Invio di dati di Security Command Center a Elastic Stack utilizzando Docker

In questa pagina viene spiegato come utilizzare un Docker. container per ospitare il tuo Stack Elastic installare l'installazione e inviare automaticamente risultati, asset, log di controllo e sicurezza di Security Command Center a Elastic Stack. Descrive inoltre come gestire i dati esportati.

Docker è una piattaforma per la gestione delle applicazioni nei container. Elastic Stack è una piattaforma SIEM (Security Information and Event Management) che importa dati da una o più origini e consente ai team di sicurezza di gestire le risposte agli incidenti ed eseguire analisi in tempo reale. La configurazione di Elastic Stack descritta in questa guida include quattro componenti:

• Filebeat: un agente leggero installato su host perimetrali, come (VM), che possono essere configurate per raccogliere e inoltrare dati
• Logstash: un servizio di trasformazione che importa i dati e li mappa in campi obbligatori e inoltra i risultati a Elasticsearch
• Elasticsearch: un motore del database di ricerca che archivia i dati
• Kibana: consente di creare dashboard che ti consentono di visualizzare e analizzare i dati

In questa guida configurerai Docker, assicurati che le chiavi Security Command Center e I servizi Google Cloud siano configurati correttamente e utilizzano un modulo personalizzato per inviare risultati, asset, audit log e origini di sicurezza in Elastic Stack.

La figura seguente illustra il percorso dei dati quando si utilizza Elastic Stack con Security Command Center.

Configura autenticazione e autorizzazione

Prima di connetterti a Elastic Stack, devi creare un Account di servizio Identity and Access Management (IAM) in ogni organizzazione Google Cloud che vuoi connettere e concedere all'account sia a livello di organizzazione che di progetto i ruoli IAM necessari a Elastic Stack.

Creare un account di servizio e concedere i ruoli IAM

I passaggi che seguono utilizzano la console Google Cloud. Per altri metodi, consulta i link alla fine di questa sezione.

Completa questi passaggi per ogni organizzazione Google Cloud in cui vuoi importare Security Command Center da cui proviene.

1. Nello stesso progetto in cui crei gli argomenti Pub/Sub, utilizza la pagina Account di servizio nella console Google Cloud per creare un account di servizio. Per le istruzioni, vedi Creazione e gestione degli account di servizio.

2. Concedi all'account di servizio i seguenti ruoli:

   • Amministratore Pub/Sub (roles/pubsub.admin)
   • Proprietario asset cloud (roles/cloudasset.owner)

3. Copia il nome dell'account di servizio che hai appena creato.

4. Utilizza il selettore dei progetti nella console Google Cloud per passare al livello dell'organizzazione.

5. Apri la pagina IAM dell'organizzazione:

   Vai a IAM

6. Nella pagina IAM, fai clic su Concedi l'accesso. La concessione si apre il riquadro di accesso.

7. Nel riquadro Concedi l'accesso, completa i seguenti passaggi:

   1. Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.

   2. Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere all'account di servizio i seguenti ruoli IAM:

      • Editor amministratore Centro sicurezza (roles/securitycenter.adminEditor)
      • Editor configurazioni notifiche Centro sicurezza (roles/securitycenter.notificationConfigEditor)
      • Organization Viewer (roles/resourcemanager.organizationViewer)
      • Cloud Asset Viewer (roles/cloudasset.viewer)
      • Writer configurazione log (roles/logging.configWriter)

   3. Fai clic su Salva. L'account di sicurezza viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.

      Per eredità, l'account di servizio diventa anche un principale in tutti i progetti secondari dell'organizzazione e i ruoli applicabili a livello di progetto sono elencati come ruoli ereditati.

Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione di ruoli, consulta i seguenti argomenti:

• Creazione e gestione degli account di servizio
• Concessione, modifica e revoca dell'accesso alle risorse

Fornisci le credenziali a Elastic Stack

A seconda di dove ospiti Elastic Stack, la modalità di impostazione delle credenziali IAM in Elastic Stack varia.

