Envoyer des données de Security Command Center à Elastic Stack

Cette page explique comment envoyer automatiquement les résultats, les éléments et les sources de sécurité de Security Command Center à Elastic Stack, sans utiliser de conteneur Docker. Elle décrit également comment gérer les données exportées. Elastic Stack est une plate-forme de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) qui ingère des données provenant d'une ou de plusieurs sources. Elle permet aux équipes de sécurité de gérer les réponses aux incidents et d'effectuer des analyses en temps réel. La configuration Elastic Stack décrite dans ce guide comprend quatre composants :

  • Filebeat : agent léger installé sur des hôtes périphériques, tels que des machines virtuelles (VM), pouvant être configuré pour collecter et transférer des données.
  • Logstash : service de transformation qui ingère les données, les mappe dans les champs obligatoires et transmet les résultats à Elasticsearch.
  • Elasticsearch : moteur de recherche de base de données qui stocke des données.
  • Kibana : génère des tableaux de bord permettant de visualiser et d'analyser des données.

Passer à la dernière version

Pour effectuer la mise à niveau vers la dernière version, vous devez déployer une image de conteneur Docker incluant le module GoApp. Pour en savoir plus, consultez la page Exporter des éléments et des résultats avec Docker et Elastic Stack.

Procédez comme suit pour passer à la dernière version :

  1. Supprimez go_script.service de //etc/systemd/system/.
  2. Supprimez le dossier GoApp.
  3. Supprimez les configurations Logstash.
  4. Supprimer logstash2.service
  5. Supprimez filebeat.service.
  6. Si vous le souhaitez, pour éviter les problèmes lors de l'importation des nouveaux tableaux de bord, supprimez les tableaux de bord existants de Kibana :
    1. Ouvrez l'application Kibana.
    2. Dans le menu de navigation, accédez à Stack Management (Gestion de la pile), puis cliquez sur Saved Objects (Objets enregistrés).
    3. Recherchez Google SCC.
    4. Sélectionnez tous les tableaux de bord à supprimer.
    5. Cliquez sur Supprimer.
  7. Ajoutez le rôle Rédacteur de configuration des journaux (roles/logging.configWriter) au compte de service.
  8. Créez un sujet Pub/Sub pour vos journaux d'audit.
  9. Si vous installez le conteneur Docker dans un autre cloud, vous pouvez également configurer la fédération d'identité de charge de travail au lieu d'utiliser des clés de compte de service. Vous devez créer des identifiants de compte de service éphémères et télécharger le fichier de configuration des identifiants.
  10. Suivez la procédure décrite dans la section Télécharger le module GoApp.
  11. Suivez la procédure décrite dans la section Installer le conteneur Docker.
  12. Suivez la procédure décrite dans la section Mettre à jour les autorisations pour les journaux d'audit.
  13. Importez tous les tableaux de bord, comme décrit dans la section Importer des tableaux de bord Kibana.

Suivez les instructions de la section Exporter des éléments et des résultats avec Docker et Elastic Stack pour administrer votre intégration SIEM.

Gérer le service et les journaux

Cette section explique comment afficher les journaux du module GoApp et modifier la configuration du module.

Cette section ne s'applique qu'au module GoApp que vous avez installé à partir du package d'installation GoogleSCCElasticIntegration, disponible depuis février 2022. Pour obtenir les informations les plus récentes, consultez la section Passer à la dernière version.

  1. Vérifiez l'état du service:

      systemctl | grep go_script

  2. Vérifiez les journaux de travail actuels, qui contiennent des informations sur les échecs d'exécution et d'autres informations sur le service :

      sudo journalctl -f -u go_script.service

  3. Vérifiez les journaux de travail historiques et actuels :

      sudo journalctl -u go_script.service

  4. Pour résoudre les problèmes ou consulter les journaux de go_script.service, exécutez la commande suivante :

      cat go.log

Désinstaller le module GoApp

Désinstallez le module GoApp lorsque vous ne souhaitez plus récupérer les données de Security Command Center pour Elastic Stack.

Cette section ne s'applique qu'au module GoApp que vous avez installé à partir du package d'installation GoogleSCCElasticIntegration, disponible depuis février 2022. Pour obtenir les informations les plus récentes, consultez la section Passer à la dernière version.

  1. Supprimez go_script.service de //etc/systemd/system/.
  2. Supprimez les flux des éléments et des stratégies IAM.
  3. Supprimez Pub/Sub pour les éléments, les stratégies IAM et les résultats.
  4. Supprimez le répertoire de travail.

Configurer les applications Elastic Stack

Cette section explique comment configurer les applications Elastic Stack pour ingérer les données de Security Command Center. Dans ces instructions, nous partons du principe que vous avez correctement installé et activé Elastic Stack, et que vous disposez de privilèges racine dans l'environnement d'application.

