Security Command Center-Daten mit Docker an Elastic Stack senden

Auf dieser Seite wird erläutert, wie Sie einen Docker-Container verwenden, um Ihre Elastic Stack-Installation zu hosten und automatisch Security Command Center-Ergebnisse, Assets, Audit-Logs und Sicherheitsquellen in Elastic Stack zu senden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten.

Docker ist eine Plattform zum Verwalten von Anwendungen in Containern. Elastic Stack ist eine Plattform für die Informations- und Ereignisverwaltung (SIEM, Security Information and Event Management), die Daten aus einer oder mehreren Quellen aufnimmt und es Sicherheitsteams ermöglicht, Antworten auf Vorfälle zu verwalten und Echtzeitanalysen durchzuführen. Die in dieser Anleitung beschriebene Elastic Stack-Konfiguration umfasst vier Komponenten:

  • Filebeat: ein einfacher Agent, der auf Edge-Hosts wie virtuellen Maschinen (VMs) installiert ist, die zum Erfassen und Weiterleiten von Daten konfiguriert werden können
  • Logstash: Ein Transformationsdienst, der Daten aufnimmt, sie in erforderliche Felder ordnet und die Ergebnisse an Elasticsearch weiterleitet
  • Elasticsearch: Eine Suchdatenbank-Engine, die Daten speichert
  • Kibana: unterstützt Dashboards, mit denen Sie Daten visualisieren und analysieren können

Richten Sie in dieser Anleitung Docker ein, prüfen Sie, ob die erforderlichen Security Command Center- und Google Cloud-Dienste ordnungsgemäß konfiguriert sind, und senden Sie Ergebnisse, Assets, Audit-Logs und Sicherheitsquellen mit einem benutzerdefinierten Modul an Elastic Stack.

Die folgende Abbildung zeigt den Datenpfad bei Verwendung von Elastic Stack mit Security Command Center.

Integration von Security Command Center und Elastic Stack (zum Vergrößern klicken)
Security Command Center und Elastic Stack-Integration (zum Vergrößern klicken)

Authentifizierung und Autorisierung konfigurieren

Bevor Sie eine Verbindung zu Elastic Stack herstellen können, müssen Sie in jeder Google Cloud-Organisation, mit der Sie eine Verbindung herstellen möchten, ein IAM-Dienstkonto (Identity and Access Management) erstellen und dem Konto die IAM-Rollen auf Organisations- und Projektebene zuweisen, die Elastic Stack benötigt.

Dienstkonto erstellen und IAM-Rollen gewähren

In den folgenden Schritten wird die Google Cloud Console verwendet. Weitere Methoden finden Sie in den Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. Erstellen Sie in demselben Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, in der Google Cloud Console auf der Seite Dienstkonten ein Dienstkonto. Eine Anleitung dazu finden Sie unter Dienstkonten erstellen und verwalten.
  2. Weisen Sie dem Dienstkonto die folgenden Rollen zu:

    • Pub/Sub-Administrator (roles/pubsub.admin)
    • Cloud-Asset-Inhaber (roles/cloudasset.owner)
  3. Kopieren Sie den Namen des soeben erstellten Dienstkontos.

  4. Verwenden Sie die Projektauswahl in der Google Cloud Console, um zur Organisationsebene zu wechseln.

  5. Öffnen Sie die Seite IAM für die Organisation:

    Seite „IAM“

  6. Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Steuerfeld „Zugriff gewähren“ wird geöffnet.

  7. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:

    1. Fügen Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.
    2. Weisen Sie im Bereich Rollen zuweisen dem Dienstkonto im Feld Rolle die folgenden IAM-Rollen zu:

    3. Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
    4. Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters (roles/securitycenter.notificationConfigEditor)
    5. Organisationsbetrachter (roles/resourcemanager.organizationViewer)
    6. Cloud-Asset-Betrachter (roles/cloudasset.viewer)
    7. Autor von Log-Konfigurationen (roles/logging.configWriter)
    8. Klicken Sie auf Speichern. Das Dienstkonto wird auf der Seite IAM auf dem Tab Berechtigungen unter Nach Hauptkonten filtern angezeigt.

      Durch Vererbung wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation. Die auf Projektebene anwendbaren Rollen werden als übernommene Rollen aufgeführt.

