Questa pagina spiega come utilizzare un contenitore Docker per ospitare l'installazione di Elastic Stack e inviare automaticamente a Elastic Stack i risultati, gli asset, i log di controllo e le origini di sicurezza di Security Command Center. Descrive inoltre come gestire i dati esportati.
Docker è una piattaforma per la gestione di applicazioni in container. Elastic Stack è una piattaforma SIEM (Security Information and Event Management) che importa i dati da una o più origini e consente ai team di sicurezza di gestire le risposte agli incidenti ed eseguire analisi in tempo reale. La configurazione di Elastic Stack descritta in questa guida include quattro componenti:
- Filebeat: un agente leggero installato su host edge, come le macchine virtuali (VM), che può essere configurato per raccogliere e inoltrare i dati
- Logstash: un servizio di trasformazione che importa i dati, li mappa nei campi obbligatori e inoltra i risultati a Elasticsearch
- Elasticsearch: un motore del database di ricerca che memorizza i dati
- Kibana: consente di creare dashboard che ti consentono di visualizzare e analizzare i dati
In questa guida, configuri Docker, ti assicuri che i servizi Security Command Center e Google Cloud richiesti siano configurati correttamente e utilizzi un modulo personalizzato per inviare risultati, asset, log di controllo e origini di sicurezza a Elastic Stack.
La figura seguente illustra il percorso dei dati quando utilizzi Elastic Stack con Security Command Center.
Configurare l'autenticazione e l'autorizzazione
Prima di connetterti a Elastic Stack, devi creare un account di servizio Identity and Access Management (IAM) in ogni organizzazione Google Cloud che vuoi collegare e concedere all'account i ruoli IAM sia a livello di organizzazione sia a livello di progetto di cui Elastic Stack ha bisogno.
Creare un account di servizio e concedere i ruoli IAM
I passaggi che seguono utilizzano la console Google Cloud . Per altri metodi, consulta i link alla fine di questa sezione.
Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.
- Nello stesso progetto in cui crei gli argomenti Pub/Sub, utilizza la pagina Account di servizio nella console Google Cloud per creare un account di servizio. Per le istruzioni, vedi Creazione e gestione degli account di servizio.
Concedi all'account di servizio i seguenti ruoli:
- Pub/Sub Admin (
roles/pubsub.admin
) - Proprietario della risorsa cloud (
roles/cloudasset.owner
)
- Pub/Sub Admin (
Copia il nome del account di servizio appena creato.
Utilizza il selettore di progetti nella console Google Cloud per passare al livello dell'organizzazione.
Apri la pagina IAM dell'organizzazione:
Nella pagina IAM, fai clic su Concedi accesso. Viene visualizzato il riquadro Concedi accesso.
Nel riquadro Concedi l'accesso, completa i seguenti passaggi:
- Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.
Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere all'account di servizio i seguenti ruoli IAM:
- Editor amministratore Centro sicurezza (
roles/securitycenter.adminEditor
) - Editor configurazioni notifiche Centro sicurezza
(
roles/securitycenter.notificationConfigEditor
) - Organization Viewer (
roles/resourcemanager.organizationViewer
) - Cloud Asset Viewer (
roles/cloudasset.viewer
) - Logs Configuration Writer (
roles/logging.configWriter
) Fai clic su Salva. L'account di servizio viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.
Per eredità, l'account di servizio diventa un principale anche in tutti i progetti secondari dell'organizzazione. I ruoli applicabili a livello di progetto sono elencati come ruoli ereditati.
Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione di ruoli, consulta i seguenti argomenti:
- Creazione e gestione degli account di servizio
- Concessione, modifica e revoca dell'accesso alle risorse
Fornisci le credenziali a Elastic Stack
A seconda di dove ospiti Elastic Stack, la modalità di impostazione delle credenziali IAM in Elastic Stack varia.
Se ospiti il contenitore Docker in Google Cloud, tieni conto di quanto segue:
Aggiungi l'account di servizio alla VM che ospiterà i tuoi nodi Kubernetes. Se utilizzi più organizzazioniGoogle Cloud , aggiungi questo account di servizio alle altre organizzazioni e concedi i ruoli IAM descritti nei passaggi da 5 a 7 di Creare un account di servizio e concedere i ruoli IAM.
Se esegui il deployment del container Docker in un perimetro di servizio, crea le regole di ingresso e di uscita. Per istruzioni, vedi Concedere l'accesso al perimetro in Controlli di servizio VPC.