• Se ospiti il contenitore Docker in Google Cloud, considera quanto segue:

  • Aggiungi l'account di servizio alla VM che ospiterà i tuoi nodi Kubernetes. Se utilizzi più organizzazioni Google Cloud, aggiungi questo account di servizio alle altre organizzazioni e concedi i ruoli IAM descritti nei passaggi da 5 a 7 dell'articolo Creare un account di servizio e assegnare i ruoli IAM.

  • Se esegui il deployment del container Docker in un perimetro di servizio, crea le regole di traffico in entrata e in uscita. Per istruzioni, vedi Concedere l'accesso al perimetro in Controlli di servizio VPC.

• Se ospiti il container Docker nel tuo ambiente on-premise, creare una chiave dell'account di servizio per ogni organizzazione Google Cloud. Per completare questa guida, devi disporre delle chiavi dell'account di servizio in formato JSON.

  Scopri le best practice per l'archiviazione delle chiavi degli account di servizio vedi le best practice per la gestione delle chiavi degli account di servizio.

• Se installi il container Docker in un altro cloud, configurare la federazione delle identità per i carichi di lavoro e scaricare i file di configurazione delle credenziali. Se utilizzi più organizzazioni Google Cloud, aggiungi questo account di servizio alle altre organizzazioni e assegnagli i ruoli IAM descritti nei passaggi da 5 a 7 di Creare un account di servizio e concedere ruoli IAM.

Configura le notifiche

Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.

1. Configura le notifiche dei risultati come segue:

   1. Abilita l'API Security Command Center.
   2. Crea un filtro per esportare i risultati e le risorse desiderati.
   3. Crea quattro argomenti Pub/Sub: uno per ciascuno risultati, risorse, audit log e asset. NotificationConfig devi utilizzare l'argomento Pub/Sub che crei per i risultati.

   Per configurare Elastic Stack, avrai bisogno dell'ID organizzazione, dell'ID progetto e dei nomi degli argomenti Pub/Sub di questa attività.

2. Abilita l'API Cloud Asset per il tuo progetto.

Installa i componenti Docker ed Elasticsearch

Segui questi passaggi per installare i componenti Docker ed Elasticsearch nel tuo ambiente.

Installa Docker Engine e Docker Compose

Puoi installare Docker per l'utilizzo on-premise o con un provider cloud. Per iniziare, consulta le seguenti guide nella documentazione del prodotto Docker:

• Installa Docker Engine (Linux)
• Installa Docker Compose

Installa Elasticsearch e Kibana

L'immagine Docker installata in Installare Docker include Logstash e Filebeat. Se non hai ancora Elasticsearch e Kibana usa le seguenti guide per installare le applicazioni:

• Installazione di Elasticsearch

• Installa Kibana

Per completare questa guida, sono necessarie le seguenti informazioni da queste attività:

• Elastic Stack: host, porta, certificato, nome utente e password
• Kibana: host, porta, certificato, nome utente e password

Scarica il modulo GoApp

Questa sezione spiega come scaricare il modulo GoApp, un programma Go manutenuto da Security Command Center. Il modulo automatizza il processo di pianificazione L'API Security Command Center effettua le chiamate e recupera regolarmente i dati di Security Command Center per l'utilizzo stack elastico,

Per installare GoApp, segui questi passaggi:

1. In una finestra del terminale, installa wget, un'app utility software utilizzata per recuperare contenuti dai server web.

   Per le distribuzioni Ubuntu e Debian, esegui quanto segue:

     # apt-get install wget
   

   Per le distribuzioni RHEL, CentOS e Fedora, esegui questo comando:

     # yum install wget
   

2. Installa unzip, un'utilità software gratuita utilizzata per estrarre i contenuti degli archivi ZIP.

   Per le distribuzioni Ubuntu e Debian, esegui quanto segue:

   # apt-get install unzip
   

   Per le distribuzioni RHEL, CentOS e Fedora, esegui quanto segue:

   # yum install unzip
   

3. Crea una directory per l'installazione di GoogleSCCElasticIntegration pacchetto:

   mkdir GoogleSCCElasticIntegration
   

4. Scarica il pacchetto di installazione GoogleSCCElasticIntegration:

   wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip
   

5. Estrai i contenuti del pacchetto di installazione di GoogleSCCElasticIntegration nella Directory GoogleSCCElasticIntegration:

   unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration
   

6. Crea una directory di lavoro per archiviare ed eseguire GoApp componenti del modulo:

   mkdir WORKING_DIRECTORY
   

   Sostituisci WORKING_DIRECTORY con il nome della directory.

