Security Command Center-Daten an Splunk senden

Auf dieser Seite wird erläutert, wie Ergebnisse, Assets, Audit-Logs und Sicherheitsquellen von Security Command Center automatisch an Splunk gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten. Splunk ist eine Plattform des Sicherheits- und Ereignismanagements (SIEM), die Sicherheitsdaten aus einer oder mehreren Quellen aufnimmt und es Sicherheitsteams ermöglicht, Antworten auf Vorfälle zu verwalten und Echtzeitanalysen durchzuführen.

In dieser Anleitung sorgen Sie dafür, dass die erforderlichen Security Command Center- und Google Cloud-Dienste ordnungsgemäß konfiguriert sind. Aktivieren Sie Splunk, um auf Ergebnisse, Audit-Logs und Assetinformationen in Ihrer Security Command Center-Umgebung zuzugreifen.

Hinweise

In diesem Leitfaden wird davon ausgegangen, dass Sie eine der folgenden Optionen verwenden:

Splunk Enterprise Version 8.1, 8.2 oder 9.0
Splunk Cloud
Splunk in Google Cloud, Amazon Web Services oder Microsoft Azure hosten

Authentifizierung und Autorisierung konfigurieren

Bevor Sie eine Verbindung zu Splunk herstellen, müssen Sie in jeder Google Cloud-Organisation, die Sie verbinden möchten, ein IAM-Dienstkonto (Identity and Access Management) erstellen und dem Konto die IAM-Rollen auf Organisations- und Projektebene zuweisen, die das Google SCC-Add-on für Splunk benötigt.

Dienstkonto erstellen und IAM-Rollen gewähren

In den folgenden Schritten wird die Google Cloud Console verwendet. Weitere Methoden finden Sie über die Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

Verwenden Sie in dem Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, die Seite Dienstkonten in der Google Cloud Console, um ein Dienstkonto zu erstellen. Eine Anleitung finden Sie unter Dienstkonten erstellen und verwalten.
Weisen Sie dem Dienstkonto die folgende Rolle zu:
- Pub/Sub-Bearbeiter (roles/pubsub.editor)
Kopieren Sie den Namen des gerade erstellten Dienstkontos.
Verwenden Sie die Projektauswahl in der Google Cloud Console, um zur Organisationsebene zu wechseln.
Öffnen Sie die Seite IAM für die Organisation:

IAM aufrufen
Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Zugriffssteuerfeld zum Gewähren der Zugriffsberechtigung wird geöffnet.
Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:
1. Fügen Sie im Abschnitt Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.
2. Verwenden Sie im Abschnitt Rollen zuweisen das Feld Rolle, um dem Dienstkonto die folgenden IAM-Rollen zuzuweisen:
  - Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
  - Bearbeiter von Konfigurationen für Benachrichtigungen im Sicherheitscenter (roles/securitycenter.notificationConfigEditor)
  - Organisationsbetrachter (roles/resourcemanager.organizationViewer)
  - Betrachter von Cloud-Assets (roles/cloudasset.viewer)
3. Klicken Sie auf Speichern. Das Sicherheitskonto wird auf der Seite IAM auf dem Tab Berechtigungen unter Nach Hauptkonten ansehen angezeigt.
  
  Durch die Übernahme wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation und die Rollen, die auf Projektebene anwendbar sind, werden als übernommene Rollen aufgelistet.

Weitere Informationen zum Erstellen von Dienstkonten und Gewähren von Rollen finden Sie in den folgenden Themen:

Anmeldedaten für Splunk angeben

Je nachdem, wo Sie Splunk hosten, unterscheidet sich die Bereitstellung der IAM-Anmeldedaten für Splunk.

Wenn Sie Splunk in Google Cloud hosten, sind das von Ihnen erstellte Dienstkonto und die Rollen, die Sie ihm auf Organisationsebene zugewiesen haben, automatisch durch Übernahme von der übergeordneten Organisation verfügbar. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und weisen Sie ihm die IAM-Rollen zu, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen zuweisen beschrieben werden.
Wenn Sie Splunk Enterprise in Ihrer lokalen Umgebung hosten, erstellen Sie einen Dienstkontoschlüssel für jede Google Cloud-Organisation. Sie benötigen die Dienstkontoschlüssel im JSON-Format, um diese Anleitung abzuschließen.

