Inviare i dati di Security Command Center a Elastic Stack utilizzando Docker

Questa pagina spiega come utilizzare un contenitore Docker per ospitare l'installazione di Elastic Stack e inviare automaticamente a Elastic Stack i risultati, gli asset, i log di controllo e le origini di sicurezza di Security Command Center. Descrive inoltre come gestire i dati esportati.

Docker è una piattaforma per la gestione di applicazioni in container. Elastic Stack è una piattaforma SIEM (Security Information and Event Management) che importa i dati da una o più origini e consente ai team di sicurezza di gestire le risposte agli incidenti ed eseguire analisi in tempo reale. La configurazione di Elastic Stack descritta in questa guida include quattro componenti:

  • Filebeat: un agente leggero installato su host edge, come le macchine virtuali (VM), che può essere configurato per raccogliere e inoltrare i dati
  • Logstash: un servizio di trasformazione che importa i dati, li mappa nei campi obbligatori e inoltra i risultati a Elasticsearch
  • Elasticsearch: un motore del database di ricerca che memorizza i dati
  • Kibana: consente di creare dashboard che ti consentono di visualizzare e analizzare i dati

In questa guida, configuri Docker, ti assicuri che i servizi Google Cloud e Security Command Center richiesti siano configurati correttamente e utilizzi un modulo personalizzato per inviare elementi rilevati, asset, log di controllo e origini di sicurezza a Elastic Stack.

La figura seguente illustra il percorso dei dati quando utilizzi Elastic Stack con Security Command Center.

Integrazione di Security Command Center ed Elastic Stack (fai clic per ingrandire)
Integrazione di Security Command Center ed Elastic Stack (fai clic per ingrandire)

Configurare l'autenticazione e l'autorizzazione

Prima di connetterti a Elastic Stack, devi creare un account di servizio Identity and Access Management (IAM) in ogni organizzazione Google Cloud che vuoi collegare e concedere all'account i ruoli IAM sia a livello di organizzazione sia a livello di progetto di cui Elastic Stack ha bisogno.

Creare un account di servizio e concedere i ruoli IAM

I passaggi che seguono utilizzano la console Google Cloud. Per altri metodi, consulta i link alla fine di questa sezione.

Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.

  1. Nello stesso progetto in cui crei gli argomenti Pub/Sub, utilizza la pagina Account di servizio nella console Google Cloud per creare un account di servizio. Per le istruzioni, vedi Creazione e gestione degli account di servizio.
  2. Concedi all'account di servizio i seguenti ruoli:

    • Pub/Sub Admin (roles/pubsub.admin)
    • Proprietario della risorsa cloud (roles/cloudasset.owner)
  3. Copia il nome dell'account di servizio appena creato.

  4. Utilizza il selettore dei progetti nella console Google Cloud per passare al livello dell'organizzazione.

  5. Apri la pagina IAM dell'organizzazione:

    Vai a IAM

  6. Nella pagina IAM, fai clic su Concedi l'accesso. Viene visualizzato il riquadro Concedi accesso.

  7. Nel riquadro Concedi l'accesso, completa i seguenti passaggi:

    1. Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.
    2. Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere all'account di servizio i seguenti ruoli IAM:

    3. Editor amministratore Centro sicurezza (roles/securitycenter.adminEditor)
    4. Editor configurazioni notifiche Centro sicurezza (roles/securitycenter.notificationConfigEditor)
    5. Organization Viewer (roles/resourcemanager.organizationViewer)
    6. Cloud Asset Viewer (roles/cloudasset.viewer)
    7. Logs Configuration Writer (roles/logging.configWriter)
    8. Fai clic su Salva. L'account di servizio viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.

      Per eredità, l'account di servizio diventa un principale anche in tutti i progetti secondari dell'organizzazione. I ruoli applicabili a livello di progetto sono elencati come ruoli ereditati.

Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione di ruoli, consulta i seguenti argomenti:

Fornisci le credenziali a Elastic Stack

A seconda di dove ospiti Elastic Stack, la modalità di impostazione delle credenziali IAM in Elastic Stack varia.

Configura le notifiche

Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.

  1. Configura le notifiche dei risultati come segue:

    1. Abilita l'API Security Command Center.
    2. Crea un filtro per esportare risultati e asset.
    3. Crea quattro argomenti Pub/Sub: uno per risultati, risorse, log di controllo e asset. NotificationConfig deve utilizzare l'argomento Pub/Sub che crei per i risultati.

