Inviare i dati di Security Command Center a Elastic Stack

Questa pagina spiega come inviare automaticamente risultati, asset e origini di sicurezza di Security Command Center a Elastic Stack senza utilizzare un contenitore Docker. Descrive inoltre come gestire i dati esportati. Elastic Stack è una piattaforma SIEM (Security Information and Event Management) che importa dati da una o più fonti e consente ai team di sicurezza di gestire risposte agli incidenti ed eseguire analisi in tempo reale. Lo stack elastico la configurazione illustrata in questa guida comprende quattro componenti:

• Filebeat: un agente leggero installato su host perimetrali, come (VM), che possono essere configurate per raccogliere e inoltrare dati
• Logstash: un servizio di trasformazione che importa i dati, li mappa nei campi obbligatori e inoltra i risultati a Elasticsearch
• Elasticsearch: un motore del database di ricerca che memorizza i dati
• Kibana: consente di creare dashboard che ti consentono di visualizzare e analizzare i dati

Esegui l'upgrade alla release più recente

Per eseguire l'upgrade alla versione più recente, devi eseguire il deployment di un'immagine container Docker che includa il modulo GoApp. Per ulteriori informazioni, vedi Esportazione di asset e risultati con Docker ed Elastic Stack.

Per eseguire l'upgrade alla release più recente, completa i seguenti passaggi:

1. Elimina go_script.service da //etc/systemd/system/.
2. Elimina la cartella GoApp.
3. Elimina le configurazioni di Logstash.
4. Elimina logstash2.service.
5. Elimina filebeat.service.
6. Facoltativamente, per evitare problemi durante l'importazione delle nuove dashboard, rimuovi quelle esistenti da Kibana:
   1. Apri l'applicazione Kibana.
   2. Nel menu di navigazione, vai a Gestione degli stack e fai clic su Oggetti salvati.
   3. Cerca Google SCC.
   4. Seleziona tutte le dashboard da rimuovere.
   5. Fai clic su Elimina.
7. Aggiungi il ruolo Writer configurazione log (roles/logging.configWriter) all'account di servizio.
8. Crea un argomento Pub/Sub per i log di controllo.
9. Se installi il contenitore Docker in un altro cloud, facoltativamente puoi configurare la federazione delle identità per i carichi di lavoro anziché utilizzare le chiavi degli account di servizio. Devi creare credenziali dell'account di servizio di breve durata e scaricare il file di configurazione delle credenziali.
10. Completa i passaggi descritti in Scaricare il modulo GoApp.
11. Completa i passaggi descritti in Installare il contenitore Docker.
12. Completa i passaggi descritti in Aggiornare le autorizzazioni per i log di controllo.
13. Importa tutte le dashboard, come descritto in Importare le dashboard di Kibana.

Segui le istruzioni riportate in Esportazione di asset e risultati con Docker ed Elastic Stack per amministrare l'integrazione SIEM.

Gestire il servizio e i log

Questa sezione spiega come visualizzare i log del modulo GoApp e apportare modifiche alle configurazione del modulo.

Questa sezione riguarda solo il modulo GoApp che installato dal pacchetto di installazione GoogleSCCElasticIntegration reso disponibile a febbraio 2022. Per informazioni aggiornate, consulta Eseguire l'upgrade alla release più recente.

1. Controlla lo stato del servizio:

     systemctl | grep go_script
   

2. Controlla i log di lavoro correnti, che contengono informazioni su errori di esecuzione e altre informazioni sul servizio:

     sudo journalctl -f -u go_script.service
   

3. Controlla i log di lavoro storici e attuali:

     sudo journalctl -u go_script.service
   

4. Per risolvere i problemi o controllare i log di go_script.service:

     cat go.log
   

Disinstallare il modulo GoApp

Disinstalla il modulo GoApp quando non vuoi più recuperare i dati di Security Command Center per Elastic Stack.

Questa sezione si applica solo al modulo GoApp che hai installato dal pacchetto di installazione GoogleSCCElasticIntegration reso disponibile a febbraio 2022. Per informazioni aggiornate, consulta Eseguire l'upgrade alla release più recente.

1. Elimina go_script.service da //etc/systemd/system/.
2. Rimuovi i feed per asset e criteri IAM.
3. Rimuovi Pub/Sub per asset, criteri IAM e risultati.
4. Elimina la directory di lavoro.

Configura le applicazioni dell'Elastic Stack

Questa sezione spiega come configurare le applicazioni Elastic Stack per importare i dati di Security Command Center. Le istruzioni presuppongono che tu abbia installato e attivato correttamente Elastic Stack e che disponi dei privilegi di root nell'ambiente di applicazione.

