Enviar dados do Security Command Center para o Elastic Stack usando o Docker

Nesta página, explicamos como usar um contêiner do Docker para hospedar a instalação do Elastic Stack e enviar automaticamente as descobertas do, recursos, registros de auditoria e fontes de segurança do Security Command Center para o Elastic Stack. Também descreve como gerenciar os dados exportados.

O Docker é uma plataforma para gerenciar aplicativos em contêineres. O Elastic Stack é uma plataforma de informações de segurança e gerenciamento de eventos (SIEM, na sigla em inglês) que ingere dados de uma ou mais fontes e permite que as equipes de segurança gerenciem respostas a incidentes e realizem análises em tempo real. A configuração do Elastic Stack discutida neste guia inclui quatro componentes:

  • Filebeat: um agente leve instalado em hosts de borda, como máquinas virtuais (VM), que podem ser configurados para coletar e encaminhar dados
  • Logstash: um serviço de transformação que ingere dados, os mapeia para os campos obrigatórios e encaminha os resultados para o Elasticsearch
  • Elasticsearch: um mecanismo de banco de dados de pesquisa que armazena dados
  • Kibana: permite painéis que permitem visualizar e analisar dados

Neste guia, você configura o Docker, garante que os serviços necessários do Security Command Center e do Google Cloud estejam configurados corretamente e usa um módulo personalizado para enviar descobertas, recursos, registros de auditoria e fontes de segurança para o Elastic Stack.

A figura a seguir ilustra o caminho de dados ao usar o Elastic Stack com o Security Command Center.

Security Command Center e Elastic Stack (clique para ampliar)
Integração com o Security Command Center e o Elastic Stack (clique para ampliar)

Configurar autenticação e autorização

Antes de se conectar ao Elastic Stack, crie uma conta de serviço do Identity and Access Management (IAM) em cada Google Cloud que você quer conectar e conceda a ela os papéis do IAM no nível da organização e do projeto necessários para o Elastic Stack.

Criar uma conta de serviço e conceder papéis do IAM

As etapas a seguir usam o console do Google Cloud. Para ver outros métodos, consulte os links no final desta seção.

Conclua estas etapas para cada Google Cloud organização de que você quer importar dados do Security Command Center.

  1. No mesmo projeto em que você cria os tópicos do Pub/Sub, use a página Contas de serviço no console do Google Cloud para criar uma conta de serviço. Veja instruções em Como criar e gerenciar contas de serviço.
  2. Conceda à conta de serviço a estes papéis:

    • Administrador do Pub/Sub (roles/pubsub.admin)
    • Proprietário de recursos do Cloud (roles/cloudasset.owner)
  3. Copie o nome da conta de serviço que você acabou de criar.

  4. Use o seletor de projetos no console do Google Cloud para mudar para o nível da organização.

  5. Abra a página IAM da organização:

    Acessar IAM

  6. Na página do IAM, clique em Conceder acesso. O painel de concessão de acesso é aberto.

  7. No painel Conceder acesso, conclua as seguintes etapas:

    1. Na seção Adicionar principais no campo Novos principais, cole o nome da conta de serviço.
    2. Na seção Atribuir papéis, use o campo Papel para conceder os seguintes papéis do IAM à conta de serviço:

    3. Editor administrador da Central de segurança (roles/securitycenter.adminEditor)
    4. Editor de configurações de notificação da Central de segurança (roles/securitycenter.notificationConfigEditor)
    5. Leitor da organização (roles/resourcemanager.organizationViewer)
    6. Leitor de recursos do Cloud (roles/cloudasset.viewer)
    7. Gravador de configuração de registros (roles/logging.configWriter)
    8. Clique em Salvar. A conta de serviço aparece na guia Permissões da página IAM em Ver pelos principais.

      Por herança, a conta de serviço também se torna uma conta principal em todos os projetos filhos da organização. Os papéis aplicáveis no nível do projeto são listados como papéis herdados.

Para mais informações sobre como criar contas de serviço e conceder papéis, consulte estes tópicos:

Forneça as credenciais ao Elastic Stack

Dependendo de onde você está hospedando o Elastic Stack, como você fornece as credenciais do IAM para o Elastic Stack.

