Esta página foi traduzida pela API Cloud Translation.

Como enviar dados do Security Command Center para o Elastic Stack usando o Docker

Nesta página, explicamos como usar um contêiner do Docker para hospedar a instalação do Elastic Stack e enviar automaticamente descobertas, recursos, registros de auditoria e fontes de segurança do Security Command Center para o Elastic Stack. Também descreve como gerenciar os dados exportados.

O Docker é uma plataforma para gerenciar aplicativos em contêineres. O Elastic Stack é uma plataforma de informações de segurança e gerenciamento de eventos (SIEM, na sigla em inglês) que ingere dados de uma ou mais fontes e permite que as equipes de segurança gerenciem respostas a incidentes e realizem análises em tempo real. A configuração do Elastic Stack discutida neste guia inclui quatro componentes:

Filebeat: um agente leve instalado em hosts de borda, como máquinas virtuais (VM), que podem ser configurados para coletar e encaminhar dados
Logstash: um serviço de transformação que ingere dados, os mapeia para os campos obrigatórios e encaminha os resultados para o Elasticsearch
Elasticsearch: um mecanismo de banco de dados de pesquisa que armazena dados
Kibana: permite painéis que permitem visualizar e analisar dados

Neste guia, configure o Docker, certifique-se de que os serviços necessários do Security Command Center e do Google Cloud estejam configurados corretamente e use um módulo personalizado para enviar descobertas, recursos, registros de auditoria e fontes de segurança para o Elastic Stack.

A figura a seguir ilustra o caminho de dados ao usar o Elastic Stack com o Security Command Center.

Security Command Center e Elastic Stack (clique para ampliar) — Integração com o Security Command Center e o Elastic Stack (clique para ampliar)

Configurar autenticação e autorização

Antes de se conectar ao Elastic Stack, crie uma conta de serviço do Identity and Access Management (IAM) em cada organização do Google Cloud a que você quer se conectar e conceda a ela os papéis necessários do IAM no nível da organização e do projeto.

Criar uma conta de serviço e conceder papéis do IAM

As etapas a seguir usam o console do Google Cloud. Para ver outros métodos, consulte os links no final desta seção.

Conclua estas etapas para cada organização do Google Cloud de onde você quer importar dados do Security Command Center.

No mesmo projeto em que você cria os tópicos do Pub/Sub, use a página Contas de serviço no console do Google Cloud para criar uma conta de serviço. Veja instruções em Como criar e gerenciar contas de serviço.
Conceda à conta de serviço a estes papéis:
- Administrador do Pub/Sub (roles/pubsub.admin)
- Proprietário de recursos do Cloud (roles/cloudasset.owner)
Copie o nome da conta de serviço que você acabou de criar.
Use o seletor de projetos no console do Google Cloud para mudar para o nível da organização.
Abra a página IAM da organização:

Acessar IAM
Na página do IAM, clique em Conceder acesso. O painel de concessão de acesso é aberto.
No painel Conceder acesso, conclua as seguintes etapas:
1. Na seção Adicionar principais no campo Novos principais, cole o nome da conta de serviço.
2. Na seção Atribuir papéis, use o campo Papel para conceder os seguintes papéis do IAM à conta de serviço:
  - Editor administrador da Central de segurança (roles/securitycenter.adminEditor)
  - Editor de configurações de notificação da Central de segurança (roles/securitycenter.notificationConfigEditor)
  - Leitor da organização (roles/resourcemanager.organizationViewer)
  - Leitor de recursos do Cloud (roles/cloudasset.viewer)
  - Gravador de configuração de registros (roles/logging.configWriter)
3. Clique em Salvar. A conta de segurança aparece na guia Permissões da página IAM em Ver pelos principais.
  
  Por herança, a conta de serviço também se torna uma conta principal em todos os projetos filhos da organização e os papéis aplicáveis no nível do projeto são listados como papéis herdados.