Weitere Informationen zum Erstellen von Dienstkonten und zum Zuweisen von Rollen finden Sie unter den folgenden Links:

Anmeldedaten für Elastic Stack angeben

Je nachdem, wo Sie Elastic Stack hosten, unterscheiden sich die IAM-Anmeldedaten, die Sie Elastic Stack zur Verfügung stellen.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. So richten Sie Ergebnisbenachrichtigungen ein:

    1. Aktivieren Sie die Security Command Center API.
    2. Erstellen Sie einen Filter, um Ergebnisse und Assets zu exportieren.
    3. Erstellen Sie vier Pub/Sub-Themen: eines für Ergebnisse, eines für Ressourcen, eines für Audit-Logs und eines für Assets. NotificationConfig muss das Pub/Sub-Thema verwenden, das Sie für Ergebnisse erstellen.

    Sie benötigen Ihre Organisations-ID, Ihre Projekt-ID und die Pub/Sub-Themennamen aus dieser Aufgabe, um Elastic Stack zu konfigurieren.

  2. Aktivieren Sie die Cloud Asset API für Ihr Projekt.

Docker- und Elasticsearch-Komponenten installieren

Führen Sie die folgenden Schritte aus, um die Docker- und Elasticsearch-Komponenten in Ihrer Umgebung zu installieren.

Docker Engine und Docker Compose installieren

Sie können Docker zur Verwendung lokal oder bei einem Cloud-Anbieter installieren. Lesen Sie zuerst die folgenden Leitfäden in der Produktdokumentation von Docker:

Elasticsearch und Kibana installieren

Das unter Docker installieren installierte Docker-Image umfasst Logstash und Filebeat. Wenn Elasticsearch und Kibana noch nicht installiert sind, installieren Sie die Anwendungen mit den folgenden Anleitungen:

Sie benötigen die folgenden Informationen aus diesen Aufgaben, um diese Anleitung abzuschließen:

  • Elastic Stack: Host, Port, Zertifikat, Nutzername und Passwort
  • Kibana: Host, Port, Zertifikat, Nutzername und Passwort

GoApp-Modul herunterladen

In diesem Abschnitt wird erläutert, wie Sie das Modul GoApp herunterladen, ein Go-Programm, das von Security Command Center verwaltet wird. Das Modul automatisiert die Planung von Security Command Center API-Aufrufen und ruft regelmäßig Security Command Center-Daten zur Verwendung in Elastic Stack ab.

So installieren Sie GoApp:

  1. Installieren Sie in einem Terminalfenster wget, ein kostenloses Softwaredienstprogramm zum Abrufen von Inhalten von Webservern.

    Führen Sie für Ubuntu- und Debian-Distributionen folgenden Befehl aus:

    apt-get install wget
    

    Für RHEL-, CentOS- und Fedora-Distributionen führen Sie folgenden Befehl aus:

    yum install wget
    
  2. Installieren Sie das kostenlose Softwaredienstprogramm unzip zum Extrahieren des Inhalts von ZIP-Dateien.

    Führen Sie für Ubuntu- und Debian-Distributionen folgenden Befehl aus:

    apt-get install unzip
    

    Für RHEL-, CentOS- und Fedora-Distributionen führen Sie folgenden Befehl aus:

    yum install unzip
    
  3. Erstellen Sie ein Verzeichnis für das Installationspaket für GoogleSCCElasticIntegration:

    mkdir GoogleSCCElasticIntegration
    
  4. Laden Sie das GoogleSCCElasticIntegration-Installationspaket herunter:

    wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip
    
  5. Extrahieren Sie den Inhalt des GoogleSCCElasticIntegration-Installationspakets in das Verzeichnis GoogleSCCElasticIntegration:

    unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration
    
  6. Erstellen Sie ein Arbeitsverzeichnis zum Speichern und Ausführen von GoApp-Modulkomponenten:

    mkdir WORKING_DIRECTORY
    

    Ersetzen Sie WORKING_DIRECTORY durch den Verzeichnisnamen.

  7. Rufen Sie das Installationsverzeichnis GoogleSCCElasticIntegration auf:

    cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/
    

    Ersetzen Sie ROOT_DIRECTORY durch den Pfad zu dem Verzeichnis, das das Verzeichnis GoogleSCCElasticIntegration enthält.

  8. Verschieben Sie install, config.yml, dashboards.ndjson und den Ordner templates (mit den Dateien filebeat.tmpl, logstash.tmpl und docker.tmpl) in Ihr Arbeitsverzeichnis.

    mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY
    

    Ersetzen Sie WORKING_DIRECTORY durch den Pfad zu Ihrem Arbeitsverzeichnis.

