Mengirimkan data Security Command Center ke Splunk

Halaman ini menjelaskan cara otomatis mengirim temuan, aset, log audit, dan sumber keamanan Security Command Center ke Splunk. Artikel ini juga menjelaskan cara mengelola data yang diekspor. Splunk adalah platform informasi keamanan dan manajemen peristiwa (SIEM) yang menyerap data keamanan dari satu atau beberapa sumber dan memungkinkan tim keamanan mengelola respons terhadap insiden dan melakukan analisis real-time.

Dalam panduan ini, Anda memastikan bahwa layanan Security Command Center dan Google Cloud yang diperlukan dikonfigurasi dengan benar dan memungkinkan Splunk mengakses temuan, log audit, dan informasi aset di lingkungan Security Command Center Anda.

Sebelum memulai

Panduan ini mengasumsikan bahwa Anda menggunakan salah satu dari hal berikut:

Mengonfigurasi autentikasi dan otorisasi

Sebelum terhubung ke Splunk, Anda harus membuat akun layanan Identity and Access Management (IAM) di setiap organisasi Google Cloud yang ingin dihubungkan dan memberikan peran IAM tingkat organisasi dan tingkat project kepada akun tersebut yang diperlukan Add-on Google SCC untuk Splunk.

Membuat akun layanan dan memberikan peran IAM

Langkah-langkah berikut menggunakan konsol Google Cloud. Untuk metode lainnya, lihat link di bagian akhir bagian ini.

Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

  1. Di project yang sama dengan tempat Anda membuat topik Pub/Sub, gunakan halaman Service Accounts di konsol Google Cloud untuk membuat akun layanan. Untuk mengetahui petunjuknya, lihat Membuat dan mengelola akun layanan.
  2. Berikan peran berikut ke akun layanan:

    • Pub/Sub Editor (roles/pubsub.editor)
  3. Salin nama akun layanan yang baru saja Anda buat.

  4. Gunakan pemilih project di konsol Google Cloud untuk beralih ke level organisasi.

  5. Buka halaman IAM untuk organisasi:

    Buka IAM

  6. Pada halaman IAM, klik Berikan akses. Panel akses grant akan terbuka.

  7. Di panel Berikan akses, selesaikan langkah-langkah berikut:

    1. Di bagian Tambahkan akun utama di kolom New principals, tempelkan nama akun layanan.
    2. Di bagian Assign roles, gunakan kolom Role untuk memberikan peran IAM berikut ke akun layanan:

    3. Security Center Admin Editor (roles/securitycenter.adminEditor)
    4. Security Center Notification Configurations Editor (roles/securitycenter.notificationConfigEditor)
    5. Organization Viewer (roles/resourcemanager.organizationViewer)
    6. Cloud Asset Viewer (roles/cloudasset.viewer)
    7. Klik Simpan. Akun layanan akan muncul di tab Permissions di halaman IAM pada bagian View by principals.

      Dengan pewarisan, akun layanan juga menjadi akun utama di semua project turunan organisasi. Peran yang berlaku di level project dicantumkan sebagai peran yang diwarisi.

Untuk mengetahui informasi selengkapnya tentang cara membuat akun layanan dan memberikan peran, lihat topik berikut:

Memberikan kredensial ke Splunk

Bergantung pada tempat Anda menghosting Splunk, cara Anda memberikan kredensial IAM ke Splunk akan berbeda.

Mengonfigurasi notifikasi

Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

Anda memerlukan ID organisasi, nama topik Pub/Sub, dan nama langganan Pub/Sub dari tugas ini untuk mengonfigurasi Splunk.

  1. Mengaktifkan notifikasi temuan untuk Pub/Sub, yang mencakup langkah-langkah berikut:

    1. Aktifkan Security Command Center API.
    2. Buat tiga topik Pub/Sub:

      • topik untuk temuan
      • topik untuk aset
      • topik untuk log audit
    3. Buat notificationConfig untuk temuan di Security Command Center. notificationConfig mengekspor temuan Security Command Center ke Pub/Sub berdasarkan filter yang Anda tentukan.

  2. Aktifkan Cloud Asset API untuk project Anda.

  3. Buat feed untuk aset Anda. Anda harus membuat dua feed di topik Pub/Sub yang sama: satu untuk resource dan satu lagi untuk kebijakan Identity and Access Management (IAM).