Configurar notificações

Conclua estas etapas para cada Google Cloud organização de que você quer importar dados do Security Command Center.

  1. Configure as notificações de localização da seguinte forma:

    1. Ative a API Security Command Center.
    2. Crie um filtro para exportar descobertas e recursos.
    3. Criar quatro tópicos do Pub/Sub: para descobertas, recursos, registros de auditoria e recursos. O NotificationConfig precisa usar o tópico do Pub/Sub criado para as descobertas.

    Você precisará do ID da organização, do ID do projeto e dos nomes dos tópicos do Pub/Sub desta tarefa para configurar o Elastic Stack.

  2. Ative a API Cloud Asset no projeto.

Instalar os componentes Docker e Elasticsearch

Siga estas etapas para instalar os componentes do Docker e do Elasticsearch no seu ambiente.

Instalar o Docker Engine e o Docker Compose

Você pode instalar o Docker para uso no local ou com um provedor de nuvem. Para começar, conclua os seguintes guias na documentação do produto do Docker:

Instale o Elasticsearch e o Kibana

A imagem do Docker que você instalou em Instalar o Docker inclui o Logstash e o Filebeat. Se você ainda não tiver o Elasticsearch e o Kibana instalados, use os seguintes guias para instalar os aplicativos:

Você precisa das seguintes informações dessas tarefas para concluir este guia:

  • Elastic Stack: host, port, username e password
  • Kibana: host, porta, certificado, nome de usuário e senha

Fazer o download do módulo GoApp

Nesta seção, explicamos como fazer o download do módulo GoApp, um programa Go mantido pelo Security Command Center. O módulo automatiza o processo de programação de chamadas da API Security Command Center e recupera regularmente os dados do Security Command Center para uso no Elastic Stack.

Para instalar o GoApp, faça o seguinte:

  1. Em uma janela de terminal, instale o wget, um utilitário de software gratuito usado para recuperar conteúdo dos servidores da Web.

    Para distribuições do Ubuntu e Debian, execute o seguinte:

    apt-get install wget
    

    Para as distribuições RHEL, CentOS e Fedora, execute o seguinte:

    yum install wget
    
  2. Instale o unzip, um utilitário de software gratuito usado para extrair o conteúdo de arquivos ZIP.

    Para distribuições do Ubuntu e Debian, execute o seguinte:

    apt-get install unzip
    

    Para as distribuições RHEL, CentOS e Fedora, execute o seguinte:

    yum install unzip
    
  3. Crie um diretório para o pacote de instalação do GoogleSCCElasticIntegration:

    mkdir GoogleSCCElasticIntegration
    
  4. Faça o download do pacote de instalação do GoogleSCCElasticIntegration:

    wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip
    
  5. Extraia o conteúdo do pacote de instalação do GoogleSCCElasticIntegration no diretório GoogleSCCElasticIntegration:

    unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration
    
  6. Crie um diretório de trabalho para armazenar e executar componentes do módulo GoApp:

    mkdir WORKING_DIRECTORY
    

    Substitua WORKING_DIRECTORY pelo nome do diretório.

  7. Navegue até o diretório de instalação GoogleSCCElasticIntegration:

    cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/
    

    Substitua ROOT_DIRECTORY pelo caminho para o diretório que contém o diretório GoogleSCCElasticIntegration.

  8. Mova install, config.yml, dashboards.ndjson e a pasta templates para seu diretório de trabalho com os arquivos filebeat.tmpl, logstash.tmpl e docker.tmpl.

    mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY
    

    Substitua WORKING_DIRECTORY pelo caminho para o diretório de trabalho.

Instalar o contêiner do Docker

Para configurar o contêiner do Docker, faça o download e a instalação de uma imagem pré-formatada do Google Cloud que contém o Logstash e o Filebeat. Para informações sobre a imagem do Docker, acesse o repositório do Artifact Registry no console do Google Cloud.

Acessar o Artifact Registry

Durante a instalação, configure o módulo GoApp com as credenciais do Security Command Center e do Elastic Stack.

  1. Navegue até o diretório de trabalho:

    cd /WORKING_DIRECTORY
    

    Substitua WORKING_DIRECTORY pelo caminho para o diretório de trabalho.

