Mengirim data Security Command Center ke Elastic Stack menggunakan Docker

Halaman ini menjelaskan cara menggunakan penampung Docker untuk menghosting penginstalan Elastic Stack, dan otomatis mengirim temuan, aset, log audit, dan sumber keamanan Security Command Center ke Elastic Stack. Artikel ini juga menjelaskan cara mengelola data yang diekspor.

Docker adalah platform untuk mengelola aplikasi dalam container. Elastic Stack adalah platform informasi keamanan dan manajemen peristiwa (SIEM) yang menyerap data dari satu atau beberapa sumber dan memungkinkan tim keamanan mengelola respons terhadap insiden dan melakukan analisis real-time. Konfigurasi Elastic Stack yang dibahas dalam panduan ini mencakup empat komponen:

  • Filebeat: agen ringan yang diinstal di host edge, seperti mesin virtual (VM), yang dapat dikonfigurasi untuk mengumpulkan dan meneruskan data
  • Logstash: layanan transformasi yang menyerap data, memetakannya ke kolom yang wajib diisi, dan meneruskan hasilnya ke Elasticsearch
  • Elasticsearch: mesin database penelusuran yang menyimpan data
  • Kibana: mendukung dasbor yang memungkinkan Anda memvisualisasikan dan menganalisis data

Dalam panduan ini, Anda akan menyiapkan Docker, memastikan bahwa layanan Security Command Center dan Google Cloud yang diperlukan dikonfigurasi dengan benar, dan menggunakan modul kustom untuk mengirim temuan, aset, log audit, dan sumber keamanan ke Elastic Stack.

Gambar berikut mengilustrasikan jalur data saat menggunakan Elastic Stack dengan Security Command Center.

Integrasi Security Command Center dan Elastic Stack (klik untuk memperbesar)
Integrasi Security Command Center dan Elastic Stack (klik untuk memperbesar)

Mengonfigurasi autentikasi dan otorisasi

Sebelum terhubung ke Elastic Stack, Anda perlu membuat akun layanan Identity and Access Management (IAM) di setiap organisasi Google Cloud yang ingin dihubungkan dan memberikan peran IAM level organisasi dan level project yang diperlukan Elastic Stack.

Membuat akun layanan dan memberikan peran IAM

Langkah-langkah berikut dilakukan menggunakan konsol Google Cloud. Untuk metode lainnya, lihat link di akhir bagian ini.

Selesaikan langkah-langkah berikut untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

  1. Dalam project yang sama tempat Anda membuat topik Pub/Sub, gunakan halaman Service Accounts di Google Cloud Console untuk membuat akun layanan. Untuk mengetahui petunjuknya, lihat Membuat dan mengelola akun layanan.

  2. Beri akun layanan peran berikut:

    • Admin Pub/Sub (roles/pubsub.admin)
    • Pemilik Aset Cloud (roles/cloudasset.owner)

  3. Salin nama akun layanan yang baru saja Anda buat.

  4. Gunakan pemilih project di Konsol Google Cloud untuk beralih ke tingkat organisasi.

  5. Buka halaman IAM untuk organisasi:

    Buka IAM

  6. Pada halaman IAM, klik Berikan akses. Panel berikan akses akan terbuka.

  7. Di panel Berikan akses, selesaikan langkah-langkah berikut:

    1. Di bagian Add principals di kolom New principals, tempelkan nama akun layanan.

    2. Di bagian Tetapkan peran, gunakan kolom Peran untuk memberikan peran IAM berikut ke akun layanan:

      • Editor Admin Pusat Keamanan (roles/securitycenter.adminEditor)
      • Editor Konfigurasi Notifikasi Pusat Keamanan (roles/securitycenter.notificationConfigEditor)
      • Organization Viewer (roles/resourcemanager.organizationViewer)
      • Viewer Aset Cloud (roles/cloudasset.viewer)
      • Penulis Konfigurasi Log (roles/logging.configWriter)

    3. Klik Simpan. Akun keamanan muncul di tab Permissions pada halaman IAM di bagian View by principals.

      Berdasarkan pewarisan, akun layanan juga menjadi akun utama di semua project turunan organisasi dan peran yang berlaku di level project dicantumkan sebagai peran yang diwarisi.