    Per configurare Elastic Stack, avrai bisogno dell'ID organizzazione, dell'ID progetto e dei nomi degli argomenti Pub/Sub di questa attività.

  2. Abilita l'API Cloud Asset per il tuo progetto.

Installa i componenti Docker ed Elasticsearch

Segui questi passaggi per installare i componenti Docker ed Elasticsearch nel tuo ambiente.

Installa Docker Engine e Docker Compose

Puoi installare Docker per l'utilizzo on-premise o con un provider cloud. Per iniziare, consulta le seguenti guide nella documentazione del prodotto Docker:

Installa Elasticsearch e Kibana

L'immagine Docker installata in Installare Docker include Logstash e Filebeat. Se non hai ancora installato Elasticsearch e Kibana, consulta le seguenti guide per installare le applicazioni:

Per completare questa guida, sono necessarie le seguenti informazioni da queste attività:

  • Elastic Stack: host, porta, certificato, nome utente e password
  • Kibana: host, porta, certificato, nome utente e password

Scarica il modulo GoApp

Questa sezione spiega come scaricare il modulo GoApp, un programma Go manutenuto da Security Command Center. Il modulo automatizza il processo di pianificazione delle chiamate all'API Security Command Center e recupera regolarmente i dati di Security Command Center per utilizzarli in Elastic Stack.

Per installare GoApp:

  1. In una finestra del terminale, installa wget, un'utilità software gratuita utilizzata per recuperare i contenuti dai server web.

    Per le distribuzioni Ubuntu e Debian, esegui quanto segue:

    apt-get install wget
    

    Per le distribuzioni RHEL, CentOS e Fedora, esegui quanto segue:

    yum install wget
    
  2. Installa unzip, un'utilità software gratuita utilizzata per estrarre i contenuti degli archivi ZIP.

    Per le distribuzioni Ubuntu e Debian, esegui quanto segue:

    apt-get install unzip
    

    Per le distribuzioni RHEL, CentOS e Fedora, esegui quanto segue:

    yum install unzip
    
  3. Crea una directory per il pacchetto di installazione di GoogleSCCElasticIntegration:

    mkdir GoogleSCCElasticIntegration
    
  4. Scarica il pacchetto di installazione di GoogleSCCElasticIntegration:

    wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip
    
  5. Estrai i contenuti del pacchetto di installazione di GoogleSCCElasticIntegration nella directoryGoogleSCCElasticIntegration:

    unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration
    
  6. Crea una directory di lavoro per archiviare ed eseguire i componenti del modulo GoApp:

    mkdir WORKING_DIRECTORY
    

    Sostituisci WORKING_DIRECTORY con il nome della directory.

  7. Vai alla directory di installazione di GoogleSCCElasticIntegration:

    cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/
    

    Sostituisci ROOT_DIRECTORY con il percorso della directory che contiene la directory GoogleSCCElasticIntegration.

  8. Sposta install, config.yml, dashboards.ndjson e la cartella templates (con i file filebeat.tmpl, logstash.tmpl e docker.tmpl) nella directory di lavoro.

    mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY
    

    Sostituisci WORKING_DIRECTORY con il percorso della directory di lavoro.

Installa il container Docker

Per configurare il container Docker, scarica e installa un'immagine preformattata da Google Cloud contenente Logstash e Filebeat. Per informazioni sull'immagine Docker, vai al repository Artifact Registry nella console Google Cloud.

Vai ad Artifact Registry

Durante l'installazione, configura il modulo GoApp con le credenziali di Security Command Center e di Elastic Stack.

  1. Vai alla tua directory di lavoro:

    cd /WORKING_DIRECTORY
    

    Sostituisci WORKING_DIRECTORY con il percorso della directory di lavoro.

  2. Verifica che i seguenti file siano presenti nella tua directory di lavoro:

      ├── config.yml
      ├── install
      ├── dashboards.ndjson
      ├── templates
          ├── filebeat.tmpl
          ├── docker.tmpl
          ├── logstash.tmpl
    
  3. In un editor di testo, apri il file config.yml e aggiungi le variabili richieste. Se una variabile non è obbligatoria, puoi lasciarla vuota.

