Mengirim data Security Command Center ke Splunk

Halaman ini menjelaskan cara mengirim temuan, aset, log audit, dan sumber keamanan Security Command Center secara otomatis ke Splunk. Artikel ini juga menjelaskan cara mengelola data yang diekspor. Splunk adalah platform informasi keamanan dan manajemen peristiwa (SIEM) yang menyerap data keamanan dari satu atau beberapa sumber dan memungkinkan tim keamanan mengelola respons terhadap insiden dan melakukan analisis real-time.

Dalam panduan ini, Anda memastikan bahwa layanan Security Command Center dan Google Cloud yang diperlukan telah dikonfigurasi dengan benar, dan memungkinkan Splunk mengakses temuan, log audit, dan informasi aset di lingkungan Security Command Center Anda.

Sebelum memulai

Panduan ini mengasumsikan bahwa Anda menggunakan salah satu metode berikut:

Splunk Enterprise versi 8.1, 8.2, atau 9.0
Cloud Splunk
Menghosting Splunk di Google Cloud, Amazon Web Services, atau Microsoft Azure

Mengonfigurasi autentikasi dan otorisasi

Sebelum terhubung ke Splunk, Anda perlu membuat akun layanan Identity and Access Management (IAM) di setiap organisasi Google Cloud yang ingin dihubungkan serta memberikan peran IAM level organisasi dan level project yang diperlukan Add-on Google SCC untuk Splunk.

Membuat akun layanan dan memberikan peran IAM

Langkah-langkah berikut dilakukan menggunakan konsol Google Cloud. Untuk metode lainnya, lihat link di akhir bagian ini.

Selesaikan langkah-langkah berikut untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

Dalam project yang sama tempat Anda membuat topik Pub/Sub, gunakan halaman Service Accounts di Google Cloud Console untuk membuat akun layanan. Untuk mengetahui petunjuknya, lihat Membuat dan mengelola akun layanan.
Berikan peran berikut kepada akun layanan:
- Editor Pub/Sub (roles/pubsub.editor)
Salin nama akun layanan yang baru saja Anda buat.
Gunakan pemilih project di Konsol Google Cloud untuk beralih ke tingkat organisasi.
Buka halaman IAM untuk organisasi:

Buka IAM
Pada halaman IAM, klik Berikan akses. Panel berikan akses akan terbuka.
Di panel Berikan akses, selesaikan langkah-langkah berikut:
1. Di bagian Add principals di kolom New principals, tempelkan nama akun layanan.
2. Di bagian Tetapkan peran, gunakan kolom Peran untuk memberikan peran IAM berikut ke akun layanan:
  - Editor Admin Pusat Keamanan (roles/securitycenter.adminEditor)
  - Editor Konfigurasi Notifikasi Pusat Keamanan (roles/securitycenter.notificationConfigEditor)
  - Organization Viewer (roles/resourcemanager.organizationViewer)
  - Viewer Aset Cloud (roles/cloudasset.viewer)
3. Klik Simpan. Akun keamanan muncul di tab Permissions pada halaman IAM di bagian View by principals.
  
  Berdasarkan pewarisan, akun layanan juga menjadi akun utama di semua project turunan organisasi dan peran yang berlaku di level project dicantumkan sebagai peran yang diwarisi.

Untuk mengetahui informasi selengkapnya tentang cara membuat akun layanan dan memberikan peran, lihat topik berikut:

Memberikan kredensial ke Splunk

Bergantung pada tempat Anda menghosting Splunk, cara Anda memberikan kredensial IAM ke Splunk berbeda-beda.

Jika Anda menghosting Splunk di Google Cloud, akun layanan yang Anda buat dan peran tingkat organisasi yang Anda berikan akan tersedia secara otomatis melalui pewarisan dari organisasi induk. Jika Anda menggunakan beberapa organisasi Google Cloud, tambahkan akun layanan ini ke organisasi lain dan berikan peran IAM yang dijelaskan pada langkah 5 hingga 7 dari artikel Membuat akun layanan dan memberikan peran IAM.
Jika Anda menghosting Splunk Enterprise di lingkungan lokal, buat kunci akun layanan untuk setiap organisasi Google Cloud. Anda memerlukan kunci akun layanan dalam format JSON untuk menyelesaikan panduan ini.

Untuk mempelajari praktik terbaik guna menyimpan kunci akun layanan Anda dengan aman, lihat Praktik terbaik untuk mengelola kunci akun layanan.
Jika Anda menghosting Splunk di cloud lain, konfigurasi workload identity federation dan download file konfigurasi kredensial. Jika Anda menggunakan beberapa organisasi Google Cloud, tambahkan akun layanan ini ke organisasi lain dan berikan peran IAM yang dijelaskan pada langkah 5 hingga 7 dari artikel Membuat akun layanan dan memberikan peran IAM.