7. Vai alla directory di installazione di GoogleSCCElasticIntegration:

   cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/
   

   Sostituisci ROOT_DIRECTORY con il percorso della directory che contiene GoogleSCCElasticIntegration .

8. Spostare install, config.yml, dashboards.ndjson e la cartella templates (con i file filebeat.tmpl, logstash.tmpl e docker.tmpl) nella cartella di lavoro .

   mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY
   

   Sostituisci WORKING_DIRECTORY con il percorso della directory di lavoro.

Installa il container Docker

Per configurare il container Docker, devi scaricare e installare un'immagine preformattata da Google Cloud che contiene Logstash e Filebeat. Per informazioni sui Docker, vai al repository di Container Registry nella console Google Cloud.

Vai a Container Registry

Durante l'installazione, configuri il modulo GoApp con Security Command Center e le credenziali di Elastic Stack.

1. Vai alla tua directory di lavoro:

   cd /WORKING_DIRECTORY
   

   Sostituisci WORKING_DIRECTORY con il percorso della directory di lavoro.

2. Verifica che i seguenti file siano presenti nella tua directory di lavoro:

     ├── config.yml
     ├── install
     ├── dashboards.ndjson
     ├── templates
         ├── filebeat.tmpl
         ├── docker.tmpl
         ├── logstash.tmpl
   

3. In un editor di testo, apri il file config.yml e aggiungi le variabili richieste. Se una variabile non è richiesta, puoi lasciarla vuota.

   Variabile	Descrizione	Obbligatorio
   elasticsearch	La sezione per la configurazione di Elasticsearch.	Obbligatorio
   host	L'indirizzo IP dell'host di Elastic Stack.	Obbligatorio
   password	La tua password di Elasticsearch.	Facoltativo
   port	La porta per l'host dello stack Elastic.	Obbligatorio
   username	Il tuo nome utente Elasticsearch.	Facoltativo
   cacert	Il certificato del server Elasticsearch (ad esempio path/to/cacert/elasticsearch.cer).	Facoltativo
   http_proxy	Un link con nome utente, password, indirizzo IP e porta per l'host proxy (ad esempio, http://USER:PASSWORD@PROXY_IP:PROXY_PORT).	Facoltativo
   kibana	La sezione per la configurazione di Kibana.	Obbligatorio
   host	L'indirizzo IP o il nome host a cui verrà associato il server Kibana.	Obbligatorio
   password	La tua password Kibana.	Facoltativo
   port	La porta per il server Kibana.	Obbligatorio
   username	Il tuo nome utente di Kibana.	Facoltativo
   cacert	Il certificato del server Kibana (ad esempio, path/to/cacert/kibana.cer).	Facoltativo
   cron	La sezione per la configurazione di cron.	Facoltativo
   asset	La sezione per la configurazione del cron degli asset (ad esempio 0 */45 * * * *).	Facoltativo
   source	La sezione per la configurazione del cron di origine (ad esempio 0 */45 * * * *). Per ulteriori informazioni, consulta l'articolo Generatore di espressioni cron.	Facoltativo
   organizations	La sezione relativa alla configurazione dell'organizzazione Google Cloud. Per aggiungere più organizzazioni Google Cloud, copia tutto da - id: a subscription_name in resource.	Obbligatorio
   id	Il tuo ID organizzazione.	Obbligatorio
   client_credential_path	Uno dei seguenti: Il percorso del file JSON, se utilizzi le chiavi dell'account di servizio. Il file di configurazione delle credenziali, se utilizzi la federazione delle identità per i carichi di lavoro, come descritto in Prima di iniziare. Non specificare nulla se questa è l'organizzazione Google Cloud in cui stai installando il container Docker.	Facoltativo, a seconda dell'ambiente
   update	Se esegui l'upgrade da una versione precedente, n per no o y per sì	Facoltativo
   project	La sezione per l'ID progetto.	Obbligatorio
   id	L'ID del progetto contenente l'argomento Pub/Sub.	Obbligatorio
   auditlog	La sezione per l'argomento e la sottoscrizione Pub/Sub per i log di controllo.	Facoltativo
   topic_name	Il nome dell'argomento Pub/Sub per i log di controllo	Facoltativo
   subscription_name	Il nome della sottoscrizione Pub/Sub per i log di controllo	Facoltativo
   findings	La sezione per l'argomento e la sottoscrizione Pub/Sub per i risultati.	Facoltativo
   topic_name	Il nome dell'argomento Pub/Sub per i risultati.	Facoltativo
   start_date	La data facoltativa per iniziare a eseguire la migrazione dei risultati, ad esempio 2021-04-01T12:00:00+05:30	Facoltativo
   subscription_name	Il nome della sottoscrizione Pub/Sub per i risultati.	Facoltativo
   asset	La sezione per la configurazione dell'asset.	Facoltativo
   iampolicy	La sezione dedicata all'argomento e alla sottoscrizione Pub/Sub per i criteri IAM.	Facoltativo
   topic_name	Il nome dell'argomento Pub/Sub per IAM criteri.	Facoltativo
   subscription_name	Il nome della sottoscrizione Pub/Sub per i criteri IAM.	Facoltativo
   resource	La sezione per l'argomento e la sottoscrizione Pub/Sub per le risorse.	Facoltativo
   topic_name	Il nome dell'argomento Pub/Sub per le risorse.	Facoltativo
   subscription_name	Il nome della sottoscrizione Pub/Sub per le risorse.	Facoltativo

