Envie dados do Security Command Center para o Elastic Stack

Esta página explica como enviar automaticamente conclusões, recursos e origens de segurança do Security Command Center para o Elastic Stack sem usar um contentor Docker. Também descreve como gerir os dados exportados. O Elastic Stack é uma plataforma de informações de segurança e gestão de eventos (SIEM) que introduz dados de uma ou mais origens e permite que as equipas de segurança geram respostas a incidentes e realizem estatísticas em tempo real. A configuração do Elastic Stack abordada neste guia inclui quatro componentes:

  • Filebeat: um agente leve instalado em anfitriões de limite, como máquinas virtuais (VM), que pode ser configurado para recolher e encaminhar dados
  • Logstash: um serviço de transformação que introduz dados, mapeia-os em campos obrigatórios e encaminha os resultados para o Elasticsearch
  • Elasticsearch: um motor de base de dados de pesquisa que armazena dados
  • Kibana: alimenta painéis de controlo que lhe permitem visualizar e analisar dados

Atualize para o lançamento mais recente

Para atualizar para a versão mais recente, tem de implementar uma imagem de contentor Docker que inclua o módulo GoApp. Para mais informações, consulte o artigo Exportar recursos e resultados com o Docker e o Elastic Stack.

Para atualizar para a versão mais recente, faça o seguinte:

  1. Elimine go_script.service de //etc/systemd/system/.
  2. Elimine a pasta GoApp.
  3. Eliminar configurações do Logstash.
  4. Eliminar logstash2.service.
  5. Eliminar filebeat.service.
  6. Opcionalmente, para evitar problemas ao importar os novos painéis de controlo, remova os painéis de controlo existentes do Kibana:
    1. Abra a aplicação Kibana.
    2. No menu de navegação, aceda a Gestão da pilha e, de seguida, clique em Objetos guardados.
    3. Pesquise Google SCC.
    4. Selecione todos os painéis de controlo que quer remover.
    5. Clique em Eliminar.
  7. Adicione a função Logs Configuration Writer (roles/logging.configWriter) à conta de serviço.
  8. Crie um tópico Pub/Sub para os seus registos de auditoria.
  9. Opcionalmente, se estiver a instalar o contentor Docker noutra nuvem, configure a federação de identidades de cargas de trabalho em vez de usar chaves de contas de serviço. Tem de criar credenciais de contas de serviço de curta duração e transferir o ficheiro de configuração das credenciais.
  10. Conclua os passos em Transfira o módulo GoApp.
  11. Conclua os passos em Instale o contentor Docker.
  12. Conclua os passos em Atualize as autorizações para registos de auditoria.
  13. Importe todos os painéis de controlo, conforme descrito em Importe painéis de controlo do Kibana.

Use as instruções em Exportar recursos e resultados com o Docker e o Elastic Stack para administrar a integração do SIEM.

Faça a gestão do serviço e dos registos

Esta secção explica como ver os registos do módulo GoApp e fazer alterações à configuração do módulo.

Esta secção aplica-se apenas ao módulo GoApp que instalou a partir do pacote de instalação GoogleSCCElasticIntegration disponibilizado em fevereiro de 2022. Para ver informações atualizadas, consulte o artigo Atualize para a versão mais recente.

  1. Verifique o estado do serviço:

      systemctl | grep go_script

  2. Verifique os registos de funcionamento atuais, que contêm informações sobre falhas de execução e outras informações de serviço:

      sudo journalctl -f -u go_script.service

  3. Verifique os registos de trabalho históricos e atuais:

      sudo journalctl -u go_script.service

  4. Para resolver problemas ou verificar os registos de go_script.service:

      cat go.log

Desinstale o módulo GoApp

Desinstale o módulo GoApp quando já não quiser obter dados do Security Command Center para o Elastic Stack.

Esta secção aplica-se apenas ao módulo GoApp que instalou a partir do pacote de instalação GoogleSCCElasticIntegration disponibilizado em fevereiro de 2022. Para ver informações atualizadas, consulte o artigo Atualize para a versão mais recente.

  1. Elimine go_script.service de //etc/systemd/system/.
  2. Remova feeds para recursos e políticas IAM.
  3. Remova o Pub/Sub para recursos, políticas IAM e descobertas.
  4. Elimine o diretório de trabalho.

Configure aplicações do Elastic Stack

Esta secção explica como configurar aplicações do Elastic Stack para introduzir dados do Security Command Center. As instruções pressupõem que instalou e ativou corretamente o Elastic Stack e que tem privilégios de raiz no ambiente da aplicação.