Weitere Informationen zu Best Practices zum sicheren Speichern Ihrer Dienstkontoschlüssel finden Sie unter Best Practices zum Verwalten von Dienstkontoschlüsseln.
Wenn Sie Splunk in einer anderen Cloud hosten, konfigurieren Sie die Workload Identity-Föderation und laden Sie die Konfigurationsdateien für Anmeldedaten herunter. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und weisen Sie ihm die IAM-Rollen zu, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen zuweisen beschrieben werden.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

Sie benötigen Ihre Organisations-IDs, Pub/Sub-Themennamen und Pub/Sub-Abonamen aus dieser Aufgabe, um Splunk zu konfigurieren.

Aktivieren Sie Ergebnisbenachrichtigungen für Pub/Sub. Gehen Sie dazu so vor:
1. Aktivieren Sie die Security Command Center API.
2. Erstellen Sie drei Pub/Sub-Themen:
  - ein Thema für Erkenntnisse
  - ein Thema für Assets,
  - Ein Thema für Audit-Logs
3. Erstellen Sie eine notificationConfig für die Ergebnisse in Security Command Center. notificationConfig exportiert die Security Command Center-Ergebnisse anhand der von Ihnen angegebenen Filter nach Pub/Sub.
Aktivieren Sie die Cloud Asset API für Ihr Projekt.
Erstellen Sie Feeds für Ihre Assets. Sie müssen zwei Feeds im selben Pub/Sub-Thema erstellen: einen für Ihre Ressourcen und einen für Ihre IAM-Richtlinien (Identity and Access Management).
- Das Pub/Sub-Thema für Assets muss sich von dem unterscheiden, das für Ergebnisse verwendet wird.
- Verwenden Sie den folgenden Filter für den Feed für Ihre Ressourcen:
  
  content-type=resource
- Verwenden Sie für den IAM-Richtlinienfeed den folgenden Filter:
  
  content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
Erstellen Sie eine Zielsenke für die Audit-Logs. Diese Integration verwendet ein Pub/Sub-Thema als Ziel.

Google SCC App for Splunk und Google SCC Add-on for Splunk installieren

In diesem Abschnitt installieren Sie die Google SCC App for Splunk und das Google SCC Add-on for Splunk. Diese Apps, die vom Security Command Center verwaltet werden, automatisieren den Prozess der Planung von Security Command Center API-Aufrufen, rufen regelmäßig Security Command Center-Daten zur Verwendung in Splunk ab und richten die Dashboards ein, mit denen Sie Security Command Center-Daten in Splunk anzeigen können.

Die Installation der App erfordert Zugriff auf die Splunk-Weboberfläche.

Wenn Sie ein verteiltes Splunk-Deployment haben, installieren Sie die Apps so:

Installieren Sie die Google SCC App for Splunk auf demHeavy-Forwarder von Splunk und in den Splunk-Suchheadern.
Installieren Sie das Google SCC Add-on for Splunk auf den Splunk-Suchheadern.

So schließen Sie die Installation ab:

Wechseln Sie in der Splunk-Weboberfläche zum Zahnradsymbol für Apps.
Wählen Sie Apps verwalten > Weitere Apps suchen aus.
Suchen und installieren Sie die folgenden Apps:
- Google SCC Add-on for Splunk
- Google SCC App for Splunk

Beide Apps werden in der Liste der Apps angezeigt. Fahren Sie mit Splunk mit Google Cloud verbinden fort, um die Anwendungen zu konfigurieren.