Se ospiti il contenitore Docker nel tuo ambiente on-premise, crea una chiave dell'account di servizio per ogni organizzazione Google Cloud . Per completare questa guida, devi disporre delle chiavi dell'account di servizio in formato JSON.
Per scoprire le best practice per archiviare le chiavi degli account di servizio in modo sicuro, consulta Best practice per la gestione delle chiavi degli account di servizio.
Se stai installando il contenitore Docker in un altro cloud, configura la federazione delle identità per i carichi di lavoro e scarica i file di configurazione delle credenziali. Se utilizzi più organizzazioni Google Cloud , aggiungi questo account di servizio alle altre organizzazioni e concedi i ruoli IAM descritti nei passaggi da 5 a 7 di Creare un account di servizio e concedere i ruoli IAM.
Configura le notifiche
Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.
Configura le notifiche dei risultati come segue:
- Abilita l'API Security Command Center.
- Crea un filtro per esportare risultati e asset.
- Crea quattro argomenti Pub/Sub: uno per risultati, risorse, log di controllo e asset.
NotificationConfig
deve utilizzare l'argomento Pub/Sub che crei per i risultati.
Per configurare Elastic Stack, avrai bisogno dell'ID organizzazione, dell'ID progetto e dei nomi degli argomenti Pub/Sub di questa attività.
Abilita l'API Cloud Asset per il tuo progetto.
Installa i componenti Docker ed Elasticsearch
Segui questi passaggi per installare i componenti Docker ed Elasticsearch nel tuo ambiente.
Installa Docker Engine e Docker Compose
Puoi installare Docker per l'utilizzo on-premise o con un provider cloud. Per iniziare, consulta le seguenti guide nella documentazione del prodotto Docker:
Installa Elasticsearch e Kibana
L'immagine Docker installata in Installare Docker include Logstash e Filebeat. Se non hai ancora installato Elasticsearch e Kibana, consulta le seguenti guide per installare le applicazioni:
Per completare questa guida, sono necessarie le seguenti informazioni da queste attività:
- Elastic Stack: host, porta, certificato, nome utente e password
- Kibana: host, porta, certificato, nome utente e password
Scarica il modulo GoApp
Questa sezione spiega come scaricare il modulo GoApp
, un programma Go manutenuto da Security Command Center. Il modulo automatizza il processo di pianificazione delle chiamate all'API Security Command Center e recupera regolarmente i dati di Security Command Center per utilizzarli in Elastic Stack.
Per installare GoApp
:
In una finestra del terminale, installa wget, un'utilità software gratuita utilizzata per recuperare i contenuti dai server web.
Per le distribuzioni Ubuntu e Debian, esegui quanto segue:
apt-get install wget
Per le distribuzioni RHEL, CentOS e Fedora, esegui quanto segue:
yum install wget
Installa
unzip
, un'utilità software gratuita utilizzata per estrarre i contenuti degli archivi ZIP.Per le distribuzioni Ubuntu e Debian, esegui quanto segue:
apt-get install unzip
Per le distribuzioni RHEL, CentOS e Fedora, esegui quanto segue:
yum install unzip
Crea una directory per il pacchetto di installazione di GoogleSCCElasticIntegration:
mkdir GoogleSCCElasticIntegration
Scarica il pacchetto di installazione di GoogleSCCElasticIntegration:
wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip
Estrai i contenuti del pacchetto di installazione di GoogleSCCElasticIntegration nella directory
GoogleSCCElasticIntegration
:unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration
Crea una directory di lavoro per archiviare ed eseguire i componenti del modulo
GoApp
:mkdir WORKING_DIRECTORY
Sostituisci
WORKING_DIRECTORY
con il nome della directory.Vai alla directory di installazione di
GoogleSCCElasticIntegration
:cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/
Sostituisci
ROOT_DIRECTORY
con il percorso della directory che contiene la directoryGoogleSCCElasticIntegration
.Sposta
install
,config.yml
,dashboards.ndjson
e la cartellatemplates
(con i filefilebeat.tmpl
,logstash.tmpl
edocker.tmpl
) nella directory di lavoro.mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY
Sostituisci
WORKING_DIRECTORY
con il percorso della directory di lavoro.
Installa il container Docker
Per configurare il container Docker, scarica e installa un'immagine preformattata da Google Cloud che contiene Logstash e Filebeat. Per informazioni sull'immagine Docker, vai al repository Artifact Registry nella console Google Cloud .
