Mengirimkan data Security Command Center ke Elastic Stack

Halaman ini menjelaskan cara mengirim temuan, aset, dan sumber keamanan Security Command Center secara otomatis ke Elastic Stack tanpa menggunakan penampung Docker. Artikel ini juga menjelaskan cara mengelola data yang diekspor. Elastic Stack adalah platform informasi keamanan dan manajemen peristiwa (SIEM) yang menyerap data dari satu atau beberapa sumber dan memungkinkan tim keamanan mengelola respons terhadap insiden dan melakukan analisis real-time. Konfigurasi Elastic Stack yang dibahas dalam panduan ini mencakup empat komponen:

  • Filebeat: agen ringan yang diinstal di host edge, seperti virtual machine (VM), yang dapat dikonfigurasi untuk mengumpulkan dan meneruskan data
  • Logstash: layanan transformasi yang menyerap data, memetakan data ke dalam kolom yang diperlukan, dan meneruskan hasilnya ke Elasticsearch
  • Elasticsearch: mesin database penelusuran yang menyimpan data
  • Kibana: mendukung dasbor yang memungkinkan Anda memvisualisasikan dan menganalisis data

Upgrade ke rilis terbaru

Untuk mengupgrade ke rilis terbaru, Anda harus men-deploy image penampung Docker yang menyertakan modul GoApp. Untuk mengetahui informasi selengkapnya, lihat Mengekspor aset dan temuan dengan Docker dan Elastic Stack.

Untuk mengupgrade ke rilis terbaru, selesaikan langkah-langkah berikut:

  1. Hapus go_script.service dari //etc/systemd/system/.
  2. Hapus folder GoApp.
  3. Menghapus konfigurasi Logstash.
  4. Hapus logstash2.service.
  5. Hapus filebeat.service.
  6. Secara opsional, untuk menghindari masalah saat mengimpor dasbor baru, hapus dasbor yang ada dari Kibana:
    1. Buka aplikasi Kibana.
    2. Di menu navigasi, buka Stack Management, lalu klik Saved Objects.
    3. Telusuri Google SCC.
    4. Pilih semua dasbor yang ingin Anda hapus.
    5. Klik Hapus.
  7. Tambahkan peran Logs Configuration Writer (roles/logging.configWriter) ke akun layanan.
  8. Buat topik Pub/Sub untuk log audit Anda.
  9. Secara opsional, jika Anda menginstal penampung Docker di cloud lain, konfigurasi workload identity federation, bukan menggunakan kunci akun layanan. Anda harus membuat kredensial akun layanan berumur pendek dan mendownload file konfigurasi kredensial.
  10. Selesaikan langkah-langkah di Mendownload modul GoApp.
  11. Selesaikan langkah-langkah di Menginstal penampung Docker.
  12. Selesaikan langkah-langkah di bagian Memperbarui izin untuk log audit.
  13. Impor semua dasbor, seperti yang dijelaskan dalam Mengimpor dasbor Kibana.

Gunakan petunjuk di Mengekspor aset dan temuan dengan Docker dan Elastic Stack untuk mengelola integrasi SIEM Anda.

Mengelola layanan dan log

Bagian ini menjelaskan cara melihat log modul GoApp dan membuat perubahan pada konfigurasi modul.

Bagian ini hanya berlaku untuk modul GoApp yang Anda instal dari paket penginstalan GoogleSCCElasticIntegration yang tersedia pada Februari 2022. Untuk informasi terbaru, lihat Mengupgrade ke rilis terbaru.

  1. Periksa status layanan:

      systemctl | grep go_script

  2. Periksa log kerja saat ini, yang berisi informasi tentang kegagalan eksekusi dan informasi layanan lainnya:

      sudo journalctl -f -u go_script.service

  3. Periksa log kerja historis dan saat ini:

      sudo journalctl -u go_script.service

  4. Untuk memecahkan masalah atau memeriksa log go_script.service:

      cat go.log

Meng-uninstal modul GoApp

Uninstal modul GoApp jika Anda tidak ingin lagi mengambil data Security Command Center untuk Elastic Stack.

Bagian ini hanya berlaku untuk modul GoApp yang Anda instal dari paket penginstalan GoogleSCCElasticIntegration yang tersedia pada Februari 2022. Untuk informasi terbaru, lihat Mengupgrade ke rilis terbaru.

  1. Hapus go_script.service dari //etc/systemd/system/.
  2. Menghapus feed untuk aset dan kebijakan IAM.
  3. Hapus Pub/Sub untuk aset, kebijakan IAM, dan temuan.
  4. Hapus direktori kerja.

Mengonfigurasi aplikasi Elastic Stack

Bagian ini menjelaskan cara mengonfigurasi aplikasi Elastic Stack untuk menyerap data Security Command Center. Petunjuk ini mengasumsikan bahwa Anda telah menginstal dan mengaktifkan Elastic Stack dengan benar, serta memiliki hak istimewa root di lingkungan aplikasi.

