Inviare i dati di Security Command Center a IBM QRadar

Questa pagina spiega come inviare automaticamente i risultati, gli asset, i log di controllo e le origini di sicurezza di Security Command Center a IBM QRadar. Descrive inoltre come gestire i dati esportati. QRadar è una piattaforma SIEM (Security Information and Event Management) che acquisisce dati di sicurezza da una o più origini e consente ai team di sicurezza di gestire le risposte agli incidenti ed eseguire analisi in tempo reale.

In questa guida, ti assicuri che i servizi Security Command Center e Google Cloud richiesti siano configurati correttamente e consenti a QRadar di accedere a risultati, audit log e asset nel tuo ambiente Security Command Center.

Prima di iniziare

Questa guida presuppone che tu stia utilizzando QRadar (v7.4.1 Fix Pack 2 o versioni successive). Per iniziare a utilizzare QRadar, consulta la sezione Registrarsi a QRadar.

Configura l'autenticazione e l'autorizzazione

Prima di connetterti a QRadar, devi creare un account di servizio Identity and Access Management (IAM) in ogni Google Cloud organizzazione a cui vuoi connetterti e concedere all'account i ruoli IAM a livello di organizzazione e di progetto di cui ha bisogno l'app Google SCC per QRadar.

Crea un account di servizio e concedi ruoli IAM

I seguenti passaggi utilizzano la console Google Cloud . Per altri metodi, consulta i link alla fine di questa sezione.

Completa questi passaggi per ogni Google Cloud organizzazione da cui vuoi importare i dati di Security Command Center.

  1. Nello stesso progetto in cui crei gli argomenti Pub/Sub, utilizza la pagina Service account nella console Google Cloud per creare un account di servizio. Per le istruzioni, vedi Creazione e gestione degli account di servizio.

  2. Concedi al account di servizio il seguente ruolo:

    • Editor Pub/Sub (roles/pubsub.editor)

  3. Copia il nome del account di servizio che hai appena creato.

  4. Utilizza il selettore di progetti nella console Google Cloud per passare al livello dell'organizzazione.

  5. Apri la pagina IAM per l'organizzazione:

    Vai a IAM

  6. Nella pagina IAM, fai clic su Concedi l'accesso. Si apre il riquadro Concedi accesso.

  7. Nel riquadro Concedi l'accesso, completa i seguenti passaggi:

    1. Nella sezione Aggiungi entità, nel campo Nuove entità, incolla il nome del account di servizio.

    2. Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere i seguenti ruoli IAM al account di servizio:

    3. Editor amministratore Centro sicurezza (roles/securitycenter.adminEditor)
    4. Editor configurazioni notifiche Centro sicurezza (roles/securitycenter.notificationConfigEditor)
    5. Visualizzatore organizzazione (roles/resourcemanager.organizationViewer)
    6. Visualizzatore Cloud Asset (roles/cloudasset.viewer)

    7. Fai clic su Salva. Il account di servizio viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.

      Per ereditarietà, l'account di servizio diventa anche un principal in tutti i progetti secondari dell'organizzazione. I ruoli applicabili a livello di progetto sono elencati come ruoli ereditati.

Per ulteriori informazioni sulla creazione di service account e sulla concessione di ruoli, consulta i seguenti argomenti:

Fornisci le credenziali a QRadar

A seconda di dove ospiti QRadar, il modo in cui fornisci le credenziali IAM a QRadar varia.

Configura le notifiche

Completa questi passaggi per ogni Google Cloud organizzazione da cui vuoi importare i dati di Security Command Center.

  1. Configura le notifiche dei risultati come segue:
    1. Abilita l'API Security Command Center.
    2. Crea un filtro per esportare i risultati e gli asset desiderati.
    3. Crea tre argomenti Pub/Sub: uno per i risultati, uno per i log di controllo e uno per gli asset. NotificationConfig deve utilizzare l'argomento Pub/Sub che crei per i risultati.

  2. Crea un sink per i log di controllo, come descritto in Raccogliere ed eseguire il routing dei log a livello di organizzazione verso destinazioni supportate. Il sink deve utilizzare l'argomento Pub/Sub che hai creato per gli audit log. Ad esempio:

    gcloud logging sinks create SINK_NAME SINK_DESTINATION \
  --include-children \
  --organization=ORGANIZATION_ID \
  --log-filter=FILTER

    Sostituisci quanto segue:

    • SINK_NAME con il nome del sink di log di controllo.