Mengonfigurasi notifikasi

Selesaikan langkah-langkah berikut untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

Anda memerlukan ID organisasi, nama topik Pub/Sub, dan nama langganan Pub/Sub dari tugas ini untuk mengonfigurasi Splunk.

Aktifkan notifikasi penemuan untuk Pub/Sub, yang mencakup langkah-langkah berikut:
1. Mengaktifkan Security Command Center API.
2. Buat tiga topik Pub/Sub:
  - sebuah topik untuk temuan
  - topik untuk aset
  - topik untuk log audit
3. Buat notificationConfig untuk temuan di Security Command Center. notificationConfig akan mengekspor temuan Security Command Center ke Pub/Sub berdasarkan filter yang Anda tentukan.
Aktifkan Cloud Asset API untuk project Anda.
Buat feed untuk aset Anda. Anda harus membuat dua feed dalam topik Pub/Sub yang sama: satu untuk resource Anda dan satu lagi untuk kebijakan Identity and Access Management (IAM).
- Topik Pub/Sub untuk aset harus berbeda dengan yang digunakan untuk temuan.
- Untuk feed bagi resource Anda, gunakan filter berikut:
  
  content-type=resource
- Untuk feed kebijakan IAM, gunakan filter berikut:
  
  content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
Buat sink tujuan untuk log audit. Integrasi ini menggunakan topik Pub/Sub sebagai tujuan.

Instal Aplikasi Google SCC untuk Splunk dan Add-on Google SCC untuk Splunk

Di bagian ini, Anda menginstal Aplikasi Google SCC untuk Splunk dan Google SCC Add-on untuk Splunk. Aplikasi yang dikelola oleh Security Command Center ini mengotomatiskan proses penjadwalan panggilan Security Command Center API, mengambil data Security Command Center secara rutin untuk digunakan diSplunk, dan menyiapkan dasbor yang memungkinkan Anda melihat data Security Command Center di Splunk.

Penginstalan aplikasi memerlukan akses ke antarmuka web Splunk.

Jika Anda memiliki deployment Splunk terdistribusi, instal aplikasi tersebut seperti berikut:

Instal Aplikasi Google SCC untuk Splunk di forwarder berat Splunk dan search head Splunk.
Instal Add-on SCC Google untuk Splunk di head penelusuran Splunk.

Untuk menyelesaikan penginstalan, lakukan langkah berikut:

Di antarmuka web Splunk, buka ikon roda gigi Apps.
Pilih Kelola Aplikasi > Jelajahi aplikasi lainnya.
Telusuri dan instal aplikasi berikut:
- Add-on SCC Google untuk Splunk
- Aplikasi SCC Google untuk Splunk

Kedua aplikasi muncul di Daftar aplikasi. Lanjutkan ke Connect Splunk to Google Cloud untuk mengonfigurasi aplikasi.

Upgrade Aplikasi Google SCC untuk Splunk dan Add-on Google SCC untuk Splunk

Nonaktifkan semua input yang ada:
1. Di antarmuka web Splunk, klik Apps > Google SCC Add-on for Splunk.
2. Pilih tab Inputs.
3. Untuk setiap input, klik Tindakan > Nonaktifkan.
Hapus data terindeks Security Command Center. Anda dapat menggunakan perintah clean CLI Splunk untuk menghapus data terindeks dari aplikasi sebelum menghapus aplikasi.
Lakukan upgrade:
1. Di antarmuka web Splunk, buka ikon roda gigi Apps.
2. Pilih Kelola Aplikasi > Jelajahi aplikasi lainnya.
3. Telusuri dan upgrade aplikasi berikut:
  - Add-on SCC Google untuk Splunk
  - Aplikasi SCC Google untuk Splunk
4. Jika diminta, mulai ulang Splunk.
Untuk setiap organisasi Google Cloud baru, selesaikan bagian Connect Splunk to Google Cloud.
Buat input baru, seperti yang dijelaskan di Menambahkan input data Security Command Center.

Menghubungkan Splunk ke Google Cloud

Anda harus memiliki kemampuan admin_all_objects di Splunk untuk menyelesaikan tugas ini.

