Como enviar dados do Security Command Center para o IBM QRadar

Nesta página, explicamos como enviar automaticamente descobertas, recursos, registros de auditoria e fontes de segurança do Security Command Center ao IBM QRadar. Também descreve como gerenciar os dados exportados. O QRadar é uma plataforma de gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês) que ingere dados de segurança de uma ou mais fontes e permite que as equipes de segurança gerenciem respostas a incidentes e realizem análises em tempo real.

Neste guia, você garante que os serviços necessários do Security Command Center e do Google Cloud sejam configurados corretamente e que o QRadar acesse as descobertas, os registros de auditoria e os recursos do seu ambiente do Security Command Center.

Antes de começar

Este guia presume que você esteja usando o QRadar (v7.4.1 Fix Pack 2 ou posterior). Para começar a usar o QRadar, consulte Inscreva-se no QRadar.

Configurar autenticação e autorização

Antes de se conectar ao QRadar, crie uma conta de serviço do Identity and Access Management (IAM) em cada organização do Google Cloud a que você quer se conectar e conceda a ela os papéis do IAM no nível da organização e do projeto de que o app Google SCC para QRadar precisa.

Criar uma conta de serviço e conceder papéis do IAM

As etapas a seguir usam o console do Google Cloud. Para ver outros métodos, consulte os links no final desta seção.

Conclua estas etapas para cada organização do Google Cloud de onde você quer importar dados do Security Command Center.

No mesmo projeto em que você cria os tópicos do Pub/Sub, use a página Contas de serviço no console do Google Cloud para criar uma conta de serviço. Veja instruções em Como criar e gerenciar contas de serviço.
Conceda à conta de serviço a este papel:
- Editor do Pub/Sub (roles/pubsub.editor)
Copie o nome da conta de serviço que você acabou de criar.
Use o seletor de projetos no console do Google Cloud para mudar para o nível da organização.
Abra a página IAM da organização:

Acessar IAM
Na página do IAM, clique em Conceder acesso. O painel de concessão de acesso é aberto.
No painel Conceder acesso, conclua as seguintes etapas:
1. Na seção Adicionar principais no campo Novos principais, cole o nome da conta de serviço.
2. Na seção Atribuir papéis, use o campo Papel para conceder os seguintes papéis do IAM à conta de serviço:
  - Editor administrador da Central de segurança (roles/securitycenter.adminEditor)
  - Editor de configurações de notificação da Central de segurança (roles/securitycenter.notificationConfigEditor)
  - Leitor da organização (roles/resourcemanager.organizationViewer)
  - Leitor de recursos do Cloud (roles/cloudasset.viewer)
3. Clique em Save. A conta de segurança aparece na guia Permissões da página IAM em Ver pelos principais.
  
  Por herança, a conta de serviço também se torna uma conta principal em todos os projetos filhos da organização e os papéis aplicáveis no nível do projeto são listados como papéis herdados.

Para mais informações sobre como criar contas de serviço e conceder papéis, consulte estes tópicos:

Fornecer as credenciais para o QRadar

Dependendo do local de hospedagem do QRadar, as maneiras de fornecer as credenciais do IAM para o QRadar são diferentes.

Se você estiver hospedando a implantação do QRadar no Google Cloud, a conta de serviço que você criou e os papéis no nível da organização que você concedeu a ela estarão disponíveis automaticamente por herança da organização mãe. Se você estiver usando várias organizações do Google Cloud, adicione essa conta de serviço às outras organizações e conceda a ela os papéis do IAM descritos nas etapas 5 a 7 de Criar uma conta de serviço e conceder papéis do IAM.
Se você estiver hospedando o QRadar no ambiente local ou no IBM Cloud, crie uma chave de conta de serviço para cada organização do Google Cloud. Você precisará das chaves da conta de serviço no formato JSON para concluir este guia.