Durante l'installazione, configura il modulo GoApp
con le credenziali di Security Command Center
e di Elastic Stack.
Vai alla tua directory di lavoro:
cd /WORKING_DIRECTORY
Sostituisci
WORKING_DIRECTORY
con il percorso della directory di lavoro.Verifica che i seguenti file siano presenti nella tua directory di lavoro:
├── config.yml ├── install ├── dashboards.ndjson ├── templates ├── filebeat.tmpl ├── docker.tmpl ├── logstash.tmpl
In un editor di testo, apri il file
config.yml
e aggiungi le variabili richieste. Se una variabile non è obbligatoria, puoi lasciarla vuota.Variabile Descrizione Obbligatorio elasticsearch
La sezione per la configurazione di Elasticsearch. Obbligatorio host
L'indirizzo IP dell'host di Elastic Stack. Obbligatorio password
La tua password Elasticsearch. Facoltativo port
La porta per l'host Elastic Stack. Obbligatorio username
Il tuo nome utente Elasticsearch. Facoltativo cacert
Il certificato per il server Elasticsearch (ad esempio path/to/cacert/elasticsearch.cer
).Facoltativo http_proxy
Un link con il nome utente, la password, l'indirizzo IP e la porta per l'host proxy (ad esempio http://USER:PASSWORD@PROXY_IP:PROXY_PORT
).Facoltativo kibana
La sezione per la configurazione di Kibana. Obbligatorio host
L'indirizzo IP o il nome host a cui verrà associato il server Kibana. Obbligatorio password
La password di Kibana. Facoltativo port
La porta per il server Kibana. Obbligatorio username
Il tuo nome utente di Kibana. Facoltativo cacert
Il certificato per il server Kibana (ad esempio path/to/cacert/kibana.cer
).Facoltativo cron
La sezione per la configurazione di cron. Facoltativo asset
La sezione per la configurazione cron della risorsa (ad es. 0 */45 * * * *
).Facoltativo source
La sezione per la configurazione del cron di origine (ad es. 0 */45 * * * *
). Per ulteriori informazioni, consulta Generatore di espressioni CRON.Facoltativo organizations
La sezione per la configurazione dell'organizzazione Google Cloud . Per aggiungere più organizzazioni Google Cloud , copia tutto da - id:
asubscription_name
inresource
.Obbligatorio id
Il tuo ID organizzazione. Obbligatorio client_credential_path
Uno dei seguenti: - Il percorso del file JSON, se utilizzi le chiavi dell'account di servizio.
- Il file di configurazione delle credenziali, se utilizzi la federazione delle identità per i carichi di lavoro.
- Non specificare nulla se si tratta dell'organizzazione Google Cloud in cui stai installando il contenitore Docker.
(Facoltativo) A seconda dell'ambiente update
Se stai eseguendo l'upgrade da una versione precedente, inserisci n
per no oy
per sìFacoltativo project
La sezione per l'ID progetto. Obbligatorio id
L'ID del progetto contenente l'argomento Pub/Sub. Obbligatorio auditlog
La sezione per l'argomento e la sottoscrizione Pub/Sub per i log di controllo. Facoltativo topic_name
Il nome dell'argomento Pub/Sub per i log di controllo Facoltativo subscription_name
Il nome della sottoscrizione Pub/Sub per i log di controllo Facoltativo findings
La sezione per l'argomento e la sottoscrizione Pub/Sub per i risultati. Facoltativo topic_name
Il nome dell'argomento Pub/Sub per i risultati. Facoltativo start_date
La data facoltativa per iniziare la migrazione dei risultati, ad esempio 2021-04-01T12:00:00+05:30
Facoltativo subscription_name
Il nome della sottoscrizione Pub/Sub per i risultati. Facoltativo asset
La sezione per la configurazione dell'asset. Facoltativo iampolicy
La sezione relativa all'argomento e alla sottoscrizione Pub/Sub per i criteri IAM. Facoltativo topic_name
Il nome dell'argomento Pub/Sub per i criteri IAM. Facoltativo subscription_name
Il nome della sottoscrizione Pub/Sub per i criteri IAM. Facoltativo resource
La sezione per l'argomento e la sottoscrizione Pub/Sub per le risorse. Facoltativo topic_name
Il nome dell'argomento Pub/Sub per le risorse. Facoltativo subscription_name
Il nome della sottoscrizione Pub/Sub per le risorse. Facoltativo File
config.yml
di esempioL'esempio seguente mostra un file
config.yml