Para mais informações sobre como criar contas de serviço e conceder papéis, consulte estes tópicos:

Forneça as credenciais ao Elastic Stack

Dependendo de onde você está hospedando o Elastic Stack, como você fornece as credenciais do IAM para o Elastic Stack.

Se você estiver hospedando o contêiner do Docker no Google Cloud, considere o seguinte:
- Adicione a conta de serviço à VM que hospedará os nós do Kubernetes. Se você estiver usando várias organizações do Google Cloud, adicione essa conta de serviço a outras organizações e conceda a ela os papéis do IAM descritos nas etapas 5 a 7 de Criar uma conta de serviço e conceder papéis do IAM.
- Se você implantar o contêiner do Docker em um perímetro de serviço, crie as regras de entrada e saída. Para mais instruções, consulte Como conceder acesso ao perímetro no VPC Service Controls.
Se você estiver hospedando o contêiner do Docker no seu ambiente local, crie uma chave de conta de serviço para cada organização do Google Cloud. Você precisa das chaves da conta de serviço no formato JSON para concluir este guia.

Para saber mais sobre as práticas recomendadas para armazenar as chaves da conta de serviço com segurança, consulte Práticas recomendadas para gerenciar chaves de contas de serviço.
Se você estiver instalando o contêiner do Docker em outra nuvem, configure a federação de identidade da carga de trabalho e faça o download dos arquivos de configuração de credenciais. Se você estiver usando várias organizações do Google Cloud, adicione essa conta de serviço às outras organizações e conceda a ela os papéis do IAM descritos nas etapas 5 a 7 de Criar uma conta de serviço e conceder papéis do IAM.

Configurar notificações

Conclua estas etapas para cada organização do Google Cloud de onde você quer importar dados do Security Command Center.

Configure as notificações de descoberta da seguinte forma:
1. Ative a API Security Command Center.
2. Crie um filtro para exportar as descobertas e os recursos desejados.
3. Criar quatro tópicos do Pub/Sub: para descobertas, recursos, registros de auditoria e recursos. O NotificationConfig precisa usar o tópico do Pub/Sub criado para as descobertas.
Você precisará do ID da organização, do ID do projeto e dos nomes dos tópicos do Pub/Sub desta tarefa para configurar o Elastic Stack.
Ative a API Cloud Asset no projeto.

Instalar os componentes Docker e Elasticsearch

Siga estas etapas para instalar os componentes do Docker e do Elasticsearch no seu ambiente.

Instalar o Docker Engine e o Docker Compose

Você pode instalar o Docker para uso no local ou com um provedor de nuvem. Para começar, conclua os seguintes guias na documentação do produto do Docker:

Instale o Elasticsearch e o Kibana

A imagem do Docker que você instalou em Instalar o Docker inclui o Logstash e o Filebeat. Se você ainda não tiver o Elasticsearch e o Kibana instalados, use os seguintes guias para instalar os aplicativos:

Você precisa das seguintes informações dessas tarefas para concluir este guia:

Elastic Stack: host, port, username e password
Kibana: host, porta, certificado, nome de usuário e senha

Fazer o download do módulo GoApp

Nesta seção, explicamos como fazer o download do módulo GoApp, um programa Go mantido pelo Security Command Center. O módulo automatiza o processo de programação de chamadas da API Security Command Center e recupera regularmente os dados do Security Command Center para uso no Elastic Stack.

Para instalar o GoApp, faça o seguinte:

Em uma janela de terminal, instale o wget, um utilitário de software gratuito usado para recuperar conteúdo dos servidores da Web.

Para distribuições do Ubuntu e Debian, execute o seguinte:
```
  # apt-get install wget
```
Para as distribuições RHEL, CentOS e Fedora, execute o seguinte:
```
  # yum install wget
```
Instale o unzip, um utilitário de software gratuito usado para extrair o conteúdo de arquivos ZIP.