Para saber mais sobre as práticas recomendadas para armazenar as chaves da conta de serviço com segurança, consulte Práticas recomendadas para gerenciar chaves de contas de serviço.
Se você estiver hospedando o QRadar no Microsoft Azure ou Amazon Web Services, configure a federação de identidade da carga de trabalho e faça o download dos arquivos de configuração de credenciais. Se você estiver usando várias organizações do Google Cloud, adicione essa conta de serviço às outras organizações e conceda a ela os papéis do IAM descritos nas etapas 5 a 7 de Criar uma conta de serviço e conceder papéis do IAM.

Configurar notificações

Conclua estas etapas para cada organização do Google Cloud de onde você quer importar dados do Security Command Center.

Configure as notificações de descoberta da seguinte forma:
1. Ative a API Security Command Center.
2. Crie um filtro para exportar as descobertas e os recursos desejados.
3. Crie três tópicos do Pub/Sub: cada um para descobertas, registros de auditoria e recursos. O NotificationConfig precisa usar o tópico do Pub/Sub criado para as descobertas.
Crie um coletor para os registros de auditoria, conforme descrito em Agrupar e rotear registros no nível da organização para destinos compatíveis. O coletor precisa usar o tópico do Pub/Sub criado para os registros de auditoria. Exemplo:
```
gcloud logging sinks create SINK_NAME  /SINK_DESTINATION
  --include-children /
  --organization=ORGANIZTION_ID /
  --log-filter=FILTER
```
Substitua:
- SINK_NAME pelo nome do coletor de registro de auditoria.
- SINK_DESTINATION com pubsub.googleapis.com/projects/PROJECT_ID/topic/TOPIC_ID
- ORGANIZATION_ID pelo ID da organização.
- FILTER por logName:activity, logName:data_access, logName:system_event ou logName:policy.
Conceda o papel de Publicador do Pub/Sub (roles/pubsub.publisher) à conta de serviço do coletor.
Ative a API Cloud Asset no projeto.
Crie feeds para seus recursos. É preciso criar dois feeds no mesmo tópico do Pub/Sub, um para os recursos e outro para as políticas de gerenciamento de identidade e acesso (IAM).
- O tópico do Pub/Sub para recursos precisa ser diferente do usado para descobertas.
- Para o feed dos recursos, use o seguinte filtro: content-type=resource.
- Para o feed de políticas do IAM, use o seguinte filtro: content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project".

Você precisará dos IDs da organização e dos nomes de assinatura do Pub/Sub para configurar o QRadar.

Instale o app Google SCC para QRadar – QRadar v7.4.1FP2+

Nesta seção, você instalará o app Google SCC para QRadar - QRadar v7.4.1FP2+ (v3.0.0). O app, que é mantido pelo Security Command Center, automatiza o processo de programação de chamadas de API do Security Command Center e recupera regularmente os dados dele para uso no QRadar.

A instalação do app requer acesso à máquina do console QRadar por meio de uma interface da Web.

Para concluir a instalação, faça o seguinte:

Faça o download do app Google SCC para QRadar no IBM App Exchange.
Faça login no console do QRadar em https://QRadar_Console_IP.
No menu do console, clique em Administrador e selecione Gerenciamento de extensões.
Para selecionar o arquivo ZIP de download, clique em Adicionar. Siga as instruções enquanto a instalação é preparada.
Selecione Iniciar uma instância padrão para cada aplicativo.
Clique em Instalar. Após a conclusão da instalação, você verá uma lista de componentes do aplicativo.
Clique na guia Admin e em Deploy changes.
Limpe o cache e atualize a janela do navegador.
Navegue até Gerenciamento de extensões. Você verá App SCC do Google para QRadar com o status Instalado.