  2. Verifique se os seguintes arquivos aparecem no seu diretório de trabalho:

      ├── config.yml
      ├── install
      ├── dashboards.ndjson
      ├── templates
          ├── filebeat.tmpl
          ├── docker.tmpl
          ├── logstash.tmpl
    
  3. Em um editor de texto, abra o arquivo config.yml e adicione as variáveis solicitadas. Se uma variável não for obrigatória, deixe-a em branco.

    Variável Descrição Obrigatório
    elasticsearch A seção de configuração do Elasticsearch. Obrigatório
    host O endereço IP do seu host do Elastic Stack. Obrigatório
    password Sua senha do Elasticsearch. Opcional
    port A porta do host do Elastic Stack. Obrigatório
    username Seu nome de usuário do Elasticsearch. Opcional
    cacert O certificado do servidor Elasticsearch (por exemplo, path/to/cacert/elasticsearch.cer). Opcional
    http_proxy Um link com o nome de usuário, a senha, o endereço IP e a porta do host de proxy (por exemplo, http://USER:PASSWORD@PROXY_IP:PROXY_PORT). Opcional
    kibana A seção de configuração do Kibana. Obrigatório
    host O endereço IP ou o nome do host a que o servidor Kibana será vinculado. Obrigatório
    password Sua senha do Kibana. Opcional
    port A porta do servidor Kibana. Obrigatório
    username Seu nome de usuário do Kibana. Opcional
    cacert O certificado do servidor Kibana (por exemplo, path/to/cacert/kibana.cer). Opcional
    cron A seção da configuração do cron. Opcional
    asset A seção de configuração do cron do recurso (por exemplo, 0 */45 * * * *). Opcional
    source A seção de configuração do cron de origem (por exemplo, 0 */45 * * * *). Para mais informações, consulte Gerador de expressão cron. Opcional
    organizations A seção para a configuração da organização do Google Cloud . Para adicionar várias organizações do Google Cloud , copie tudo de - id: para subscription_name em resource. Obrigatório
    id ID da organização. Obrigatório
    client_credential_path Uma destas:
    • O caminho para o arquivo JSON, se você estiver usando chaves de conta de serviço.
    • O arquivo de configuração de credenciais, se você estiver usando a federação de identidade da carga de trabalho.
    • Não especifique nada se essa for a organização do Google Cloud em que você está instalando o contêiner do Docker.
    Opcional, dependendo do seu ambiente
    update Se você está fazendo upgrade de uma versão anterior, n para não ou y para sim Opcional
    project A seção do ID do projeto. Obrigatório
    id O ID do projeto que contém o tópico do Pub/Sub. Obrigatório
    auditlog A seção do tópico do Pub/Sub e a assinatura para registros de auditoria. Opcional
    topic_name O nome do tópico do Pub/Sub para registros de auditoria Opcional
    subscription_name O nome da assinatura do Pub/Sub para registros de auditoria Opcional
    findings A seção que contém o tópico do Pub/Sub e a assinatura das descobertas. Opcional
    topic_name O nome do tópico Pub/Sub para descobertas. Opcional
    start_date A data opcional para começar a migrar as descobertas, por exemplo, 2021-04-01T12:00:00+05:30 Opcional
    subscription_name O nome da assinatura do Pub/Sub para descobertas. Opcional
    asset A seção da configuração do recurso. Opcional
    iampolicy A seção do tópico do Pub/Sub e a assinatura das políticas do IAM. Opcional
    topic_name O nome do tópico Pub/Sub das políticas do IAM Opcional
    subscription_name O nome da assinatura do Pub/Sub para políticas do IAM Opcional
    resource A seção do tópico do Pub/Sub e a assinatura de recursos. Opcional
    topic_name O nome do tópico Pub/Sub para recursos. Opcional
    subscription_name O nome da assinatura do Pub/Sub para recursos. Opcional

    Exemplo de arquivo config.yml:

    O exemplo a seguir mostra um arquivo config.yml que inclui duas organizações do Google Cloud .