Docker-Container installieren

Zum Einrichten des Docker-Containers laden Sie ein vorformatiertes Image von Google Cloud herunter, das Logstash und Filebeat enthält, und installieren es. Informationen zum Docker-Image finden Sie im Artifact Registry-Repository in der Google Cloud Console.

Zu Artifact Registry

Während der Installation konfigurieren Sie das Modul GoApp mit Security Command Center- und Elastic Stack-Anmeldedaten.

  1. Wechseln Sie zu Ihrem Arbeitsverzeichnis:

    cd /WORKING_DIRECTORY
    

    Ersetzen Sie WORKING_DIRECTORY durch den Pfad zu Ihrem Arbeitsverzeichnis.

  2. Prüfen Sie, ob die folgenden Dateien in Ihrem Arbeitsverzeichnis angezeigt werden:

      ├── config.yml
      ├── install
      ├── dashboards.ndjson
      ├── templates
          ├── filebeat.tmpl
          ├── docker.tmpl
          ├── logstash.tmpl
    
  3. Öffnen Sie die Datei config.yml in einem Texteditor und fügen Sie die erforderlichen Variablen hinzu. Wenn eine Variable nicht erforderlich ist, können Sie sie leer lassen.

    Variable Beschreibung Erforderlich
    elasticsearch Der Abschnitt für Ihre Elasticsearch-Konfiguration. Erforderlich
    host Die IP-Adresse Ihres Elastic Stack-Hosts. Erforderlich
    password Ihr Elasticsearch-Passwort. Optional
    port Der Port für Ihren Elastic Stack-Host. Erforderlich
    username Ihren Elasticsearch-Nutzernamen. Optional
    cacert Das Zertifikat für den Elasticsearch-Server (z. B. path/to/cacert/elasticsearch.cer). Optional
    http_proxy Einen Link mit dem Nutzernamen, Passwort, der IP-Adresse und dem Port für Ihren Proxy-Host, z. B. http://USER:PASSWORD@PROXY_IP:PROXY_PORT. Optional
    kibana Der Abschnitt für Ihre Kibana-Konfiguration. Erforderlich
    host Die IP-Adresse oder der Hostname, an den der Kibana-Server gebunden wird. Erforderlich
    password Ihr Kibana-Passwort. Optional
    port Der Port für den Kibana-Server. Erforderlich
    username Ihren Kibana-Nutzernamen. Optional
    cacert Das Zertifikat für den Kibana-Server (z. B. path/to/cacert/kibana.cer). Optional
    cron Der Abschnitt für Ihre Cron-Konfiguration. Optional
    asset Der Abschnitt für die Cron-Konfiguration des Assets (z. B. 0 */45 * * * *). Optional
    source Der Abschnitt für die Cron-Konfiguration der Quelle (z. B. 0 */45 * * * *). Weitere Informationen finden Sie im Generator für Cron-Ausdrücke. Optional
    organizations Der Abschnitt für die Google Cloud-Organisationskonfiguration. Wenn Sie mehrere Google Cloud-Organisationen hinzufügen möchten, kopieren Sie alles von - id: bis subscription_name unter resource. Erforderlich
    id Ihre Organisations-ID. Erforderlich
    client_credential_path Eins von:
    • Der Pfad zu Ihrer JSON-Datei, wenn Sie Dienstkontoschlüssel verwenden.
    • Die Konfigurationsdatei für Anmeldedaten, wenn Sie die Workload Identity-Föderation verwenden.
    • Geben Sie nichts an, wenn dies die Google Cloud-Organisation ist, in der Sie den Docker-Container installieren.
    Optional, je nach Umgebung
    update Ob Sie ein Upgrade von einer vorherigen Version durchführen, entweder n für nein oder y für ja Optional
    project Der Bereich für Ihre Projekt-ID. Erforderlich
    id Die ID des Projekts, das das Pub/Sub-Thema enthält. Erforderlich
    auditlog Der Abschnitt für das Pub/Sub-Thema und das Abo für Audit-Logs. Optional
    topic_name Der Name des Pub/Sub-Themas für Audit-Logs Optional
    subscription_name Der Name des Pub/Sub-Abos für Audit-Logs Optional
    findings Der Abschnitt für das Pub/Sub-Thema und -Abo für Ergebnisse. Optional
    topic_name Der Name des Pub/Sub-Themas für Ergebnisse. Optional
    start_date Das optionale Datum für den Start der Migration von Ergebnissen, z. B. 2021-04-01T12:00:00+05:30 Optional
    subscription_name Der Name des Pub/Sub-Abos für Ergebnisse. Optional
    asset Der Abschnitt für die Asset-Konfiguration. Optional
    iampolicy Der Abschnitt für das Pub/Sub-Thema und -Abo für IAM-Richtlinien. Optional
    topic_name Der Name des Pub/Sub-Themas für IAM-Richtlinien. Optional
    subscription_name Der Name des Pub/Sub-Abos für IAM-Richtlinien. Optional
    resource Der Abschnitt für das Pub/Sub-Thema und -Abo für Ressourcen. Optional
    topic_name Der Name des Pub/Sub-Themas für Ressourcen. Optional
    subscription_name Der Name des Pub/Sub-Abos für Ressourcen. Optional