Untuk mengetahui informasi selengkapnya tentang cara membuat akun layanan dan memberikan peran, lihat topik berikut:

Memberikan kredensial ke Elastic Stack

Bergantung pada tempat Anda menghosting Elastic Stack, cara Anda memberikan kredensial IAM ke Elastic Stack berbeda-beda.

Mengonfigurasi notifikasi

Selesaikan langkah-langkah berikut untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

  1. Siapkan notifikasi temuan sebagai berikut:

    1. Mengaktifkan Security Command Center API.
    2. Buat filter untuk mengekspor temuan dan aset yang diinginkan.
    3. Buat empat topik Pub/Sub: masing-masing untuk temuan, resource, log audit, dan aset. NotificationConfig harus menggunakan topik Pub/Sub yang Anda buat untuk temuan.

    Anda memerlukan ID organisasi, project ID, dan nama topik Pub/Sub dari tugas ini untuk mengonfigurasi Elastic Stack.

  2. Aktifkan Cloud Asset API untuk project Anda.

Menginstal komponen Docker dan Elasticsearch

Ikuti langkah-langkah berikut untuk menginstal komponen Docker dan Elasticsearch di lingkungan Anda.

Menginstal Docker Engine dan Docker Compose

Anda dapat menginstal Docker untuk digunakan di infrastruktur lokal atau dengan penyedia cloud. Untuk memulai, selesaikan panduan berikut dalam dokumentasi produk Docker:

Instal Elasticsearch dan Kibana

Image Docker yang Anda instal di Install Docker mencakup Logstash dan Filebeat. Jika Anda belum menginstal Elasticsearch dan Kibana, gunakan panduan berikut untuk menginstal aplikasi:

Anda memerlukan informasi berikut dari tugas tersebut untuk menyelesaikan panduan ini:

  • Elastic Stack: host, port, sertifikat, nama pengguna, dan sandi
  • Kibana: host, port, sertifikat, nama pengguna, dan sandi

Download modul GoApp

Bagian ini menjelaskan cara mendownload modul GoApp, sebuah program Go yang dikelola oleh Security Command Center. Modul ini mengotomatiskan proses penjadwalan panggilan Security Command Center API dan secara rutin mengambil data Security Command Center untuk digunakan di Elastic Stack.

Untuk menginstal GoApp, lakukan hal berikut:

  1. Pada jendela terminal, instal wget, utilitas software gratis yang digunakan untuk mengambil konten dari server web.

    Untuk distribusi Ubuntu dan Debian, jalankan perintah berikut:

      # apt-get install wget

    Untuk distribusi RHEL, CentOS, dan Fedora, jalankan perintah berikut:

      # yum install wget

  2. Instal unzip, utilitas software gratis yang digunakan untuk mengekstrak isi file ZIP.

    Untuk distribusi Ubuntu dan Debian, jalankan perintah berikut:

    # apt-get install unzip

    Untuk distribusi RHEL, CentOS, dan Fedora, jalankan perintah berikut:

    # yum install unzip

  3. Buat direktori untuk paket penginstalan GoogleSCCElasticIntegration:

    mkdir GoogleSCCElasticIntegration

  4. Download paket penginstalan GoogleSCCElasticIntegration:

    wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip

  5. Ekstrak konten paket penginstalan GoogleSCCElasticIntegration ke dalam direktori GoogleSCCElasticIntegration:

    unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration

  6. Buat direktori kerja untuk menyimpan dan menjalankan komponen modul GoApp:

    mkdir WORKING_DIRECTORY

    Ganti WORKING_DIRECTORY dengan nama direktori.

