本頁說明如何自動將 Security Command Center 發現項目、資產和安全來源傳送至 Elastic Stack,而不需使用 Docker 容器。此外,也說明如何管理匯出的資料。Elastic Stack 是一種安全資訊與事件管理 (SIEM) 平台,可從一或多個來源擷取資料,讓安全團隊管理事件回應並執行即時分析。本指南討論的 Elastic Stack 設定包含四個元件:
- Filebeat:安裝在邊緣主機 (例如虛擬機器 (VM)) 上的輕量型代理程式,可設定為收集及轉送資料
- Logstash:轉換服務,可擷取資料、將資料對應至必要欄位,並將結果轉送至 Elasticsearch
- Elasticsearch:儲存資料的搜尋資料庫引擎
- Kibana:提供資訊主頁,可讓您以視覺化方式呈現及分析資料
升級至最新版本
如要升級至最新版本,您必須部署包含 GoApp 模組的 Docker 容器映像檔。詳情請參閱使用 Docker 和 Elastic Stack 匯出資產和發現項目。
如要升級至最新版本,請完成下列步驟:
- 從
//etc/systemd/system/刪除go_script.service。 - 刪除
GoApp資料夾。 - 刪除 Logstash 設定。
- 刪除
logstash2.service。 - 刪除
filebeat.service。 - (選用) 為避免匯入新資訊主頁時發生問題,請從 Kibana 移除現有資訊主頁:
- 開啟 Kibana 應用程式。
- 在導覽選單中前往「堆疊管理」,然後點選「已儲存的物件」。
- 搜尋「Google SCC」。
- 選取要移除的所有資訊主頁。
- 點選「刪除」。
- 將「記錄檔設定寫入者」 (
roles/logging.configWriter) 角色新增至服務帳戶。 - 為稽核記錄建立 Pub/Sub 主題。
- 如果您要在其他雲端安裝 Docker 容器,請設定 workload identity federation,不要使用服務帳戶金鑰。您必須建立短期服務帳戶憑證,並下載憑證設定檔。
- 完成「下載 GoApp 模組」中的步驟。
- 完成「安裝 Docker 容器」中的步驟。
- 完成「更新稽核記錄的權限」一文中的步驟。
- 按照「匯入 Kibana 資訊主頁」一文所述,匯入所有資訊主頁。
請按照「使用 Docker 和 Elastic Stack 匯出資產和調查結果」一文中的操作說明,管理 SIEM 整合。
管理服務和記錄檔
本節說明如何查看 GoApp 模組記錄,以及變更模組設定。
本節僅適用於您從 2022 年 2 月提供的 GoogleSCCElasticIntegration 安裝套件安裝的 GoApp 模組。如需最新資訊,請參閱「升級至最新版本」。
檢查服務狀態:
systemctl | grep go_script查看目前的工作記錄,其中包含執行失敗和其他服務資訊:
sudo journalctl -f -u go_script.service查看歷來和目前的工時記錄:
sudo journalctl -u go_script.service如要排解
go_script.service問題或檢查記錄,請按照下列步驟操作:cat go.log
解除安裝 GoApp 模組
如果不想再為 Elastic Stack 擷取 Security Command Center 資料,請解除安裝 GoApp 模組。
本節僅適用於您從 2022 年 2 月提供的 GoogleSCCElasticIntegration 安裝套件安裝的 GoApp 模組。如需最新資訊,請參閱「升級至最新版本」。
- 從
//etc/systemd/system/刪除go_script.service。 - 移除資產和 IAM 政策的動態消息。
- 移除資產、IAM 政策和發現項目的 Pub/Sub。
- 刪除工作目錄。
設定 Elastic Stack 應用程式
本節說明如何設定 Elastic Stack 應用程式,以擷取 Security Command Center 資料。這些操作說明假設您已正確安裝並啟用 Elastic Stack,且在應用程式環境中具備根權限。