Jika Anda menginstal Splunk di Amazon Web Services atau Microsoft Azure, lakukan langkah berikut:
1. Buka jendela terminal.
2. Buka direktori Google SCC App for Splunk:
```
cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
```
3. Buka ta_googlescc_settings.conf di editor teks:
```
sudo vim ta_googlescc_settings.conf
```
4. Tambahkan baris berikut ke bagian akhir file:
```
[additional_parameters]
scheme = http
```
5. Simpan dan tutup file tersebut.
6. Mulai ulang platform Splunk.
Di antarmuka web Splunk, klik Apps > Google SCC Add-on for Splunk > Configuration > Google SCC Account.
Pilih tab Configuration
Klik Tambahkan.
Lakukan salah satu tindakan berikut, bergantung pada kolom yang muncul:
- Jika kolom Service Account JSON ditampilkan, cari file JSON yang menyertakan kunci akun layanan. Kolom ini ditampilkan jika Anda menggunakan Splunk secara lokal.
- Jika kolom Credential Configuration ditampilkan, buka file konfigurasi kredensial yang Anda download saat menyiapkan workload identity federation. Kolom ini ditampilkan jika Anda menghosting Splunk di Microsoft Azure atau AWS.
Jika Anda men-deploy Splunk di Google Cloud atau menyelesaikan langkah 1, konfigurasi akun layanan akan terdeteksi secara otomatis.
Di kolom Organisasi, tambahkan ID organisasi Google Cloud Anda.
Jika Anda menggunakan server proxy untuk menghubungkan Splunk dengan Google Cloud, lakukan hal berikut:
1. Klik tab Proxy.
2. Pilih Aktifkan.
3. Pilih jenis proxy Anda (HTTPS, SOCKS4, atau SOCKS5).
4. Tambahkan nama host proxy, port, serta nama pengguna dan sandi (opsional).
Di tab Logging, pilih level logging untuk add-on.
Klik Simpan.
Selesaikan langkah 2-9 untuk setiap organisasi Google Cloud yang ingin Anda integrasikan.

Buat input data untuk organisasi Google Cloud Anda, seperti yang dijelaskan di Menambahkan input data Security Command Center.

Menambahkan input data Security Command Center

Di antarmuka web Splunk, klik Apps > Google SCC Add-on for Splunk.
Pilih tab Inputs.
Klik Create New Input.
Pilih salah satu input:
- Input Sumber
- Input Temuan
- Input Aset
- Input Log Audit
Klik ikon Edit.

Masukkan informasi berikut:

Kolom	Deskripsi
Nama input	Nama default untuk input data Anda
Interval	Waktu (dalam detik) menunggu di antara panggilan untuk data
Indeks	Indeks Splunk yang diakses oleh data {i>Security Command Center<i}
ID Langganan Aset	Hanya untuk input aset, nama langganan Pub/Sub untuk resource
ID Langganan Log Audit	Hanya untuk input log audit, nama langganan Pub/Sub untuk log audit
ID Langganan Temuan	Khusus untuk input temuan, nama langganan Pub/Sub untuk temuan
Pengambilan Maksimum	Jumlah maksimum aset yang akan diambil dalam satu panggilan

Klik Perbarui.
Ulangi langkah 3 hingga 7 untuk setiap input yang ingin Anda tambahkan.
Ulangi langkah 3 hingga 8 untuk setiap organisasi Google Cloud yang ingin Anda integrasikan.
Di baris Status, aktifkan input data yang ingin Anda teruskan ke Splunk.

Memperbarui indeks Splunk

Selesaikan tugas ini jika Anda tidak menggunakan indeks Splunk utama:

Di antarmuka web Splunk, klik Setelan > Penelusuran Lanjutan > Makro penelusuran.
Pilih Google SCC App for Splunk.
Pilih googlescc_index.
Update index=main untuk menggunakan indeks Anda.
Klik Simpan.

Melihat data Security Command Center di Splunk

Di antarmuka web Splunk, klik Apps > Google SCC Add-on for Splunk.
Pilih tab Search.
Tetapkan kueri penelusuran, misalnya index="main".
Pilih rentang waktu.
Klik ikon Telusuri.
Filter data menurut jenis sumber (salah satu sumber, aset, log audit, aset IAM, atau temuan), sesuai kebutuhan.

Lihat dasbor

Dengan Aplikasi SCC Google untuk Splunk, Anda dapat memvisualisasikan data dari Security Command Center. Dasbor ini mencakup lima dasbor: Ringkasan, Sumber, Temuan, Aset, Log Audit, dan Penelusuran.

Anda dapat mengakses dasbor ini di antarmuka web Splunk, dari halaman Apps > Google SCC Apps for Splunk.

Dasbor ringkasan

Dasbor Overview berisi serangkaian diagram yang menampilkan jumlah total temuan di organisasi Anda berdasarkan tingkat keparahan, kategori, dan status. Temuan dikumpulkan dari layanan bawaan Security Command Center, seperti Security Health Analytics, Web Security Scanner, Event Threat Detection, dan Container Threat Detection serta semua layanan terintegrasi yang Anda aktifkan.