    Variabile Descrizione Obbligatorio
    elasticsearch La sezione per la configurazione di Elasticsearch. Obbligatorio
    host L'indirizzo IP dell'host di Elastic Stack. Obbligatorio
    password La tua password di Elasticsearch. Facoltativo
    port La porta per l'host Elastic Stack. Obbligatorio
    username Il tuo nome utente Elasticsearch. Facoltativo
    cacert Il certificato per il server Elasticsearch (ad esempio path/to/cacert/elasticsearch.cer). Facoltativo
    http_proxy Un link con il nome utente, la password, l'indirizzo IP e la porta per l'host proxy (ad esempio http://USER:PASSWORD@PROXY_IP:PROXY_PORT). Facoltativo
    kibana La sezione per la configurazione di Kibana. Obbligatorio
    host L'indirizzo IP o il nome host a cui verrà associato il server Kibana. Obbligatorio
    password La password di Kibana. Facoltativo
    port La porta per il server Kibana. Obbligatorio
    username Il tuo nome utente di Kibana. Facoltativo
    cacert Il certificato per il server Kibana (ad esempio path/to/cacert/kibana.cer). Facoltativo
    cron La sezione per la configurazione di cron. Facoltativo
    asset La sezione per la configurazione cron della risorsa (ad es. 0 */45 * * * *). Facoltativo
    source La sezione per la configurazione del cron di origine (ad es. 0 */45 * * * *). Per ulteriori informazioni, consulta Generatore di espressioni CRON. Facoltativo
    organizations La sezione per la configurazione dell'organizzazione Google Cloud. Per aggiungere più organizzazioni Google Cloud, copia tutto da - id: a subscription_name in resource. Obbligatorio
    id Il tuo ID organizzazione. Obbligatorio
    client_credential_path Uno dei seguenti:
    • Il percorso del file JSON, se utilizzi le chiavi dell'account di servizio.
    • Il file di configurazione delle credenziali, se utilizzi la federazione delle identità per i carichi di lavoro.
    • Non specificare nulla se si tratta dell'organizzazione Google Cloud in cui stai installando il contenitore Docker.
    (Facoltativo) A seconda dell'ambiente
    update Se stai eseguendo l'upgrade da una versione precedente, inserisci n per no o y per sì Facoltativo
    project La sezione per l'ID progetto. Obbligatorio
    id L'ID del progetto contenente l'argomento Pub/Sub. Obbligatorio
    auditlog La sezione per l'argomento e la sottoscrizione Pub/Sub per i log di controllo. Facoltativo
    topic_name Il nome dell'argomento Pub/Sub per i log di controllo Facoltativo
    subscription_name Il nome della sottoscrizione Pub/Sub per i log di controllo Facoltativo
    findings La sezione per l'argomento e la sottoscrizione Pub/Sub per i risultati. Facoltativo
    topic_name Il nome dell'argomento Pub/Sub per i risultati. Facoltativo
    start_date La data facoltativa per iniziare la migrazione dei risultati, ad esempio, 2021-04-01T12:00:00+05:30 Facoltativo
    subscription_name Il nome della sottoscrizione Pub/Sub per i risultati. Facoltativo
    asset La sezione per la configurazione dell'asset. Facoltativo
    iampolicy La sezione relativa all'argomento e alla sottoscrizione Pub/Sub per i criteri IAM. Facoltativo
    topic_name Il nome dell'argomento Pub/Sub per i criteri IAM. Facoltativo
    subscription_name Il nome della sottoscrizione Pub/Sub per i criteri IAM. Facoltativo
    resource La sezione per l'argomento e la sottoscrizione Pub/Sub per le risorse. Facoltativo
    topic_name Il nome dell'argomento Pub/Sub per le risorse. Facoltativo
    subscription_name Il nome della sottoscrizione Pub/Sub per le risorse. Facoltativo

    File config.yml di esempio

    L'esempio seguente mostra un file config.yml che include due organizzazioni Google Cloud.

