Mengirimkan data Security Command Center ke Elastic Stack menggunakan Docker

Halaman ini menjelaskan cara menggunakan penampung Docker untuk menghosting penginstalan Elastic Stack, dan secara otomatis mengirim temuan, aset, log audit, dan sumber keamanan Security Command Center ke Elastic Stack. Artikel ini juga menjelaskan cara mengelola data yang diekspor.

Docker adalah platform untuk mengelola aplikasi dalam container. Elastic Stack adalah platform informasi keamanan dan manajemen peristiwa (SIEM) yang menyerap data dari satu atau beberapa sumber dan memungkinkan tim keamanan mengelola respons terhadap insiden dan melakukan analisis real-time. Konfigurasi Elastic Stack yang dibahas dalam panduan ini mencakup empat komponen:

  • Filebeat: agen ringan yang diinstal di host edge, seperti virtual machine (VM), yang dapat dikonfigurasi untuk mengumpulkan dan meneruskan data
  • Logstash: layanan transformasi yang menyerap data, memetakan data ke dalam kolom yang diperlukan, dan meneruskan hasilnya ke Elasticsearch
  • Elasticsearch: mesin database penelusuran yang menyimpan data
  • Kibana: mendukung dasbor yang memungkinkan Anda memvisualisasikan dan menganalisis data

Dalam panduan ini, Anda akan menyiapkan Docker, memastikan bahwa layanan Security Command Center dan Google Cloud yang diperlukan dikonfigurasi dengan benar, dan menggunakan modul kustom untuk mengirim temuan, aset, log audit, dan sumber keamanan ke Elastic Stack.

Gambar berikut mengilustrasikan jalur data saat menggunakan Elastic Stack dengan Security Command Center.

Integrasi Security Command Center dan Elastic Stack (klik untuk memperbesar)
Integrasi Security Command Center dan Elastic Stack (klik untuk memperbesar)

Mengonfigurasi autentikasi dan otorisasi

Sebelum terhubung ke Elastic Stack, Anda harus membuat akun layanan Identity and Access Management (IAM) di setiap organisasi Google Cloud yang ingin dihubungkan dan memberikan akun tersebut peran IAM tingkat organisasi dan tingkat project yang diperlukan Elastic Stack.

Membuat akun layanan dan memberikan peran IAM

Langkah-langkah berikut menggunakan konsol Google Cloud. Untuk metode lainnya, lihat link di bagian akhir bagian ini.

Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

  1. Di project yang sama dengan tempat Anda membuat topik Pub/Sub, gunakan halaman Service Accounts di konsol Google Cloud untuk membuat akun layanan. Untuk mengetahui petunjuknya, lihat Membuat dan mengelola akun layanan.
  2. Berikan peran berikut ke akun layanan:

    • Pub/Sub Admin (roles/pubsub.admin)
    • Pemilik Aset Cloud (roles/cloudasset.owner)
  3. Salin nama akun layanan yang baru saja Anda buat.

  4. Gunakan pemilih project di konsol Google Cloud untuk beralih ke level organisasi.

  5. Buka halaman IAM untuk organisasi:

    Buka IAM

  6. Pada halaman IAM, klik Berikan akses. Panel akses grant akan terbuka.

  7. Di panel Berikan akses, selesaikan langkah-langkah berikut:

    1. Di bagian Tambahkan akun utama di kolom New principals, tempelkan nama akun layanan.
    2. Di bagian Assign roles, gunakan kolom Role untuk memberikan peran IAM berikut ke akun layanan:

    3. Security Center Admin Editor (roles/securitycenter.adminEditor)
    4. Security Center Notification Configurations Editor (roles/securitycenter.notificationConfigEditor)
    5. Organization Viewer (roles/resourcemanager.organizationViewer)
    6. Cloud Asset Viewer (roles/cloudasset.viewer)
    7. Logs Configuration Writer (roles/logging.configWriter)
    8. Klik Simpan. Akun layanan akan muncul di tab Permissions di halaman IAM pada bagian View by principals.

      Dengan pewarisan, akun layanan juga menjadi akun utama di semua project turunan organisasi. Peran yang berlaku di level project dicantumkan sebagai peran yang diwarisi.

Untuk mengetahui informasi selengkapnya tentang cara membuat akun layanan dan memberikan peran, lihat topik berikut:

Memberikan kredensial ke Elastic Stack

Bergantung pada tempat Anda menghosting Elastic Stack, cara Anda memberikan kredensial IAM ke Elastic Stack akan berbeda.