    elasticsearch:
      host: 127.0.0.1
      password: changeme
      port: 9200
      username: elastic
      cacert: path/to/cacert/elasticsearch.cer
    http_proxy: http://user:password@proxyip:proxyport
    kibana:
      host: 127.0.0.1
      password: changeme
      port: 5601
      username: elastic
      cacert: path/to/cacert/kibana.cer
    cron:
      asset: 0 */45 * * * *
      source: 0 */45 * * * *
    organizations:
      – id: 12345678910
        client_credential_path:
        update:
        project:
          id: project-id-12345
        auditlog:
          topic_name: auditlog.topic_name
          subscription_name: auditlog.subscription_name
        findings:
          topic_name: findings.topic_name
          start_date: 2021-05-01T12:00:00+05:30
          subscription_name: findings.subscription_name
        asset:
          iampolicy:
            topic_name: iampolicy.topic_name
            subscription_name: iampolicy.subscription_name
          resource:
            topic_name: resource.topic_name
            subscription_name: resource.subscription_name
      – id: 12345678911
        client_credential_path:
        update:
        project:
          id: project-id-12346
        auditlog:
          topic_name: auditlog2.topic_name
          subscription_name: auditlog2.subscription_name
        findings:
          topic_name: findings2.topic_name
          start_date: 2021-05-01T12:00:00+05:30
          subscription_name: findings1.subscription_name
        asset:
          iampolicy:
            topic_name: iampolicy2.topic_name
            subscription_name: iampolicy2.subscription_name
          resource:
            topic_name: resource2.topic_name
            subscription_name: resource2.subscription_name
    
  4. Execute os comandos a seguir para instalar a imagem do Docker e configurar o módulo GoApp.

    chmod +x install
    ./install
    

    O módulo GoApp faz o download da imagem do Docker, instala a imagem e configura o contêiner.

  5. Quando o processo for concluído, copie o endereço de e-mail da conta de serviço do WriterIdentity na saída da instalação.

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Sink_}}HashId{{
    

    Seu diretório de trabalho precisa ter a seguinte estrutura:

      ├── config.yml
      ├── dashboards.ndjson
      ├── docker-compose.yml
      ├── install
      ├── templates
          ├── filebeat.tmpl
          ├── logstash.tmpl
          ├── docker.tmpl
      └── main
          ├── client_secret.json
          ├── filebeat
          │          └── config
          │                   └── filebeat.yml
          ├── GoApp
          │       └── .env
          └── logstash
                     └── pipeline
                                └── logstash.conf
    

Atualizar permissões para registros de auditoria

Para atualizar as permissões e permitir o fluxo de registros de auditoria no SIEM:

  1. Acesse a página de tópicos do Pub/Sub.

    Ir para o Pub/Sub

  2. Selecione o projeto que inclui seus tópicos do Pub/Sub.

  3. Selecione o tópico do Pub/Sub que você criou para registros de auditoria.

  4. Em Permissões, adicione a conta de serviço do WriterIdentity (que você copiou na etapa 4 do procedimento de instalação) como uma nova conta principal e atribua a ela o papel do Editor do Pub/Sub. A política de registro de auditoria foi atualizada.

As configurações do Docker e do Elastic Stack estão concluídas. Agora é possível configurar o Kibana.

Ver registros do Docker

  1. Abra um terminal e execute o seguinte comando para ver informações sobre o contêiner, incluindo IDs. Observe o ID do contêiner em que o Elastic Stack está instalado.

    docker container ls
    
  2. Para iniciar um contêiner e visualizar os registros dele, execute os seguintes comandos:

    docker exec -it CONTAINER_ID /bin/bash
    cat go.log
    

    Substitua CONTAINER_ID pelo ID do contêiner em que o Elastic Stack está instalado.

Configurar Kibana

Conclua estas etapas ao instalar o contêiner do Docker pela primeira vez.

  1. Abra kibana.yml em um editor de texto.

    sudo vim KIBANA_DIRECTORY/config/kibana.yml
    

    Substitua KIBANA_DIRECTORY pelo caminho até a pasta de instalação do Kibana.