    elasticsearch:
      host: 127.0.0.1
      password: changeme
      port: 9200
      username: elastic
      cacert: path/to/cacert/elasticsearch.cer
    http_proxy: http://user:password@proxyip:proxyport
    kibana:
      host: 127.0.0.1
      password: changeme
      port: 5601
      username: elastic
      cacert: path/to/cacert/kibana.cer
    cron:
      asset: 0 */45 * * * *
      source: 0 */45 * * * *
    organizations:
      – id: 12345678910
        client_credential_path:
        update:
        project:
          id: project-id-12345
        auditlog:
          topic_name: auditlog.topic_name
          subscription_name: auditlog.subscription_name
        findings:
          topic_name: findings.topic_name
          start_date: 2021-05-01T12:00:00+05:30
          subscription_name: findings.subscription_name
        asset:
          iampolicy:
            topic_name: iampolicy.topic_name
            subscription_name: iampolicy.subscription_name
          resource:
            topic_name: resource.topic_name
            subscription_name: resource.subscription_name
      – id: 12345678911
        client_credential_path:
        update:
        project:
          id: project-id-12346
        auditlog:
          topic_name: auditlog2.topic_name
          subscription_name: auditlog2.subscription_name
        findings:
          topic_name: findings2.topic_name
          start_date: 2021-05-01T12:00:00+05:30
          subscription_name: findings1.subscription_name
        asset:
          iampolicy:
            topic_name: iampolicy2.topic_name
            subscription_name: iampolicy2.subscription_name
          resource:
            topic_name: resource2.topic_name
            subscription_name: resource2.subscription_name
    
  4. Esegui i seguenti comandi per installare l'immagine Docker e configurare il moduloGoApp.

    chmod +x install
    ./install
    

    Il modulo GoApp scarica l'immagine Docker, la installa e configura il container.

  5. Al termine della procedura, copia l'indirizzo email dell'account di servizio WriterIdentity dall'output dell'installazione.

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Sink_}}HashId{{
    

    La directory di lavoro deve avere la seguente struttura:

      ├── config.yml
      ├── dashboards.ndjson
      ├── docker-compose.yml
      ├── install
      ├── templates
          ├── filebeat.tmpl
          ├── logstash.tmpl
          ├── docker.tmpl
      └── main
          ├── client_secret.json
          ├── filebeat
          │          └── config
          │                   └── filebeat.yml
          ├── GoApp
          │       └── .env
          └── logstash
                     └── pipeline
                                └── logstash.conf
    

Aggiornare le autorizzazioni per gli audit log

Per aggiornare le autorizzazioni in modo che i log di controllo possano essere inviati al tuo SIEM:

  1. Vai alla pagina degli argomenti Pub/Sub.

    Vai a Pub/Sub.

  2. Seleziona il progetto che include gli argomenti Pub/Sub.

  3. Seleziona l'argomento Pub/Sub che hai creato per i log di controllo.

  4. In Autorizzazioni, aggiungi l'account di servizio WriterIdentity (che hai copiato nel passaggio 4 della procedura di installazione) come nuova entità e assegnagli il ruolo Publisher Pub/Sub. Il criterio del log di controllo viene aggiornato.

Le configurazioni di Docker ed Elastic Stack sono complete. Ora puoi configurare Kibana.

Visualizza i log di Docker

  1. Apri un terminale ed esegui il seguente comando per visualizzare le informazioni sul contenitore, inclusi gli ID contenitore. Prendi nota dell'ID del contenitore in cui è installato Elastic Stack.

    docker container ls
    
  2. Per avviare un contenitore e visualizzarne i log, esegui i seguenti comandi:

    docker exec -it CONTAINER_ID /bin/bash
    cat go.log
    

    Sostituisci CONTAINER_ID con l'ID del contenitore in cui è installato Elastic Stack.

Configura Kibana

Completa questi passaggi quando installi il container Docker per la prima volta.

  1. Apri kibana.yml in un editor di testo.

    sudo vim KIBANA_DIRECTORY/config/kibana.yml
    

    Sostituisci KIBANA_DIRECTORY con il percorso della cartella di installazione di Kibana.

  2. Aggiorna le seguenti variabili:

    • server.port: la porta da utilizzare per il server di backend di Kibana; il valore predefinito è 5601
    • server.host: l'indirizzo IP o il nome host a cui verrà associato il server Kibana
    • elasticsearch.hosts: l'indirizzo IP e la porta dell'istanza Elasticsearch da utilizzare per le query
    • server.maxPayloadBytes: la dimensione massima del payload in byte per le richieste del server in entrata; il valore predefinito è 1.048.576
    • url_drilldown.enabled: un valore booleano che controlla la possibilità di navigare dalla dashboard di Kibana a URL interni o esterni. Il valore predefinito è true

    La configurazione completata è simile alla seguente:

      server.port: PORT
      server.host: "HOST"
      elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
      server.maxPayloadBytes: 5242880
      url_drilldown.enabled: true
    

Importa le dashboard di Kibana

  1. Apri l'applicazione Kibana.
  2. Nel menu di navigazione, vai a Gestione dello stack e poi fai clic su Oggetti salvati.
  3. Fai clic su Importa, vai alla directory di lavoro e seleziona dashboards.ndjson. Le dashboard vengono importate e vengono creati pattern di indice.