Mengonfigurasi notifikasi

Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

  1. Siapkan notifikasi temuan sebagai berikut:

    1. Aktifkan Security Command Center API.
    2. Buat filter untuk mengekspor temuan dan aset.
    3. Buat empat topik Pub/Sub: satu untuk temuan, resource, log audit, dan aset. NotificationConfig harus menggunakan topik Pub/Sub yang Anda buat untuk menemukan.

    Anda memerlukan ID organisasi, project ID, dan nama topik Pub/Sub dari tugas ini untuk mengonfigurasi Elastic Stack.

  2. Aktifkan Cloud Asset API untuk project Anda.

Menginstal komponen Docker dan Elasticsearch

Ikuti langkah-langkah berikut untuk menginstal komponen Docker dan Elasticsearch di lingkungan Anda.

Menginstal Docker Engine dan Docker Compose

Anda dapat menginstal Docker untuk digunakan di lokasi atau dengan penyedia cloud. Untuk memulai, selesaikan panduan berikut dalam dokumentasi produk Docker:

Menginstal Elasticsearch dan Kibana

Image Docker yang Anda instal di Menginstal Docker menyertakan Logstash dan Filebeat. Jika Anda belum menginstal Elasticsearch dan Kibana, gunakan panduan berikut untuk menginstal aplikasi:

Anda memerlukan informasi berikut dari tugas tersebut untuk menyelesaikan panduan ini:

  • Elastic Stack: host, port, sertifikat, nama pengguna, dan sandi
  • Kibana: host, port, sertifikat, nama pengguna, dan sandi

Mendownload modul GoApp

Bagian ini menjelaskan cara mendownload modul GoApp, program Go yang dikelola oleh Security Command Center. Modul ini mengotomatiskan proses penjadwalan panggilan API Security Command Center dan secara rutin mengambil data Security Command Center untuk digunakan di Elastic Stack.

Untuk menginstal GoApp, lakukan hal berikut:

  1. Di jendela terminal, instal wget, utilitas software gratis yang digunakan untuk mengambil konten dari server web.

    Untuk distribusi Ubuntu dan Debian, jalankan perintah berikut:

    apt-get install wget
    

    Untuk distribusi RHEL, CentOS, dan Fedora, jalankan perintah berikut:

    yum install wget
    
  2. Instal unzip, utilitas software gratis yang digunakan untuk mengekstrak konten file ZIP.

    Untuk distribusi Ubuntu dan Debian, jalankan perintah berikut:

    apt-get install unzip
    

    Untuk distribusi RHEL, CentOS, dan Fedora, jalankan perintah berikut:

    yum install unzip
    
  3. Buat direktori untuk paket penginstalan GoogleSCCElasticIntegration:

    mkdir GoogleSCCElasticIntegration
    
  4. Download paket penginstalan GoogleSCCElasticIntegration:

    wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip
    
  5. Ekstrak konten paket penginstalan GoogleSCCElasticIntegration ke dalam direktori GoogleSCCElasticIntegration:

    unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration
    
  6. Buat direktori kerja untuk menyimpan dan menjalankan komponen modul GoApp:

    mkdir WORKING_DIRECTORY
    

    Ganti WORKING_DIRECTORY dengan nama direktori.

  7. Buka direktori penginstalan GoogleSCCElasticIntegration:

    cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/
    

    Ganti ROOT_DIRECTORY dengan jalur ke direktori yang berisi direktori GoogleSCCElasticIntegration.

  8. Pindahkan folder install, config.yml, dashboards.ndjson, dan templates (dengan file filebeat.tmpl, logstash.tmpl, dan docker.tmpl) ke direktori kerja Anda.

    mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY
    

    Ganti WORKING_DIRECTORY dengan jalur ke direktori kerja Anda.

Menginstal container Docker

Untuk menyiapkan penampung Docker, Anda mendownload dan menginstal image yang telah diformat sebelumnya dari Google Cloud yang berisi Logstash dan Filebeat. Untuk informasi tentang image Docker, buka repositori Artifact Registry di konsol Google Cloud.

Buka Artifact Registry

Selama penginstalan, Anda mengonfigurasi modul GoApp dengan kredensial Security Command Center dan Elastic Stack.

  1. Buka direktori kerja Anda:

    cd /WORKING_DIRECTORY
    

    Ganti WORKING_DIRECTORY dengan jalur ke direktori kerja Anda.

