Questa pagina spiega come inviare automaticamente i risultati, gli asset e le origini di sicurezza di Security Command Center a Elastic Stack senza utilizzare un container Docker. Descrive inoltre come gestire i dati esportati. Elastic Stack è una piattaforma SIEM (Security Information and Event Management) che importa i dati da una o più origini e consente ai team di sicurezza di gestire le risposte agli incidenti ed eseguire analisi in tempo reale. La configurazione di Elastic Stack discussa in questa guida include quattro componenti:
- Filebeat: un agente leggero installato su host perimetrali, come macchine virtuali (VM), che può essere configurato per raccogliere e inoltrare i dati
- Logstash: un servizio di trasformazione che importa i dati, li mappa in campi obbligatori e inoltra i risultati a Elasticsearch
- Elasticsearch: un motore del database di ricerca che archivia i dati
- Kibana: alimenta le dashboard che ti consentono di visualizzare e analizzare i dati.
Esegui l'upgrade alla release più recente
Per eseguire l'upgrade alla release più recente, devi eseguire il deployment
di un'immagine container Docker che includa il modulo GoApp
. Per ulteriori informazioni, consulta
Esportazione di asset e risultati con Docker ed Elastic Stack.
Per eseguire l'upgrade alla release più recente, completa i seguenti passaggi:
- Elimina
go_script.service
da//etc/systemd/system/
. - Elimina la cartella
GoApp
. - Elimina configurazioni di Logstash.
- Elimina
logstash2.service
. - Elimina
filebeat.service
. - Facoltativamente, per evitare problemi durante l'importazione delle nuove dashboard, rimuovi quelle esistenti da Kibana:
- Apri l'applicazione Kibana.
- Nel menu di navigazione, vai a Gestione dello stack e fai clic su Oggetti salvati.
- Cerca Google SCC.
- Seleziona tutte le dashboard da rimuovere.
- Fai clic su Elimina.
- Aggiungi il ruolo Writer configurazione log (
roles/logging.configWriter
) all'account di servizio. - Crea un argomento Pub/Sub per gli audit log.
- Facoltativamente, se installi il container Docker in un altro cloud, configura la federazione delle identità per i carichi di lavoro anziché utilizzare le chiavi degli account di servizio. Devi creare credenziali per l'account di servizio di breve durata e scaricare il file di configurazione delle credenziali.
- Completa i passaggi descritti in Scaricare il modulo GoApp.
- Completa i passaggi descritti in Installare il container Docker.
- Completa i passaggi descritti in Aggiornare le autorizzazioni per i log di controllo.
- Importa tutte le dashboard, come descritto in Importare le dashboard Kibana.
Utilizza le istruzioni in Esportazione di asset e risultati con Docker ed Elastic Stack per amministrare l'integrazione SIEM.
Gestisci servizio e log
Questa sezione spiega come visualizzare i log del modulo GoApp
e apportare modifiche alla configurazione del modulo.
Questa sezione si applica solo al modulo GoApp
che hai installato dal pacchetto di installazione GoogleSCCElasticIntegration
reso disponibile a febbraio 2022. Per informazioni aggiornate, vedi Eseguire l'upgrade alla release più recente.
Controlla lo stato del servizio:
systemctl | grep go_script
Controlla i log di lavoro attuali, che contengono informazioni sugli errori di esecuzione e altre informazioni sui servizi:
sudo journalctl -f -u go_script.service
Controlla i log di lavoro storici e attuali:
sudo journalctl -u go_script.service
Per risolvere i problemi o controllare i log di
go_script.service
:cat go.log
Disinstallare il modulo GoApp
Disinstalla il modulo GoApp
se non vuoi più recuperare i dati di Security Command Center per Elastic Stack.
Questa sezione si applica solo al modulo GoApp
che hai installato dal pacchetto di installazione GoogleSCCElasticIntegration
reso disponibile a febbraio 2022. Per informazioni aggiornate, vedi Eseguire l'upgrade alla release più recente.
- Elimina
go_script.service
da//etc/systemd/system/
. - Rimuovi i feed per gli asset e i criteri IAM.
- Rimuovi Pub/Sub per asset, criteri IAM e risultati.
- Elimina la directory di lavoro.
Configura applicazioni Elastic Stack
Questa sezione spiega come configurare le applicazioni Elastic Stack per importare i dati di Security Command Center. Le istruzioni presuppongono che Elastic Stack sia stato installato e abilitato correttamente e che tu disponga dei privilegi principali nell'ambiente delle applicazioni.