che include due organizzazioni Google Cloud .elasticsearch: host: 127.0.0.1 password: changeme port: 9200 username: elastic cacert: path/to/cacert/elasticsearch.cer http_proxy: http://user:password@proxyip:proxyport kibana: host: 127.0.0.1 password: changeme port: 5601 username: elastic cacert: path/to/cacert/kibana.cer cron: asset: 0 */45 * * * * source: 0 */45 * * * * organizations: – id: 12345678910 client_credential_path: update: project: id: project-id-12345 auditlog: topic_name: auditlog.topic_name subscription_name: auditlog.subscription_name findings: topic_name: findings.topic_name start_date: 2021-05-01T12:00:00+05:30 subscription_name: findings.subscription_name asset: iampolicy: topic_name: iampolicy.topic_name subscription_name: iampolicy.subscription_name resource: topic_name: resource.topic_name subscription_name: resource.subscription_name – id: 12345678911 client_credential_path: update: project: id: project-id-12346 auditlog: topic_name: auditlog2.topic_name subscription_name: auditlog2.subscription_name findings: topic_name: findings2.topic_name start_date: 2021-05-01T12:00:00+05:30 subscription_name: findings1.subscription_name asset: iampolicy: topic_name: iampolicy2.topic_name subscription_name: iampolicy2.subscription_name resource: topic_name: resource2.topic_name subscription_name: resource2.subscription_name
Esegui i seguenti comandi per installare l'immagine Docker e configurare il modulo
GoApp
.chmod +x install ./install
Il modulo
GoApp
scarica l'immagine Docker, la installa e configura il container.Al termine della procedura, copia l'indirizzo email dell'account di servizio WriterIdentity dall'output dell'installazione.
docker exec googlescc_elk ls docker exec googlescc_elk cat Sink_}}HashId{{
La directory di lavoro deve avere la seguente struttura:
├── config.yml ├── dashboards.ndjson ├── docker-compose.yml ├── install ├── templates ├── filebeat.tmpl ├── logstash.tmpl ├── docker.tmpl └── main ├── client_secret.json ├── filebeat │ └── config │ └── filebeat.yml ├── GoApp │ └── .env └── logstash └── pipeline └── logstash.conf
Aggiorna le autorizzazioni per gli audit log
Per aggiornare le autorizzazioni in modo che i log di controllo possano essere inviati al tuo SIEM:
Vai alla pagina degli argomenti Pub/Sub.
Seleziona il progetto che include gli argomenti Pub/Sub.
Seleziona l'argomento Pub/Sub che hai creato per i log di controllo.
In Autorizzazioni, aggiungi l'account di servizio WriterIdentity (che hai copiato nel passaggio 4 della procedura di installazione) come nuova entità e assegnagli il ruolo Publisher Pub/Sub. Il criterio del log di controllo viene aggiornato.
Le configurazioni di Docker ed Elastic Stack sono complete. Ora puoi configurare Kibana.
Visualizza i log di Docker
Apri un terminale ed esegui il seguente comando per visualizzare le informazioni sul contenitore, inclusi gli ID contenitore. Prendi nota dell'ID del contenitore in cui è installato Elastic Stack.
docker container ls
Per avviare un contenitore e visualizzarne i log, esegui i seguenti comandi:
docker exec -it CONTAINER_ID /bin/bash cat go.log
Sostituisci
CONTAINER_ID
con l'ID del contenitore in cui è installato Elastic Stack.
Configura Kibana
Completa questi passaggi quando installi il container Docker per la prima volta.
Apri
kibana.yml
in un editor di testo.sudo vim KIBANA_DIRECTORY/config/kibana.yml
Sostituisci
KIBANA_DIRECTORY
con il percorso della cartella di installazione di Kibana.Aggiorna le seguenti variabili:
server.port
: la porta da utilizzare per il server di backend di Kibana; il valore predefinito è 5601server.host
: l'indirizzo IP o il nome host a cui verrà associato il server Kibanaelasticsearch.hosts
: l'indirizzo IP e la porta dell'istanza Elasticsearch da utilizzare per le queryserver.maxPayloadBytes
: la dimensione massima del payload in byte per le richieste del server in entrata; il valore predefinito è 1.048.576url_drilldown.enabled
: un valore booleano che controlla la possibilità di navigare dalla dashboard di Kibana a URL interni o esterni. Il valore predefinito ètrue
La configurazione completata è simile alla seguente:
server.port: PORT server.host: "HOST" elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"] server.maxPayloadBytes: 5242880 url_drilldown.enabled: true
Importa le dashboard di Kibana
- Apri l'applicazione Kibana.