    • SINK_DESTINATION con pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

    • ORGANIZATION_ID con l'ID della tua organizzazione.

    • FILTER con logName:activity, logName:data_access, logName:system_event o logName:policy.

  3. Concedi il ruolo Publisher Pub/Sub (roles/pubsub.publisher) al account di servizio del sink.

  4. Abilita l'API Cloud Asset per il tuo progetto.

  5. Crea feed per le tue risorse. Devi creare due feed nello stesso argomento Pub/Sub, uno per le risorse e l'altro per i criteri IAM (Identity and Access Management).

    • L'argomento Pub/Sub per gli asset deve essere diverso da quello utilizzato per i risultati.
    • Per il feed delle risorse, utilizza il seguente filtro: content-type=resource.
    • Per il feed dei criteri IAM, devi utilizzare il seguente filtro: content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project".

Per configurare QRadar, avrai bisogno degli ID organizzazione e dei nomi delle sottoscrizioni Pub/Sub.

Installa l'app Google SCC per QRadar - QRadar v7.4.1FP2+

In questa sezione, installa l'app Google SCC per QRadar - QRadar v7.4.1FP2+ (v3.0.0). L'app, gestita da Security Command Center, automatizza il processo di pianificazione delle chiamate API Security Command Center e recupera regolarmente i dati di Security Command Center per l'utilizzo in QRadar.

L'installazione dell'app richiede l'accesso alla macchina della console QRadar tramite un'interfaccia web.

Per completare l'installazione:

  1. Scarica l'app Google SCC per QRadar da IBM App Exchange.
  2. Accedi alla console QRadar all'indirizzo https://QRadar_Console_IP.
  3. Nel menu della console, fai clic su Amministrazione, poi seleziona Gestione estensioni.
  4. Per selezionare il file ZIP di download, fai clic su Aggiungi. Segui le istruzioni mentre l'installazione viene preparata.
  5. Seleziona Avvia un'istanza predefinita per ogni app.
  6. Fai clic su Installa. Una volta completata l'installazione, vedrai un elenco dei componenti dell'applicazione.
  7. Fai clic sulla scheda Amministratore, quindi su Esegui il deployment delle modifiche.
  8. Svuota la cache del browser e aggiorna la finestra del browser.
  9. Vai a Gestione delle estensioni. Dovresti visualizzare Google SCC App For QRadar con lo stato Installato.

Configurare l'app Google SCC

In questa sezione configurerai l'app Google SCC. Per completare la configurazione, segui questi passaggi:

  1. Vai alla scheda Amministrazione in QRadar.
  2. Fai clic su Impostazioni app Google SCC.
  3. Fai clic su Aggiungi organizzazione Google SCC.

  4. Inserisci le seguenti variabili in base alle esigenze:

    • JSON dell'account di servizio: il file JSON che include la chiave dell'account di servizio

      Se ospiti il deployment di QRadar in Google Cloud, questo campo non è disponibile. Assicurati di fornire il account di servizio collegato alla VM con le autorizzazioni IAM per ogni Google Cloud organizzazione. Per ulteriori informazioni, vedi Fornire le credenziali a QRadar.

    • Configurazione delle credenziali: il file di configurazione delle credenziali che hai scaricato quando hai configurato la federazione delle identità per i workload

    • ID organizzazione: l'ID della tua organizzazione

    • Nome sottoscrizione risultati: nome della sottoscrizione Pub/Sub per le notifiche sui risultati

    • Nome sottoscrizione asset: nome della sottoscrizione Pub/Sub per il feed degli asset

    • Abilita raccolta audit log: seleziona questa opzione per inviare gli audit log all'istanza QRadar

      • Nome sottoscrizione log di controllo: nome della sottoscrizione Pub/Sub per il sink dei log di controllo

    • Intervallo: il numero di secondi tra le chiamate Pub/Sub durante la raccolta dei dati in tempo reale

    • Token di autorizzazione QRadar: il token per la tua istanza QRadar. Per recuperare un token:

      1. Vai alla scheda Amministrazione in QRadar.
      2. In Gestione utenti, fai clic su Servizio autorizzato.
      3. Copia il token di autorizzazione con Admin come ruolo utente e Admin come profilo di sicurezza. Se non hai un token, creane uno facendo clic su Aggiungi servizio autorizzato.
      4. Fai clic su Esegui il deployment delle modifiche e poi aggiorna la finestra del browser.