Para distribuições do Ubuntu e Debian, execute o seguinte:
```
# apt-get install unzip
```
Para as distribuições RHEL, CentOS e Fedora, execute o seguinte:
```
# yum install unzip
```
Crie um diretório para o pacote de instalação do GoogleSCCElasticIntegration:
```
mkdir GoogleSCCElasticIntegration
```

Faça o download do pacote de instalação do GoogleSCCElasticIntegration:

wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip

Extraia o conteúdo do pacote de instalação do GoogleSCCElasticIntegration no diretório GoogleSCCElasticIntegration:
```
unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration
```
Crie um diretório de trabalho para armazenar e executar componentes do módulo GoApp:
```
mkdir WORKING_DIRECTORY
```
Substitua WORKING_DIRECTORY pelo nome do diretório.
Navegue até o diretório de instalação GoogleSCCElasticIntegration:
```
cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/
```
Substitua ROOT_DIRECTORY pelo caminho para o diretório que contém o diretório GoogleSCCElasticIntegration.
Mova install, config.yml, dashboards.ndjson e a pasta templates para seu diretório de trabalho com os arquivos filebeat.tmpl, logstash.tmpl e docker.tmpl.
```
mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY
```
Substitua WORKING_DIRECTORY pelo caminho para o diretório de trabalho.

Instalar o contêiner do Docker

Para configurar o contêiner do Docker, faça o download e a instalação de uma imagem pré-formatada do Google Cloud que contém o Logstash e o Filebeat. Para informações sobre a imagem do Docker, acesse o repositório do Container Registry no Console do Google Cloud.

Acesse o Container Registry

Durante a instalação, configure o módulo GoApp com as credenciais do Security Command Center e do Elastic Stack.

Navegue até o diretório de trabalho:
```
cd /WORKING_DIRECTORY
```
Substitua WORKING_DIRECTORY pelo caminho para o diretório de trabalho.

Verifique se os seguintes arquivos aparecem no seu diretório de trabalho:

  ├── config.yml
  ├── install
  ├── dashboards.ndjson
  ├── templates
      ├── filebeat.tmpl
      ├── docker.tmpl
      ├── logstash.tmpl

Em um editor de texto, abra o arquivo config.yml e adicione as variáveis solicitadas. Se uma variável não for obrigatória, deixe-a em branco.