Cette section ne s'applique qu'au module GoApp que vous avez installé à partir du package d'installation GoogleSCCElasticIntegration, disponible depuis février 2022. Pour obtenir les informations les plus récentes, consultez la section Passer à la dernière version.

Afficher les journaux du service Logstash

Pour afficher les journaux actuels, exécutez la commande suivante :

    sudo journalctl -f -u logstash2.service

Pour afficher les journaux historiques, exécutez la commande suivante :

    sudo journalctl -u logstash2.service

Désinstaller le service

  1. Supprimez les configurations Logstash.
  2. Supprimer logstash2.service

Configurer Filebeat

Cette section ne s'applique qu'au module GoApp que vous avez installé à partir du package d'installation GoogleSCCElasticIntegration, disponible depuis février 2022. Pour obtenir les informations les plus récentes, consultez la section Passer à la dernière version.

Afficher les journaux du service Filebeat

Pour afficher les journaux actuels, exécutez la commande suivante :

    sudo journalctl -f -u filebeat.service

Pour afficher les journaux historiques, exécutez la commande suivante :

    sudo journalctl -u filebeat.service

Désinstaller le service

  1. Supprimez les configurations Logstash.
  2. Supprimer filebeat.service

Afficher les tableaux de bord Kibana

Vous pouvez utiliser des tableaux de bord personnalisés dans Elastic Stack pour visualiser et analyser vos résultats, vos éléments et vos sources de sécurité. Les tableaux de bord affichent les résultats critiques et aident votre équipe de sécurité à hiérarchiser les correctifs.

Cette section ne s'applique qu'au module GoApp que vous avez installé à partir du package d'installation GoogleSCCElasticIntegration, disponible depuis février 2022. Pour obtenir les informations les plus récentes, consultez la section Passer à la dernière version.

Présentation

Le tableau de bord Overview (Vue d'ensemble) contient une série de graphiques qui affichent le nombre total de résultats dans votre organisation par niveau de gravité, catégorie et état. Les résultats sont compilés à partir des services intégrés de Security Command Center (Security Health Analytics, Web Security Scanner, Event Threat Detection et Container Threat Detection) et de tous les services intégrés que vous activez.

D'autres graphiques indiquent les catégories, les projets et les éléments qui génèrent le plus de résultats.

Assets

Le tableau de bord Assets (Éléments) affiche des tables qui présentent vos éléments Google Cloud. Les tables indiquent les propriétaires des éléments, le nombre d'éléments par type de ressource et par projet, ainsi que les derniers éléments ajoutés et mis à jour.

Vous pouvez filtrer les données d'un élément par période, nom de ressource, type de ressource, propriétaire et projet, et afficher rapidement le détail des résultats d'éléments spécifiques. Si vous cliquez sur le nom d'un élément, vous êtes redirigé vers la page Éléments de Security Command Center dans la console Google Cloud, sur laquelle vous pouvez voir les détails de l'élément sélectionné.

Résultats

Le tableau de bord Findings (Résultats) inclut une table affichant les résultats les plus récents. Vous pouvez filtrer les données par nom de ressource, par catégorie et par niveau de gravité.

Les colonnes de la table incluent le nom du résultat au format organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>, la catégorie, le nom de la ressource, l'heure de l'événement, l'heure de création, le nom parent, l'URI parent et les marques de sécurité. Le format de l'URI parent correspond au nom du résultat. Si vous cliquez sur un nom de résultat, vous êtes redirigé vers la page Résultats de Security Command Center dans la console Google Cloud, avec les détails du résultat sélectionné.

Sources

Le tableau de bord Sources indique le nombre total de résultats et de sources de sécurité, le nombre de résultats par nom de source et une table de toutes les sources de sécurité. Les colonnes de la table incluent le nom, le nom à afficher et la description.

Modifier les tableaux de bord

Ajouter des colonnes

  1. Accédez à un tableau de bord.
  2. Cliquez sur Edit (Modifier), puis sur Edit visualization (Modifier la visualisation).
  3. Sous Add sub-bucket (Ajouter un sous-bucket), sélectionnez Split rows (Scinder les lignes).
  4. Dans la liste, sélectionnez Aggregation (Agrégation).
  5. Dans le menu déroulant Descending (Décroissant), sélectionnez un ordre croissant ou décroissant. Dans le champ Size (Taille), saisissez le nombre maximal de lignes de la table.
  6. Sélectionnez la colonne que vous souhaitez ajouter.
  7. Enregistrez les modifications.

Supprimer des colonnes

  1. Accédez au tableau de bord.
  2. Cliquez sur Modifier.
  3. Pour masquer des colonnes, cliquez sur l'icône de visibilité en forme d'œil située à côté de leur nom. Pour supprimer une colonne, cliquez sur l'icône de suppression X située à côté de son nom.

Étapes suivantes