    • Topik Pub/Sub untuk aset harus berbeda dengan yang digunakan untuk temuan.
    • Untuk feed resource Anda, gunakan filter berikut:

      content-type=resource

    • Untuk feed kebijakan IAM, gunakan filter berikut:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. Buat sink tujuan untuk log audit. Integrasi ini menggunakan topik Pub/Sub sebagai tujuan.

Menginstal Aplikasi Google SCC untuk Splunk dan Add-on Google SCC untuk Splunk

Di bagian ini, Anda akan menginstal Aplikasi Google SCC untuk Splunk dan Add-on Google SCC untuk Splunk. Aplikasi ini, yang dikelola oleh Security Command Center, mengotomatiskan proses penjadwalan panggilan Security Command Center API, mengambil data Security Command Center secara rutin untuk digunakan di Splunk, dan menyiapkan dasbor yang memungkinkan Anda melihat data Security Command Center di Splunk.

Penginstalan aplikasi memerlukan akses ke antarmuka web Splunk.

Jika Anda memiliki deployment Splunk terdistribusi, instal aplikasi sebagai berikut:

  • Instal Aplikasi SCC Google untuk Splunk di forwarder berat Splunk dan head penelusuran Splunk.
  • Instal Add-on SCC Google untuk Splunk di head penelusuran Splunk.

Untuk menyelesaikan penginstalan, lakukan hal berikut:

  1. Di antarmuka web Splunk, buka ikon roda gigi Aplikasi.

  2. Pilih Kelola Aplikasi > Jelajahi aplikasi lainnya.

  3. Telusuri dan instal aplikasi berikut:

    • Add-on Google SCC untuk Splunk
    • Aplikasi Google SCC untuk Splunk

Kedua aplikasi akan muncul di Daftar aplikasi Anda. Lanjutkan ke Menghubungkan Splunk ke Google Cloud untuk mengonfigurasi aplikasi.

Mengupgrade Aplikasi Google SCC untuk Splunk dan Add-on Google SCC untuk Splunk

  1. Nonaktifkan semua input yang ada:

    1. Di antarmuka web Splunk, klik Aplikasi > Add-on Google SCC untuk Splunk.

    2. Pilih tab Inputs.

    3. Untuk setiap input, klik Action > Disable.

  2. Menghapus data yang diindeks Security Command Center. Anda dapat menggunakan perintah pembersihan Splunk CLI untuk menghapus data yang diindeks dari aplikasi sebelum menghapus aplikasi.

  3. Lakukan upgrade:

    1. Di antarmuka web Splunk, buka ikon roda gigi Aplikasi.

    2. Pilih Kelola Aplikasi > Jelajahi aplikasi lainnya.

    3. Telusuri dan upgrade aplikasi berikut:

      • Add-on Google SCC untuk Splunk
      • Aplikasi Google SCC untuk Splunk
    4. Jika diminta, mulai ulang Splunk.

  4. Untuk setiap organisasi Google Cloud baru, selesaikan bagian Menghubungkan Splunk ke Google Cloud.

  5. Buat input baru, seperti yang dijelaskan dalam Menambahkan input data Security Command Center.

Menghubungkan Splunk ke Google Cloud

Anda harus memiliki kemampuan admin_all_objects di Splunk untuk menyelesaikan tugas ini.

  1. Jika Anda menginstal Splunk di Amazon Web Services atau Microsoft Azure, lakukan hal berikut:

    1. Buka jendela terminal.

    2. Buka direktori Aplikasi Google SCC untuk Splunk:

      cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
      
    3. Buka ta_googlescc_settings.conf di editor teks:

      sudo vim ta_googlescc_settings.conf
      
    4. Tambahkan baris berikut ke bagian akhir file:

      [additional_parameters]
      scheme = http
      
    5. Simpan dan tutup file tersebut.

    6. Mulai ulang platform Splunk.

  2. Di antarmuka web Splunk, klik Aplikasi > Add-on Google SCC untuk Splunk > Konfigurasi > Akun Google SCC.

  3. Pilih tab Configuration

  4. Klik Tambahkan.

  5. Lakukan salah satu tindakan berikut, bergantung pada kolom yang muncul:

    • Jika kolom Service Account JSON ditampilkan, cari file JSON yang menyertakan kunci akun layanan.