Configurar o app SCC do Google

Nesta seção, você configura o app Google SCC. Para concluir a configuração, faça o seguinte:

Navegue até a guia Admin no QRadar.
Clique em Google SCC App Settings.
Clique em Adicionar organização do Google SCC.
Digite as seguintes variáveis conforme necessário:
- JSON da conta de serviço: o arquivo JSON que inclui a chave da conta de serviço
  
  Se você hospedou a implantação do QRadar no Google Cloud, este campo não fica disponível. Informe a conta de serviço vinculada à VM com as permissões do IAM para cada organização do Google Cloud. Para mais informações, consulte Fornecer as credenciais ao QRadar.
- Credential Configuration: é o arquivo de configuração de credenciais que você salvou ao configurar a federação de identidade da carga de trabalho.
- ID da organização: o ID da sua organização
- Nome da assinatura de descobertas: nome da assinatura do Pub/Sub das notificações de descobertas
- Nome da assinatura dos recursos: nome da assinatura do Pub/Sub do feed de recursos
- Ativar a coleta de registros de auditoria: selecione para enviar os registros de auditoria à instância do QRadar
  - Nome da assinatura de registro de auditoria: nome da assinatura do Pub/Sub para o coletor de registros de auditoria
- Intervalo: o número de segundos entre chamadas do Pub/Sub durante a coleta de dados em tempo real.
- Token de autorização do QRadar: o token da sua instância de QRadar. Para recuperar um token, faça o seguinte:
  1. Navegue até a guia Admin no QRadar.
  2. Em Gerenciamento de usuários, clique em Serviço autorizado.
  3. Copie seu token de autorização com Administrador como um papel de usuário e Administrador como perfil de segurança. Caso não tenha um token, crie um clicando em Adicionar serviço autorizado.
  4. Clique em Implantar alterações e atualize a janela do navegador.
Para inserir detalhes opcionais de configuração de proxy, clique no botão Ativar/Desativar proxy e digite suas configurações de proxy:
- IP/Nome do host: o endereço IP ou o nome do host do servidor proxy (não inclua o prefixo HTTP/HTTPS).
- Port: a porta do seu servidor proxy
- Nome de usuário: o nome de usuário usado no proxy de autenticação
- Senha: a senha usada para o proxy de autenticação
Clique em Save.
Repita essas etapas para cada organização do Google Cloud que você quiser integrar.

A configuração do app é armazenada, e as organizações são adicionadas à página de configuração do app. Veja nas seções a seguir como visualizar e gerenciar os dados do Security Command Center no serviço.

Fazer upgrade do app Google SCC

Nesta seção, você fará upgrade de um app Google SCC existente para QRadar para a versão mais recente.

Para concluir o upgrade, faça o seguinte:

Faça o download da versão mais recente do app Google SCC no IBM App Exchange.
Faça login no console do QRadar em https://QRadar_Console_IP.
No menu do console, clique em Administrador e selecione Gerenciamento de extensões.
Para selecionar o arquivo ZIP de download, clique em Adicionar. Siga as instruções enquanto o upgrade é preparado.
Selecione Substituir itens existentes e Iniciar uma instância padrão para cada aplicativo.
Clique em Instalar. Depois que o processo de upgrade for concluído, você verá uma lista de componentes do aplicativo.
Clique na guia Admin e em Deploy changes.
Limpe o cache e atualize a janela do navegador.
Navegue até Gerenciamento de extensões. Você verá App SCC do Google para QRadar com o status Instalado.
Remova os registros do aplicativo dos usuários que acessam o aplicativo pelo QRadar usando SSH:
1. Faça o download da versão mais recente do app de gerenciamento de dados de referência pelo IBM App Exchange.
2. Faça login no console do QRadar em https://QRadar_Console_IP.
3. No menu do console, clique em Administrador e selecione Gerenciamento de extensões.
4. Para selecionar o arquivo ZIP de download, clique em Adicionar. Siga as instruções para instalar o aplicativo.
5. No console, acesse o painel Gerenciamento de dados de referência.
6. Clique em Mapa de referência.
7. Selecione asset_owners e clique em Limpar dados.

Ver os dados exportados no QRadar

Nesta seção, descrevemos as funcionalidades relevantes disponíveis no QRadar, incluindo a pesquisa de descobertask, registros de auditoria e recursos, a visualização de políticas do IAM e a visualização de painéis personalizados.

Pesquisar dados

Para pesquisar dados do Security Command Center no QRadar, use o painel Log Activity. É possível ver as descobertas ingeridas, os recursos, os registros de auditoria e as fontes de segurança e aplicar filtros no estilo SQL para refinar os dados.