- Nel menu di navigazione, vai a Gestione dello stack e poi fai clic su Oggetti salvati.
- Fai clic su Importa, vai alla directory di lavoro e seleziona dashboards.ndjson. Le dashboard vengono importate e vengono creati pattern di indice.
Esegui l'upgrade del container Docker
Se hai implementato una versione precedente del modulo GoApp
, puoi eseguire l'upgrade a una versione più recente.
Quando esegui l'upgrade del contenitore Docker a una versione più recente, puoi mantenere la configurazione esistente dell'account di servizio, gli argomenti Pub/Sub e i componenti ElasticSearch.
Se stai eseguendo l'upgrade da un'integrazione che non utilizzava un contenitore Docker, consulta Eseguire l'upgrade all'ultima release.
Se esegui l'upgrade dalla versione 1, completa le seguenti azioni:
Aggiungi il ruolo Writer configurazione log (
roles/logging.configWriter
) all'account di servizio.Crea un argomento Pub/Sub per i log di controllo.
Se stai installando il contenitore Docker in un altro cloud, configura la federazione delle identità per i carichi di lavoro e scarica il file di configurazione delle credenziali.
Se vuoi, per evitare problemi durante l'importazione delle nuove dashboard, rimuovi le dashboard esistenti da Kibana:
- Apri l'applicazione Kibana.
- Nel menu di navigazione, vai a Gestione dello stack e poi fai clic su Oggetti salvati.
- Cerca Google SCC.
- Seleziona tutte le dashboard da rimuovere.
- Fai clic su Elimina.
Rimuovi il container Docker esistente:
Apri un terminale e arresta il contenitore:
docker stop CONTAINER_ID
Sostituisci
CONTAINER_ID
con l'ID del contenitore in cui è installato Elastic Stack.Rimuovi il contenitore Docker:
docker rm CONTAINER_ID
Se necessario, aggiungi
-f
prima dell'ID contenitore per rimuoverlo forzatamente.
Completa i passaggi da 1 a 7 descritti in Scaricare il modulo GoApp.
Sposta il file
config.env
esistente dall'installazione precedente nella directory\update
.Se necessario, concedi l'autorizzazione eseguibile per l'esecuzione di
./update
:chmod +x ./update ./update
Esegui
./update
per convertireconfig.env
inconfig.yml
.Verifica che il file
config.yml
includa la configurazione esistente. In caso contrario, esegui di nuovo./update
.Per supportare più organizzazioni Google Cloud , aggiungi un'altra configurazione dell'organizzazione al file
config.yml
.Sposta il file
config.yml
nella directory di lavoro in cui si trova il fileinstall
.Completa i passaggi descritti in Installare Docker.
Completa i passaggi descritti in Aggiornare le autorizzazioni per i log di controllo.
Importa le nuove dashboard, come descritto in Importare le dashboard di Kibana. Questo passaggio sovrascriverà le dashboard di Kibana esistenti.
Visualizzare e modificare le dashboard di Kibana
Puoi utilizzare le dashboard personalizzate in Elastic Stack per visualizzare e analizzare i risultati, gli asset e le origini di sicurezza. Le dashboard mostrano risultati critici e aiutano il team di sicurezza a dare la priorità alle correzioni.
Dashboard Panoramica
La dashboard Panoramica contiene una serie di grafici che mostrano il numero totale di risultati nelle organizzazioni Google Cloud in base a livello di gravità, categoria e stato. I risultati vengono compilati dai servizi integrati di Security Command Center, come Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, nonché da eventuali servizi integrati che attivi.
Per filtrare i contenuti in base a criteri come configurazioni errate o vulnerabilità, puoi selezionare la classe di risultati.
Altri grafici mostrano quali categorie, progetti e asset generano il maggior numero di risultati.
Dashboard Asset
La dashboard Asset mostra tabelle che mostrano le risorse Google Cloud. Le tabelle mostrano i proprietari degli asset, il numero di asset per tipo di risorsa e progetti, nonché gli asset aggiunti e aggiornati più di recente.
Puoi filtrare i dati delle risorse in base a organizzazione, nome, tipo e risorse principali e visualizzare rapidamente i risultati relativi a risorse specifiche. Se fai clic sul nome di un asset, viene visualizzata la pagina Asset di Security Command Center nella console Google Cloud e vengono mostrati i dettagli dell'asset selezionato.