Variável	Descrição	Obrigatório
`elasticsearch`	A seção de configuração do Elasticsearch.	Obrigatório
`host`	O endereço IP do seu host do Elastic Stack.	Obrigatório
`password`	Sua senha do Elasticsearch.	Opcional
`port`	A porta do host do Elastic Stack.	Obrigatório
`username`	Seu nome de usuário do Elasticsearch.	Opcional
`cacert`	O certificado do servidor Elasticsearch (por exemplo, `path/to/cacert/elasticsearch.cer`).	Opcional
`http_proxy`	Um link com o nome de usuário, a senha, o endereço IP e a porta do host de proxy (por exemplo, `http://USER:PASSWORD@PROXY_IP:PROXY_PORT`).	Opcional
`kibana`	A seção de configuração do Kibana.	Obrigatório
`host`	O endereço IP ou o nome do host a que o servidor Kibana será vinculado.	Obrigatório
`password`	Sua senha do Kibana.	Opcional
`port`	A porta do servidor Kibana.	Obrigatório
`username`	Seu nome de usuário do Kibana.	Opcional
`cacert`	O certificado do servidor Kibana (por exemplo, `path/to/cacert/kibana.cer`).	Opcional
`cron`	A seção da configuração do cron.	Opcional
`asset`	A seção de configuração do cron do recurso (por exemplo, `0 /45 * * *`).	Opcional
`source`	A seção de configuração do cron de origem (por exemplo, `0 /45 * * *`). Para mais informações, consulte Gerador de expressão cron.	Opcional
`organizations`	A seção de configuração da organização do Google Cloud. Para adicionar várias organizações do Google Cloud, copie tudo de `- id:` para `subscription_name` em `resource`.	Obrigatório
`id`	ID da organização.	Obrigatório
`client_credential_path`	Uma destas opções: O caminho para o arquivo JSON, se você estiver usando chaves de conta de serviço. O arquivo de configuração de credencial, se você estiver usando a federação de identidade da carga de trabalho, conforme descrito em Antes de começar. Não especifique nada se essa for a organização do Google Cloud em que você está instalando o contêiner do Docker.	Opcional, dependendo do seu ambiente
`update`	Se você está fazendo upgrade de uma versão anterior, `n` para não ou `y` para sim	Opcional
`project`	A seção do ID do projeto.	Obrigatório
`id`	O ID do projeto que contém o tópico do Pub/Sub.	Obrigatório
`auditlog`	A seção do tópico do Pub/Sub e a assinatura para registros de auditoria.	Opcional
`topic_name`	O nome do tópico do Pub/Sub para registros de auditoria	Opcional
`subscription_name`	O nome da assinatura do Pub/Sub para registros de auditoria	Opcional
`findings`	A seção que contém o tópico do Pub/Sub e a assinatura das descobertas.	Opcional
`topic_name`	O nome do tópico Pub/Sub para descobertas.	Opcional
`start_date`	A data opcional para começar a migrar as descobertas, por exemplo, `2021-04-01T12:00:00+05:30`	Opcional
`subscription_name`	O nome da assinatura do Pub/Sub para descobertas.	Opcional
`asset`	A seção da configuração do recurso.	Opcional
`iampolicy`	A seção do tópico do Pub/Sub e a assinatura das políticas do IAM.	Opcional
`topic_name`	O nome do tópico Pub/Sub das políticas do IAM	Opcional
`subscription_name`	O nome da assinatura do Pub/Sub para políticas do IAM	Opcional
`resource`	A seção do tópico do Pub/Sub e a assinatura de recursos.	Opcional
`topic_name`	O nome do tópico Pub/Sub para recursos.	Opcional
`subscription_name`	O nome da assinatura do Pub/Sub para recursos.	Opcional

Exemplo de arquivo `config.yml`:

O exemplo a seguir mostra um arquivo config.yml que inclui duas organizações do Google Cloud.

elasticsearch:
  host: 127.0.0.1
  password: changeme
  port: 9200
  username: elastic
  cacert: path/to/cacert/elasticsearch.cer
http_proxy: http://user:password@proxyip:proxyport
kibana:
  host: 127.0.0.1
  password: changeme
  port: 5601
  username: elastic
  cacert: path/to/cacert/kibana.cer
cron:
  asset: 0 */45 * * * *
  source: 0 */45 * * * *
organizations:
  – id: 12345678910
    client_credential_path:
    update:
    project:
      id: project-id-12345
    auditlog:
      topic_name: auditlog.topic_name
      subscription_name: auditlog.subscription_name
    findings:
      topic_name: findings.topic_name
      start_date: 2021-05-01T12:00:00+05:30
      subscription_name: findings.subscription_name
    asset:
      iampolicy:
        topic_name: iampolicy.topic_name
        subscription_name: iampolicy.subscription_name
      resource:
        topic_name: resource.topic_name
        subscription_name: resource.subscription_name
  – id: 12345678911
    client_credential_path:
    update:
    project:
      id: project-id-12346
    auditlog:
      topic_name: auditlog2.topic_name
      subscription_name: auditlog2.subscription_name
    findings:
      topic_name: findings2.topic_name
      start_date: 2021-05-01T12:00:00+05:30
      subscription_name: findings1.subscription_name
    asset:
      iampolicy:
        topic_name: iampolicy2.topic_name
        subscription_name: iampolicy2.subscription_name
      resource:
        topic_name: resource2.topic_name
        subscription_name: resource2.subscription_name

Execute os comandos a seguir para instalar a imagem do Docker e configurar o módulo GoApp.
```
chmod +x install
./install
```
O módulo GoApp faz o download da imagem do Docker, instala a imagem e configura o contêiner.