  2. Pastikan file berikut muncul di direktori kerja Anda:

      ├── config.yml
      ├── install
      ├── dashboards.ndjson
      ├── templates
          ├── filebeat.tmpl
          ├── docker.tmpl
          ├── logstash.tmpl
    
  3. Di editor teks, buka file config.yml dan tambahkan variabel yang diminta. Jika variabel tidak diperlukan, Anda dapat membiarkannya kosong.

    Variabel Deskripsi Wajib
    elasticsearch Bagian untuk konfigurasi Elasticsearch Anda. Wajib
    host Alamat IP host Elastic Stack Anda. Wajib
    password Sandi Elasticsearch Anda. Opsional
    port Port untuk host Elastic Stack Anda. Wajib
    username Nama pengguna Elasticsearch Anda. Opsional
    cacert Sertifikat untuk server Elasticsearch (misalnya, path/to/cacert/elasticsearch.cer). Opsional
    http_proxy Link dengan nama pengguna, sandi, alamat IP, dan port untuk host proxy Anda (misalnya, http://USER:PASSWORD@PROXY_IP:PROXY_PORT). Opsional
    kibana Bagian untuk konfigurasi Kibana Anda. Wajib
    host Alamat IP atau nama host yang akan diikat oleh server Kibana. Wajib
    password Sandi Kibana Anda. Opsional
    port Port untuk server Kibana. Wajib
    username Nama pengguna Kibana Anda. Opsional
    cacert Sertifikat untuk server Kibana (misalnya, path/to/cacert/kibana.cer). Opsional
    cron Bagian untuk konfigurasi cron Anda. Opsional
    asset Bagian untuk konfigurasi cron aset Anda (misalnya, 0 */45 * * * *). Opsional
    source Bagian untuk konfigurasi cron sumber Anda (misalnya, 0 */45 * * * *). Untuk informasi selengkapnya, lihat Generator ekspresi cron. Opsional
    organizations Bagian untuk konfigurasi organisasi Google Cloud Anda. Untuk menambahkan beberapa organisasi Google Cloud, salin semua dari - id: ke subscription_name di bagian resource. Wajib
    id ID organisasi Anda. Wajib
    client_credential_path Salah satu dari:
    • Jalur ke file JSON, jika Anda menggunakan kunci akun layanan.
    • File konfigurasi kredensial, jika Anda menggunakan Workload Identity Federation.
    • Jangan tentukan apa pun jika ini adalah organisasi Google Cloud tempat Anda menginstal penampung Docker.
    Opsional, bergantung pada lingkungan Anda
    update Apakah Anda mengupgrade dari versi sebelumnya, n untuk tidak atau y untuk ya Opsional
    project Bagian untuk project ID Anda. Wajib
    id ID untuk project yang berisi topik Pub/Sub. Wajib
    auditlog Bagian untuk topik dan langganan Pub/Sub untuk log audit. Opsional
    topic_name Nama topik Pub/Sub untuk log audit Opsional
    subscription_name Nama langganan Pub/Sub untuk log audit Opsional
    findings Bagian untuk topik dan langganan Pub/Sub untuk temuan. Opsional
    topic_name Nama topik Pub/Sub untuk temuan. Opsional
    start_date Tanggal opsional untuk mulai memigrasikan temuan, misalnya, 2021-04-01T12:00:00+05:30 Opsional
    subscription_name Nama langganan Pub/Sub untuk temuan. Opsional
    asset Bagian untuk konfigurasi aset. Opsional
    iampolicy Bagian untuk topik dan langganan Pub/Sub untuk kebijakan IAM. Opsional
    topic_name Nama topik Pub/Sub untuk kebijakan IAM. Opsional
    subscription_name Nama langganan Pub/Sub untuk kebijakan IAM. Opsional
    resource Bagian untuk topik dan langganan Pub/Sub untuk resource. Opsional
    topic_name Nama topik Pub/Sub untuk resource. Opsional
    subscription_name Nama langganan Pub/Sub untuk resource. Opsional

    Contoh file config.yml

    Contoh berikut menunjukkan file config.yml yang menyertakan dua organisasi Google Cloud.