Esegui l'upgrade del container Docker

Se hai implementato una versione precedente del modulo GoApp, puoi eseguire l'upgrade a una versione più recente. Quando esegui l'upgrade del contenitore Docker a una versione più recente, puoi mantenere la configurazione esistente dell'account di servizio, gli argomenti Pub/Sub e i componenti ElasticSearch.

Se stai eseguendo l'upgrade da un'integrazione che non utilizzava un contenitore Docker, consulta Eseguire l'upgrade all'ultima release.

  1. Se esegui l'upgrade dalla versione 1, completa le seguenti azioni:

    1. Aggiungi il ruolo Writer configurazione log (roles/logging.configWriter) all'account di servizio.

    2. Crea un argomento Pub/Sub per i log di controllo.

  2. Se stai installando il contenitore Docker in un altro cloud, configura la federazione delle identità per i carichi di lavoro e scarica il file di configurazione delle credenziali.

  3. Se vuoi, per evitare problemi durante l'importazione delle nuove dashboard, rimuovi le dashboard esistenti da Kibana:

    1. Apri l'applicazione Kibana.
    2. Nel menu di navigazione, vai a Gestione dello stack e poi fai clic su Oggetti salvati.
    3. Cerca Google SCC.
    4. Seleziona tutte le dashboard da rimuovere.
    5. Fai clic su Elimina.
  4. Rimuovi il container Docker esistente:

    1. Apri un terminale e arresta il contenitore:

      docker stop CONTAINER_ID
      

      Sostituisci CONTAINER_ID con l'ID del contenitore in cui è installato Elastic Stack.

    2. Rimuovi il contenitore Docker:

      docker rm CONTAINER_ID
      

      Se necessario, aggiungi -f prima dell'ID contenitore per rimuoverlo forzatamente.

  5. Completa i passaggi da 1 a 7 descritti in Scaricare il modulo GoApp.

  6. Sposta il file config.env esistente dall'installazione precedente nella directory \update.

  7. Se necessario, concedi l'autorizzazione eseguibile per l'esecuzione di ./update:

    chmod +x ./update
    ./update
    
  8. Esegui ./update per convertire config.env in config.yml.

  9. Verifica che il file config.yml includa la configurazione esistente. In caso contrario, esegui di nuovo ./update.

  10. Per supportare più organizzazioni Google Cloud, aggiungi un'altra configurazione dell'organizzazione al file config.yml.

  11. Sposta il file config.yml nella directory di lavoro in cui si trova il file install.

  12. Completa i passaggi descritti in Installare Docker.

  13. Completa i passaggi descritti in Aggiornare le autorizzazioni per i log di controllo.

  14. Importa le nuove dashboard, come descritto in Importare le dashboard di Kibana. Questo passaggio sovrascriverà le dashboard di Kibana esistenti.

Visualizzare e modificare le dashboard di Kibana

Puoi utilizzare le dashboard personalizzate in Elastic Stack per visualizzare e analizzare i risultati, gli asset e le origini di sicurezza. Le dashboard mostrano risultati critici e aiutano il team di sicurezza a dare la priorità alle correzioni.

Dashboard Panoramica

La dashboard Panoramica contiene una serie di grafici che mostrano il numero totale di risultati nelle organizzazioni Google Cloud in base a livello di gravità, categoria e stato. I risultati vengono compilati dai servizi integrati di Security Command Center, come Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, nonché da eventuali servizi integrati che attivi.

Per filtrare i contenuti in base a criteri come configurazioni errate o vulnerabilità, puoi selezionare la classe di risultati.

Altri grafici mostrano quali categorie, progetti e asset generano il maggior numero di risultati.

Dashboard Asset

La dashboard Asset mostra tabelle che mostrano le risorse Google Cloud. Le tabelle mostrano i proprietari degli asset, il numero di asset per tipo di risorsa e progetti, nonché gli asset aggiunti e aggiornati più di recente.