Quando o processo for concluído, copie o endereço de e-mail da conta de serviço do WriterIdentity na saída da instalação.

docker exec googlescc_elk ls
docker exec googlescc_elk cat Sink_&#125;&#125;HashId&#123;&#123;

Seu diretório de trabalho precisa ter a seguinte estrutura:

  ├── config.yml
  ├── dashboards.ndjson
  ├── docker-compose.yml
  ├── install
  ├── templates
      ├── filebeat.tmpl
      ├── logstash.tmpl
      ├── docker.tmpl
  └── main
      ├── client_secret.json
      ├── filebeat
      │          └── config
      │                   └── filebeat.yml
      ├── GoApp
      │       └── .env
      └── logstash
                 └── pipeline
                            └── logstash.conf

Atualizar permissões para registros de auditoria

Para atualizar as permissões e permitir o fluxo de registros de auditoria no SIEM:

Acesse a página de tópicos do Pub/Sub.

Ir para o Pub/Sub
Selecione o projeto que inclui seus tópicos do Pub/Sub.
Selecione o tópico do Pub/Sub que você criou para registros de auditoria.
Em Permissões, adicione a conta de serviço do WriterIdentity (que você copiou na etapa 4 do procedimento de instalação) como uma nova conta principal e atribua a ela o papel do Editor do Pub/Sub. A política de registro de auditoria foi atualizada.

As configurações do Docker e do Elastic Stack estão concluídas. Agora é possível configurar o Kibana.

Ver registros do Docker

Abra um terminal e execute o seguinte comando para ver informações sobre o contêiner, incluindo IDs. Observe o ID do contêiner em que o Elastic Stack está instalado.
```
docker container ls
```
Para iniciar um contêiner e visualizar os registros dele, execute os seguintes comandos:
```
docker exec -it CONTAINER_ID /bin/bash
cat go.log
```
Substitua CONTAINER_ID pelo ID do contêiner em que o Elastic Stack está instalado.

Configurar Kibana

Conclua estas etapas ao instalar o contêiner do Docker pela primeira vez.

Abra kibana.yml em um editor de texto.
```
sudo vim KIBANA_DIRECTORY/config/kibana.yml
```
Substitua KIBANA_DIRECTORY pelo caminho até a pasta de instalação do Kibana.
Atualize as seguintes variáveis:
- server.port: a porta a ser usada no servidor de back-end do Kibana; o padrão é 5601
- server.host: o endereço IP ou o nome do host a que o servidor Kibana será vinculado
- elasticsearch.hosts: o endereço IP e a porta da instância do Elasticsearch para usar em consultas.
- server.maxPayloadBytes: o tamanho máximo do payload em bytes para solicitações recebidas do servidor; o padrão é 1.048.576
- url_drilldown.enabled: um valor booleano que controla a capacidade de navegar do painel do Kibana para URLs internos ou externos. o padrão é true
A configuração concluída é semelhante a esta:
```
  server.port: PORT
  server.host: "HOST"
  elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
  server.maxPayloadBytes: 5242880
  url_drilldown.enabled: true
```

Importar painéis do Kibana

Abra o aplicativo Kibana.
No menu de navegação, acesse Gerenciamento de pilha e clique em Objetos salvos.
Clique em Importar, navegue até o diretório de trabalho e selecione dashboards.ndjson. Os painéis são importados e os padrões de índice são criados.

Fazer upgrade do contêiner do Docker

Se você tiver implantado uma versão anterior do módulo GoApp, será possível fazer upgrade para uma versão mais recente. Ao fazer upgrade do contêiner do Docker para uma versão mais recente, é possível manter a configuração atual da sua conta de serviço, os tópicos do Pub/Sub e os componentes do ElasticSearch.