    config.yml-Beispieldatei

    Das folgende Beispiel zeigt eine config.yml-Datei mit zwei Google Cloud-Organisationen.

    elasticsearch:
      host: 127.0.0.1
      password: changeme
      port: 9200
      username: elastic
      cacert: path/to/cacert/elasticsearch.cer
    http_proxy: http://user:password@proxyip:proxyport
    kibana:
      host: 127.0.0.1
      password: changeme
      port: 5601
      username: elastic
      cacert: path/to/cacert/kibana.cer
    cron:
      asset: 0 */45 * * * *
      source: 0 */45 * * * *
    organizations:
      – id: 12345678910
        client_credential_path:
        update:
        project:
          id: project-id-12345
        auditlog:
          topic_name: auditlog.topic_name
          subscription_name: auditlog.subscription_name
        findings:
          topic_name: findings.topic_name
          start_date: 2021-05-01T12:00:00+05:30
          subscription_name: findings.subscription_name
        asset:
          iampolicy:
            topic_name: iampolicy.topic_name
            subscription_name: iampolicy.subscription_name
          resource:
            topic_name: resource.topic_name
            subscription_name: resource.subscription_name
      – id: 12345678911
        client_credential_path:
        update:
        project:
          id: project-id-12346
        auditlog:
          topic_name: auditlog2.topic_name
          subscription_name: auditlog2.subscription_name
        findings:
          topic_name: findings2.topic_name
          start_date: 2021-05-01T12:00:00+05:30
          subscription_name: findings1.subscription_name
        asset:
          iampolicy:
            topic_name: iampolicy2.topic_name
            subscription_name: iampolicy2.subscription_name
          resource:
            topic_name: resource2.topic_name
            subscription_name: resource2.subscription_name
    
  4. Führen Sie die folgenden Befehle aus, um das Docker-Image zu installieren und das Modul GoApp zu konfigurieren.

    chmod +x install
    ./install
    

    Das Modul GoApp lädt das Docker-Image herunter, installiert das Image und richtet den Container ein.

  5. Kopieren Sie nach Abschluss des Vorgangs die E-Mail-Adresse des WriterIdentity-Dienstkontos aus der Installationsausgabe.

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Sink_}}HashId{{
    

    Ihr Arbeitsverzeichnis muss die folgende Struktur haben:

      ├── config.yml
      ├── dashboards.ndjson
      ├── docker-compose.yml
      ├── install
      ├── templates
          ├── filebeat.tmpl
          ├── logstash.tmpl
          ├── docker.tmpl
      └── main
          ├── client_secret.json
          ├── filebeat
          │          └── config
          │                   └── filebeat.yml
          ├── GoApp
          │       └── .env
          └── logstash
                     └── pipeline
                                └── logstash.conf
    

Berechtigungen für Audit-Logs aktualisieren

So aktualisieren Sie Berechtigungen, damit Audit-Logs an SIEM-Produkte übertragen werden können:

  1. Gehen Sie zur Seite „Pub/Sub-Themen”

    Zu Pub/Sub

  2. Wählen Sie das Projekt aus, in dem sich die Pub/Sub-Themen befinden.

  3. Wählen Sie das Pub/Sub-Thema aus, das Sie für Audit-Logs erstellt haben.

  4. Fügen Sie in den Berechtigungen das WriterIdentity-Dienstkonto, das Sie in Schritt 4 des Installationsverfahrens kopiert haben, als neues Hauptkonto hinzu und weisen Sie es die Pub/Sub-Publisher-Rolle zu. Die Audit-Log-Richtlinie wird aktualisiert.