  2. Atualize as seguintes variáveis:

    • server.port: a porta a ser usada no servidor de back-end do Kibana. O padrão é 5601.
    • server.host: o endereço IP ou o nome do host a que o servidor Kibana será vinculado
    • elasticsearch.hosts: o endereço IP e a porta da instância do Elasticsearch para usar em consultas.
    • server.maxPayloadBytes: o tamanho máximo do payload em bytes para solicitações recebidas do servidor; o padrão é 1.048.576
    • url_drilldown.enabled: um valor booleano que controla a capacidade de navegar do painel do Kibana para URLs internos ou externos. o padrão é true

    A configuração concluída é semelhante a esta:

      server.port: PORT
      server.host: "HOST"
      elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
      server.maxPayloadBytes: 5242880
      url_drilldown.enabled: true
    

Importar painéis do Kibana

  1. Abra o aplicativo Kibana.
  2. No menu de navegação, acesse Gerenciamento de pilha e clique em Objetos salvos.
  3. Clique em Importar, navegue até o diretório de trabalho e selecione dashboards.ndjson. Os painéis são importados e os padrões de índice são criados.

Fazer upgrade do contêiner do Docker

Se você tiver implantado uma versão anterior do módulo GoApp, será possível fazer upgrade para uma versão mais recente. Ao fazer upgrade do contêiner do Docker para uma versão mais recente, é possível manter a configuração atual da sua conta de serviço, os tópicos do Pub/Sub e os componentes do ElasticSearch.

Se você estiver fazendo upgrade de uma integração que não usava um contêiner do Docker, consulte Fazer upgrade para a versão mais recente.

  1. Se você estiver fazendo upgrade da v1, conclua estas ações:

    1. Adicione o papel Gravador de configuração de registros (roles/logging.configWriter) à conta de serviço.

    2. Crie um tópico do Pub/Sub para seus registros de auditoria.

  2. Se você estiver instalando o contêiner do Docker em outra nuvem, configure a federação de identidade da carga de trabalho e faça o download do arquivo de configuração de credenciais.

  3. Para evitar problemas ao importar os novos painéis, remova os painéis existentes do Kibana:

    1. Abra o aplicativo Kibana.
    2. No menu de navegação, acesse Gerenciamento de pilha e clique em Objetos salvos.
    3. Pesquise Google SCC.
    4. Selecione todos os painéis que você quer remover.
    5. Clique em Excluir.
  4. Remova o contêiner do Docker:

    1. Abra um terminal e interrompa o contêiner:

      docker stop CONTAINER_ID
      

      Substitua CONTAINER_ID pelo ID do contêiner em que o Elastic Stack está instalado.

    2. Remova o contêiner do Docker:

      docker rm CONTAINER_ID
      

      Se necessário, adicione -f antes do ID do contêiner para removê-lo forçadamente.

  5. Conclua as etapas de 1 a 7 em Fazer o download do módulo GoApp.

  6. Mova o arquivo config.env da instalação anterior para o diretório \update.

  7. Se necessário, conceda permissão executável para executar ./update:

    chmod +x ./update
    ./update
    
  8. Execute ./update para converter config.env em config.yml.

  9. Verifique se o arquivo config.yml inclui a configuração atual. Caso contrário, execute novamente ./update.

  10. Para aceitar várias organizações do Google Cloud , adicione outra configuração de organização ao arquivo config.yml.

  11. Mova o arquivo config.yml para o diretório de trabalho, onde o arquivo install está localizado.

  12. Conclua as etapas em Instalar o Docker.

  13. Siga as etapas em Atualizar permissões para registros de auditoria.

  14. Importe os novos painéis, conforme descrito em Importar painéis do Kibana. Esta etapa substituirá os painéis do Kibana.

Ver e editar painéis do Kibana

Você pode usar os painéis personalizados no Elastic Stack para visualizar e analisar suas descobertas, recursos e fontes de segurança. Os painéis exibem descobertas importantes e ajudam a equipe de segurança a priorizar correções.

Painel de visão geral

O painel Visão geral contém uma série de gráficos que exibe o número total de descobertas nas organizações Google Cloud por nível de gravidade, categoria e estado. As descobertas são compiladas nos serviços integrados do Security Command Center, como Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, além de todos os serviços integrados ativados.

Para filtrar o conteúdo por critérios como configurações incorretas ou vulnerabilidades, selecione a classe de descoberta.

Outros gráficos mostram quais categorias, projetos e recursos estão gerando mais descobertas.

Painel de recursos

O painel Recursos exibe tabelas que mostram seus recursos do Google Cloud. As tabelas mostram proprietários de recursos, contagens de recursos por tipo de recurso e projetos e seus recursos adicionados e atualizados mais recentemente.