   File config.yml di esempio

   L'esempio seguente mostra un file config.yml che include due organizzazioni Google Cloud.

   elasticsearch:
     host: 127.0.0.1
     password: changeme
     port: 9200
     username: elastic
     cacert: path/to/cacert/elasticsearch.cer
   http_proxy: http://user:password@proxyip:proxyport
   kibana:
     host: 127.0.0.1
     password: changeme
     port: 5601
     username: elastic
     cacert: path/to/cacert/kibana.cer
   cron:
     asset: 0 */45 * * * *
     source: 0 */45 * * * *
   organizations:
     – id: 12345678910
       client_credential_path:
       update:
       project:
         id: project-id-12345
       auditlog:
         topic_name: auditlog.topic_name
         subscription_name: auditlog.subscription_name
       findings:
         topic_name: findings.topic_name
         start_date: 2021-05-01T12:00:00+05:30
         subscription_name: findings.subscription_name
       asset:
         iampolicy:
           topic_name: iampolicy.topic_name
           subscription_name: iampolicy.subscription_name
         resource:
           topic_name: resource.topic_name
           subscription_name: resource.subscription_name
     – id: 12345678911
       client_credential_path:
       update:
       project:
         id: project-id-12346
       auditlog:
         topic_name: auditlog2.topic_name
         subscription_name: auditlog2.subscription_name
       findings:
         topic_name: findings2.topic_name
         start_date: 2021-05-01T12:00:00+05:30
         subscription_name: findings1.subscription_name
       asset:
         iampolicy:
           topic_name: iampolicy2.topic_name
           subscription_name: iampolicy2.subscription_name
         resource:
           topic_name: resource2.topic_name
           subscription_name: resource2.subscription_name
   

4. Esegui questi comandi per installare l'immagine Docker e configurare Modulo GoApp.

   chmod +x install
   ./install
   

   Il modulo GoApp scarica l'immagine Docker, la installa e configura il container.