Google SCC App für Splunk und das Google SCC-Add-on für Splunk aktualisieren

Deaktivieren Sie alle vorhandenen Eingaben:
1. Klicken Sie in der Splunk-Weboberfläche auf Apps > Google SCC Add-on for Splunk.
2. Wählen Sie den Tab Eingaben aus.
3. Klicken Sie für jede Eingabe auf Aktion > Deaktivieren.
Entfernen Sie die von Security Command Center indexierten Daten. Sie können den Bereinigungsbefehl für die Splunk-Befehlszeile verwenden, um indexierte Daten aus einer App zu entfernen, bevor Sie die Anwendung löschen.
Führen Sie das Upgrade durch:
1. Wechseln Sie in der Splunk-Weboberfläche zum Zahnradsymbol für Apps.
2. Wählen Sie Apps verwalten > Weitere Apps suchen aus.
3. Suche nach den folgenden Apps und aktualisiere sie:
  - Google SCC Add-on for Splunk
  - Google SCC App for Splunk
4. Wenn Sie dazu aufgefordert werden, starten Sie Splunk neu.
Füllen Sie für jede neue Google Cloud-Organisation den Abschnitt Splunk mit Google Cloud verbinden aus.
Erstellen Sie die neuen Eingaben wie unter Security Command Center-Dateneingaben hinzufügen beschrieben.

Splunk mit Google Cloud verbinden

Sie benötigen die Funktion admin_all_objects in Splunk, um diese Aufgabe auszuführen.

Wenn Sie Splunk in Amazon Web Services oder Microsoft Azure installiert haben, gehen Sie so vor:
1. Öffnen Sie ein Terminalfenster.
2. Wechseln Sie zum Google SCC App for Splunk-Verzeichnis:
```
cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
```
3. Öffnen Sie ta_googlescc_settings.conf in einem Texteditor:
```
sudo vim ta_googlescc_settings.conf
```
4. Fügen Sie die folgenden Zeilen am Ende der Datei hinzu:
```
[additional_parameters]
scheme = http
```
5. Speichern und schließen Sie die Datei.
6. Starten Sie die Splunk-Plattform neu.
Klicken Sie in der Splunk-Weboberfläche auf Apps > Google SCC-Add-on für Splunk > Konfiguration > Google SCC-Konto.
Wählen Sie den Tab Konfiguration aus.
Klicken Sie auf Hinzufügen.
Führen Sie je nach angezeigtem Feld einen der folgenden Schritte aus:
- Wenn das Feld Dienstkonto-JSON angezeigt wird, suchen Sie die JSON-Datei, die den Dienstkontoschlüssel enthält. Dieses Feld wird angezeigt, wenn Sie Splunk lokal verwenden.
- Wenn das Feld Anmeldedatenkonfiguration angezeigt wird, rufen Sie die Konfigurationsdatei für Anmeldedaten auf, die Sie beim Einrichten der Workload Identity-Föderation heruntergeladen haben. Dieses Feld wird angezeigt, wenn Sie Splunk in Microsoft Azure oder AWS hosten.
Wenn Sie Splunk in Google Cloud bereitgestellt oder Schritt 1 abgeschlossen haben, wird die Konfiguration des Dienstkontos automatisch erkannt.
Geben Sie im Feld Organisation Ihre Google Cloud-Organisations-ID ein.
Wenn Sie einen Proxyserver verwenden, um Splunk mit Google Cloud zu verbinden, gehen Sie so vor:
1. Klicken Sie auf den Tab Proxy.
2. Wählen Sie Aktivieren aus.
3. Wählen Sie Ihren Proxytyp aus (HTTPS, SOCKS4 oder SOCKS5).
4. Fügen Sie den Proxy-Hostnamen, den Port und optional den Nutzernamen und das Passwort hinzu.
Wählen Sie auf dem Tab Logging die Logging-Ebene für das Add-on aus.
Klicken Sie auf Speichern.
Führen Sie die Schritte 2 bis 9 für jede Google Cloud-Organisation aus, die Sie einbinden möchten.

Erstellen Sie Dateneingaben für Ihre Google Cloud-Organisationen, wie unter Security Command Center-Dateneingaben hinzufügen beschrieben.

Security Command Center-Dateneingaben hinzufügen

Klicken Sie in der Splunk-Weboberfläche auf Apps > Google SCC Add-on for Splunk.
Wählen Sie den Tab Eingaben aus.
Klicken Sie auf Neue Eingabe erstellen.
Wählen Sie eine der Eingaben aus:
- Quelleingabe
- Ergebniseingabe
- Asseteingabe
- Audit-Logeingabe
Klicken Sie auf das Symbol Bearbeiten.