Untuk memfilter konten, Anda dapat menetapkan rentang waktu dan ID organisasi.

Diagram tambahan menunjukkan kategori, project, dan aset mana yang menghasilkan temuan paling banyak.

Dasbor aset

Dasbor Assets menampilkan tabel yang berisi 1.000 aset Google Cloud yang baru dibuat atau diubah. Tabel ini menampilkan nama aset, jenis aset, pemilik resource, dan waktu pembaruan terakhir.

Anda dapat memfilter data aset menurut rentang waktu, ID organisasi, dan jenis aset. Jika mengklik View di kolom Redirect To SCC, Anda akan dialihkan ke halaman Assets ke Security Command Center di Google Cloud Console dan menampilkan detail untuk aset yang dipilih.

Dasbor log audit

Dasbor Log audit menampilkan serangkaian diagram dan tabel yang menampilkan informasi log audit. Log audit yang disertakan di dasbor adalah aktivitas administrator, akses data, peristiwa sistem, dan log audit yang ditolak terkait kebijakan. Tabel ini berisi waktu, nama log, tingkat keparahan, nama layanan, nama resource, dan jenis resource.

Anda dapat memfilter data menurut rentang waktu, ID organisasi, dan nama log.

Dasbor temuan

Dasbor Temuan menyertakan tabel yang berisi 1.000 temuan terbaru. Kolom tabel mencakup item seperti kategori, nama aset, nama sumber, tanda keamanan, class penemuan, dan tingkat keparahan.

Anda dapat memfilter data menurut rentang waktu, ID organisasi, kategori, tingkat keparahan, nama sumber, nama aset, nama project, atau class temuan. Selain itu, di kolom Status Update, Anda dapat memperbarui status temuan. Untuk menunjukkan bahwa Anda secara aktif meninjau temuan, klik Tandai sebagai AKTIF. Jika Anda tidak secara aktif meninjau temuan, klik Tandai sebagai TIDAK AKTIF.

Jika mengklik nama temuan, Anda akan dialihkan ke halaman Findings Security Command Center di Konsol Google Cloud dan menampilkan detail untuk temuan yang dipilih.

Dasbor sumber

Dasbor Sumber menampilkan tabel yang berisi semua sumber keamanan Anda. Kolom tabel mencakup nama, nama tampilan, dan deskripsi.

Untuk memfilter konten, Anda dapat menyetel rentang waktu.

Meng-uninstal aplikasi

Uninstal aplikasi jika Anda tidak ingin lagi mengambil data Security Command Center untuk Splunk.

Di antarmuka web Splunk, buka Apps > Manage Apps.
Telusuri Google SCC App for Splunk.
Di kolom Status, klik Nonaktifkan.
Telusuri Google SCC Add-on for Splunk.
Di kolom Status, klik Nonaktifkan.
Secara opsional, hapus data yang diindeks Security Command Center. Anda dapat menggunakan perintah clean CLI Splunk untuk menghapus data terindeks dari aplikasi sebelum menghapus aplikasi.
Di lingkungan mandiri Splunk, lakukan hal berikut:
1. Buka terminal dan login ke Splunk.
2. Hapus aplikasi dan direktorinya di $SPLUNK_HOME/etc/apps/APPNAME:
```
./splunk remove app APPNAME -auth USERNAME:PASSWORD
```
  Mengganti APPNAME dengan GoogleSCCAppforSplunk atau TA_GoogleSCC.
3. Ulangi langkah b untuk aplikasi lainnya.
4. Secara opsional, hapus direktori khusus pengguna dengan menghapus file apa pun yang ditemukan di $SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk dan $SPLUNK_HOME/etc/users/*/TA_GoogleSCC.
5. Mulai ulang platform Splunk.
Di lingkungan Splunk terdistribusi, lakukan hal berikut:
1. Login ke pengelola deploy.
2. Hapus aplikasi dan direktorinya di $SPLUNK_HOME/etc/apps/APPNAME:
```
./splunk remove app APPNAME -auth USERNAME:PASSWORD
```
  Mengganti APPNAME dengan GoogleSCCAppforSplunk atau TA_GoogleSCC.
3. Ulangi langkah b untuk aplikasi lainnya.
4. Jalankan perintah splunk apply shcluster-bundle:
```
splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
```

Langkah selanjutnya

Pelajari lebih lanjut cara menyiapkan menemukan notifikasi di Security Command Center.
Baca tentang memfilter notifikasi penemuan di Security Command Center.