5. Al termine del processo, copia l'indirizzo email dell'account di servizio WriterIdentity dall'output dell'installazione.

   docker exec googlescc_elk ls
   docker exec googlescc_elk cat Sink_}}HashId{{
   

   La directory di lavoro deve avere la seguente struttura:

     ├── config.yml
     ├── dashboards.ndjson
     ├── docker-compose.yml
     ├── install
     ├── templates
         ├── filebeat.tmpl
         ├── logstash.tmpl
         ├── docker.tmpl
     └── main
         ├── client_secret.json
         ├── filebeat
         │          └── config
         │                   └── filebeat.yml
         ├── GoApp
         │       └── .env
         └── logstash
                    └── pipeline
                               └── logstash.conf
   

Aggiornare le autorizzazioni per gli audit log

Per aggiornare le autorizzazioni in modo che gli audit log possano essere inviati al tuo SIEM:

1. Vai alla pagina degli argomenti Pub/Sub.

   Vai a Pub/Sub.

2. Seleziona il progetto che include gli argomenti Pub/Sub.

3. Seleziona l'argomento Pub/Sub che hai creato per gli audit log.

4. In Autorizzazioni, aggiungi l'account di servizio WriterIdentity (che hai copiato nel passaggio 4 della procedura di installazione) come nuova entità e assegnagli il ruolo Publisher Pub/Sub. Il criterio dell'audit log è stato aggiornato.

Le configurazioni Docker ed Elastic Stack sono complete. Ora puoi configurare Kibana.

Visualizza i log Docker

1. Apri un terminale ed esegui il seguente comando per visualizzare le informazioni sul contenitore, inclusi gli ID contenitore. Prendi nota dell'ID del container in cui Elastic Stack installato.

   docker container ls
   

2. Per avviare un container e visualizzarne i log, esegui questi comandi:

   docker exec -it CONTAINER_ID /bin/bash
   cat go.log
   

   Sostituisci CONTAINER_ID con l'ID del contenitore in cui è installato Elastic Stack.

Configura Kibana

Completa questi passaggi quando installi il container Docker per la prima volta.

1. Apri kibana.yml in un editor di testo.

   sudo vim KIBANA_DIRECTORY/config/kibana.yml
   

   Sostituisci KIBANA_DIRECTORY con il percorso della cartella di installazione di Kibana.

2. Aggiorna le seguenti variabili:

   • server.port: la porta da utilizzare per il server di backend di Kibana; il valore predefinito è 5601
   • server.host: l'indirizzo IP o il nome host a cui il server Kibana eseguire il binding
   • elasticsearch.hosts: l'indirizzo IP e la porta dell'istanza Elasticsearch da utilizzare per le query
   • server.maxPayloadBytes: la dimensione massima del payload in byte per l'input richieste del server; il valore predefinito è 1.048.576
   • url_drilldown.enabled: un valore booleano che controlla la capacità di passare dalla dashboard di Kibana a URL interni o esterni; il valore predefinito è true

   La configurazione completata è simile alla seguente:

     server.port: PORT
     server.host: "HOST"
     elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
     server.maxPayloadBytes: 5242880
     url_drilldown.enabled: true
   

Importa dashboard Kibana

1. Apri l'applicazione Kibana.
2. Nel menu di navigazione, vai a Gestione dello stack e fai clic su Salvati oggetti.
3. Fai clic su Importa, vai alla directory di lavoro e seleziona dashboards.ndjson. Le dashboard vengono importate e vengono creati pattern di indice.

Esegui l'upgrade del container Docker

Se hai implementato una versione precedente del modulo GoApp, puoi eseguire l'upgrade a una versione più recente. Quando esegui l'upgrade del container Docker a una versione più recente, puoi mantenere configurazione dell'account di servizio esistente, Pub/Sub argomenti e componenti ElasticSearch.

Se stai eseguendo l'upgrade da un'integrazione che non utilizzava un contenitore Docker, consulta Eseguire l'upgrade all'ultima release.

1. Se esegui l'upgrade dalla versione 1, completa le seguenti azioni:

   1. Aggiungi il ruolo Writer configurazione log (roles/logging.configWriter) all'account di servizio.

   2. Crea un argomento Pub/Sub per i log di controllo.

2. Se stai installando il contenitore Docker in un altro cloud, configura la federazione delle identità per i carichi di lavoro e scarica il file di configurazione delle credenziali.

