Mengirim data Security Command Center ke Elastic Stack

Halaman ini menjelaskan cara mengirim temuan, aset, dan sumber keamanan Security Command Center secara otomatis ke Elastic Stack tanpa menggunakan container Docker. Artikel ini juga menjelaskan cara mengelola data yang diekspor. Elastic Stack adalah platform informasi keamanan dan manajemen peristiwa (SIEM) yang menyerap data dari satu atau beberapa sumber dan memungkinkan tim keamanan mengelola respons terhadap insiden dan melakukan analisis secara real-time. Konfigurasi Elastic Stack yang dibahas dalam panduan ini mencakup empat komponen:

• Filebeat: agen ringan yang diinstal di host edge, seperti mesin virtual (VM), yang dapat dikonfigurasi untuk mengumpulkan dan meneruskan data
• Logstash: layanan transformasi yang menyerap data, memetakannya ke kolom yang wajib diisi, dan meneruskan hasilnya ke Elasticsearch
• Elasticsearch: mesin database penelusuran yang menyimpan data
• Kibana: mendukung dasbor yang memungkinkan Anda memvisualisasikan dan menganalisis data

Upgrade ke rilis terbaru

Untuk mengupgrade ke rilis terbaru, Anda harus men-deploy image container Docker yang menyertakan modul GoApp. Untuk mengetahui informasi selengkapnya, baca artikel Mengekspor aset dan temuan dengan Docker dan Elastic Stack.

Untuk mengupgrade ke rilis terbaru, selesaikan langkah-langkah berikut:

1. Hapus go_script.service dari //etc/systemd/system/.
2. Hapus folder GoApp.
3. Menghapus konfigurasi Logstash.
4. Hapus logstash2.service.
5. Hapus filebeat.service.
6. Secara opsional, untuk menghindari masalah saat mengimpor dasbor baru, hapus dasbor yang ada dari Kibana:
   1. Buka aplikasi Kibana.
   2. Di menu navigasi, buka Stack Management, lalu klik Saved Objects.
   3. Telusuri Google SCC.
   4. Pilih semua dasbor yang ingin Anda hapus.
   5. Klik Delete.
7. Tambahkan peran Logs Configuration Writer (roles/logging.configWriter) ke akun layanan.
8. Buat topik Pub/Sub untuk log audit Anda.
9. Secara opsional, jika Anda menginstal container Docker di cloud lain, konfigurasikan workload identity federation, bukan menggunakan kunci akun layanan. Anda harus membuat kredensial akun layanan berumur pendek dan mendownload file konfigurasi kredensial.
10. Selesaikan langkah-langkah di Mendownload modul GoApp.
11. Selesaikan langkah-langkah di Menginstal container Docker.
12. Selesaikan langkah-langkah di Memperbarui izin untuk log audit.
13. Impor semua dasbor, seperti yang dijelaskan dalam Mengimpor dasbor Kibana.

Gunakan petunjuk dalam Mengekspor aset dan temuan dengan Docker dan Elastic Stack untuk mengelola integrasi SIEM.

Kelola layanan dan log

Bagian ini menjelaskan cara menampilkan log modul GoApp dan membuat perubahan pada konfigurasi modul.

Bagian ini hanya berlaku untuk modul GoApp yang Anda instal dari paket penginstalan GoogleSCCElasticIntegration yang tersedia pada Februari 2022. Untuk mengetahui informasi terbaru, lihat Mengupgrade ke rilis terbaru.

1. Periksa status layanan:

     systemctl | grep go_script
   

2. Periksa log kerja saat ini, yang berisi informasi tentang kegagalan eksekusi dan informasi layanan lainnya:

     sudo journalctl -f -u go_script.service
   

3. Periksa log kerja historis dan saat ini:

     sudo journalctl -u go_script.service
   

4. Untuk memecahkan masalah atau memeriksa log go_script.service:

     cat go.log
   

Meng-uninstal modul GoApp

Uninstal modul GoApp jika Anda tidak ingin lagi mengambil data Security Command Center untuk Elastic Stack.

Bagian ini hanya berlaku untuk modul GoApp yang Anda instal dari paket penginstalan GoogleSCCElasticIntegration yang tersedia pada Februari 2022. Untuk mengetahui informasi terbaru, lihat Mengupgrade ke rilis terbaru.

1. Hapus go_script.service dari //etc/systemd/system/.
2. Menghapus feed untuk aset dan kebijakan IAM.
3. Menghapus Pub/Sub untuk aset, kebijakan IAM, dan penemuan.
4. Hapus direktori kerja.

Mengonfigurasi aplikasi Elastic Stack

Bagian ini menjelaskan cara mengonfigurasi aplikasi Elastic Stack untuk menyerap data Security Command Center. Petunjuk ini mengasumsikan bahwa Anda telah menginstal dan mengaktifkan Elastic Stack dengan benar, dan bahwa Anda memiliki hak istimewa root di lingkungan aplikasi.