Visualizar dados da política de IAM

Para visualizar os dados da política de IAM dos seus recursos, faça o seguinte:

Faça o download e instale o aplicativo Gerenciamento de dados de referência do IBM App Exchange Portal
Clique no painel Gerenciamento de dados de referência no QRadar.
No painel de navegação, clique em Mapa de referência.
Selecione asset_owners. O painel é preenchido com os dados da política do IAM.

Painéis personalizados

É possível usar os painéis personalizados no QRadar para visualizar e analisar suas descobertas, recursos e fontes de segurança.

Informações gerais

O painel Aspecto geral exibe o número total de descobertas, ameaças e vulnerabilidades das organizações do Google Cloud. As descobertas são compiladas nos serviços integrados do Security Command Center, como: Análise de integridade da segurança, Web Security Scanner, Event Threat Detection e Container Threat Detection, além de todos os serviços integrados ativados.

É possível filtrar os dados para atualizar as visualizações, especificar a organização do Google Cloud e buscar novos dados sob demanda.

Recursos (em inglês)

A guia Recursos exibe uma tabela dos seus recursos do Google Cloud. Os dados da tabela incluem o nome, o tipo e os proprietários dos recursos, o horário da última atualização e os links para a página Recursos do Security Command Center no Console do Google Cloud.

Pesquise e filtre os dados de recursos por organização, intervalo de tempo e tipo de recurso, além de detalhar as descobertas de recursos específicos.

Origens

A guia Fontes exibe uma tabela das suas origens de segurança, incluindo o nome, a exibição e a descrição da origem. Ao clicar no nome de uma origem, é possível ver as descobertas dessa origem.

Descobertas

A guia Descobertas exibe uma tabela das descobertas da sua organização. É possível pesquisar na tabela e filtrar a lista por intervalo de tempo, categoria, gravidade, origem de segurança, recurso e nome do projeto.

As colunas da tabela incluem o nome da descoberta, categoria, nome do recurso, nome da fonte de segurança, marcas de segurança, gravidade, nome do projeto, hora do evento, hora do evento, classe de descoberta e status da atualização. Ao clicar no nome de uma descoberta, você será redirecionado para a página Descobertas do Security Command Center no Console do Google Cloud e mostrará os detalhes da descoberta selecionada.

Na coluna Status da atualização, é possível atualizar o estado de uma descoberta. Para indicar que você está revisando ativamente uma descoberta, clique em Marcar como ATIVA. Se você não estiver revisando ativamente uma descoberta, clique em Marcar como INATIVA.

Registros de auditoria

O painel Registros de auditoria exibe uma série de gráficos e tabelas que mostra informações sobre o registro de auditoria. Os registros de auditoria incluídos no painel são atividades do administrador, acesso a dados, eventos do sistema e registros de auditoria negados pela política. A tabela inclui a hora, o nome do registro, a gravidade, o nome do serviço, o nome do recurso e o tipo de recurso.

Verificar os registros do aplicativo

Faça login no QRadar via SSH.

Liste todos os apps instalados e os respectivos valores App-ID:

/opt/qradar/support/recon ps

A resposta será semelhante a esta: Anote o App-ID do app Google SCC.

App-ID  Name                                    Managed Host ID Workload ID             Service Name    AB       Container Name          CDEGH          Port          IJKL
1101    QRadar Log Source Management            53              apps                    qapp-1101       ++           qapp-1101           +++++          5000          ++++
1104    QRadar Assistant                        53              apps                    qapp-1104       ++           qapp-1104           +++++          5000          ++++
1105    QRadar Use Case Manager                 53              apps                    qapp-1105       ++           qapp-1105           +++++          5000          ++++
1163    IBM QRadar Pre-Validation App Service   53              apps                    qapp-1163       ++           qapp-1163           +++++          5000          ++++
1164    IBM QRadar Pre-Validation App UI        53              apps                    qapp-1164       ++           qapp-1164           +++++          5000          ++++
1170    Google SCC                              53              apps                    qapp-1170       ++           qapp-1170           +++++          5000          ++++

Conecte-se ao contêiner do aplicativo Google SCC:
```
/opt/qradar/support/recon connect APP_ID
```
Substitua APP_ID pelo App-ID do app Google SCC.
Acesse o diretório de registros:
```
cd /opt/app-root/store/log
```
Liste todos os arquivos no diretório:
```
ls
```
Ver o conteúdo de um arquivo:
```
cat FILENAME
```
Substitua FILENAME pelo nome do arquivo.