    • Jika kolom Konfigurasi Kredensial ditampilkan, buka file konfigurasi kredensial yang Anda download saat menyiapkan workload identity federation.

    Jika Anda men-deploy Splunk di Google Cloud atau menyelesaikan langkah 1, konfigurasi akun layanan akan otomatis terdeteksi.

  6. Di kolom Organization, tambahkan ID organisasi Google Cloud Anda.

  7. Jika Anda menggunakan server proxy untuk menghubungkan Splunk dengan Google Cloud, lakukan hal berikut:

    1. Klik tab Proxy.
    2. Pilih Aktifkan.
    3. Pilih jenis proxy (HTTPS, SOCKS4, atau SOCKS5).
    4. Tambahkan nama host, port, dan opsional nama pengguna dan sandi proxy Anda.
  8. Di tab Logging, pilih level logging untuk add-on.

  9. Klik Simpan.

  10. Selesaikan langkah 2-9 untuk setiap organisasi Google Cloud yang ingin Anda integrasikan.

Buat input data untuk organisasi Google Cloud Anda, seperti yang dijelaskan dalam Menambahkan input data Security Command Center.

Menambahkan input data Security Command Center

  1. Di antarmuka web Splunk, klik Aplikasi > Add-on Google SCC untuk Splunk.

  2. Pilih tab Inputs.

  3. Klik Create New Input.

  4. Pilih salah satu input:

    • Input Sumber
    • Input Temuan
    • Input Aset
    • Input Log Audit
  5. Klik ikon Edit.

  6. Masukkan informasi berikut:

    Kolom Deskripsi
    Nama input Nama default untuk input data Anda
    Interval Waktu (dalam detik) yang harus ditunggu di antara panggilan untuk data
    Indeks Indeks Splunk yang menjadi tujuan data Security Command Center
    ID Langganan Aset Khusus untuk input aset, nama langganan Pub/Sub untuk resource
    ID Langganan Log Audit Khusus untuk input log audit, nama langganan Pub/Sub untuk log audit
    ID Langganan Temuan Khusus untuk input temuan, nama langganan Pub/Sub untuk temuan
    Pengambilan Maksimum Jumlah maksimum aset yang akan diambil dalam satu panggilan

  7. Klik Perbarui.

  8. Ulangi langkah 3 hingga 7 untuk setiap input yang ingin ditambahkan.

  9. Ulangi langkah 3 hingga 8 untuk setiap organisasi Google Cloud yang ingin Anda integrasikan.

  10. Di baris Status, aktifkan input data yang ingin Anda teruskan ke Splunk.

Memperbarui indeks Splunk

Selesaikan tugas ini jika Anda tidak menggunakan indeks Splunk utama:

  1. Di antarmuka web Splunk, klik Setelan > Penelusuran Lanjutan > Makro penelusuran.
  2. Pilih Aplikasi Google SCC untuk Splunk.
  3. Pilih googlescc_index.
  4. Perbarui index=main untuk menggunakan indeks Anda.
  5. Klik Simpan.

Melihat data Security Command Center di Splunk

  1. Di antarmuka web Splunk, klik Aplikasi > Add-on Google SCC untuk Splunk.

  2. Pilih tab Penelusuran.

  3. Tetapkan kueri penelusuran Anda, misalnya index="main".

  4. Pilih rentang waktu.

  5. Klik ikon Telusuri.

  6. Filter data menurut jenis sumber (salah satu sumber, aset, log audit, aset IAM, atau temuan), sesuai kebutuhan.

Melihat dasbor

Aplikasi Google SCC untuk Splunk memungkinkan Anda memvisualisasikan data dari Security Command Center. Dasbor ini mencakup lima dasbor: Ringkasan, Sumber, Temuan, Aset, Log Audit, dan Penelusuran.

Anda dapat mengakses dasbor ini di antarmuka web Splunk, dari halaman Apps > Google SCC Apps for Splunk.

Dasbor ringkasan

Dasbor Ringkasan berisi serangkaian diagram yang menampilkan jumlah total temuan di organisasi Anda menurut tingkat keparahan, kategori, dan status. Temuan dikompilasi dari layanan bawaan Security Command Center, seperti Security Health Analytics, Web Security Scanner, Event Threat Detection, dan Container Threat Detection serta layanan terintegrasi apa pun yang Anda aktifkan.

Untuk memfilter konten, Anda dapat menetapkan rentang waktu dan ID organisasi.