  7. Buka direktori penginstalan GoogleSCCElasticIntegration:

    cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/

    Ganti ROOT_DIRECTORY dengan jalur ke direktori yang berisi direktori GoogleSCCElasticIntegration.

  8. Pindahkan install, config.yml, dashboards.ndjson, dan folder templates (dengan file filebeat.tmpl, logstash.tmpl, dan docker.tmpl) ke direktori kerja Anda.

    mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY

    Ganti WORKING_DIRECTORY dengan jalur ke direktori kerja Anda.

Menginstal container Docker

Untuk menyiapkan container Docker, Anda perlu mendownload dan menginstal image yang telah diformat sebelumnya dari Google Cloud yang berisi Logstash dan Filebeat. Untuk mengetahui informasi tentang image Docker, buka repositori Container Registry di Konsol Google Cloud.

Buka Container Registry

Selama penginstalan, Anda mengonfigurasi modul GoApp dengan kredensial Security Command Center dan Elastic Stack.

  1. Buka direktori kerja Anda:

    cd /WORKING_DIRECTORY

    Ganti WORKING_DIRECTORY dengan jalur ke direktori kerja Anda.

  2. Pastikan file berikut muncul di direktori kerja Anda:

      ├── config.yml
  ├── install
  ├── dashboards.ndjson
  ├── templates
      ├── filebeat.tmpl
      ├── docker.tmpl
      ├── logstash.tmpl

  3. Di editor teks, buka file config.yml dan tambahkan variabel yang diminta. Jika variabel tidak diperlukan, Anda dapat mengosongkannya.

    Variabel Deskripsi Diperlukan
    elasticsearch Bagian untuk konfigurasi Elasticsearch Anda. Diperlukan
    host Alamat IP host Elastic Stack Anda. Diperlukan
    password Sandi Elasticsearch Anda. Opsional
    port Port untuk host Elastic Stack Anda. Diperlukan
    username Nama pengguna Elasticsearch Anda. Opsional
    cacert Sertifikat untuk server Elasticsearch (misalnya, path/to/cacert/elasticsearch.cer). Opsional
    http_proxy Link dengan nama pengguna, sandi, alamat IP, dan port untuk host proxy Anda (misalnya, http://USER:PASSWORD@PROXY_IP:PROXY_PORT). Opsional
    kibana Bagian untuk konfigurasi Kibana Anda. Diperlukan
    host Alamat IP atau nama host yang akan diikat oleh server Kibana. Diperlukan
    password Sandi Kibana Anda. Opsional
    port Port untuk server Kibana. Diperlukan
    username Nama pengguna Kibana Anda. Opsional
    cacert Sertifikat untuk server Kibana (misalnya, path/to/cacert/kibana.cer). Opsional
    cron Bagian untuk konfigurasi cron Anda. Opsional
    asset Bagian untuk konfigurasi cron aset Anda (misalnya, 0 */45 * * * *). Opsional
    source Bagian untuk konfigurasi cron sumber Anda (misalnya, 0 */45 * * * *). Untuk informasi selengkapnya, lihat Generator ekspresi Cron. Opsional
    organizations Bagian untuk konfigurasi organisasi Google Cloud Anda. Untuk menambahkan beberapa organisasi Google Cloud, salin semuanya dari - id: hingga subscription_name di bagian resource. Diperlukan
    id ID organisasi Anda. Diperlukan
    client_credential_path Salah satu dari:
    • Jalur ke file JSON, jika Anda menggunakan kunci akun layanan.
    • File konfigurasi kredensial, jika Anda menggunakan gabungan workload identity, seperti yang dijelaskan di bagian Sebelum memulai.
    • Jangan tentukan apa pun jika ini adalah organisasi Google Cloud tempat Anda menginstal container Docker.
    		 Opsional, bergantung pada lingkungan Anda
    update Apakah Anda melakukan upgrade dari versi sebelumnya, n untuk tidak atau y untuk ya Opsional
    project Bagian untuk project ID Anda. Diperlukan
    id ID untuk project yang berisi topik Pub/Sub. Diperlukan
    auditlog Bagian untuk topik Pub/Sub dan langganan untuk log audit. Opsional
    topic_name Nama topik Pub/Sub untuk log audit Opsional
    subscription_name Nama langganan Pub/Sub untuk log audit Opsional
    findings Bagian untuk topik Pub/Sub dan langganan untuk temuan. Opsional
    topic_name Nama topik Pub/Sub untuk temuan. Opsional
    start_date Tanggal opsional untuk mulai memigrasikan temuan, misalnya, 2021-04-01T12:00:00+05:30 Opsional
    subscription_name Nama langganan Pub/Sub untuk temuan. Opsional
    asset Bagian untuk konfigurasi aset. Opsional
    iampolicy Bagian untuk topik Pub/Sub dan langganan untuk kebijakan IAM. Opsional
    topic_name Nama topik Pub/Sub untuk kebijakan IAM. Opsional
    subscription_name Nama langganan Pub/Sub untuk kebijakan IAM. Opsional
    resource Bagian untuk topik Pub/Sub dan langganan untuk resource. Opsional
    topic_name Nama topik Pub/Sub untuk resource. Opsional
    subscription_name Nama langganan Pub/Sub untuk resource. Opsional