  5. Per inserire i dettagli facoltativi della configurazione del proxy, fai clic sul pulsante di attivazione/disattivazione Abilita/Disabilita proxy e poi inserisci le impostazioni del proxy:

    • IP/Nome host: l'indirizzo IP o il nome host del server proxy (non includere il prefisso HTTP/HTTPS)
    • Porta: la porta del server proxy
    • Nome utente: il nome utente utilizzato per il proxy di autenticazione
    • Password: la password utilizzata per il proxy di autenticazione

  6. Fai clic su Salva.

  7. Ripeti questi passaggi per ogni Google Cloud organizzazione che vuoi integrare.

La configurazione dell'app viene memorizzata e le tue organizzazioni vengono aggiunte alla pagina di configurazione dell'app. Le sezioni seguenti spiegano come visualizzare e gestire i dati di Security Command Center nel servizio.

Aggiornare l'app Google SCC

In questa sezione, esegui l'upgrade di un'app Google SCC esistente per QRadar all'ultima versione.

Per completare l'upgrade:

  1. Scarica l'ultima versione dell'app Google SCC da IBM App Exchange.
  2. Accedi alla console QRadar all'indirizzo https://QRadar_Console_IP.
  3. Nel menu della console, fai clic su Amministrazione, poi seleziona Gestione estensioni.
  4. Per selezionare il file ZIP di download, fai clic su Aggiungi. Segui le istruzioni mentre viene preparato l'upgrade.
  5. Seleziona Sostituisci elementi esistenti e Avvia un'istanza predefinita per ogni app.
  6. Fai clic su Installa. Al termine dell'upgrade, viene visualizzato un elenco dei componenti dell'applicazione.
  7. Fai clic sulla scheda Amministratore, quindi su Esegui il deployment delle modifiche.
  8. Svuota la cache del browser e aggiorna la finestra del browser.
  9. Vai a Gestione delle estensioni. Dovresti visualizzare Google SCC App For QRadar con lo stato Installato.

  10. Rimuovi i log delle applicazioni degli utenti che accedono all'applicazione da QRadar utilizzando SSH:

    1. Scarica l'ultima versione dell'app Reference Data Management da IBM App Exchange.

    2. Accedi alla console QRadar all'indirizzo https://QRadar_Console_IP.

    3. Nel menu della console, fai clic su Amministrazione e poi seleziona Gestione estensioni.

    4. Per selezionare il file ZIP di download, fai clic su Aggiungi. Segui le istruzioni per installare l'applicazione.

    5. Nella console, vai alla dashboard Gestione dei dati di riferimento.

    6. Fai clic su Mappa di riferimento.

    7. Seleziona asset_owners e fai clic su Cancella dati.

Visualizzare i dati esportati in QRadar

Questa sezione descrive le funzionalità pertinenti disponibili in QRadar, tra cui la ricerca di risultati, log di controllo e asset, la visualizzazione delle norme IAM e la visualizzazione di dashboard personalizzate.

Ricerca dei dati

Per cercare i dati di Security Command Center in QRadar, utilizza il pannello Attività log. Puoi visualizzare risultati, asset, log di controllo e origini di sicurezza inseriti e applicare filtri in stile SQL per perfezionare i dati.

Visualizza i dati dei criteri IAM

Per visualizzare i dati delle policy IAM per i tuoi asset:

  1. Scarica e installa l'applicazione Reference Data Management dal portale IBM App Exchange.
  2. Fai clic sulla dashboard Gestione dati di riferimento in QRadar.
  3. Nel pannello di navigazione, fai clic su Mappa di riferimento.
  4. Seleziona asset_owners. La dashboard viene compilata con i dati dei criteri IAM.

dashboard personalizzate

Puoi utilizzare dashboard personalizzate in QRadar per visualizzare e analizzare i risultati, gli asset e le origini di sicurezza.