Geben Sie die folgenden Informationen ein:

Feld	Beschreibung
Eingabename	Der Standardname für Ihre Dateneingabe
Zeitraum	Die Zeit in Sekunden, die zwischen Datenaufrufen gewartet werden soll.
Index	Der Splunk-Index, an den die Security Command Center-Daten gesendet werden
Abo-ID für Assets	Nur bei Asset-Eingaben: der Name des Pub/Sub-Abos für Ressourcen.
Abo-ID für Audit-Logs	Nur für Audit-Logeingaben: der Name des Pub/Sub-Abos für Audit-Logs
Abo-ID für Ergebnisse	Nur für Ergebniseingaben: der Name des Pub/Sub-Abos für Ergebnisse
Maximaler Abruf	Die maximale Anzahl von Assets, die in einem Aufruf abgerufen werden sollen

Klicken Sie auf Aktualisieren.
Wiederholen Sie die Schritte 3 bis 7 für jede Eingabe, die Sie hinzufügen möchten.
Wiederholen Sie die Schritte 3 bis 8 für jede Google Cloud-Organisation, die Sie einbinden möchten.
Aktivieren Sie in der Zeile Status die Dateneingaben, die Sie an Splunk weiterleiten möchten.

Splunk-Index aktualisieren

Führen Sie diese Aufgabe aus, wenn Sie den Haupt-Splunk-Index nicht verwenden:

Klicken Sie in der Splunk-Weboberfläche auf Einstellungen > Erweiterte Suche > Makros suchen.
Wählen Sie Google SCC App for Splunk aus.
Wählen Sie googlescc_index aus.
Aktualisieren Sie index=main, um Ihren Index zu verwenden.
Klicken Sie auf Speichern.

Security Command Center-Daten in Splunk ansehen

Klicken Sie in der Splunk-Weboberfläche auf Apps > Google SCC Add-on for Splunk.
Wählen Sie den Tab Suchen.
Legen Sie Ihre Suchanfrage fest, z. B. index="main".
Wählen Sie den Zeitraum aus.
Klicken Sie auf das Symbol Suchen.
Filtern Sie die Daten je nach Bedarf nach Quellentyp (eine der Quellen, Assets, Audit-Logs, IAM-Assets oder Ergebnisse).

Dashboards aufrufen

Mit der Google SCC App for Splunk können Sie die Daten aus Security Command Center visualisieren. Es umfasst fünf Dashboards: Übersicht, Quellen, Ergebnisse, Assets, Audit-Logs und Suche.

Sie können auf diese Dashboards in der Splunk-Weboberfläche von der Seite Apps > Google SCC Apps for Splunk zugreifen.

Übersichts-Dashboard

Das Dashboard Übersicht enthält eine Reihe von Diagrammen, in denen die Gesamtzahl der Ergebnisse in Ihrer Organisation nach Schweregrad, Kategorie und Status angezeigt wird. Die Ergebnisse werden aus den integrierten Diensten von Security Command Center wie Security Health Analytics, Web Security Scanner, Event Threat Detection und Container Threat Detection sowie aus allen von Ihnen aktivierten integrierten Diensten zusammengestellt.

Wenn Sie Inhalte filtern möchten, können Sie den Zeitraum und die Organisations-ID festlegen.

Zusätzliche Diagramme zeigen, welche Kategorien, Projekte und Assets die meisten Ergebnisse generieren.

Assets-Dashboard

Im Dashboard Assets wird eine Tabelle der 1.000 zuletzt erstellten oder geänderten Google Cloud-Assets angezeigt. Die Tabelle enthält den Namen des Assets, den Asset-Typ, den Ressourceninhaber und den Zeitpunkt der letzten Aktualisierung.

Sie können Asset-Daten nach Zeitraum, Organisations-ID und Asset-Typ filtern. Wenn Sie in der Spalte Zu SCC weiterleiten auf Ansehen klicken, werden Sie auf die Seite Assets des Security Command Centers in der Google Cloud Console umgeleitet und erhalten Informationen zu dem ausgewählten Asset.