    Contoh file config.yml

    Contoh berikut menunjukkan file config.yml yang mencakup dua organisasi Google Cloud. 

    elasticsearch:
  host: 127.0.0.1
  password: changeme
  port: 9200
  username: elastic
  cacert: path/to/cacert/elasticsearch.cer
http_proxy: http://user:password@proxyip:proxyport
kibana:
  host: 127.0.0.1
  password: changeme
  port: 5601
  username: elastic
  cacert: path/to/cacert/kibana.cer
cron:
  asset: 0 */45 * * * *
  source: 0 */45 * * * *
organizations:
  – id: 12345678910
    client_credential_path:
    update:
    project:
      id: project-id-12345
    auditlog:
      topic_name: auditlog.topic_name
      subscription_name: auditlog.subscription_name
    findings:
      topic_name: findings.topic_name
      start_date: 2021-05-01T12:00:00+05:30
      subscription_name: findings.subscription_name
    asset:
      iampolicy:
        topic_name: iampolicy.topic_name
        subscription_name: iampolicy.subscription_name
      resource:
        topic_name: resource.topic_name
        subscription_name: resource.subscription_name
  – id: 12345678911
    client_credential_path:
    update:
    project:
      id: project-id-12346
    auditlog:
      topic_name: auditlog2.topic_name
      subscription_name: auditlog2.subscription_name
    findings:
      topic_name: findings2.topic_name
      start_date: 2021-05-01T12:00:00+05:30
      subscription_name: findings1.subscription_name
    asset:
      iampolicy:
        topic_name: iampolicy2.topic_name
        subscription_name: iampolicy2.subscription_name
      resource:
        topic_name: resource2.topic_name
        subscription_name: resource2.subscription_name

  4. Jalankan perintah berikut untuk menginstal image Docker dan mengonfigurasi modul GoApp.

    chmod +x install
./install

    Modul GoApp mendownload image Docker, menginstal image, dan menyiapkan container.