Panoramica

La dashboard Panoramica mostra il numero totale di risultati, minacce e vulnerabilità nelle tue organizzazioni Google Cloud . I risultati vengono compilati dai servizi integrati di Security Command Center, come Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, nonché da tutti i servizi integrati che abiliti.

Puoi filtrare i dati per aggiornare le visualizzazioni, specificare l'organizzazione e recuperare nuovi dati on demand. Google Cloud

Asset

La scheda Risorse mostra una tabella dei tuoi Google Cloud asset. I dati della tabella includono il nome dell'asset, il tipo di asset, i proprietari delle risorse, l'ora dell'ultimo aggiornamento e i link alla pagina Asset di Security Command Center nella console Google Cloud .

Puoi cercare e filtrare i dati delle risorse in base a organizzazione, intervallo di tempo e tipo di risorsa e visualizzare in dettaglio i risultati per risorse specifiche.

Fonti

La scheda Fonti mostra una tabella delle tue fonti di sicurezza, tra cui nome, nome visualizzato e descrizione della fonte. Se fai clic sul nome di un'origine, puoi visualizzare i risultati per quell'origine.

Risultati

La scheda Risultati mostra una tabella dei risultati della tua organizzazione. Puoi cercare nella tabella e filtrare l'elenco in base a intervallo di tempo, categoria, gravità, origine di sicurezza, asset e nome del progetto.

Le colonne della tabella includono nome del risultato, categoria, nome della risorsa, nome dell'origine di sicurezza, indicatori di sicurezza, gravità, nome del progetto, ora dell'evento, ora dell'evento, classe del risultato e stato dell'aggiornamento. Se fai clic sul nome di un risultato, viene visualizzata la pagina Risultati di Security Command Center nella consoleGoogle Cloud e vengono mostrati i dettagli del risultato selezionato.

Nella colonna Stato aggiornamento, puoi aggiornare lo stato di un risultato. Per indicare che stai esaminando attivamente un risultato, fai clic su Contrassegna come ATTIVO. Se non stai esaminando attivamente un risultato, fai clic su Contrassegna come INATTIVO.

Audit log

La dashboard Log di controllo mostra una serie di grafici e tabelle che mostrano le informazioni dei log di controllo. Gli audit log inclusi nella dashboard sono quelli relativi ad attività di amministrazione, accesso ai dati, eventi di sistema e accessi negati in base ai criteri. La tabella include ora, nome del log, gravità, nome del servizio, nome della risorsa e tipo di risorsa.

Controllare i log dell'applicazione

  1. Accedi a QRadar tramite SSH.

  2. Elenca tutte le applicazioni installate e i relativi valori di App-ID:

    /opt/qradar/support/recon ps

    L'output è simile al seguente. Prendi nota del App-ID dell'app Google SCC.

    App-ID  Name                                    Managed Host ID Workload ID             Service Name    AB       Container Name          CDEGH          Port          IJKL
1101    QRadar Log Source Management            53              apps                    qapp-1101       ++           qapp-1101           +++++          5000          ++++
1104    QRadar Assistant                        53              apps                    qapp-1104       ++           qapp-1104           +++++          5000          ++++
1105    QRadar Use Case Manager                 53              apps                    qapp-1105       ++           qapp-1105           +++++          5000          ++++
1163    IBM QRadar Pre-Validation App Service   53              apps                    qapp-1163       ++           qapp-1163           +++++          5000          ++++
1164    IBM QRadar Pre-Validation App UI        53              apps                    qapp-1164       ++           qapp-1164           +++++          5000          ++++
1170    Google SCC                              53              apps                    qapp-1170       ++           qapp-1170           +++++          5000          ++++

  3. Connettiti al contenitore dell'app Google SCC:

    /opt/qradar/support/recon connect APP_ID

    Sostituisci APP_ID con l'App-ID dell'app Google SCC.

  4. Vai alla directory dei log:

    cd /opt/app-root/store/log

  5. Elenca tutti i file nella directory:

    ls

  6. Visualizza i contenuti di un file:

    cat FILENAME

    Sostituisci FILENAME con il nome del file.

