Termini.
5. Nel menu a discesa Decrescente, seleziona crescente o decrescente. Nel campo Dimensioni, inserisci il numero massimo di righe per la tabella.
6. Seleziona la colonna da aggiungere e fai clic su Aggiorna.
7. Salva le modifiche.

Nascondere o rimuovere colonne

1. Vai alla dashboard.
2. Fai clic su Modifica.
3. Per nascondere una colonna, fai clic sull'icona della visibilità (a forma di occhio) accanto al nome della colonna.
4. Per rimuovere una colonna, fai clic sulla X o sull'icona di eliminazione accanto al nome della colonna.

Disinstalla l'integrazione con Elasticsearch

Completa le seguenti sezioni per rimuovere l'integrazione tra Security Command Center ed Elasticsearch.

Rimuovere dashboard, indici e pattern di indice

Rimuovi le dashboard quando vuoi disinstallare questa soluzione.

1. Vai alle dashboard.

2. Cerca Google SCC e seleziona tutte le dashboard.

3. Fai clic su Elimina dashboard.

4. Vai a Gestione dello stack > Gestione degli indici.

5. Chiudi i seguenti indici:

   • gccassets
   • gccfindings
   • gccsources
   • gccauditlogs

6. Vai a Gestione dello stack > Pattern di indice.

7. Chiudi i seguenti pattern:

   • gccassets
   • gccfindings
   • gccsources
   • gccauditlogs

Disinstalla Docker

1. Elimina NotificationConfig per Pub/Sub. Per trovare il nome di NotificationConfig, esegui:

   docker exec googlescc_elk ls
   docker exec googlescc_elk cat NotificationConf_}}HashId{{
   

2. Rimuovi i feed Pub/Sub per asset, risultati, criteri IAM e log di controllo. Per trovare i nomi dei feed, esegui:

   docker exec googlescc_elk ls
   docker exec googlescc_elk cat Feed_}}HashId{{
   

3. Rimuovi la destinazione per gli audit log. Per trovare il nome della destinazione, esegui:

   docker exec googlescc_elk ls
   docker exec googlescc_elk cat Sink_}}HashId{{
   

4. Per visualizzare le informazioni del contenitore, inclusi gli ID contenitore, apri il terminale ed esegui il seguente comando:

   docker container ls
   

5. Interrompi il contenitore:

   docker stop CONTAINER_ID
   

   Sostituisci CONTAINER_ID con l'ID del contenitore in cui è installato Elastic Stack.

6. Rimuovi il contenitore Docker:

   docker rm CONTAINER_ID
   

   Se necessario, aggiungi -f prima dell'ID contenitore per rimuoverlo obbligatoriamente.

7. Rimuovi l'immagine Docker:

   docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest
   

8. Elimina la directory di lavoro e il file docker-compose.yml:

   rm -rf ./main docker-compose.yml
   

Passaggi successivi

• Scopri di più sulla configurazione delle notifiche dei risultati in Security Command Center.

• Scopri di più su come filtrare le notifiche dei risultati in Security Command Center.