  5. Setelah proses selesai, salin alamat email akun layanan WriterIdentity dari output penginstalan.

    docker exec googlescc_elk ls
docker exec googlescc_elk cat Sink_}}HashId{{

    Direktori kerja Anda harus memiliki struktur berikut:

      ├── config.yml
  ├── dashboards.ndjson
  ├── docker-compose.yml
  ├── install
  ├── templates
      ├── filebeat.tmpl
      ├── logstash.tmpl
      ├── docker.tmpl
  └── main
      ├── client_secret.json
      ├── filebeat
      │          └── config
      │                   └── filebeat.yml
      ├── GoApp
      │       └── .env
      └── logstash
                 └── pipeline
                            └── logstash.conf

Memperbarui izin untuk log audit

Untuk memperbarui izin agar log audit dapat mengalir ke SIEM Anda:

  1. Buka halaman topik Pub/Sub.

    Buka Pub/Sub

  2. Pilih project yang menyertakan topik Pub/Sub Anda.

  3. Pilih topik Pub/Sub yang Anda buat untuk log audit.

  4. Di Permissions, tambahkan akun layanan WriterIdentity (yang Anda salin pada langkah 4 prosedur penginstalan) sebagai akun utama baru dan tetapkan peran Pub/Sub Publisher. Kebijakan log audit telah diperbarui.

Konfigurasi Docker dan Elastic Stack selesai. Sekarang Anda dapat menyiapkan Kibana.

Lihat log Docker

  1. Buka terminal, dan jalankan perintah berikut untuk melihat informasi container Anda, termasuk ID container. Catat ID untuk container tempat Elastic Stack diinstal.

    docker container ls

  2. Untuk memulai container dan melihat log-nya, jalankan perintah berikut:

    docker exec -it CONTAINER_ID /bin/bash
cat go.log

    Ganti CONTAINER_ID dengan ID container tempat Elastic Stack diinstal.

Siapkan Kibana

Selesaikan langkah-langkah berikut saat Anda menginstal container Docker untuk pertama kalinya.

  1. Buka kibana.yml di editor teks.

    sudo vim KIBANA_DIRECTORY/config/kibana.yml

    Ganti KIBANA_DIRECTORY dengan jalur ke folder penginstalan Kibana Anda.

  2. Perbarui variabel berikut:

    • server.port: port yang akan digunakan untuk server back-end Kibana; default-nya adalah 5601
    • server.host: alamat IP atau nama host yang akan diikat oleh server Kibana
    • elasticsearch.hosts: alamat IP dan port instance Elasticsearch yang akan digunakan untuk kueri
    • server.maxPayloadBytes: ukuran payload maksimum dalam byte untuk permintaan server masuk; default-nya adalah 1.048.576
    • url_drilldown.enabled: nilai Boolean yang mengontrol kemampuan untuk bernavigasi dari dasbor Kibana ke URL internal atau eksternal; defaultnya adalah true

    Konfigurasi yang telah selesai akan terlihat seperti berikut:

      server.port: PORT
  server.host: "HOST"
  elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
  server.maxPayloadBytes: 5242880
  url_drilldown.enabled: true

Impor dasbor Kibana

  1. Buka aplikasi Kibana.
  2. Di menu navigasi, buka Stack Management, lalu klik Saved Objects.
  3. Klik Import, buka direktori kerja, lalu pilih dashboards.ndjson. Dasbor diimpor dan pola indeks dibuat.

Mengupgrade container Docker

Jika telah men-deploy modul GoApp versi sebelumnya, Anda dapat mengupgradenya ke versi yang lebih baru. Saat mengupgrade container Docker ke versi yang lebih baru, Anda dapat mempertahankan penyiapan akun layanan, topik Pub/Sub, dan komponen ElasticSearch yang sudah ada.

Jika Anda melakukan upgrade dari integrasi yang tidak menggunakan container Docker, lihat Mengupgrade ke rilis terbaru.

  1. Jika Anda mengupgrade dari v1, selesaikan tindakan berikut:

    1. Tambahkan peran Logs Configuration Writer (roles/logging.configWriter) ke akun layanan.

    2. Buat topik Pub/Sub untuk log audit Anda.

  2. Jika Anda menginstal container Docker di cloud lain, konfigurasi workload identity federation dan download file konfigurasi kredensial.