Se você estiver fazendo upgrade de uma integração que não usava um contêiner do Docker, consulte Fazer upgrade para a versão mais recente.

Se você estiver fazendo upgrade da v1, conclua estas ações:
1. Adicione o papel Gravador de configuração de registros (roles/logging.configWriter) à conta de serviço.
2. Crie um tópico do Pub/Sub para seus registros de auditoria.
Se você estiver instalando o contêiner do Docker em outra nuvem, configure a federação de identidade da carga de trabalho e faça o download do arquivo de configuração de credenciais.
Para evitar problemas ao importar os novos painéis, remova os painéis existentes do Kibana:
1. Abra o aplicativo Kibana.
2. No menu de navegação, acesse Gerenciamento de pilha e clique em Objetos salvos.
3. Pesquise Google SCC.
4. Selecione todos os painéis que você quer remover.
5. Clique em Excluir.
Remova o contêiner do Docker:
1. Abra um terminal e interrompa o contêiner:
```
docker stop CONTAINER_ID
```
  Substitua CONTAINER_ID pelo ID do contêiner em que o Elastic Stack está instalado.
2. Remova o contêiner do Docker:
```
docker rm CONTAINER_ID
```
  Se necessário, adicione -f antes do ID do contêiner para removê-lo forçadamente.
Conclua as etapas de 1 a 7 em Fazer o download do módulo GoApp.
Mova o arquivo config.env da instalação anterior para o diretório \update.
Se necessário, conceda permissão executável para executar ./update:
```
chmod +x ./update
./update
```
Execute ./update para converter config.env em config.yml.
Verifique se o arquivo config.yml inclui a configuração atual. Caso contrário, execute novamente ./update.
Para aceitar várias organizações do Google Cloud, adicione outra configuração de organização ao arquivo config.yml.
Mova o arquivo config.yml para o diretório de trabalho, onde o arquivo install está localizado.
Conclua as etapas em Instalar o Docker.
Siga as etapas em Atualizar permissões para registros de auditoria.
Importe os novos painéis, conforme descrito em Importar painéis do Kibana. Esta etapa substituirá os painéis do Kibana.

Ver e editar painéis do Kibana

Você pode usar os painéis personalizados no Elastic Stack para visualizar e analisar suas descobertas, recursos e fontes de segurança. Os painéis exibem descobertas importantes e ajudam a equipe de segurança a priorizar correções.

Painel de visão geral

O painel Visão geral contém uma série de gráficos que exibe o número total de descobertas nas organizações do Google Cloud por nível de gravidade, categoria e estado. As descobertas são compiladas nos serviços integrados do Security Command Center, como: Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, além de todos os serviços integrados ativados.

Para filtrar o conteúdo por critérios como configurações incorretas ou vulnerabilidades, selecione a classe de descoberta.

Outros gráficos mostram quais categorias, projetos e recursos estão gerando mais descobertas.

Painel de recursos

O painel Recursos exibe tabelas que mostram seus recursos do Google Cloud. As tabelas mostram proprietários de recursos, contagens de recursos por tipo de recurso e projetos e seus recursos adicionados e atualizados mais recentemente.

É possível filtrar os dados dos recursos por organização, nome, tipo e pais e detalhar rapidamente as descobertas de recursos específicos. Se você clicar no nome de um recurso, será redirecionado para a página Recursos do Security Command Center no console do Google Cloud e verá os detalhes do recurso selecionado.

Painel de registros de auditoria

O painel Registros de auditoria exibe uma série de gráficos e tabelas que mostra informações sobre o registro de auditoria. Os registros de auditoria incluídos no painel são atividades do administrador, acesso a dados, eventos do sistema e registros de auditoria negados pela política. A tabela inclui hora, gravidade, tipo de registro, nome do registro, nome do serviço, nome do recurso e tipo de recurso.