Audit-Logs-Dashboard

Im Dashboard Audit-Logs werden eine Reihe von Diagrammen und Tabellen angezeigt, die Informationen zum Audit-Log enthalten. Im Dashboard sind Audit-Logs zu Administratoraktivitäten, Datenzugriff, Systemereignissen und Audit-Logs zu abgelehnten Richtlinien enthalten. Die Tabelle enthält die Zeit, den Lognamen, den Schweregrad, den Dienstnamen, den Ressourcennamen und den Ressourcentyp.

Sie können die Daten nach Zeitraum, Organisations-ID und Logname filtern.

Ergebnis-Dashboard

Das Dashboard Ergebnisse enthält eine Tabelle mit den 1.000 neuesten Ergebnissen. Die Tabellenspalte enthält Elemente wie Kategorie, Asset-Name, Quellname, Sicherheitsmarkierungen, Ergebnisklasse und Schweregrad.

Sie können die Daten nach Zeitraum, Organisations-ID, Kategorie, Schweregrad, Quellenname, Asset-Name, Projektname oder Ergebnisklasse filtern. Darüber hinaus können Sie in der Spalte Aktualisierungsstatus den Status eines Ergebnisses aktualisieren. Klicken Sie auf Als AKTIV markieren, um anzugeben, dass Sie ein Ergebnis aktiv prüfen. Wenn Sie ein Ergebnis nicht aktiv prüfen, klicken Sie auf Als INAKTIV markieren.

Wenn Sie auf einen Ergebnisnamen klicken, werden Sie zur Seite Ergebnisse von Security Command Center in der Google Cloud Console weitergeleitet und sehen Details zum ausgewählten Ergebnis.

Quellen-Dashboard

Im Dashboard Quellen wird eine Tabelle aller Sicherheitsquellen angezeigt. Tabellenspalten enthalten den Namen, den Anzeigenamen und die Beschreibung.

Sie können den Zeitraum festlegen, um Inhalte zu filtern.

Apps deinstallieren

Deinstallieren Sie die Apps, wenn Sie keine Security Command Center-Daten für Splunk abrufen möchten.

Rufen Sie in der Splunk-Weboberfläche Apps > Apps verwalten auf.
Suchen Sie nach Google SCC App for Splunk.
Klicken Sie in der Spalte Status auf Deaktivieren.
Suchen Sie nach Google SCC Add-on for Splunk.
Klicken Sie in der Spalte Status auf Deaktivieren.
Entfernen Sie optional die indexierten Daten aus dem Security Command Center. Sie können den Bereinigungsbefehl für die Splunk-Befehlszeile verwenden, um indexierte Daten aus einer App zu entfernen, bevor Sie die Anwendung löschen.
Gehen Sie in einer eigenständigen Splunk-Umgebung so vor:
1. Öffnen Sie ein Terminal und melden Sie sich in Splunk an.
2. Löschen Sie die Apps und ihre Verzeichnisse in $SPLUNK_HOME/etc/apps/APPNAME:
```
./splunk remove app APPNAME -auth USERNAME:PASSWORD
```
  Ersetzen Sie APPNAME durch GoogleSCCAppforSplunk oder TA_GoogleSCC.
3. Wiederholen Sie Schritt b für die andere App.
4. Entfernen Sie optional die nutzerspezifischen Verzeichnisse. Löschen Sie dazu alle Dateien in $SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk und $SPLUNK_HOME/etc/users/*/TA_GoogleSCC.
5. Starten Sie die Splunk-Plattform neu.
Gehen Sie in einer verteilten Splunk-Umgebung so vor:
1. Melden Sie sich beim Deployer Manager an.
2. Löschen Sie die Apps und ihre Verzeichnisse in $SPLUNK_HOME/etc/apps/APPNAME:
```
./splunk remove app APPNAME -auth USERNAME:PASSWORD
```
  Ersetzen Sie APPNAME durch GoogleSCCAppforSplunk oder TA_GoogleSCC.
3. Wiederholen Sie Schritt b für die andere App.
4. Führen Sie den Befehl splunk apply shcluster-bundle aus:
```
splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
```

Nächste Schritte

Weitere Informationen zum Einrichten von Benachrichtigungen finden in Security Command Center.
Weitere Informationen zum Filtern von Ergebnisbenachrichtigungen in Security Command Center.