    elasticsearch:
      host: 127.0.0.1
      password: changeme
      port: 9200
      username: elastic
      cacert: path/to/cacert/elasticsearch.cer
    http_proxy: http://user:password@proxyip:proxyport
    kibana:
      host: 127.0.0.1
      password: changeme
      port: 5601
      username: elastic
      cacert: path/to/cacert/kibana.cer
    cron:
      asset: 0 */45 * * * *
      source: 0 */45 * * * *
    organizations:
      – id: 12345678910
        client_credential_path:
        update:
        project:
          id: project-id-12345
        auditlog:
          topic_name: auditlog.topic_name
          subscription_name: auditlog.subscription_name
        findings:
          topic_name: findings.topic_name
          start_date: 2021-05-01T12:00:00+05:30
          subscription_name: findings.subscription_name
        asset:
          iampolicy:
            topic_name: iampolicy.topic_name
            subscription_name: iampolicy.subscription_name
          resource:
            topic_name: resource.topic_name
            subscription_name: resource.subscription_name
      – id: 12345678911
        client_credential_path:
        update:
        project:
          id: project-id-12346
        auditlog:
          topic_name: auditlog2.topic_name
          subscription_name: auditlog2.subscription_name
        findings:
          topic_name: findings2.topic_name
          start_date: 2021-05-01T12:00:00+05:30
          subscription_name: findings1.subscription_name
        asset:
          iampolicy:
            topic_name: iampolicy2.topic_name
            subscription_name: iampolicy2.subscription_name
          resource:
            topic_name: resource2.topic_name
            subscription_name: resource2.subscription_name
    
  4. Jalankan perintah berikut untuk menginstal image Docker dan mengonfigurasi modul GoApp.

    chmod +x install
    ./install
    

    Modul GoApp mendownload image Docker, menginstal image, dan menyiapkan container.

  5. Setelah proses selesai, salin alamat email akun layanan WriterIdentity dari output penginstalan.

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Sink_}}HashId{{
    

    Direktori kerja Anda harus memiliki struktur berikut:

      ├── config.yml
      ├── dashboards.ndjson
      ├── docker-compose.yml
      ├── install
      ├── templates
          ├── filebeat.tmpl
          ├── logstash.tmpl
          ├── docker.tmpl
      └── main
          ├── client_secret.json
          ├── filebeat
          │          └── config
          │                   └── filebeat.yml
          ├── GoApp
          │       └── .env
          └── logstash
                     └── pipeline
                                └── logstash.conf
    

Memperbarui izin untuk log audit

Untuk memperbarui izin agar log audit dapat mengalir ke SIEM Anda:

  1. Buka halaman topik Pub/Sub.

    Buka Pub/Sub

  2. Pilih project yang menyertakan topik Pub/Sub Anda.

  3. Pilih topik Pub/Sub yang Anda buat untuk log audit.

  4. Di Permissions, tambahkan akun layanan WriterIdentity (yang Anda salin di langkah 4 prosedur penginstalan) sebagai akun utama baru dan tetapkan peran Pub/Sub Publisher. Kebijakan log audit diperbarui.

Konfigurasi Docker dan Elastic Stack telah selesai. Sekarang Anda dapat menyiapkan Kibana.

Melihat log Docker

  1. Buka terminal, lalu jalankan perintah berikut untuk melihat informasi container, termasuk ID container. Catat ID untuk penampung tempat Elastic Stack diinstal.

    docker container ls
    
  2. Untuk memulai penampung dan melihat lognya, jalankan perintah berikut:

    docker exec -it CONTAINER_ID /bin/bash
    cat go.log
    

    Ganti CONTAINER_ID dengan ID penampung tempat Elastic Stack diinstal.

Menyiapkan Kibana

Selesaikan langkah-langkah ini saat Anda menginstal penampung Docker untuk pertama kalinya.

  1. Buka kibana.yml di editor teks.

    sudo vim KIBANA_DIRECTORY/config/kibana.yml
    

    Ganti KIBANA_DIRECTORY dengan jalur ke folder penginstalan Kibana Anda.

  2. Perbarui variabel berikut:

    • server.port: port yang akan digunakan untuk server backend Kibana; defaultnya adalah 5601
    • server.host: alamat IP atau nama host yang akan di-bind oleh server Kibana
    • elasticsearch.hosts: alamat IP dan port instance Elasticsearch yang akan digunakan untuk kueri
    • server.maxPayloadBytes: ukuran payload maksimum dalam byte untuk permintaan server masuk; default-nya adalah 1.048.576
    • url_drilldown.enabled: nilai Boolean yang mengontrol kemampuan untuk membuka dasbor Kibana ke URL internal atau eksternal; defaultnya adalah true

    Konfigurasi yang telah selesai akan terlihat seperti berikut:

      server.port: PORT
      server.host: "HOST"
      elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
      server.maxPayloadBytes: 5242880
      url_drilldown.enabled: true
    

Mengimpor dasbor Kibana

  1. Buka aplikasi Kibana.
  2. Di menu navigasi, buka Stack Management, lalu klik Saved Objects.
  3. Klik Import, buka direktori kerja, lalu pilih dashboards.ndjson. Dasbor diimpor dan pola indeks dibuat.

