Enviar dados do Security Command Center para o Elastic Stack

Esta página explica como enviar automaticamente descobertas, recursos e origens de segurança do Security Command Center para o Elastic Stack sem usar um contêiner do Docker. Também descreve como gerenciar os dados exportados. O Elastic Stack é uma plataforma de gerenciamento de eventos e informações de segurança que processa dados de uma ou mais fontes. Com ele, as equipes de segurança gerenciam respostas a incidentes e realizam análises em tempo real. A configuração do Elastic Stack abordada neste guia inclui quatro componentes:

  • Filebeat: um agente leve instalado em hosts de borda, como máquinas virtuais (VM), que podem ser configurados para coletar e encaminhar dados
  • Logstash: um serviço de transformação que ingere dados, os mapeia para os campos obrigatórios e encaminha os resultados para o Elasticsearch
  • Elasticsearch: um mecanismo de banco de dados de pesquisa que armazena dados
  • Kibana: permite painéis que permitem visualizar e analisar dados

Fazer upgrade para a versão mais recente

Para fazer upgrade para a versão mais recente, implante uma imagem do contêiner do Docker que inclua o módulo GoApp. Para mais informações, consulte Como exportar recursos e descobertas com o Docker e o Elastic Stack.

Para atualizar para a versão mais recente, faça o seguinte:

  1. Excluir go_script.service de //etc/systemd/system/.
  2. Exclua a pasta GoApp.
  3. Excluir configurações do Logstash.
  4. Excluir logstash2.service.
  5. Exclua filebeat.service.
  6. Para evitar problemas ao importar os novos painéis, remova os painéis do Kibana:
    1. Abra o aplicativo Kibana.
    2. No menu de navegação, acesse Gerenciamento de pilha e clique em Objetos salvos.
    3. Pesquise Google SCC.
    4. Selecione todos os painéis que você quer remover.
    5. Clique em Excluir.
  7. Adicione o papel Gravador de configuração de registros (roles/logging.configWriter) à conta de serviço.
  8. Crie um tópico do Pub/Sub para os registros de auditoria.
  9. Se você estiver instalando o contêiner do Docker em outra nuvem, configure a federação de identidade da carga de trabalho em vez de usar chaves de conta de serviço. É preciso criar credenciais da conta de serviço de curta duração e fazer o download do arquivo de configuração de credenciais.
  10. Siga as etapas em Fazer o download do módulo GoApp.
  11. Conclua as etapas em Instalar o contêiner do Docker.
  12. Siga as etapas em Atualizar permissões para registros de auditoria.
  13. Importe todos os painéis, conforme descrito em Importar painéis do Kibana.

Use as instruções em Como exportar recursos e descobertas com o Docker e o Elastic Stack para administrar a integração do SIEM.

Gerenciar serviço e registros

Esta seção explica como visualizar os registros do módulo GoApp e fazer alterações na configuração do módulo.

Esta seção se aplica somente ao módulo GoApp que você instalou do pacote de instalação do GoogleSCCElasticIntegration disponibilizado em fevereiro de 2022. Para ver informações atualizadas, consulte Fazer upgrade para a versão mais recente.

  1. Verifique o status do serviço:

      systemctl | grep go_script
    
  2. Verifique os registros de trabalho atuais, que contêm informações sobre falhas na execução e outras informações do serviço:

      sudo journalctl -f -u go_script.service
    
  3. Verifique os registros de trabalho históricos e atuais:

      sudo journalctl -u go_script.service
    
  4. Para solucionar problemas ou verificar os registros de go_script.service:

      cat go.log
    

Desinstalar o módulo GoApp

Desinstale o módulo GoApp quando não quiser mais recuperar os dados do Security Command Center para o Elastic Stack.

Esta seção se aplica somente ao módulo GoApp que você instalou do pacote de instalação do GoogleSCCElasticIntegration disponibilizado em fevereiro de 2022. Para ver informações atualizadas, consulte Fazer upgrade para a versão mais recente.

  1. Excluir go_script.service de //etc/systemd/system/.
  2. Remover feeds de recursos e políticas do IAM.
  3. Remova o Pub/Sub para recursos, políticas do IAM e descobertas.
  4. Exclua o diretório de trabalho.