  3. Secara opsional, untuk menghindari masalah saat mengimpor dasbor baru, hapus dasbor yang ada dari Kibana:

    1. Buka aplikasi Kibana.
    2. Di menu navigasi, buka Stack Management, lalu klik Saved Objects.
    3. Telusuri Google SCC.
    4. Pilih semua dasbor yang ingin Anda hapus.
    5. Klik Delete.

  4. Hapus container Docker yang ada:

    1. Buka terminal dan hentikan container:

      docker stop CONTAINER_ID

      Ganti CONTAINER_ID dengan ID container tempat Elastic Stack diinstal.

    2. Hapus container Docker:

      docker rm CONTAINER_ID

      Jika perlu, tambahkan -f sebelum ID penampung untuk menghapus penampung secara paksa.

  5. Selesaikan langkah 1 sampai 7 di Mendownload modul GoApp.

  6. Pindahkan file config.env yang sudah ada dari penginstalan sebelumnya ke direktori \update.

  7. Jika perlu, berikan izin yang dapat dieksekusi untuk menjalankan ./update:

    chmod +x ./update
./update

  8. Jalankan ./update untuk mengonversi config.env ke config.yml.

  9. Pastikan file config.yml menyertakan konfigurasi yang sudah ada. Jika tidak, jalankan kembali ./update.

  10. Untuk mendukung beberapa organisasi Google Cloud, tambahkan konfigurasi organisasi lain ke file config.yml.

  11. Pindahkan file config.yml ke direktori kerja Anda, tempat file install berada.

  12. Selesaikan langkah-langkah di Menginstal Docker.

  13. Selesaikan langkah-langkah di Memperbarui izin untuk log audit.

  14. Impor dasbor baru, seperti yang dijelaskan dalam Mengimpor dasbor Kibana. Langkah ini akan menimpa dasbor Kibana yang ada.

Melihat dan mengedit dasbor Kibana

Anda dapat menggunakan dasbor kustom di Elastic Stack untuk memvisualisasikan dan menganalisis temuan, aset, dan sumber keamanan. Dasbor menampilkan temuan penting dan membantu tim keamanan Anda memprioritaskan perbaikan.

Dasbor ringkasan

Dasbor Overview berisi serangkaian diagram yang menampilkan total jumlah temuan di organisasi Google Cloud Anda menurut tingkat keparahan, kategori, dan status. Temuan dikumpulkan dari layanan bawaan Security Command Center, seperti Security Health Analytics, Web Security Scanner, Event Threat Detection, dan Container Threat Detection, serta semua layanan terintegrasi yang Anda aktifkan.

Untuk memfilter konten berdasarkan kriteria seperti kesalahan konfigurasi atau kerentanan, Anda dapat memilih Finding class.

Diagram tambahan menunjukkan kategori, project, dan aset mana yang menghasilkan temuan paling banyak.

Dasbor aset

Dasbor Assets menampilkan tabel yang menampilkan aset Google Cloud Anda. Tabel ini menunjukkan pemilik aset, jumlah aset menurut jenis resource dan project, serta aset yang terakhir ditambahkan dan diperbarui.

Anda dapat memfilter data aset berdasarkan organisasi, nama aset, jenis aset, dan induk, serta dengan cepat melihat perincian temuan untuk aset tertentu. Jika mengklik nama aset, Anda akan dialihkan ke halaman Assets pada Security Command Center di Konsol Google Cloud dan melihat detail untuk aset yang dipilih.

Dasbor log audit

Dasbor Log audit menampilkan serangkaian diagram dan tabel yang menampilkan informasi log audit. Log audit yang disertakan di dasbor adalah aktivitas administrator, akses data, peristiwa sistem, dan log audit yang ditolak terkait kebijakan. Tabel ini berisi waktu, tingkat keparahan, jenis log, nama log, nama layanan, nama resource, dan jenis resource.

Anda dapat memfilter data menurut organisasi, sumber (seperti project), tingkat keparahan, jenis log, dan jenis resource.