Bagian ini hanya berlaku untuk modul GoApp yang Anda instal dari paket penginstalan GoogleSCCElasticIntegration yang tersedia pada Februari 2022. Untuk informasi terbaru, lihat Mengupgrade ke rilis terbaru.

Melihat log layanan Logstash

Untuk melihat log saat ini, jalankan perintah berikut:

    sudo journalctl -f -u logstash2.service

Untuk melihat log historis, jalankan perintah berikut:

    sudo journalctl -u logstash2.service

Meng-uninstal layanan

  1. Menghapus konfigurasi Logstash.
  2. Hapus logstash2.service.

Menyiapkan Filebeat

Bagian ini hanya berlaku untuk modul GoApp yang Anda instal dari paket penginstalan GoogleSCCElasticIntegration yang tersedia pada Februari 2022. Untuk informasi terbaru, lihat Mengupgrade ke rilis terbaru.

Melihat log layanan Filebeat

Untuk melihat log saat ini, jalankan perintah berikut:

    sudo journalctl -f -u filebeat.service

Untuk melihat log historis, jalankan perintah berikut:

    sudo journalctl -u filebeat.service

Meng-uninstal layanan

  1. Menghapus konfigurasi logstash.
  2. Hapus filebeat.service.

Melihat dasbor Kibana

Anda dapat menggunakan dasbor kustom di Elastic Stack untuk memvisualisasikan dan menganalisis temuan, aset, dan sumber keamanan Anda. Dasbor menampilkan temuan kritis dan membantu tim keamanan Anda memprioritaskan perbaikan.

Bagian ini hanya berlaku untuk modul GoApp yang Anda instal dari paket penginstalan GoogleSCCElasticIntegration yang tersedia pada Februari 2022. Untuk informasi terbaru, lihat Mengupgrade ke rilis terbaru.

Ringkasan

Dasbor Ringkasan berisi serangkaian diagram yang menampilkan jumlah total temuan di organisasi Anda menurut tingkat keparahan, kategori, dan status. Temuan dikompilasi dari layanan bawaan Security Command Center—Security Health Analytics, Web Security Scanner, Event Threat Detection, dan Container Threat Detection—dan layanan terintegrasi apa pun yang Anda aktifkan.

Diagram tambahan menunjukkan kategori, project, dan aset mana yang menghasilkan temuan terbanyak.

Aset

Dasbor Aset menampilkan tabel yang menampilkan aset Google Cloud Anda. Tabel ini menampilkan pemilik aset, jumlah aset menurut jenis resource dan project, serta aset yang baru saja Anda tambahkan dan perbarui.

Anda dapat memfilter data aset menurut rentang waktu, nama resource, jenis resource, pemilik, dan project, serta melihat perincian temuan untuk aset tertentu dengan cepat. Jika Anda mengklik nama aset, Anda akan dialihkan ke halaman Aset Security Command Center di konsol Google Cloud dan melihat detail untuk aset yang dipilih.

Temuan

Dasbor Temuan menyertakan tabel yang menampilkan temuan terbaru Anda. Anda dapat memfilter data menurut nama, kategori, dan tingkat keparahan resource.

Kolom tabel mencakup nama temuan, dalam format organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>, kategori, nama resource, waktu peristiwa, waktu pembuatan, nama induk, URI induk, dan tanda keamanan. Format URI induk cocok dengan nama penemuan. Jika mengklik nama temuan, Anda akan dialihkan ke halaman Temuan Security Command Center di konsol Google Cloud dan melihat detail untuk temuan yang dipilih.

Sumber

Dasbor Sumber menampilkan jumlah total temuan dan sumber keamanan, jumlah temuan menurut nama sumber, dan tabel semua sumber keamanan Anda. Kolom tabel mencakup nama, nama tampilan, dan deskripsi.

Mengedit dasbor

Tambah kolom

  1. Buka dasbor.
  2. Klik Edit, lalu klik Edit visualisasi.
  3. Di bagian Tambahkan sub-bucket, pilih Pisahkan baris.
  4. Dalam daftar, pilih Agregasi.
  5. Di menu drop-down Menurun, pilih menaik atau menurun. Di kolom size, masukkan jumlah maksimum baris untuk tabel.
  6. Pilih kolom yang ingin Anda tambahkan.
  7. Simpan perubahan.

Menghapus kolom

  1. Buka dasbor.
  2. Klik Edit.
  3. Untuk menyembunyikan kolom, di samping nama kolom, klik ikon visibilitas, atau mata. Untuk menghapus kolom, di samping nama kolom, klik ikon X, atau hapus.

Langkah selanjutnya