Disinstallare l'app Google SCC

Per disinstallare l'app Google SCC:

  1. Vai alla scheda Amministrazione.
  2. Seleziona Gestione estensioni.
  3. Seleziona Google SCC App For QRadar - QRadar v7.4.1FP2+.
  4. Fai clic su Disinstalla.

Se disinstalli l'applicazione, le proprietà degli eventi personalizzati, le mappe di riferimento, i dashboard e le origini log forniti dall'app Google SCC vengono rimossi.

Problemi noti

Questa sezione elenca i problemi noti relativi all'app Google SCC e alle dashboard QRadar.

v1.0.0

  • Nella dashboard Panoramica, il riquadro Risultati per gravità nel tempo mostra un errore tecnico per i dati superiori a 250.000 risultati e il processo flask, che popola le dashboard, viene riavviato nel backend. Per evitare questo problema, seleziona un intervallo di tempo più breve per la dashboard.

    Questo problema è stato risolto nella versione 2.0.0.

  • Gli asset eliminati potrebbero essere visualizzati nella dashboard Asset a causa di un comportamento imprevisto della funzione AQL GROUP BY.

v2.0.0

  • Gli asset eliminati potrebbero essere visualizzati nella dashboard Asset a causa di un comportamento imprevisto della funzione AQL GROUP BY.
  • La dashboard Risultati potrebbe non mostrare i dati più recenti dopo l'aggiornamento dell'app Google SCC a causa di un comportamento imprevisto della funzione GROUP BY AQL.

v3.0.0

  • La dashboard potrebbe non mostrare gli eventi più recenti quando sono disponibili più eventi con la stessa chiave univoca a causa di un comportamento imprevisto della funzione AQL GROUP BY.
  • Per i dati già importati utilizzando la versione 2, il filtro ID organizzazione non è applicabile. Puoi visualizzare i dati selezionando il valore Tutti nel filtro ID organizzazione.

Risoluzione dei problemi

Questa sezione descrive le soluzioni ad alcuni problemi comuni.

Gli eventi Google SCC vengono visualizzati come messaggi Google SCC

Problema: gli eventi di Security Command Center verranno visualizzati come messaggi di Security Command Center anziché essere identificati come la categoria QRadar corretta. I messaggi vengono visualizzati nella scheda Attività log in QRadar quando un utente cerca un evento da un'origine log Google Cloud .

Questo problema si verifica quando un campo obbligatorio non è presente in un evento di log non elaborato o se la dimensione del payload dell'evento è superiore a 4096 byte predefiniti, il che può causare il troncamento degli eventi.

Soluzione: se i payload vengono troncati, segui questi passaggi per aumentare le dimensioni massime del payload:

  1. Vai alla scheda Amministrazione e seleziona Impostazioni di sistema.
  2. In Passa a, fai clic su Avanzate.
  3. Nell'elenco delle impostazioni, segui questi passaggi:
    1. Seleziona Lunghezza payload Syslog TCP max e aumenta il valore; il valore consigliato è 32.000.
    2. Seleziona Lunghezza payload Syslog UDP max e aumenta il valore. Il valore consigliato è 32.000.
  4. Fai clic su Esegui il deployment delle modifiche e utilizza l'opzione Deployment completo.

Eventi Google SCC elencati come eventi sconosciuti

Problema: gli eventi di Security Command Center sono elencati come Sconosciuto. Questo problema si verifica quando l'ID evento e la categoria del payload non sono mappati in QRadar.

Soluzione: segui questi passaggi per risolvere il problema:

  1. Vai ad Attività log e poi fai clic su Aggiungi filtro.
  2. Seleziona Parametro, quindi Tipo di origine log (indicizzato).
  3. Seleziona Operatore e poi Uguale a.
  4. Seleziona Tipo di origine log, quindi seleziona Google SCC.
  5. Nel menu a discesa del filtro Visualizzazioni, seleziona Ultimi 7 giorni.
  6. Se gli eventi vengono visualizzati come Sconosciuto, procedi nel seguente modo:
    1. Fai clic con il tasto destro del mouse sull'evento e seleziona Visualizza nell'editor DSM.
    2. In Anteprima attività log, controlla i valori di ID evento e Categoria evento.
    3. Se i valori sono sconosciuti, contatta l'assistenza Cloud.