Die Docker- und Elastic Stack-Konfigurationen sind abgeschlossen. Sie können jetzt Kibana einrichten.

Docker-Logs ansehen

  1. Öffnen Sie ein Terminal und führen Sie den folgenden Befehl aus, um Ihre Containerinformationen einschließlich Container-IDs aufzurufen. Notieren Sie sich die ID des Containers, in dem Elastic Stack installiert ist.

    docker container ls
    
  2. Führen Sie die folgenden Befehle aus, um einen Container zu starten und dessen Logs aufzurufen:

    docker exec -it CONTAINER_ID /bin/bash
    cat go.log
    

    Ersetzen Sie CONTAINER_ID durch die ID des Containers, in dem Elastic Stack installiert ist.

Kibana einrichten

Führen Sie die folgenden Schritte aus, wenn Sie den Docker-Container zum ersten Mal installieren.

  1. Öffnen Sie kibana.yml in einem Texteditor.

    sudo vim KIBANA_DIRECTORY/config/kibana.yml
    

    Ersetzen Sie KIBANA_DIRECTORY durch den Pfad zu Ihrem Kibana-Installationsordner.

  2. Aktualisieren Sie die folgenden Variablen:

    • server.port: der Port, der für den Backend-Server von Kibana verwendet werden soll; Der Standardwert ist 5601.
    • server.host: die IP-Adresse oder der Hostname, an den der Kibana-Server gebunden wird
    • elasticsearch.hosts: die IP-Adresse und der Port der Elasticsearch-Instanz, die für Abfragen verwendet werden soll
    • server.maxPayloadBytes: Die maximale Nutzlastgröße in Byte für eingehende Serveranfragen. Standardwert ist 1.048.576
    • url_drilldown.enabled: Ein boolescher Wert, der die Verwaltung des Kibana-Dashboards zu internen oder externen URLs steuert. Der Standardwert ist true.

    Die fertige Konfiguration sieht in etwa so aus:

      server.port: PORT
      server.host: "HOST"
      elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
      server.maxPayloadBytes: 5242880
      url_drilldown.enabled: true
    

Kibana-Dashboards importieren

  1. Öffnen Sie die Kibana-Anwendung.
  2. Gehen Sie im Navigationsmenü zu Stack Management und klicken Sie dann auf Gespeicherte Objekte.
  3. Klicken Sie auf Importieren, wechseln Sie zum Arbeitsverzeichnis und wählen Sie dashboards.ndjson aus. Die Dashboards werden importiert und Indexmuster werden erstellt.

Docker-Container aktualisieren

Wenn Sie eine frühere Version des GoApp-Moduls bereitgestellt haben, können Sie ein Upgrade auf eine neuere Version ausführen. Wenn Sie den Docker-Container auf eine neuere Version aktualisieren, können Sie die Einrichtung Ihres Dienstkontos, Pub/Sub-Themen und ElasticSearch-Komponenten beibehalten.

Wenn Sie ein Upgrade von einer Integration ausführen, die keinen Docker-Container verwendet hat, lesen Sie die Informationen unter Upgrade auf neuesten Release durchführen.

  1. Wenn Sie von Version 1 auf eine neuere Version umstellen, führen Sie die folgenden Schritte aus:

    1. Fügen Sie dem Dienstkonto die Rolle Autor von Logkonfigurationen (roles/logging.configWriter) hinzu.

    2. Erstellen Sie ein Pub/Sub-Thema für Ihre Audit-Logs.

  2. Wenn Sie den Docker-Container in einer anderen Cloud installieren, konfigurieren Sie die Workload Identity-Föderation und laden Sie die Konfigurationsdatei für Anmeldedaten herunter.

  3. Um Probleme beim Importieren der neuen Dashboards zu vermeiden, entfernen Sie optional die vorhandenen Dashboards aus Kibana:

    1. Öffnen Sie die Kibana-Anwendung.
    2. Gehen Sie im Navigationsmenü zu Stack Management und klicken Sie dann auf Gespeicherte Objekte.
    3. Suchen Sie nach Google SCC.
    4. Wählen Sie alle Dashboards aus, die Sie entfernen möchten.
    5. Klicken Sie auf Löschen.
  4. Entfernen Sie den vorhandenen Docker-Container:

    1. Öffnen Sie ein Terminal und beenden Sie den Container:

      docker stop CONTAINER_ID
      

      Ersetzen Sie CONTAINER_ID durch die ID des Containers, in dem Elastic Stack installiert ist.