3. Se vuoi, per evitare problemi durante l'importazione delle nuove dashboard, rimuovi quelle esistenti da Kibana:

   1. Apri l'applicazione Kibana.
   2. Nel menu di navigazione, vai a Gestione dello stack e fai clic su Oggetti salvati.
   3. Cerca Google SCC.
   4. Seleziona tutte le dashboard da rimuovere.
   5. Fai clic su Elimina.

4. Rimuovi il container Docker esistente:

   1. Apri un terminale e arresta il container:

      docker stop CONTAINER_ID
      

      Sostituisci CONTAINER_ID con l'ID del container in cui è installato Elastic Stack.

   2. Rimuovi il contenitore Docker:

      docker rm CONTAINER_ID
      

      Se necessario, aggiungi -f prima dell'ID contenitore per rimuovere il contenitore con forza.

5. Completa i passaggi da 1 a 7 in Scaricare il modulo GoApp.

6. Sposta il file config.env esistente dall'installazione precedente nella directory \update.

7. Se necessario, concedi l'autorizzazione di eseguibile per eseguire ./update:

   chmod +x ./update
   ./update
   

8. Esegui ./update per convertire config.env in config.yml.

9. Verifica che il file config.yml includa la configurazione esistente. In caso contrario, esegui di nuovo ./update.

10. Per supportare più organizzazioni Google Cloud, aggiungi un'altra configurazione dell'organizzazione al file config.yml.

11. Sposta il file config.yml nella directory di lavoro, dove si trova il file install.

12. Completa i passaggi descritti in Installare Docker.

13. Completa i passaggi descritti in Aggiornare le autorizzazioni per i log di controllo.

14. Importa le nuove dashboard, come descritto in Importare le dashboard di Kibana. Questo passaggio sovrascriverà le dashboard di Kibana esistenti.

Visualizzare e modificare le dashboard di Kibana

Puoi utilizzare le dashboard personalizzate in Elastic Stack per visualizzare e analizzare i risultati, gli asset e le origini di sicurezza. Le dashboard mostrano elementi critici rilevare i risultati e aiutare il team responsabile della sicurezza a prioritizzare le correzioni.

Dashboard Panoramica

La dashboard Panoramica contiene una serie di grafici che mostrano il numero totale di risultati nelle organizzazioni Google Cloud in base a livello di gravità, categoria e stato. I risultati vengono compilati dai servizi integrati di Security Command Center, come Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, e gli eventuali servizi integrati che attivi.

Per filtrare i contenuti in base a criteri come configurazioni errate o vulnerabilità, puoi selezionare la classe di risultati.

I grafici aggiuntivi mostrano le categorie, i progetti e gli asset che vengono generati più risultati.

Dashboard Asset

La dashboard Asset mostra le tabelle che mostrano il tuo account Google Cloud asset. Le tabelle mostrano i proprietari degli asset, il numero di asset per tipo di risorsa e progetti e gli asset aggiunti e aggiornati più di recente.

Puoi filtrare i dati degli asset per organizzazione, nome asset, tipo di asset e principali, nonché visualizzare rapidamente in dettaglio i risultati per asset specifici. Se fai clic sul nome di una risorsa, viene visualizzata la pagina Asset di Security Command Center nella console Google Cloud e vengono mostrati i dettagli della risorsa selezionata.

Dashboard degli audit log

La dashboard Log di controllo mostra una serie di grafici e tabelle che mostrano le informazioni degli audit log. Gli audit log inclusi nella dashboard sono quelli relativi all'attività di amministrazione, all'accesso ai dati, agli eventi di sistema e agli accessi negati in base ai criteri. La tabella include ora, gravità, tipo di log, nome log, nome servizio, nome risorsa e tipo di risorsa.

Puoi filtrare i dati in base a organizzazione, origine (ad esempio un progetto), gravità, tipo di log e tipo di risorsa.