Dashboard degli audit log
La dashboard Log di controllo mostra una serie di grafici e tabelle che mostrano le informazioni dei log di controllo. Gli audit log inclusi nella dashboard sono quelli relativi all'attività di amministrazione, all'accesso ai dati, agli eventi di sistema e agli accessi negati in base ai criteri. La tabella include ora, gravità, tipo di log, nome del log, nome del servizio, nome della risorsa e tipo di risorsa.
Puoi filtrare i dati in base a organizzazione, origine (ad esempio un progetto), gravità, tipo di log e tipo di risorsa.
Dashboard dei risultati
La dashboard Risultati include i grafici che mostrano i risultati più recenti. I grafici forniscono informazioni sul numero di risultati, sulla gravità, sulla categoria e sullo stato. Puoi anche visualizzare i risultati attivi nel tempo e i progetti o le risorse con il maggior numero di risultati.
Puoi filtrare i dati in base all'organizzazione e alla classe di ricerca.
Se fai clic sul nome di un risultato, viene visualizzata la pagina Risultati di Security Command Center nella console Google Cloud e vengono mostrati i dettagli del risultato selezionato.
Dashboard Origini
La dashboard Origini mostra il numero totale di risultati e origini di sicurezza, il numero di risultati per nome dell'origine e una tabella di tutte le origini di sicurezza. Le colonne della tabella includono nome, nome visualizzato e descrizione.
Aggiungi colonne
- Vai a una dashboard.
- Fai clic su Modifica e poi su Modifica visualizzazione.
- In Aggiungi sottobucket, seleziona Dividi righe.
- Nell'elenco, seleziona l'aggregazione Termini.
- Nel menu a discesa Decrescente, seleziona crescente o decrescente. Nel campo Dimensioni, inserisci il numero massimo di righe per la tabella.
- Seleziona la colonna da aggiungere e fai clic su Aggiorna.
- Salva le modifiche.
Nascondere o rimuovere colonne
- Vai alla dashboard.
- Fai clic su Modifica.
- Per nascondere una colonna, fai clic sull'icona della visibilità (a forma di occhio) accanto al nome della colonna.
- Per rimuovere una colonna, fai clic sulla X o sull'icona di eliminazione accanto al nome della colonna.
Disinstalla l'integrazione con Elasticsearch
Completa le seguenti sezioni per rimuovere l'integrazione tra Security Command Center ed Elasticsearch.
Rimuovere dashboard, indici e pattern di indici
Rimuovi le dashboard quando vuoi disinstallare questa soluzione.
Vai alle dashboard.
Cerca Google SCC e seleziona tutte le dashboard.
Fai clic su Elimina dashboard.
Vai a Gestione dello stack > Gestione degli indici.
Chiudi i seguenti indici:
- gccassets
- gccfindings
- gccsources
- gccauditlogs
Vai a Gestione dello stack > Pattern di indice.
Chiudi i seguenti pattern:
- gccassets
- gccfindings
- gccsources
- gccauditlogs
Disinstalla Docker
Elimina NotificationConfig per Pub/Sub. Per trovare il nome di NotificationConfig, esegui:
docker exec googlescc_elk ls docker exec googlescc_elk cat NotificationConf_}}HashId{{
Rimuovi i feed Pub/Sub per asset, risultati, criteri IAM e log di controllo. Per trovare i nomi dei feed, esegui:
docker exec googlescc_elk ls docker exec googlescc_elk cat Feed_}}HashId{{
Rimuovi la destinazione per gli audit log. Per trovare il nome della destinazione, esegui:
docker exec googlescc_elk ls docker exec googlescc_elk cat Sink_}}HashId{{
Per visualizzare le informazioni del contenitore, inclusi gli ID contenitore, apri il terminale ed esegui il seguente comando:
docker container ls
Interrompi il contenitore:
docker stop CONTAINER_ID
Sostituisci
CONTAINER_ID
con l'ID del contenitore in cui è installato Elastic Stack.Rimuovi il contenitore Docker:
docker rm CONTAINER_ID
Se necessario, aggiungi
-f
prima dell'ID contenitore per rimuoverlo obbligatoriamente.Rimuovi l'immagine Docker:
docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest
Elimina la directory di lavoro e il file
docker-compose.yml
:rm -rf ./main docker-compose.yml
Passaggi successivi
Scopri di più sulla configurazione delle notifiche dei risultati in Security Command Center.
Scopri di più su come filtrare le notifiche dei risultati in Security Command Center.