Desinstalar o app SCC do Google

Para desinstalar o app SCC do Google, faça o seguinte:

Acesse a guia Administrador.
Selecione Gerenciamento de extensões.
Selecione Google SCC App For QRadar - QRadar v7.4.1FP2+.
Clique em Desinstalar.

Se você desinstalar o aplicativo, as propriedades de eventos personalizados, os mapas de referência, os painéis e as origens de registro fornecidas pelo app SCC do Google serão removidos.

Problemas conhecidos

Esta seção lista problemas conhecidos com os painéis do Google app SCC e do QRadar.

v1.0.0

No painel Visão geral, o painel Descobertas por gravidade ao longo do tempo exibe um erro técnico para dados com mais de 250.000 descobertas e o processo dos frascos, que preenche o painéis, é reiniciado no back-end. Para evitar esse problema, selecione um intervalo de tempo menor para o painel.

Esse problema foi resolvido na versão 2.0.0.
Os recursos excluídos podem aparecer no painel Recursos devido a um comportamento inesperado da função AQL do GROUP BY.

v2.0.0

Os recursos excluídos podem aparecer no painel Recursos devido a um comportamento inesperado da função AQL do GROUP BY.
O painel Descobertas pode não exibir os dados mais recentes das descobertas depois de atualizar o app SCC do Google devido a um comportamento inesperado da função AQL do GROUP BY.

v3.0.0

Quando vários eventos estiverem disponíveis com a mesma chave exclusiva, o painel talvez não mostre os eventos mais recentes devido a um comportamento inesperado da função AQL GROUP BY.
O filtro ID da organização não é aplicável aos dados já ingeridos usando a v2. Selecione o valor Todos no filtro ID da organização para visualizar os dados.

Resolver problemas

Esta seção descreve soluções para alguns problemas comuns.

Os eventos SCC do Google são mostrados como mensagens SCC do Google

Problema: os eventos do Security Command Center aparecerão como mensagens do Security Command Center, em vez de serem identificados como a categoria QRadar correta. As mensagens são exibidas na guia Log Activity no QRadar quando um usuário pesquisa um evento de uma origem de registro do Google Cloud.

Esse problema ocorre quando um campo obrigatório não está presente em um evento de registro bruto, ou quando o tamanho do payload do evento é maior que o padrão de 4.096 bytes, o que pode fazer com que os eventos sejam truncados.

Solução: se os payloads forem truncados, execute as seguintes etapas para aumentar o tamanho máximo do payload:

Navegue até a guia Admin e selecione System settings.
Em Alternar para, clique em Avançado.
Na lista de configurações, faça o seguinte:
1. Selecione Max TCP Syslog Payload Length e aumente o valor dele. O valor recomendado é de 32.000.
2. Selecione Max UDP Syslog Payload Length e aumente o valor dele. O valor recomendado é de 32.000.
Clique em Implantar alterações e use a opção Implantação completa.

Eventos do SCC do Google listados como eventos desconhecidos

Problema: os eventos do Security Command Center são listados como Desconhecido. Esse problema ocorre quando o ID e a categoria do evento do payload não são mapeados no QRadar.

Solução: execute as seguintes etapas para corrigir o problema:

Navegue até a Atividade do registro e clique em Adicionar filtro.
Selecione Parâmetro e, depois, Tipo de origem do registro (indexado).
Selecione Operador e Igual a.
Selecione Log Source Type e, em seguida, Google SCC.
No menu suspenso Filtro de visualizações, selecione Últimos 7 dias.
Se os eventos forem exibidos como Desconhecido, siga estas etapas:
1. Clique com o botão direito do mouse no evento e selecione Visualizar no editor de DS.
2. Em Visualização da atividade de registro, verifique os valores de ID do evento e Categoria do evento.
3. Se os valores forem desconhecidos, entre em contato com o Suporte do Cloud.