Configurar aplicativos do Elastic Stack

Nesta seção, explicamos como configurar os aplicativos do Elastic Stack para ingerir dados do Security Command Center. As instruções presumem que você tenha instalado e ativado corretamente o Elastic Stack e que tenha privilégios de raiz no ambiente do aplicativo.

Esta seção se aplica somente ao módulo GoApp que você instalou do pacote de instalação do GoogleSCCElasticIntegration disponibilizado em fevereiro de 2022. Para ver informações atualizadas, consulte Fazer upgrade para a versão mais recente.

Ver os registros do serviço Logstash

Para ver os registros atuais, execute o seguinte comando:

    sudo journalctl -f -u logstash2.service

Para ver os registros históricos, execute o seguinte comando:

    sudo journalctl -u logstash2.service

Desinstalar o serviço

  1. Excluir configurações do Logstash.
  2. Excluir logstash2.service.

Configurar o Filebeat

Esta seção se aplica somente ao módulo GoApp que você instalou do pacote de instalação do GoogleSCCElasticIntegration disponibilizado em fevereiro de 2022. Para ver informações atualizadas, consulte Fazer upgrade para a versão mais recente.

Ver os registros do serviço Filebeat

Para ver os registros atuais, execute o seguinte comando:

    sudo journalctl -f -u filebeat.service

Para ver os registros históricos, execute o seguinte comando:

    sudo journalctl -u filebeat.service

Desinstalar o serviço

  1. Exclui as configurações do logtash.
  2. Excluir filebeat.service.

Ver painéis do Kibana

Você pode usar os painéis personalizados no Elastic Stack para visualizar e analisar suas descobertas, recursos e fontes de segurança. Os painéis exibem descobertas importantes e ajudam a equipe de segurança a priorizar correções.

Esta seção se aplica somente ao módulo GoApp que você instalou do pacote de instalação do GoogleSCCElasticIntegration disponibilizado em fevereiro de 2022. Para ver informações atualizadas, consulte Fazer upgrade para a versão mais recente.

Visão geral

O painel Visão geral contém uma série de gráficos que exibe o número total de descobertas na sua organização por nível de gravidade, categoria e estado. As descobertas são compiladas nos serviços integrados do Security Command Center: Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, além de todos os serviços integrados que você ativar.

Outros gráficos mostram quais categorias, projetos e recursos estão gerando mais descobertas.

Recursos

O painel Recursos exibe tabelas que mostram seus recursos do Google Cloud. As tabelas mostram proprietários de recursos, contagens de recursos por tipo e projetos e os recursos adicionados e atualizados mais recentemente.

É possível filtrar os dados do recurso por período, nome, tipo, proprietário e projeto, além de detalhar rapidamente as descobertas de recursos específicos. Se você clicar no nome de um recurso, será redirecionado para a página Recursos do Security Command Center no console do Google Cloud e verá os detalhes do recurso selecionado.

Descobertas

O painel Descobertas inclui uma tabela com as descobertas mais recentes. Você pode filtrar os dados por nome, categoria e gravidade do recurso.

As colunas da tabela incluem encontrar o nome, no formato organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>, categoria, nome do recurso, horário do evento, horário de criação, nome do pai, URI pai e marcas de segurança. O formato do URI pai corresponde ao nome da descoberta. Ao clicar no nome de uma descoberta, você será redirecionado para a página Descobertas do Security Command Center no console do Google Cloud e vai mostrar os detalhes da descoberta selecionada.

Fontes

O painel Fontes mostra o número total de descobertas e fontes de segurança, o número de descobertas por nome de origem e uma tabela de todas as suas fontes de segurança. As colunas da tabela incluem nome, nome de exibição e descrição.

Editar painéis

Adicionar colunas

  1. Acesse um painel.
  2. Clique em Editar e, em seguida, em Editar detalhes.
  3. Em Adicionar sub-bucket, selecione Dividir linhas.
  4. Na lista, selecione Agregação.
  5. No menu suspenso Decrescente, selecione crescente ou decrescente. No campo tamanho, insira o número máximo de linhas para a tabela.
  6. Selecione a coluna que você quer adicionar.
  7. Salve as alterações.

Remover colunas

  1. Navegue até o painel
  2. Clique em Editar.
  3. Para ocultar colunas, ao lado do nome da coluna, clique no ícone de visibilidade ou ícone de olho. Para remover a coluna, clique no ícone X ou ao lado dela.

A seguir