Mengupgrade container Docker

Jika Anda men-deploy modul GoApp versi sebelumnya, Anda dapat mengupgrade ke versi yang lebih baru. Saat mengupgrade penampung Docker ke versi yang lebih baru, Anda dapat mempertahankan penyiapan akun layanan yang ada, topik Pub/Sub, dan komponen ElasticSearch.

Jika Anda mengupgrade dari integrasi yang tidak menggunakan penampung Docker, lihat Mengupgrade ke rilis terbaru.

  1. Jika Anda mengupgrade dari v1, selesaikan tindakan berikut:

    1. Tambahkan peran Logs Configuration Writer (roles/logging.configWriter) ke akun layanan.

    2. Buat topik Pub/Sub untuk log audit Anda.

  2. Jika Anda menginstal penampung Docker di cloud lain, konfigurasi workload identity federation dan download file konfigurasi kredensial.

  3. Secara opsional, untuk menghindari masalah saat mengimpor dasbor baru, hapus dasbor yang ada dari Kibana:

    1. Buka aplikasi Kibana.
    2. Di menu navigasi, buka Stack Management, lalu klik Saved Objects.
    3. Telusuri Google SCC.
    4. Pilih semua dasbor yang ingin Anda hapus.
    5. Klik Hapus.
  4. Hapus penampung Docker yang ada:

    1. Buka terminal dan hentikan penampung:

      docker stop CONTAINER_ID
      

      Ganti CONTAINER_ID dengan ID penampung tempat Elastic Stack diinstal.

    2. Hapus container Docker:

      docker rm CONTAINER_ID
      

      Jika perlu, tambahkan -f sebelum ID penampung untuk menghapus penampung secara paksa.

  5. Selesaikan langkah 1 hingga 7 di Mendownload modul GoApp.

  6. Pindahkan file config.env yang ada dari penginstalan sebelumnya ke direktori \update.

  7. Jika perlu, berikan izin yang dapat dieksekusi untuk menjalankan ./update:

    chmod +x ./update
    ./update
    
  8. Jalankan ./update untuk mengonversi config.env menjadi config.yml.

  9. Pastikan file config.yml menyertakan konfigurasi yang ada. Jika tidak, jalankan kembali ./update.

  10. Untuk mendukung beberapa organisasi Google Cloud, tambahkan konfigurasi organisasi lain ke file config.yml.

  11. Pindahkan file config.yml ke direktori kerja Anda, tempat file install berada.

  12. Selesaikan langkah-langkah di Menginstal Docker.

  13. Selesaikan langkah-langkah di Memperbarui izin untuk log audit.

  14. Impor dasbor baru, seperti yang dijelaskan dalam Mengimpor dasbor Kibana. Langkah ini akan menimpa dasbor Kibana yang ada.

Melihat dan mengedit dasbor Kibana

Anda dapat menggunakan dasbor kustom di Elastic Stack untuk memvisualisasikan dan menganalisis temuan, aset, dan sumber keamanan Anda. Dasbor menampilkan temuan kritis dan membantu tim keamanan Anda memprioritaskan perbaikan.

Dasbor ringkasan

Dasbor Ringkasan berisi serangkaian diagram yang menampilkan jumlah total temuan di organisasi Google Cloud Anda menurut tingkat keparahan, kategori, dan status. Temuan dikompilasi dari layanan bawaan Security Command Center, seperti Security Health Analytics, Web Security Scanner, Event Threat Detection, dan Container Threat Detection, serta layanan terintegrasi apa pun yang Anda aktifkan.

Untuk memfilter konten berdasarkan kriteria seperti kesalahan konfigurasi atau kerentanan, Anda dapat memilih Class temuan.

Diagram tambahan menunjukkan kategori, project, dan aset mana yang menghasilkan temuan terbanyak.

Dasbor aset

Dasbor Aset menampilkan tabel yang menampilkan aset Google Cloud Anda. Tabel menampilkan pemilik aset, jumlah aset menurut jenis resource dan project, serta aset yang baru ditambahkan dan diperbarui.