    2. Entfernen Sie den Docker-Container:

      docker rm CONTAINER_ID
      

      Fügen Sie ggf. -f vor der Container-ID hinzu, um den Container zwangsweise zu entfernen.

  5. Führen Sie die Schritte 1 bis 7 unter GoApp-Modul herunterladen aus.

  6. Verschieben Sie die vorhandene config.env-Datei aus Ihrer vorherigen Installation in das Verzeichnis \update.

  7. Erteilen Sie bei Bedarf die Berechtigung zur Ausführung von ./update:

    chmod +x ./update
    ./update
    
  8. Führen Sie ./update aus, um config.env in config.yml umzuwandeln.

  9. Prüfen Sie, ob die Datei config.yml Ihre vorhandene Konfiguration enthält. Falls nicht, führen Sie ./update noch einmal aus.

  10. Wenn Sie mehrere Google Cloud-Organisationen unterstützen möchten, fügen Sie der Datei config.yml eine weitere Organisationskonfiguration hinzu.

  11. Verschieben Sie die Datei config.yml in Ihr Arbeitsverzeichnis, in dem sich die Datei install befindet.

  12. Führen Sie die Schritte unter Docker installieren aus.

  13. Führen Sie die Schritte unter Berechtigungen für Audit-Logs aktualisieren aus.

  14. Importieren Sie die neuen Dashboards, wie unter Kibana-Dashboards importieren beschrieben. Mit diesem Schritt werden die vorhandenen Kibana-Dashboards überschrieben.

Kibana-Dashboards öffnen und bearbeiten

Sie können benutzerdefinierte Dashboards in Elastic Stack verwenden, um Ihre Ergebnisse, Assets und Sicherheitsquellen zu visualisieren und zu analysieren. Die Dashboards enthalten wichtige Ergebnisse und helfen Ihrem Sicherheitsteam, Priorisierungen vorzunehmen.

Übersichts-Dashboard

Das Dashboard Übersicht enthält eine Reihe von Diagrammen, in denen die Gesamtzahl der Ergebnisse in Ihren Google Cloud-Organisationen nach Schweregrad, Kategorie und Status angezeigt wird. Die Ergebnisse werden aus den integrierten Diensten von Security Command Center kompiliert, z. B. Security Health Analytics, Web Security Scanner, Event Threat Detection und Container Threat Detection sowie alle integrierten Dienste, die Sie aktivieren.

Um Inhalte nach Kriterien wie Fehlkonfigurationen oder Sicherheitslücken zu filtern, können Sie die Ergebnisklasse auswählen.

Zusätzliche Diagramme zeigen, welche Kategorien, Projekte und Assets die meisten Ergebnisse generieren.

Assets-Dashboard

Im Dashboard Assets werden Tabellen mit Ihren Google Cloud-Assets angezeigt. In den Tabellen werden die Asset-Inhaber, die Anzahl der Assets nach Ressourcentyp und Projekten sowie die zuletzt hinzugefügten und aktualisierten Assets angezeigt.

Sie können Asset-Daten nach Organisation, Asset-Name, Asset-Typ und übergeordneten Elementen filtern und schnell nach Ergebnissen für bestimmte Assets aufschlüsseln. Wenn Sie auf einen Asset-Namen klicken, werden Sie in der Google Cloud Console zur Seite Assets des Security Command Center weitergeleitet und sehen Details zum ausgewählten Asset.

Audit-Logs-Dashboard

Im Dashboard Audit-Logs werden eine Reihe von Diagrammen und Tabellen angezeigt, die Informationen zum Audit-Log enthalten. Im Dashboard sind Audit-Logs zu Administratoraktivitäten, Datenzugriff, Systemereignissen und Audit-Logs zu abgelehnten Richtlinien enthalten. Die Tabelle enthält Zeit, Schweregrad, Logtyp, Logname, Dienstname, Ressourcenname und Ressourcentyp.

Sie können die Daten nach Organisation, Quelle (z. B. Projekt), Schweregrad, Logtyp und Ressourcentyp filtern.