Questa sezione riguarda solo il modulo GoApp che installato dal pacchetto di installazione GoogleSCCElasticIntegration reso disponibile a febbraio 2022. Per informazioni aggiornate, consulta Eseguire l'upgrade alla release più recente.

Visualizza i log del servizio Logstash

Per visualizzare i log attuali, esegui questo comando:

    sudo journalctl -f -u logstash2.service

Per visualizzare i log storici, esegui il comando seguente:

    sudo journalctl -u logstash2.service

Disinstallare il servizio

1. Elimina le configurazioni di Logstash.
2. Elimina logstash2.service.

Imposta Filebeat

Questa sezione riguarda solo il modulo GoApp che installato dal pacchetto di installazione GoogleSCCElasticIntegration reso disponibile a febbraio 2022. Per informazioni aggiornate, consulta Eseguire l'upgrade alla versione più recente.

Visualizzare i log del servizio Filebeat

Per visualizzare i log correnti, esegui il seguente comando:

    sudo journalctl -f -u filebeat.service

Per visualizzare i log storici, esegui il comando seguente:

    sudo journalctl -u filebeat.service

Disinstalla il servizio

1. Elimina le configurazioni logstash.
2. Elimina filebeat.service.

Visualizzare le dashboard di Kibana

Puoi usare dashboard personalizzate in Elastic Stack per visualizzare e analizzare risultati, risorse e fonti di sicurezza. Le dashboard mostrano risultati critici e aiutano il team di sicurezza a dare la priorità alle correzioni.

Questa sezione si applica solo al modulo GoApp che hai installato dal pacchetto di installazione GoogleSCCElasticIntegration reso disponibile a febbraio 2022. Per informazioni aggiornate, consulta Eseguire l'upgrade alla versione più recente.

Panoramica

La dashboard Panoramica contiene una serie di grafici che mostrano il numero totale numero di risultati nella tua organizzazione per livello di gravità, categoria e stato. I risultati vengono compilati dai servizi integrati di Security Command Center (Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection) e da eventuali servizi integrati che attivi.

Altri grafici mostrano quali categorie, progetti e asset generano il maggior numero di risultati.

Asset

La dashboard Asset mostra le tabelle che mostrano gli asset Google Cloud. Le tabelle mostrano i proprietari degli asset, il numero di asset per tipo di risorsa e progetti e gli asset aggiunti e aggiornati più di recente.

Puoi filtrare i dati delle risorse in base all'intervallo di tempo, al nome della risorsa, al tipo di risorsa, al proprietario e al progetto e visualizzare rapidamente i risultati relativi a risorse specifiche. Se fai clic sul nome di un asset, si aprirà la pagina Asset di Security Command Center nella console Google Cloud, con la visualizzazione dei dettagli dell'asset selezionato.

Risultati

La dashboard Risultati include una tabella che mostra i risultati più recenti. Puoi filtrare i dati per nome della risorsa, categoria e gravità.

Le colonne della tabella includono il nome del risultato, nel formato organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>, categoria, nome risorsa, ora evento, ora di creazione, nome padre, URI padre e contrassegni di sicurezza. Il formato dell'URI principale corrisponde al nome della ricerca. Se fai clic sul nome di un risultato, viene visualizzata la pagina Risultati di Security Command Center nella console Google Cloud e vengono mostrati i dettagli del risultato selezionato.

Fonti

La dashboard Origini mostra il numero totale di risultati e origini di sicurezza, il numero di risultati per nome dell'origine e una tabella di tutte le origini di sicurezza. Le colonne della tabella includono nome, nome visualizzato e descrizione.

Modifica dashboard

Aggiungi colonne

1. Vai a una dashboard.
2. Fai clic su Modifica e poi su Modifica visualizzazione.
3. In Aggiungi bucket secondario, seleziona Dividi righe.
4. Nell'elenco, seleziona Aggregazione.
5. Nel menu a discesa Decrescente, seleziona crescente o decrescente. Nella size, inserisci il numero massimo di righe per la tabella.
6. Seleziona la colonna da aggiungere.
7. Salva le modifiche.

Rimuovi colonne

1. Vai alla dashboard.
2. Fai clic su Modifica.
3. Per nascondere le colonne, fai clic sulla visibilità o sull'icona a forma di occhio accanto al nome della colonna. Per rimuovere la colonna, fai clic sull'icona X o di eliminazione accanto al nome della colonna.

Passaggi successivi

• Esegui l'upgrade alla versione più recente per integrare Security Command Center con Elastic Stack.

• Scopri di più sulla configurazione delle notifiche dei risultati in Security Command Center.

• Scopri di più su come filtrare le notifiche dei risultati in Security Command Center.