Questa sezione si applica solo al modulo GoApp
che hai installato dal pacchetto di installazione GoogleSCCElasticIntegration
reso disponibile a febbraio 2022. Per informazioni aggiornate, vedi Eseguire l'upgrade alla release più recente.
Visualizza i log del servizio Logstash
Per visualizzare i log attuali, esegui questo comando:
sudo journalctl -f -u logstash2.service
Per visualizzare i log storici, esegui questo comando:
sudo journalctl -u logstash2.service
Disinstallare il servizio
- Elimina configurazioni di Logstash.
- Elimina
logstash2.service
.
Configura Filebeat
Questa sezione si applica solo al modulo GoApp
che hai installato dal pacchetto di installazione GoogleSCCElasticIntegration
reso disponibile a febbraio 2022. Per informazioni aggiornate, vedi Eseguire l'upgrade alla release più recente.
Visualizza i log del servizio Filebeat
Per visualizzare i log attuali, esegui questo comando:
sudo journalctl -f -u filebeat.service
Per visualizzare i log storici, esegui questo comando:
sudo journalctl -u filebeat.service
Disinstallare il servizio
- Elimina configurazioni logtash.
- Elimina
filebeat.service
.
Visualizza le dashboard di Kibana
Puoi utilizzare dashboard personalizzate in Elastic Stack per visualizzare e analizzare risultati, asset e origini di sicurezza. Le dashboard mostrano i risultati critici e aiutano il team di sicurezza a stabilire la priorità delle correzioni.
Questa sezione si applica solo al modulo GoApp
che hai installato dal pacchetto di installazione GoogleSCCElasticIntegration
reso disponibile a febbraio 2022. Per informazioni
aggiornate, consulta la pagina relativa all'upgrade alla release più recente.
Panoramica
La dashboard Panoramica contiene una serie di grafici che mostrano il numero totale di risultati nella tua organizzazione per livello di gravità, categoria e stato. I risultati vengono compilati dai servizi integrati di Security Command Center, Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, e da tutti i servizi integrati attivati.
I grafici aggiuntivi mostrano quali categorie, progetti e asset stanno generando il maggior numero di risultati.
Asset
La dashboard Asset mostra tabelle che mostrano i tuoi asset Google Cloud. Le tabelle mostrano i proprietari degli asset, i conteggi degli asset per tipo di risorsa e progetti, nonché gli asset aggiunti e aggiornati più di recente.
Puoi filtrare i dati degli asset per intervallo di tempo, nome della risorsa, tipo di risorsa, proprietario e progetto, nonché visualizzare rapidamente in dettaglio i risultati relativi ad asset specifici. Se fai clic sul nome di un asset, il sistema ti reindirizzerà alla pagina Asset di Security Command Center nella console Google Cloud e verranno visualizzati i dettagli dell'asset selezionato.
Risultati
La dashboard Risultati include una tabella che mostra i risultati più recenti. Puoi filtrare i dati in base a nome, categoria e gravità della risorsa.
Le colonne della tabella includono il nome del risultato, nel formato organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>
, categoria, nome risorsa, ora evento, ora di creazione, nome padre, URI padre e contrassegni di sicurezza. Il formato dell'URI principale corrisponde al nome del risultato. Se fai clic su un nome trovato, il sistema ti reindirizzerà alla pagina Risultati di Security Command Center nella console Google Cloud e verranno visualizzati i dettagli del risultato selezionato.
Origini
La dashboard Origini mostra il numero totale di risultati e origini di sicurezza, il numero di risultati per nome dell'origine e una tabella di tutte le origini di sicurezza. Le colonne della tabella includono nome, nome visualizzato e descrizione.
Modifica dashboard
Aggiungi colonne
- Vai a una dashboard.
- Fai clic su Modifica e poi su Modifica visualizzazione.
- In Aggiungi sotto-bucket, seleziona Dividi righe.
- Nell'elenco, seleziona Aggregazione.
- Nel menu a discesa Decrescente, seleziona crescente o decrescente. Nel campo dimensione, inserisci il numero massimo di righe per la tabella.
- Seleziona la colonna da aggiungere.
- Salva le modifiche.
Rimuovi colonne
- Vai alla dashboard.
- Fai clic su Modifica.
- Per nascondere le colonne, fai clic sull'icona a forma di occhio accanto al nome della colonna. Per rimuovere la colonna, fai clic sulla X o sull'icona di eliminazione accanto al suo nome.
Passaggi successivi
Esegui l'upgrade alla versione più recente per integrare Security Command Center con Elastic Stack.
Scopri di più sulla configurazione della ricerca di notifiche in Security Command Center.
Scopri come filtrare le notifiche sui risultati in Security Command Center.