Anda dapat memfilter data aset menurut organisasi, nama aset, jenis aset, dan induk, serta dengan cepat melihat perincian temuan untuk aset tertentu. Jika Anda mengklik nama aset, Anda akan dialihkan ke halaman Aset Security Command Center di konsol Google Cloud dan melihat detail untuk aset yang dipilih.

Dasbor log audit

Dasbor Log audit menampilkan serangkaian diagram dan tabel yang menampilkan informasi log audit. Log audit yang disertakan di dasbor adalah log audit aktivitas administrator, akses data, peristiwa sistem, dan kebijakan ditolak. Tabel ini mencakup waktu, tingkat keparahan, jenis log, nama log, nama layanan, nama resource, dan jenis resource.

Anda dapat memfilter data menurut organisasi, sumber (seperti project), tingkat keparahan, jenis log, dan jenis resource.

Dasbor temuan

Dasbor Temuan menyertakan diagram yang menampilkan temuan terbaru Anda. Diagram ini memberikan informasi tentang jumlah temuan, tingkat keparahan, kategori, dan statusnya. Anda juga dapat melihat temuan aktif dari waktu ke waktu, dan project atau resource mana yang memiliki temuan terbanyak.

Anda dapat memfilter data menurut organisasi dan kelas penemuan.

Jika mengklik nama temuan, Anda akan dialihkan ke halaman Temuan Security Command Center di konsol Google Cloud dan melihat detail untuk temuan yang dipilih.

Dasbor sumber

Dasbor Sumber menampilkan jumlah total temuan dan sumber keamanan, jumlah temuan menurut nama sumber, dan tabel semua sumber keamanan Anda. Kolom tabel mencakup nama, nama tampilan, dan deskripsi.

Tambah kolom

  1. Buka dasbor.
  2. Klik Edit, lalu klik Edit visualisasi.
  3. Di bagian Tambahkan sub-bucket, pilih Pisahkan baris.
  4. Dalam daftar, pilih agregasi Istilah.
  5. Di menu drop-down Menurun, pilih menaik atau menurun. Di kolom Ukuran, masukkan jumlah maksimum baris untuk tabel.
  6. Pilih kolom yang ingin ditambahkan, lalu klik Update.
  7. Simpan perubahan.

Menyembunyikan atau menghapus kolom

  1. Buka dasbor.
  2. Klik Edit.
  3. Untuk menyembunyikan kolom, di samping nama kolom, klik ikon visibilitas, atau mata.
  4. Untuk menghapus kolom, di samping nama kolom, klik X atau ikon hapus.

Meng-uninstal integrasi dengan Elasticsearch

Selesaikan bagian berikut untuk menghapus integrasi antara Security Command Center dan Elasticsearch.

Menghapus dasbor, indeks, dan pola indeks

Hapus dasbor saat Anda ingin meng-uninstal solusi ini.

  1. Buka dasbor.

  2. Telusuri Google SCC dan pilih semua dasbor.

  3. Klik Hapus dasbor.

  4. Buka Pengelolaan Stack > Pengelolaan Indeks.

  5. Tutup indeks berikut:

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs
  6. Buka Pengelolaan Stack > Pola Indeks.

  7. Tutup pola berikut:

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs

Meng-uninstal Docker

  1. Hapus NotificationConfig untuk Pub/Sub. Untuk menemukan nama NotificationConfig, jalankan:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat NotificationConf_}}HashId{{
    
  2. Hapus feed Pub/Sub untuk aset, temuan, kebijakan IAM, dan log audit. Untuk menemukan nama feed, jalankan:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Feed_}}HashId{{
    
  3. Hapus sink untuk log audit. Untuk menemukan nama sink, jalankan:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Sink_}}HashId{{
    
  4. Untuk melihat informasi penampung, termasuk ID penampung, buka terminal dan jalankan perintah berikut:

    docker container ls
    
  5. Hentikan penampung:

    docker stop CONTAINER_ID
    

    Ganti CONTAINER_ID dengan ID penampung tempat Elastic Stack diinstal.

  6. Hapus container Docker:

    docker rm CONTAINER_ID
    

    Jika perlu, tambahkan -f sebelum ID penampung untuk menghapus penampung secara paksa.

  7. Hapus image Docker:

    docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest
    
  8. Hapus direktori kerja dan file docker-compose.yml:

    rm -rf ./main docker-compose.yml
    

Langkah selanjutnya