本页介绍了如何在不使用 Docker 容器的情况下,将 Security Command Center 发现结果、资产和安全来源自动发送到 Elastic Stack。还介绍了如何管理导出的数据。Elastic Stack 是一个安全信息和事件管理 (SIEM) 平台,可从一个或多个来源提取数据,并使安全团队能够管理对突发事件的响应并执行实时分析。本指南中讨论的 Elastic Stack 配置包含 4 个组件:
- Filebeat:安装在边缘主机(例如虚拟机)上的轻量级代理,可以配置为收集和转发数据
- Logstash:一项转换服务,用于提取数据,将其映射到必填字段,并将结果转发到 Elasticsearch
- Elasticsearch:存储数据的搜索数据库引擎
- Kibana:驱动信息中心,使您能够直观呈现和分析数据
升级到最新版本
如需升级到最新版本,您必须部署包含 GoApp
模块的 Docker 容器映像。如需了解详情,请参阅使用 Docker 和 Elastic Stack 导出资产和发现结果。
如需升级到最新版本,请完成以下操作:
- 从
//etc/systemd/system/
中删除go_script.service
- 删除
GoApp
文件夹。 - 删除 Logstash 配置。
- 删除
logstash2.service
。 - 删除
filebeat.service
。 - (可选)为了避免在导入新信息中心时出现问题,请从 Kibana 中移除现有信息中心:
- 打开 Kibana 应用。
- 在导航菜单中,点击 Stack Management(堆栈管理),然后点击 Saved Objects(已保存的对象)。
- 搜索 Google SCC。
- 选择要移除的所有信息中心。
- 点击删除。
- 将 Logs Configuration Writer (
roles/logging.configWriter
) 角色添加到服务账号。 - 为审核日志创建一个 Pub/Sub 主题。
- (可选)如果您要在其他云中安装 Docker 容器,请配置工作负载身份联合,而不是使用服务账号密钥。您必须创建短期有效的服务账号并下载凭据配置文件。
- 完成下载 GoApp 模块中的步骤。
- 完成安装 Docker 容器中的步骤。
- 完成更新审核日志的权限中的步骤。
- 按照导入 Kibana 信息中心中的说明导入所有信息中心。
请按照使用 Docker 和 Elastic Stack 导出资产和发现结果中的说明管理 SIEM 集成。
管理服务和日志
本部分介绍如何查看 GoApp
模块日志,以及如何更改模块的配置。
本部分仅适用于您通过 2022 年 2 月提供的 GoogleSCCElasticIntegration
安装软件包安装的 GoApp
模块。如需了解最新信息,请参阅升级到最新版本。
检查服务的状态:
systemctl | grep go_script
检查当前工作日志,其中包含有关执行失败的信息和其他服务信息:
sudo journalctl -f -u go_script.service
检查历史工作日志和当前工作日志:
sudo journalctl -u go_script.service
如需排查或检查
go_script.service
的日志,请执行以下操作:cat go.log
卸载 GoApp 模块
当您不想再检索 Elastic Stack 的 Security Command Center 数据时,请卸载 GoApp
模块。
本部分仅适用于您通过 2022 年 2 月提供的 GoogleSCCElasticIntegration
安装软件包安装的 GoApp
模块。如需了解最新信息,请参阅升级到最新版本。
- 从
//etc/systemd/system/
中删除go_script.service
- 移除资产和 IAM 政策的 Feed。
- 移除资产、IAM 政策和发现结果的 Pub/Sub。
- 删除工作目录。
配置 Elastic Stack 应用
本部分介绍如何配置 Elastic Stack 应用以提取 Security Command Center 数据。这些说明假定您已正确安装并启用 Elastic Stack,并且您在应用环境中拥有 root 特权。
本部分仅适用于您通过 2022 年 2 月提供的 GoogleSCCElasticIntegration
安装软件包安装的 GoApp
模块。如需了解最新信息,请参阅升级到最新版本。
查看 Logstash 服务日志
如需查看当前日志,请运行以下命令:
sudo journalctl -f -u logstash2.service
如需查看历史日志,请运行以下命令:
sudo journalctl -u logstash2.service
卸载服务
- 删除 Logstash 配置。
- 删除
logstash2.service
。
设置 Filebeat
本部分仅适用于您通过 2022 年 2 月发布的 GoogleSCCElasticIntegration
安装软件包安装的 GoApp
模块。如需了解最新信息,请参阅升级到最新版本。
查看 Filebeat 服务日志
如需查看当前日志,请运行以下命令:
sudo journalctl -f -u filebeat.service
如需查看历史日志,请运行以下命令:
sudo journalctl -u filebeat.service
卸载服务
- 删除 logstash 配置。
- 删除
filebeat.service
。
查看 Kibana 信息中心
您可以使用 Elastic Stack 中的自定义信息中心直观呈现和分析您的发现结果、资产和安全来源。信息中心会显示关键发现结果,并帮助您的安全团队确定修复的优先级。
本部分仅适用于您通过 2022 年 2 月提供的 GoogleSCCElasticIntegration
安装软件包安装的 GoApp
模块。如需了解最新信息,请参阅升级到最新版本。
概览
概览信息中心包含一系列图表,其中按严重级别、类别和状态显示组织中发现结果的总数。发现结果是根据 Security Command Center 的内置服务(Security Health Analytics、Web Security Scanner、Event Threat Detection 和 Container Threat Detection)以及您启用的任何集成服务进行编译的。
其他图表显示哪些类别、项目和资产生成最多的发现结果。
资产
可在资产信息中心查看显示 Google Cloud 资产的表。这些表显示了资产所有者、按资源类型和项目划分的资产计数,以及最近添加和更新的资产。
您可以按时间范围、资源名称、资源类型、所有者和项目来过滤资产数据,并快速深入了解特定资产的发现结果。如果您点击资产名称,系统会将您重定向到 Google Cloud 控制台中的 Security Command Center 资产页面,并显示所选资产的详细信息。
发现结果
发现结果信息中心包含一个显示最新发现结果的表。您可以按资源名称、类别和严重性来过滤数据。
表列包括发现结果名称(采用 organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>
格式)、类别、资源名称、事件时间、创建时间、父级名称、父级 URI 和安全标记。父 URI 的格式与发现结果名称匹配。如果您点击发现结果名称,系统会将您重定向到 Google Cloud 控制台中的 Security Command Center 的发现结果页面,并显示所选发现结果的详细信息。
来源
来源信息中心会显示发现结果和安全来源的总数、按来源名称所示的发现结果数量,以及包含所有安全来源的表。表列包括名称、显示名称和说明。
修改信息中心
添加列
- 导航到信息中心。
- 点击修改,然后点击修改可视化。
- 在添加子存储桶下,选择拆分行。
- 在列表中,选择聚合。
- 在降序下拉菜单中,选择升序或降序。在大小字段中,输入表的最大行数。
- 选择要添加的列。
- 保存更改。
移除列
- 转至信息中心。
- 点击修改。
- 要隐藏列,请点击列名称旁边的公开范围(眼睛)图标。如需移除列,请点击列名称旁边的 X(删除)图标。
后续步骤
升级到最新版本,以便将 Security Command Center 与 Elastic Stack 集成。
详细了解如何在 Security Command Center 中设置发现结果通知。
了解如何在 Security Command Center 中过滤发现结果通知。