Ergebnis-Dashboard

Das Dashboard Ergebnisse enthält Diagramme mit den neuesten Ergebnissen. Die Diagramme enthalten Informationen zur Anzahl der Ergebnisse sowie deren Schweregrad, Kategorie und Status. Sie können sich auch aktive Ergebnisse im Verlauf der Zeit anzeigen lassen und welche Projekte oder Ressourcen die meisten Ergebnisse haben.

Sie können die Daten nach Organisation und Ergebnisklasse filtern.

Wenn Sie auf einen Ergebnisnamen klicken, werden Sie zur Seite Ergebnisse von Security Command Center in der Google Cloud Console weitergeleitet und sehen Details zum ausgewählten Ergebnis.

Quellen-Dashboard

Im Dashboard Quellen werden die Gesamtzahl der Ergebnisse und Sicherheitsquellen, die Anzahl der Ergebnisse nach Quellname und eine Tabelle aller Sicherheitsquellen angezeigt. Tabellenspalten enthalten den Namen, den Anzeigenamen und die Beschreibung.

Spalten hinzufügen

  1. Rufen Sie ein Dashboard auf.
  2. Klicken Sie auf Bearbeiten und dann auf Visualisierung bearbeiten.
  3. Wählen Sie unter Sub-Bucket hinzufügen die Option Zeilen aufteilen aus.
  4. Wählen Sie in der Liste die Aggregation Begriffe aus.
  5. Wählen Sie im Drop-down-Menü Absteigend die Option aufsteigend oder absteigend aus. Geben Sie im Feld Größe die maximale Anzahl von Zeilen für die Tabelle ein.
  6. Wählen Sie die Spalte aus, die Sie hinzufügen möchten, und klicken Sie auf Aktualisieren.
  7. Speichern Sie die Änderungen.

Spalten ausblenden oder entfernen

  1. Gehen Sie zum Dashboard.
  2. Klicken Sie auf Bearbeiten.
  3. Klicken Sie zum Ausblenden einer Spalte neben dem Spaltennamen auf das Sichtbarkeits- oder Augensymbol.
  4. Klicken Sie neben dem Spaltennamen auf das Symbol X oder „Löschen“, um eine Spalte zu entfernen.

Integration mit Elasticsearch deinstallieren

In den folgenden Abschnitten erfahren Sie, wie Sie die Integration zwischen Security Command Center und Elasticsearch entfernen.

Dashboards, Indexe und Indexmuster entfernen

Entfernen Sie Dashboards, wenn Sie diese Lösung deinstallieren möchten.

  1. Rufen Sie die Dashboards auf.

  2. Suchen Sie nach Google SCC und wählen Sie alle Dashboards aus.

  3. Klicken Sie auf Dashboards löschen.

  4. Gehen Sie zu Stapelverwaltung > Indexverwaltung.

  5. Schließen Sie die folgenden Indexe:

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs
  6. Gehen Sie zu Stapelverwaltung > Indexmuster.

  7. Schließen Sie die folgenden Muster:

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs

Docker deinstallieren

  1. Löschen Sie die NotificationConfig für Pub/Sub. Führen Sie Folgendes aus, um den Namen der NotificationConfig zu ermitteln:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat NotificationConf_}}HashId{{
    
  2. Entfernen Sie Pub/Sub-Feeds für Assets, Ergebnisse, IAM-Richtlinien und Audit-Logs. So ermitteln Sie die Namen der Feeds:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Feed_}}HashId{{
    
  3. Entfernen Sie die Senke für die Audit-Logs. Führen Sie folgenden Befehl aus, um den Namen der Senke zu ermitteln:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Sink_}}HashId{{
    
  4. Öffnen Sie das Terminal und führen Sie den folgenden Befehl aus, um Ihre Containerinformationen einschließlich Container-IDs aufzurufen:

    docker container ls
    
  5. Beenden Sie den Container:

    docker stop CONTAINER_ID
    

    Ersetzen Sie CONTAINER_ID durch die ID des Containers, in dem Elastic Stack installiert ist.

  6. Entfernen Sie den Docker-Container:

    docker rm CONTAINER_ID
    

    Fügen Sie ggf. -f vor der Container-ID hinzu, um den Container zwangsweise zu entfernen.

  7. Entfernen Sie das Docker-Image

    docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest
    
  8. Löschen Sie das Arbeitsverzeichnis und die Datei docker-compose.yml:

    rm -rf ./main docker-compose.yml
    

Nächste Schritte