Bagian ini hanya berlaku untuk modul GoApp yang Anda instal dari paket penginstalan GoogleSCCElasticIntegration yang tersedia pada Februari 2022. Untuk mengetahui informasi terbaru, lihat Mengupgrade ke rilis terbaru.

Lihat log layanan Logstash

Untuk melihat log saat ini, jalankan perintah berikut:

    sudo journalctl -f -u logstash2.service

Untuk melihat log historis, jalankan perintah berikut:

    sudo journalctl -u logstash2.service

Meng-uninstal layanan

1. Menghapus konfigurasi Logstash.
2. Hapus logstash2.service.

Menyiapkan Filebeat

Bagian ini hanya berlaku untuk modul GoApp yang Anda instal dari paket penginstalan GoogleSCCElasticIntegration yang tersedia pada Februari 2022. Untuk mengetahui informasi terbaru, lihat Mengupgrade ke rilis terbaru.

Lihat log layanan Filebeat

Untuk melihat log saat ini, jalankan perintah berikut:

    sudo journalctl -f -u filebeat.service

Untuk melihat log historis, jalankan perintah berikut:

    sudo journalctl -u filebeat.service

Meng-uninstal layanan

1. Menghapus konfigurasi logstash.
2. Hapus filebeat.service.

Lihat dasbor Kibana

Anda dapat menggunakan dasbor kustom di Elastic Stack untuk memvisualisasikan dan menganalisis temuan, aset, dan sumber keamanan. Dasbor menampilkan temuan penting dan membantu tim keamanan Anda memprioritaskan perbaikan.

Bagian ini hanya berlaku untuk modul GoApp yang Anda instal dari paket penginstalan GoogleSCCElasticIntegration yang tersedia pada Februari 2022. Untuk mengetahui informasi terbaru, lihat Mengupgrade ke rilis terbaru.

Ringkasan

Dasbor Overview berisi serangkaian diagram yang menampilkan jumlah total temuan di organisasi Anda berdasarkan tingkat keparahan, kategori, dan status. Temuan dikompilasi dari layanan bawaan Security Command Center—Security Health Analytics, Web Security Scanner, Event Threat Detection, dan Container Threat Detection—serta semua layanan terintegrasi yang Anda aktifkan.

Diagram tambahan menunjukkan kategori, project, dan aset mana yang menghasilkan temuan paling banyak.

Aset

Dasbor Aset menampilkan tabel yang menampilkan aset Google Cloud Anda. Tabel menunjukkan pemilik aset, jumlah aset berdasarkan jenis resource dan project, serta aset yang terakhir ditambahkan dan diperbarui.

Anda dapat memfilter data aset menurut rentang waktu, nama resource, jenis resource, pemilik, dan project, serta dengan cepat melihat perincian temuan untuk aset tertentu. Jika mengklik nama aset, Anda akan dialihkan ke halaman Assets pada Security Command Center di Konsol Google Cloud dan melihat detail untuk aset yang dipilih.

Temuan

Dasbor Temuan menyertakan tabel yang menampilkan temuan terbaru Anda. Anda dapat memfilter data menurut nama resource, kategori, dan tingkat keparahan.

Kolom tabel mencakup nama temuan, dalam format organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>, kategori, nama resource, waktu peristiwa, waktu pembuatan, nama induk, URI induk, dan tanda keamanan. Format URI induk cocok dengan nama temuan. Jika mengklik nama temuan, Anda akan dialihkan ke halaman Findings Security Command Center di Konsol Google Cloud dan menampilkan detail untuk temuan yang dipilih.

Sumber

Dasbor Sumber menampilkan jumlah total temuan dan sumber keamanan, jumlah temuan berdasarkan nama sumber, dan tabel yang berisi semua sumber keamanan Anda. Kolom tabel mencakup nama, nama tampilan, dan deskripsi.

Edit dasbor

Tambah kolom

1. Buka dasbor.
2. Klik Edit, lalu klik Edit visualisasi.
3. Di bagian Tambahkan sub-bucket, pilih Pisahkan baris.
4. Dalam daftar, pilih Agregasi.
5. Di menu drop-down Menurun, pilih menaik atau menurun. Di kolom size, masukkan jumlah baris maksimum untuk tabel.
6. Pilih kolom yang ingin ditambahkan.
7. Simpan perubahan.

Hapus kolom

1. Buka dasbor.
2. Klik Edit.
3. Untuk menyembunyikan kolom, di samping nama kolom, klik ikon visibilitas, atau mata. Untuk menghapus kolom, di samping nama kolom, klik ikon X atau hapus.

Langkah selanjutnya

• Upgrade ke versi terbaru untuk mengintegrasikan Security Command Center dengan Elastic Stack.

• Pelajari lebih lanjut cara menyiapkan menemukan notifikasi di Security Command Center.

• Baca tentang memfilter notifikasi penemuan di Security Command Center.