Esta secção aplica-se apenas ao módulo GoApp que instalou a partir do pacote de instalação GoogleSCCElasticIntegration disponibilizado em fevereiro de 2022. Para ver informações atualizadas, consulte o artigo Atualize para a versão mais recente.

Veja os registos de serviço do Logstash

Para ver os registos atuais, execute o seguinte comando:

    sudo journalctl -f -u logstash2.service

Para ver registos do histórico, execute o seguinte comando:

    sudo journalctl -u logstash2.service

Desinstale o serviço

  1. Eliminar configurações do Logstash.
  2. Eliminar logstash2.service.

Configure o Filebeat

Esta secção aplica-se apenas ao módulo GoApp que instalou a partir do pacote de instalação GoogleSCCElasticIntegration disponibilizado em fevereiro de 2022. Para ver informações atualizadas, consulte o artigo Atualize para a versão mais recente.

Veja os registos de serviço do Filebeat

Para ver os registos atuais, execute o seguinte comando:

    sudo journalctl -f -u filebeat.service

Para ver registos do histórico, execute o seguinte comando:

    sudo journalctl -u filebeat.service

Desinstale o serviço

  1. Elimine configurações do Logstash.
  2. Eliminar filebeat.service.

Veja painéis de controlo do Kibana

Pode usar painéis de controlo personalizados no Elastic Stack para visualizar e analisar as suas descobertas, recursos e origens de segurança. Os painéis de controlo apresentam conclusões críticas e ajudam a sua equipa de segurança a dar prioridade às correções.

Esta secção aplica-se apenas ao módulo GoApp que instalou a partir do pacote de instalação GoogleSCCElasticIntegration disponibilizado em fevereiro de 2022. Para ver informações atualizadas, consulte o artigo Atualize para a versão mais recente.

Vista geral

O painel de controlo Vista geral contém uma série de gráficos que apresentam o número total de resultados na sua organização por nível de gravidade, categoria e estado. As conclusões são compiladas a partir dos serviços incorporados do Security Command Center: Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, bem como quaisquer serviços integrados que ativar.

Os gráficos adicionais mostram que categorias, projetos e recursos estão a gerar o maior número de resultados.

Recursos

O painel de controlo Recursos apresenta tabelas que mostram os seus Google Cloud recursos. As tabelas mostram os proprietários dos recursos, as quantidades de recursos por tipo de recurso e projetos, bem como os recursos adicionados e atualizados mais recentemente.

Pode filtrar os dados dos recursos por intervalo de tempo, nome do recurso, tipo de recurso, proprietário e projeto, e analisar rapidamente as conclusões de recursos específicos. Se clicar no nome de um recurso, é redirecionado para a página Recursos do Security Command Center na Google Cloud consola e são apresentados os detalhes do recurso selecionado.

Conclusões

O painel de controlo Resultados inclui uma tabela que mostra os resultados mais recentes. Pode filtrar os dados por nome do recurso, categoria e gravidade.

As colunas da tabela incluem o nome da descoberta, no formato de organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>, categoria, nome do recurso, hora do evento, hora de criação, nome principal, URI principal e marcas de segurança. O formato do URI principal corresponde ao nome de localização. Se clicar no nome de uma descoberta, é redirecionado para a página Descobertas do Security Command Center na consola Google Cloud e são apresentados os detalhes da descoberta selecionada.

Fontes

O painel de controlo Fontes mostra o número total de resultados e fontes de segurança, o número de resultados por nome da fonte e uma tabela de todas as suas fontes de segurança. As colunas da tabela incluem o nome, o nome a apresentar e a descrição.

Edite painéis de controlo

Adicione colunas

  1. Navegue para um painel de controlo.
  2. Clique em Editar e, de seguida, em Editar visualização.
  3. Em Adicionar subgrupo, selecione Dividir linhas.
  4. Na lista, selecione Agregação.
  5. No menu pendente Descendente, selecione ascendente ou descendente. No campo size, introduza o número máximo de linhas para a tabela.
  6. Selecione a coluna que quer adicionar.
  7. Guarde as alterações.

Remova colunas

  1. Navegue para o painel de controlo.
  2. Clique em Edit.
  3. Para ocultar colunas, junto ao nome da coluna, clique no ícone de visibilidade ou de olho. Para remover a coluna, junto ao nome da coluna, clique no ícone X ou de eliminação.

O que se segue?