É possível filtrar os dados por organização, fonte (como um projeto), gravidade, tipo de registro e tipo de recurso.

Painel de descobertas

O painel Descobertas inclui gráficos que mostram suas descobertas mais recentes. Os gráficos fornecem informações sobre o número de descobertas, a gravidade, a categoria e o estado das descobertas. Também é possível ver as descobertas ativas ao longo do tempo e quais projetos ou recursos têm mais descobertas.

É possível filtrar os dados por organização e classe de descoberta.

Ao clicar no nome de uma descoberta, você será redirecionado para a página Descobertas do Security Command Center no console do Google Cloud e verá os detalhes da descoberta selecionada.

Painel de origens

O painel Fontes mostra o número total de descobertas e fontes de segurança, o número de descobertas por nome de origem e uma tabela de todas as suas fontes de segurança. As colunas da tabela incluem nome, nome de exibição e descrição.

Adicionar colunas

Acesse um painel.
Clique em Editar e, em seguida, em Editar detalhes.
Em Adicionar sub-bucket, selecione Dividir linhas.
Na lista, selecione a agregação Termos.
No menu suspenso Decrescente, selecione crescente ou decrescente. No campo Tamanho, insira o número máximo de linhas para a tabela.
Selecione a coluna que você quer adicionar e clique em Atualizar.
Salve as alterações.

Ocultar ou remover colunas

Navegue até o painel
Clique em Editar.
Para ocultar uma coluna, clique no ícone de visibilidade ao lado do nome dela.
Para remover a coluna, clique no ícone X ou ao lado dela.

Desinstalar a integração com o Elasticsearch

Conclua as seções a seguir para remover a integração entre o Security Command Center e o Elasticsearch.

Remover painéis, índices e padrões de índice

Remova os painéis quando quiser desinstalar esta solução.

Acesse os painéis.
Pesquise Google SCC e selecione todos os painéis.
Clique em Excluir painéis.
Navegue até Gerenciamento de pilha > Gerenciamento de índice.
Feche os seguintes índices:
- gccassets
- gccfindings
- gccsources
- gccauditlogs
Navegue até Gerenciamento de pilha > Padrões de índice.
Feche os seguintes padrões:
- gccassets
- gccfindings
- gccsources
- gccauditlogs

Desinstalar o Docker

Exclua o NotificationConfig do Pub/Sub. Para encontrar o nome do NotificationConfig, execute:

docker exec googlescc_elk ls
docker exec googlescc_elk cat NotificationConf_&#125;&#125;HashId&#123;&#123;

Remover feeds do Pub/Sub para recursos, descobertas, políticas do IAM e registros de auditoria. Para encontrar os nomes dos feeds, execute:
```
docker exec googlescc_elk ls
docker exec googlescc_elk cat Feed_&#125;&#125;HashId&#123;&#123;
```

Remova o coletor dos registros de auditoria. Para encontrar o nome do coletor, execute:

docker exec googlescc_elk ls
docker exec googlescc_elk cat Sink_&#125;&#125;HashId&#123;&#123;

Para ver suas informações de contêiner, incluindo os IDs, abra o terminal e execute o seguinte comando:
```
docker container ls
```
Pare o contêiner:
```
docker stop CONTAINER_ID
```
Substitua CONTAINER_ID pelo ID do contêiner em que o Elastic Stack está instalado.
Remova o contêiner do Docker:
```
docker rm CONTAINER_ID
```
Se necessário, adicione -f antes do ID do contêiner para removê-lo forçamente.

Remova a imagem do Docker:

docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest

Exclua o diretório de trabalho e o arquivo docker-compose.yml:
```
rm -rf ./main docker-compose.yml
```

A seguir

Saiba mais sobre como configurar como encontrar notificações no Security Command Center.
Leia sobre como filtrar notificações de descoberta no Security Command Center.