Diagram tambahan menunjukkan kategori, project, dan aset mana yang menghasilkan temuan terbanyak.

Dasbor aset

Dasbor Aset menampilkan tabel berisi 1.000 aset Google Cloud yang baru dibuat atau diubah. Tabel menampilkan nama aset, jenis aset, pemilik resource, dan waktu pembaruan terakhir.

Anda dapat memfilter data aset menurut rentang waktu, ID organisasi, dan jenis aset. Jika Anda mengklik Lihat di kolom Alihkan ke SCC, Anda akan dialihkan ke halaman Aset Security Command Center di konsol Google Cloud dan melihat detail untuk aset yang dipilih.

Dasbor log audit

Dasbor Log audit menampilkan serangkaian diagram dan tabel yang menampilkan informasi log audit. Log audit yang disertakan di dasbor adalah log audit aktivitas administrator, akses data, peristiwa sistem, dan kebijakan ditolak. Tabel ini mencakup waktu, nama log, tingkat keparahan, nama layanan, nama resource, dan jenis resource.

Anda dapat memfilter data menurut rentang waktu, ID organisasi, dan nama log.

Dasbor temuan

Dasbor Temuan menyertakan tabel berisi 1.000 temuan terbaru. Kolom tabel mencakup item seperti kategori, nama aset, nama sumber, tanda keamanan, class temuan, dan tingkat keparahan.

Anda dapat memfilter data menurut rentang waktu, ID organisasi, kategori, tingkat keparahan, nama sumber, nama aset, nama project, atau class temuan. Selain itu, di kolom Update Status, Anda dapat memperbarui status temuan. Untuk menunjukkan bahwa Anda sedang meninjau temuan secara aktif, klik Tandai sebagai AKTIF. Jika Anda tidak secara aktif meninjau temuan, klik Tandai sebagai TIDAK AKTIF.

Jika mengklik nama temuan, Anda akan dialihkan ke halaman Temuan Security Command Center di konsol Google Cloud dan melihat detail untuk temuan yang dipilih.

Dasbor sumber

Dasbor Sumber menampilkan tabel semua sumber keamanan Anda. Kolom tabel mencakup nama, nama tampilan, dan deskripsi.

Untuk memfilter konten, Anda dapat menetapkan rentang waktu.

Meng-uninstal aplikasi

Uninstal aplikasi jika Anda tidak ingin lagi mengambil data Security Command Center untuk Splunk.

  1. Di antarmuka web Splunk, buka Aplikasi > Kelola Aplikasi.

  2. Telusuri Google SCC App for Splunk.

  3. Di kolom Status, klik Nonaktifkan.

  4. Telusuri Google SCC Add-on for Splunk.

  5. Di kolom Status, klik Nonaktifkan.

  6. Secara opsional, hapus data yang diindeks Security Command Center. Anda dapat menggunakan perintah pembersihan Splunk CLI untuk menghapus data yang diindeks dari aplikasi sebelum menghapus aplikasi.

  7. Di lingkungan mandiri Splunk, lakukan hal berikut:

    1. Buka terminal dan login ke Splunk.

    2. Hapus aplikasi dan direktorinya di $SPLUNK_HOME/etc/apps/APPNAME:

      ./splunk remove app APPNAME -auth USERNAME:PASSWORD
      

      Mengganti APPNAME dengan GoogleSCCAppforSplunk atau TA_GoogleSCC.

    3. Ulangi langkah b untuk aplikasi lainnya.

    4. Secara opsional, hapus direktori khusus pengguna dengan menghapus file apa pun yang ditemukan di $SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk dan $SPLUNK_HOME/etc/users/*/TA_GoogleSCC.

    5. Mulai ulang platform Splunk.

  8. Di lingkungan Splunk terdistribusi, lakukan hal berikut:

    1. Login ke pengelola deployer.
    2. Hapus aplikasi dan direktorinya di $SPLUNK_HOME/etc/apps/APPNAME:

      ./splunk remove app APPNAME -auth USERNAME:PASSWORD
      

      Mengganti APPNAME dengan GoogleSCCAppforSplunk atau TA_GoogleSCC.

    3. Ulangi langkah b untuk aplikasi lainnya.

    4. Jalankan perintah splunk apply shcluster-bundle:

      splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
      

Langkah selanjutnya