Dashboard dei risultati

La dashboard Risultati include i grafici che mostrano i risultati più recenti. I grafici forniscono informazioni sul numero di risultati, sulla gravità, sulla categoria e sullo stato. Puoi anche visualizzare i risultati attivi nel tempo e i progetti o le risorse con il maggior numero di risultati.

Puoi filtrare i dati in base all'organizzazione e alla classe di ricerca.

Se fai clic su un nome risultato, ti reindirizzeremo alla pagina Risultati di Security Command Center in nella console Google Cloud e hai mostrato i dettagli del risultato selezionato.

Dashboard delle origini

La dashboard Origini mostra il numero totale di risultati e origini di sicurezza, il numero di risultati per nome dell'origine e una tabella di tutte le origini di sicurezza. Le colonne della tabella includono nome, nome visualizzato e descrizione.

Aggiungi colonne

1. Vai a una dashboard.
2. Fai clic su Modifica e poi su Modifica visualizzazione.
3. In Aggiungi sottobucket, seleziona Dividi righe.
4. Nell'elenco, seleziona l'aggregazione Termini.
5. Nel menu a discesa Decrescente, seleziona crescente o decrescente. Nel campo Dimensioni, inserisci il numero massimo di righe per la tabella.
6. Seleziona la colonna da aggiungere e fai clic su Aggiorna.
7. Salva le modifiche.

Nascondi o rimuovi colonne

1. Vai alla dashboard.
2. Fai clic su Modifica.
3. Per nascondere una colonna, fai clic sulla visibilità o sull'icona a forma di occhio accanto al suo nome.
4. Per rimuovere una colonna, fai clic sull'icona X o di eliminazione accanto al nome della colonna.

Disinstalla l'integrazione con Elasticsearch

Completa le sezioni seguenti per rimuovere l'integrazione tra Security Command Center ed Elasticsearch.

Rimuovi dashboard, indici e pattern di indice

Rimuovi le dashboard quando vuoi disinstallare questa soluzione.

1. Vai alle dashboard.

2. Cerca Google SCC e seleziona tutte le dashboard.

3. Fai clic su Elimina dashboard.

4. Vai a Gestione dello stack > Gestione degli indici.

5. Chiudi i seguenti indici:

   • gccassets
   • gccfindings
   • sorgenti gcc
   • gccauditlogs

6. Vai a Gestione dello stack > Pattern di indice.

7. Chiudi i seguenti pattern:

   • gccassets
   • gccfindings
   • sorgenti gcc
   • gccauditlogs

Disinstalla Docker

1. Elimina NotificationConfig per Pub/Sub. Per trovare il nome di NotificationConfig, esegui:

   docker exec googlescc_elk ls
   docker exec googlescc_elk cat NotificationConf_}}HashId{{
   

2. Rimuovi feed Pub/Sub per asset, risultati e IAM criteri e audit log. Per trovare i nomi dei feed, esegui:

   docker exec googlescc_elk ls
   docker exec googlescc_elk cat Feed_}}HashId{{
   

3. Rimuovi la destinazione per gli audit log. Per trovare il nome del sink, esegui:

   docker exec googlescc_elk ls
   docker exec googlescc_elk cat Sink_}}HashId{{
   

4. Per visualizzare le informazioni sul contenitore, inclusi gli ID contenitore, apri il terminale ed esegui questo comando:

   docker container ls
   

5. Interrompi il contenitore:

   docker stop CONTAINER_ID
   

   Sostituisci CONTAINER_ID con l'ID del container in cui Elastic Stack installato.

6. Rimuovi il container Docker:

   docker rm CONTAINER_ID
   

   Se necessario, aggiungi -f prima dell'ID contenitore per rimuoverlo obbligatoriamente.

7. Rimuovi l'immagine Docker:

   docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest
   

8. Elimina la directory di lavoro e il file docker-compose.yml:

   rm -rf ./main docker-compose.yml
   

Passaggi successivi

• Scopri di più sulla configurazione trovare le notifiche in Security Command Center.

• Scopri di più su come filtrare le notifiche dei risultati in Security Command Center.