Puoi filtrare i dati delle risorse in base a organizzazione, nome, tipo e risorse principali e visualizzare rapidamente i risultati relativi a risorse specifiche. Se fai clic sul nome di una risorsa, viene visualizzata la pagina Asset di Security Command Center nella console Google Cloud e vengono mostrati i dettagli della risorsa selezionata.

Dashboard degli audit log

La dashboard Log di controllo mostra una serie di grafici e tabelle che mostrano le informazioni dei log di controllo. Gli audit log inclusi nella dashboard sono quelli relativi all'attività di amministrazione, all'accesso ai dati, agli eventi di sistema e agli accessi negati in base ai criteri. La tabella include ora, gravità, tipo di log, nome del log, nome del servizio, nome della risorsa e tipo di risorsa.

Puoi filtrare i dati in base a organizzazione, origine (ad esempio un progetto), gravità, tipo di log e tipo di risorsa.

Dashboard dei risultati

La dashboard Risultati include i grafici che mostrano i risultati più recenti. I grafici forniscono informazioni sul numero di risultati, sulla gravità, sulla categoria e sullo stato. Puoi anche visualizzare i risultati attivi nel tempo e i progetti o le risorse con il maggior numero di risultati.

Puoi filtrare i dati in base all'organizzazione e alla classe di ricerca.

Se fai clic sul nome di un risultato, viene visualizzata la pagina Risultati di Security Command Center nella console Google Cloud e vengono mostrati i dettagli del risultato selezionato.

Dashboard Origini

La dashboard Origini mostra il numero totale di risultati e origini di sicurezza, il numero di risultati per nome dell'origine e una tabella di tutte le origini di sicurezza. Le colonne della tabella includono nome, nome visualizzato e descrizione.

Aggiungi colonne

  1. Vai a una dashboard.
  2. Fai clic su Modifica e poi su Modifica visualizzazione.
  3. In Aggiungi sottobucket, seleziona Dividi righe.
  4. Nell'elenco, seleziona l'aggregazione Termini.
  5. Nel menu a discesa Decrescente, seleziona crescente o decrescente. Nel campo Dimensioni, inserisci il numero massimo di righe per la tabella.
  6. Seleziona la colonna da aggiungere e fai clic su Aggiorna.
  7. Salva le modifiche.

Nascondere o rimuovere colonne

  1. Vai alla dashboard.
  2. Fai clic su Modifica.
  3. Per nascondere una colonna, fai clic sull'icona della visibilità (a forma di occhio) accanto al nome della colonna.
  4. Per rimuovere una colonna, fai clic sulla X o sull'icona di eliminazione accanto al nome della colonna.

Disinstalla l'integrazione con Elasticsearch

Completa le seguenti sezioni per rimuovere l'integrazione tra Security Command Center ed Elasticsearch.

Rimuovere dashboard, indici e pattern di indice

Rimuovi le dashboard quando vuoi disinstallare questa soluzione.

  1. Vai alle dashboard.

  2. Cerca Google SCC e seleziona tutte le dashboard.

  3. Fai clic su Elimina dashboard.

  4. Vai a Gestione dello stack > Gestione degli indici.

  5. Chiudi i seguenti indici:

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs
  6. Vai a Gestione dello stack > Pattern di indice.

  7. Chiudi i seguenti pattern:

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs

Disinstalla Docker

  1. Elimina NotificationConfig per Pub/Sub. Per trovare il nome di NotificationConfig, esegui:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat NotificationConf_}}HashId{{
    
  2. Rimuovi i feed Pub/Sub per asset, risultati, criteri IAM e log di controllo. Per trovare i nomi dei feed, esegui:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Feed_}}HashId{{
    
  3. Rimuovi la destinazione per gli audit log. Per trovare il nome della destinazione, esegui:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Sink_}}HashId{{
    
  4. Per visualizzare le informazioni del contenitore, inclusi gli ID contenitore, apri il terminale ed esegui il seguente comando:

    docker container ls
    
  5. Interrompi il contenitore:

    docker stop CONTAINER_ID
    

    Sostituisci CONTAINER_ID con l'ID del contenitore in cui è installato Elastic Stack.

  6. Rimuovi il contenitore Docker:

    docker rm CONTAINER_ID
    

    Se necessario, aggiungi -f prima dell'ID contenitore per rimuoverlo obbligatoriamente.

  7. Rimuovi l'immagine Docker:

    docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest
    
  8. Elimina la directory di lavoro e il file docker-compose.yml:

    rm -rf ./main docker-compose.yml
    

Passaggi successivi