É possível filtrar os dados dos recursos por organização, nome, tipo e pais e detalhar rapidamente as descobertas de recursos específicos. Se você clicar no nome de um recurso, será redirecionado para a página Recursos do Security Command Center no console do Google Cloud e verá os detalhes do recurso selecionado.

Painel de registros de auditoria

O painel Registros de auditoria exibe uma série de gráficos e tabelas que mostra informações sobre o registro de auditoria. Os registros de auditoria incluídos no painel são atividades do administrador, acesso a dados, eventos do sistema e registros de auditoria negados pela política. A tabela inclui hora, gravidade, tipo de registro, nome do registro, nome do serviço, nome do recurso e tipo de recurso.

É possível filtrar os dados por organização, fonte (como um projeto), gravidade, tipo de registro e tipo de recurso.

Painel de descobertas

O painel Descobertas inclui gráficos que mostram suas descobertas mais recentes. Os gráficos fornecem informações sobre o número de descobertas, a gravidade, a categoria e o estado das descobertas. Também é possível ver as descobertas ativas ao longo do tempo e quais projetos ou recursos têm mais descobertas.

É possível filtrar os dados por organização e classe de descoberta.

Ao clicar no nome de uma descoberta, você será redirecionado para a página Descobertas do Security Command Center no console do Google Cloud e verá os detalhes da descoberta selecionada.

Painel de origens

O painel Fontes mostra o número total de descobertas e fontes de segurança, o número de descobertas por nome de origem e uma tabela de todas as suas fontes de segurança. As colunas da tabela incluem nome, nome de exibição e descrição.

Adicionar colunas

  1. Acesse um painel.
  2. Clique em Editar e, em seguida, em Editar detalhes.
  3. Em Adicionar sub-bucket, selecione Dividir linhas.
  4. Na lista, selecione a agregação Termos.
  5. No menu suspenso Decrescente, selecione crescente ou decrescente. No campo Tamanho, insira o número máximo de linhas para a tabela.
  6. Selecione a coluna que você quer adicionar e clique em Atualizar.
  7. Salve as alterações.

Ocultar ou remover colunas

  1. Navegue até o painel
  2. Clique em Editar.
  3. Para ocultar uma coluna, clique no ícone de visibilidade ao lado do nome dela.
  4. Para remover uma coluna, clique no X ou no ícone de exclusão ao lado do nome dela.

Desinstalar a integração com o Elasticsearch

Conclua as seções a seguir para remover a integração entre o Security Command Center e o Elasticsearch.

Remover painéis, índices e padrões de índice

Remova os painéis quando quiser desinstalar esta solução.

  1. Acesse os painéis.

  2. Pesquise Google SCC e selecione todos os painéis.

  3. Clique em Excluir painéis.

  4. Navegue até Gerenciamento de pilha > Gerenciamento de índice.

  5. Feche os seguintes índices:

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs
  6. Navegue até Gerenciamento de pilha > Padrões de índice.

  7. Feche os seguintes padrões:

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs

Desinstalar o Docker

  1. Exclua o NotificationConfig do Pub/Sub. Para encontrar o nome do NotificationConfig, execute:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat NotificationConf_}}HashId{{
    
  2. Remover feeds do Pub/Sub para recursos, descobertas, políticas do IAM e registros de auditoria. Para encontrar os nomes dos feeds, execute:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Feed_}}HashId{{
    
  3. Remova o coletor dos registros de auditoria. Para encontrar o nome do coletor, execute:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Sink_}}HashId{{
    
  4. Para ver suas informações de contêiner, incluindo os IDs, abra o terminal e execute o seguinte comando:

    docker container ls
    
  5. Pare o contêiner:

    docker stop CONTAINER_ID
    

    Substitua CONTAINER_ID pelo ID do contêiner em que o Elastic Stack está instalado.

  6. Remova o contêiner do Docker:

    docker rm CONTAINER_ID
    

    Se necessário, adicione -f antes do ID do contêiner para removê-lo forçamente.

  7. Remova a imagem do Docker:

    docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest
    
  8. Exclua o diretório de trabalho e o arquivo docker-compose.yml:

    rm -rf ./main docker-compose.yml
    

A seguir