将 Security Command Center 数据发送到 Elastic Stack

本页介绍了如何在不使用 Docker 容器的情况下,将 Security Command Center 发现结果、资产和安全来源自动发送到 Elastic Stack。还介绍了如何管理导出的数据。Elastic Stack 是一个安全信息和事件管理 (SIEM) 平台,可从一个或多个来源提取数据,并使安全团队能够管理对突发事件的响应并执行实时分析。本指南中讨论的 Elastic Stack 配置包含 4 个组件:

  • Filebeat:安装在边缘主机(例如虚拟机)上的轻量级代理,可以配置为收集和转发数据
  • Logstash:一项转换服务,用于提取数据,将其映射到必填字段,并将结果转发到 Elasticsearch
  • Elasticsearch:存储数据的搜索数据库引擎
  • Kibana:驱动信息中心,使您能够直观呈现和分析数据

升级到最新版本

如需升级到最新版本,您必须部署包含 GoApp 模块的 Docker 容器映像。如需了解详情,请参阅使用 Docker 和 Elastic Stack 导出资产和发现结果

如需升级到最新版本,请完成以下操作:

  1. //etc/systemd/system/ 中删除 go_script.service
  2. 删除 GoApp 文件夹。
  3. 删除 Logstash 配置。
  4. 删除logstash2.service
  5. 删除 filebeat.service
  6. (可选)为了避免在导入新信息中心时出现问题,请从 Kibana 中移除现有信息中心:
    1. 打开 Kibana 应用。
    2. 在导航菜单中,点击 Stack Management(堆栈管理),然后点击 Saved Objects(已保存的对象)。
    3. 搜索 Google SCC
    4. 选择要移除的所有信息中心。
    5. 点击删除
  7. Logs Configuration Writer (roles/logging.configWriter) 角色添加到服务账号。
  8. 为审核日志创建一个 Pub/Sub 主题
  9. (可选)如果您在其他云中安装 Docker 容器,请配置工作负载身份联合,而不是使用服务账号密钥。您必须创建短期有效的服务账号并下载凭据配置文件。
  10. 完成下载 GoApp 模块中的步骤。
  11. 完成安装 Docker 容器中的步骤。
  12. 完成更新审核日志的权限中的步骤。
  13. 按照导入 Kibana 信息中心中的说明导入所有信息中心。

请按照使用 Docker 和 Elastic Stack 导出资产和发现结果中的说明管理 SIEM 集成。

管理服务和日志

本部分介绍如何查看 GoApp 模块日志,以及如何更改模块的配置。

本部分仅适用于您通过 2022 年 2 月提供的 GoogleSCCElasticIntegration 安装软件包安装的 GoApp 模块。如需了解最新信息,请参阅升级到最新版本

  1. 检查服务的状态:

      systemctl | grep go_script
    
  2. 检查当前工作日志,其中包含有关执行失败的信息和其他服务信息:

      sudo journalctl -f -u go_script.service
    
  3. 检查历史工作日志和当前工作日志:

      sudo journalctl -u go_script.service
    
  4. 如需排查或检查 go_script.service 的日志,请执行以下操作:

      cat go.log
    

卸载 GoApp 模块

当您不想再检索 Elastic Stack 的 Security Command Center 数据时,请卸载 GoApp 模块。

本部分仅适用于您通过 2022 年 2 月提供的 GoogleSCCElasticIntegration 安装软件包安装的 GoApp 模块。如需了解最新信息,请参阅升级到最新版本

  1. //etc/systemd/system/ 中删除 go_script.service
  2. 移除资产和 IAM 政策的 Feed。
  3. 移除资产、IAM 政策和发现结果的 Pub/Sub。
  4. 删除工作目录。

配置 Elastic Stack 应用

本部分介绍如何配置 Elastic Stack 应用以提取 Security Command Center 数据。这些说明假定您已正确安装并启用 Elastic Stack,并且您在应用环境中拥有 root 特权。

本部分仅适用于您通过 2022 年 2 月提供的 GoogleSCCElasticIntegration 安装软件包安装的 GoApp 模块。如需了解最新信息,请参阅升级到最新版本

查看 Logstash 服务日志

如需查看当前日志,请运行以下命令:

    sudo journalctl -f -u logstash2.service

如需查看历史日志,请运行以下命令:

    sudo journalctl -u logstash2.service

卸载服务

  1. 删除 Logstash 配置。
  2. 删除logstash2.service

设置 Filebeat

本部分仅适用于您从 2022 年 2 月发布的 GoogleSCCElasticIntegration 安装软件包安装的 GoApp 模块。如需了解最新信息,请参阅升级到最新版本

查看 Filebeat 服务日志

如需查看当前日志,请运行以下命令:

    sudo journalctl -f -u filebeat.service

如需查看历史日志,请运行以下命令:

    sudo journalctl -u filebeat.service

卸载服务

  1. 删除 logstash 配置。
  2. 删除filebeat.service

查看 Kibana 信息中心

您可以使用 Elastic Stack 中的自定义信息中心直观呈现和分析您的发现结果、资产和安全来源。信息中心会显示关键发现结果,并帮助您的安全团队确定修复的优先级。

本部分仅适用于您通过 2022 年 2 月提供的 GoogleSCCElasticIntegration 安装软件包安装的 GoApp 模块。如需了解最新信息,请参阅升级到最新版本

概览

概览信息中心包含一系列图表,其中按严重级别、类别和状态显示组织中发现结果的总数。发现结果是根据 Security Command Center 的内置服务(Security Health AnalyticsWeb Security ScannerEvent Threat DetectionContainer Threat Detection)以及您启用的任何集成服务进行编译的。

其他图表显示哪些类别、项目和资产生成最多的发现结果。

资产

可在资产信息中心查看显示 Google Cloud 资产的表。这些表显示了资产所有者、按资源类型和项目划分的资产计数,以及最近添加和更新的资产。

您可以按时间范围、资源名称、资源类型、所有者和项目来过滤资产数据,并快速深入了解特定资产的发现结果。如果您点击资产名称,系统会将您重定向到 Google Cloud 控制台中的 Security Command Center 资产页面,并显示所选资产的详细信息。

发现结果

发现结果信息中心包含一个显示最新发现结果的表。您可以按资源名称、类别和严重性来过滤数据。

表列包括发现结果名称(采用 organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var> 格式)、类别、资源名称、事件时间、创建时间、父级名称、父级 URI 和安全标记。父 URI 的格式与发现结果名称匹配。如果您点击发现结果名称,系统会将您重定向到 Google Cloud 控制台中的 Security Command Center 的发现结果页面,并显示所选发现结果的详细信息。

来源

来源信息中心会显示发现结果和安全来源的总数、按来源名称所示的发现结果数量,以及包含所有安全来源的表。表列包括名称、显示名称和说明。

修改信息中心

添加列

  1. 导航到信息中心。
  2. 点击修改,然后点击修改可视化
  3. 添加子存储桶下,选择拆分行
  4. 在列表中,选择聚合
  5. 降序下拉菜单中,选择升序或降序。在大小字段中,输入表的最大行数。
  6. 选择要添加的列。
  7. 保存更改。

移除列

  1. 转至信息中心。
  2. 点击修改
  3. 要隐藏列,请点击列名称旁边的公开范围(眼睛)图标。如需移除列,请点击列名称旁边的 X(删除)图标。

后续步骤