Dasbor temuan

Dasbor Temuan menyertakan diagram yang menunjukkan temuan terbaru Anda. Diagram ini memberikan informasi tentang jumlah temuan, tingkat keparahan, kategori, dan statusnya. Anda juga dapat melihat temuan aktif dari waktu ke waktu, dan proyek atau sumber daya mana yang memiliki temuan terbanyak.

Anda dapat memfilter data menurut organisasi dan menemukan kelas.

Jika mengklik nama temuan, Anda akan dialihkan ke halaman Findings Security Command Center di Konsol Google Cloud dan menampilkan detail untuk temuan yang dipilih.

Dasbor sumber

Dasbor Sumber menampilkan jumlah total temuan dan sumber keamanan, jumlah temuan berdasarkan nama sumber, dan tabel yang berisi semua sumber keamanan Anda. Kolom tabel mencakup nama, nama tampilan, dan deskripsi.

Tambah kolom

  1. Buka dasbor.
  2. Klik Edit, lalu klik Edit visualisasi.
  3. Di bagian Tambahkan sub-bucket, pilih Pisahkan baris.
  4. Dalam daftar, pilih agregasi Istilah.
  5. Di menu drop-down Menurun, pilih menaik atau menurun. Di kolom Size, masukkan jumlah baris maksimum untuk tabel.
  6. Pilih kolom yang ingin ditambahkan, lalu klik Perbarui.
  7. Simpan perubahan.

Menyembunyikan atau menghapus kolom

  1. Buka dasbor.
  2. Klik Edit.
  3. Untuk menyembunyikan kolom, di samping nama kolom, klik ikon visibilitas, atau mata.
  4. Untuk menghapus kolom, di samping nama kolom, klik ikon X atau hapus.

Meng-uninstal integrasi dengan Elasticsearch

Selesaikan bagian berikut untuk menghapus integrasi antara Security Command Center dan Elasticsearch.

Menghapus dasbor, indeks, dan pola indeks

Hapus dasbor jika Anda ingin meng-uninstal solusi ini.

  1. Buka dasbor.

  2. Telusuri Google SCC, lalu pilih semua dasbor.

  3. Klik Hapus dasbor.

  4. Buka Stack Management > Index Management.

  5. Tutup indeks berikut:

    • gccassets
    • gccfinding
    • gccsources
    • gccauditlogs

  6. Buka Stack Management > Index Patterns.

  7. Tutup pola berikut:

    • gccassets
    • gccfinding
    • gccsources
    • gccauditlogs

Meng-uninstal Docker

  1. Menghapus NotificationConfig untuk Pub/Sub. Untuk menemukan nama NotificationConfig, jalankan:

    docker exec googlescc_elk ls
docker exec googlescc_elk cat NotificationConf_}}HashId{{

  2. Menghapus feed Pub/Sub untuk aset, temuan, kebijakan IAM, dan log audit. Untuk menemukan nama feed, jalankan:

    docker exec googlescc_elk ls
docker exec googlescc_elk cat Feed_}}HashId{{

  3. Hapus sink untuk log audit. Untuk menemukan nama sink, jalankan:

    docker exec googlescc_elk ls
docker exec googlescc_elk cat Sink_}}HashId{{

  4. Untuk melihat informasi container Anda, termasuk ID container, buka terminal dan jalankan perintah berikut:

    docker container ls

  5. Hentikan container:

    docker stop CONTAINER_ID

    Ganti CONTAINER_ID dengan ID container tempat Elastic Stack diinstal.

  6. Hapus container Docker:

    docker rm CONTAINER_ID

    Jika perlu, tambahkan -f sebelum ID penampung untuk menghapus penampung secara paksa.

  7. Hapus image Docker:

    docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest

  8. Hapus direktori kerja dan file docker-compose.yml:

    rm -rf ./main docker-compose.yml

Langkah selanjutnya