A configuração do aplicativo falha com mensagens de erro

Se você receber um erro de configuração do app, siga estas etapas para corrigir o problema.

Erro	Descrição	Solução
"Insira um JSON da conta de serviço válido."	Esse erro ocorrerá se um JSON formatado corretamente for fornecido, mas a autenticação falhar ao tentar salvar a configuração.	Digite um JSON válido com as credenciais da conta corretas.
"O JSON da conta de serviço precisa ser uma string JSON."	Esse erro ocorrerá se um JSON formatado incorretamente for fornecido ou o arquivo estiver em um formato diferente de JSON.	Insira um arquivo JSON válido.
"Insira um código da organização válido."	Esse erro ocorre quando um código da organização incorreto ou incompleto é inserido.	Verifique o ID da organização e digite-o novamente.
"Insira um ID de projeto válido ou o ID de assinatura de descobertas."	Esse erro ocorre quando um ID do projeto ou da assinatura incorreto ou inválido é inserido.	Verifique o ID do projeto e da organização e digite-os novamente.
"Insira um ID de assinatura de recursos válido."	Esse erro ocorre quando um ID de assinatura do recurso incorreto ou inválido é inserido.	Verifique o código da assinatura e insira-o novamente.
"Erro ao validar o token de autorização."	Esse erro é exibido quando um token de autorização do QRadar incorreto ou inválido é fornecido.	Verifique o token de autorização do QRadar e insira-o novamente. Ele precisa ter Administrador como papel do usuário e perfil de segurança. O token também não pode estar expirado.

Erro ao iniciar a conexão de soquete com QRadar

Problema: uma mensagem de erro "Erro ao iniciar a conexão de soquete com IBM QRadar" é observada nos arquivos de registros da coleta de dados. Esse problema pode ser observado no framework do app QRadar v2 (< v7.4.2 P2).

Solução: execute as seguintes etapas para corrigir o problema:

Leia a nota de suporte sobre as alterações na implantação do QRadar.
Atualize o QRadar.

Problemas na interface

Problema: um painel ou uma página de configuração do painel mostra erros ou comportamento não intencional.

Solução: execute as seguintes etapas para corrigir o problema:

Limpe o cache do navegador e recarregue a página da Web.
Reduza o período do filtro. As consultas QRadar podem expirar se o número de respostas for muito grande.
Se o problema não for resolvido, entre em contato com o Suporte do Cloud.

Os painéis do painel não são carregados e o processo do frasco é eliminado

Problema: o processo do frasco expira e alguns painéis não são carregados.

Solução: execute as seguintes etapas para corrigir o problema:

Limpe o cache do navegador e recarregue a página da Web.
Reduza o período do filtro. As consultas QRadar podem expirar se o número de respostas for muito grande.
Se o problema não for resolvido, entre em contato com o suporte do Cloud.

Todos os outros problemas de desempenho

Se o problema não for resolvido seguindo as instruções deste guia, faça o seguinte:

Navegue até a guia Admin e clique em System and License Management.
Selecione o host em que o Google SCC App For QRadar - QRadar v7.4.1FP2+ está instalado.
Clique em Ação e selecione Coletar arquivos de registros.
Na caixa de diálogo, clique em Advanced Options.
Marque as caixas de seleção ao lado de Incluir registros de depuração, Registros de extensões de aplicativo e Registros de configuração (versão atual).
Selecione dois dias como entrada de dados e clique em Coletar arquivos de registros.
Selecione Clique aqui para fazer o download dos arquivos.

O download dos arquivos de registros é feito em um arquivo ZIP. Entre em contato com o suporte do Cloud e compartilhe os arquivos de registros.

A seguir

Saiba mais sobre como configurar como encontrar notificações no Security Command Center.
Leia sobre como filtrar notificações de descoberta no Security Command Center.