本節僅適用於您從 2022 年 2 月提供的 GoogleSCCElasticIntegration 安裝套件安裝的 GoApp 模組。如需最新資訊,請參閱「升級至最新版本」。
查看 Logstash 服務記錄
如要查看目前的記錄,請執行下列指令:
sudo journalctl -f -u logstash2.service
如要查看歷史記錄,請執行下列指令:
sudo journalctl -u logstash2.service
解除安裝服務
- 刪除 Logstash 設定。
- 刪除
logstash2.service。
設定 Filebeat
本節僅適用於您從 2022 年 2 月提供的 GoogleSCCElasticIntegration 安裝套件安裝的 GoApp 模組。如需最新資訊,請參閱「升級至最新版本」。
查看 Filebeat 服務記錄
如要查看目前的記錄,請執行下列指令:
sudo journalctl -f -u filebeat.service
如要查看歷史記錄,請執行下列指令:
sudo journalctl -u filebeat.service
解除安裝服務
- 刪除 Logstash 設定。
- 刪除
filebeat.service。
查看 Kibana 資訊主頁
您可以在 Elastic Stack 中使用自訂資訊主頁,將發現項目、資產和安全性來源視覺化並進行分析。資訊主頁會顯示重要發現,協助安全團隊優先修正問題。
本節僅適用於您從 2022 年 2 月提供的 GoogleSCCElasticIntegration 安裝套件安裝的 GoApp 模組。如需最新資訊,請參閱「升級至最新版本」。
總覽
「總覽」資訊主頁包含一系列圖表,顯示貴機構中依嚴重程度、類別和狀態分類的發現事項總數。這些發現項目是從 Security Command Center 的內建服務 (安全狀態分析、Web Security Scanner、Event Threat Detection 和 Container Threat Detection) 彙整而來,以及您啟用的任何整合式服務。
其他圖表則會顯示哪些類別、專案和資產產生最多發現項目。
資產
「資產」資訊主頁會顯示表格,列出您的 Google Cloud 資產。表格會顯示資產擁有者、依資源類型和專案劃分的資產數量,以及您最近新增和更新的資產。
您可以依時間範圍、資源名稱、資源類型、擁有者和專案篩選資產資料,並快速深入瞭解特定資產的調查結果。按一下資產名稱,系統會將您重新導向至 Google Cloud 控制台的 Security Command Center「資產」頁面,並顯示所選資產的詳細資料。
發現項目
「調查結果」資訊主頁會顯示表格,列出您最近的調查結果。 您可以依資源名稱、類別和嚴重性篩選資料。
表格欄包括發現項目名稱 (格式為 organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>)、類別、資源名稱、事件時間、建立時間、父項名稱、父項 URI 和安全標記。父項 URI 的格式與尋找名稱相符。按一下發現項目名稱,系統會將您重新導向至 Google Cloud 控制台的 Security Command Center「發現項目」頁面,並顯示所選發現項目的詳細資料。
來源
「來源」資訊主頁會顯示發現項目和安全來源的總數、依來源名稱列出的發現項目數量,以及所有安全來源的表格。資料表欄包括名稱、顯示名稱和說明。
編輯資訊主頁
新增欄
- 前往資訊主頁。
- 依序點選「編輯」和「編輯視覺化效果」。
- 在「新增子儲存區」下方,選取「分割列」。
- 在清單中選取「匯總」。
- 在「遞減」下拉式選單中,選取遞增或遞減。在「size」欄位中,輸入表格的資料列數量上限。
- 選取要新增的資料欄。
- 儲存變更。
移除資料欄
- 前往資訊主頁。
- 按一下 [編輯]。
- 如要隱藏資料欄,請點按資料欄名稱旁邊的顯示設定或眼睛圖示。 如要移除資料欄,請點選欄名旁的「X」X或「刪除」圖示。
後續步驟
升級至最新版本,將 Security Command Center 與 Elastic Stack 整合。
進一步瞭解如何在 Security Command Center 中設定發現項目通知。
請參閱這篇文章,瞭解如何在 Security Command Center 中篩選發現項目通知。