La configurazione dell'app non riesce e vengono visualizzati messaggi di errore

Se ricevi un errore di configurazione dell'app, segui questi passaggi per risolvere il problema.

Errore Descrizione Soluzione
"Inserisci un JSON del service account valido." Questo errore si verifica se viene fornito un file JSON formattato correttamente, ma l'autenticazione non va a buon fine durante il tentativo di salvare la configurazione. Inserisci un JSON valido con le credenziali dell'account corrette.
"Service Account JSON should be JSON string." (Il JSON dell'account di servizio deve essere una stringa JSON.) Questo errore si verifica se viene fornito un file JSON formattato in modo errato o se il file è in un formato diverso da JSON. Inserisci un file JSON valido.
"Inserisci un ID organizzazione valido". Questo errore si verifica quando viene inserito un ID organizzazione errato o incompleto. Verifica l'ID organizzazione e inseriscilo di nuovo.
"Inserisci un ID progetto o un ID abbonamento ai risultati valido." Questo errore si verifica quando viene inserito un ID progetto o un ID abbonamento errato o non valido. Verifica l'ID progetto e l'ID organizzazione e inseriscili di nuovo.
"Inserisci un ID abbonamento ad Asset valido." Questo errore si verifica quando viene inserito un ID abbonamento alla risorsa errato o non valido. Verifica l'ID abbonamento all'asset e inseriscilo di nuovo.
"Error while validating authorization token." (Errore durante la convalida del token di autorizzazione.) Questo errore si verifica quando viene fornito un token di autorizzazione QRadar errato o non valido. Verifica il token di autorizzazione QRadar e inseriscilo di nuovo. Deve avere Amministratore come ruolo utente e profilo di sicurezza. Inoltre, il token non deve essere scaduto.

Errore durante l'inizializzazione della connessione socket con QRadar

Problema: nei file di log della raccolta dei dati viene visualizzato il messaggio di errore "Error while initiating socket connection with IBM QRadar". Questo problema potrebbe essere osservato nel framework dell'app QRadar v2 (< v7.4.2 P2).

Soluzione: segui questi passaggi per risolvere il problema:

  1. Consulta la nota di assistenza relativa alle modifiche di implementazione di QRadar.
  2. Esegui l'upgrade di QRadar.

Problemi di interfaccia

Problema: un riquadro del dashboard o una pagina di configurazione mostra errori o un comportamento inatteso.

Soluzione: segui questi passaggi per risolvere il problema:

  1. Svuota la cache del browser e ricarica la pagina web.
  2. Riduci l'intervallo di tempo del filtro. Le query QRadar potrebbero scadere se il numero di risposte è troppo elevato.
  3. Se il problema persiste, contatta l'assistenza Cloud.

I pannelli della dashboard non vengono caricati e il processo Flask viene interrotto

Problema: il processo Flask scade e alcuni pannelli della dashboard non vengono caricati.

Soluzione: segui questi passaggi per risolvere il problema:

  1. Svuota la cache del browser e ricarica la pagina web.
  2. Riduci l'intervallo di tempo del filtro. Le query QRadar potrebbero scadere se il numero di risposte è troppo elevato.
  3. Se il problema persiste, contatta l'assistenza Cloud.

Tutti gli altri problemi di rendimento

Se il problema non viene risolto seguendo le istruzioni di questa guida, procedi nel seguente modo:

  1. Vai alla scheda Amministratore e fai clic su Gestione sistema e licenze.
  2. Seleziona l'host su cui è installata l'app Google SCC per QRadar - QRadar v7.4.1FP2+.
  3. Fai clic su Azione e poi seleziona Raccogli file di log.
  4. Nella finestra di dialogo, fai clic su Opzioni avanzate.
  5. Seleziona le caselle di controllo accanto a Includi log di debug, Log estensione applicazione e Log di configurazione (versione attuale).
  6. Seleziona due giorni come input di dati, poi fai clic su Raccogli file di log.

  7. Seleziona Fai clic qui per scaricare i file.

    I file di log verranno scaricati in un file zip. Contatta l'assistenza cloud e condividi i file di log.

Passaggi successivi