Halaman ini menjelaskan cara otomatis mengirim temuan, aset, log audit, dan sumber keamanan Security Command Center ke Splunk. Artikel ini juga menjelaskan cara mengelola data yang diekspor. Splunk adalah platform informasi keamanan dan manajemen peristiwa (SIEM) yang menyerap data keamanan dari satu atau beberapa sumber dan memungkinkan tim keamanan mengelola respons terhadap insiden dan melakukan analisis real-time.
Dalam panduan ini, Anda memastikan bahwa layanan Security Command Center dan Google Cloud yang diperlukan dikonfigurasi dengan benar dan memungkinkan Splunk mengakses temuan, log audit, dan informasi aset di lingkungan Security Command Center Anda.
Sebelum memulai
Panduan ini mengasumsikan bahwa Anda menggunakan salah satu dari hal berikut:
Splunk Enterprise versi 8.1, 8.2, atau 9.0
Menghosting Splunk di Google Cloud, Amazon Web Services, atau Microsoft Azure
Mengonfigurasi autentikasi dan otorisasi
Sebelum terhubung ke Splunk, Anda harus membuat akun layanan Identity and Access Management (IAM) di setiap organisasi Google Cloud yang ingin dihubungkan dan memberikan peran IAM tingkat organisasi dan tingkat project kepada akun tersebut yang diperlukan Add-on Google SCC untuk Splunk.
Membuat akun layanan dan memberikan peran IAM
Langkah-langkah berikut menggunakan konsol Google Cloud. Untuk metode lainnya, lihat link di bagian akhir bagian ini.
Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.
- Di project yang sama dengan tempat Anda membuat topik Pub/Sub, gunakan halaman Service Accounts di konsol Google Cloud untuk membuat akun layanan. Untuk mengetahui petunjuknya, lihat Membuat dan mengelola akun layanan.
Berikan peran berikut ke akun layanan:
- Pub/Sub Editor (
roles/pubsub.editor
)
- Pub/Sub Editor (
Salin nama akun layanan yang baru saja Anda buat.
Gunakan pemilih project di konsol Google Cloud untuk beralih ke level organisasi.
Buka halaman IAM untuk organisasi:
Pada halaman IAM, klik Berikan akses. Panel akses grant akan terbuka.
Di panel Berikan akses, selesaikan langkah-langkah berikut:
- Di bagian Tambahkan akun utama di kolom New principals, tempelkan nama akun layanan.
Di bagian Assign roles, gunakan kolom Role untuk memberikan peran IAM berikut ke akun layanan:
- Security Center Admin Editor (
roles/securitycenter.adminEditor
) - Security Center Notification Configurations Editor
(
roles/securitycenter.notificationConfigEditor
) - Organization Viewer (
roles/resourcemanager.organizationViewer
) - Cloud Asset Viewer (
roles/cloudasset.viewer
) Klik Simpan. Akun layanan akan muncul di tab Permissions di halaman IAM pada bagian View by principals.
Dengan pewarisan, akun layanan juga menjadi akun utama di semua project turunan organisasi. Peran yang berlaku di level project dicantumkan sebagai peran yang diwarisi.
Untuk mengetahui informasi selengkapnya tentang cara membuat akun layanan dan memberikan peran, lihat topik berikut:
Memberikan kredensial ke Splunk
Bergantung pada tempat Anda menghosting Splunk, cara Anda memberikan kredensial IAM ke Splunk akan berbeda.
Jika Anda menghosting Splunk di Google Cloud, pertimbangkan hal berikut:
Akun layanan yang Anda buat dan peran tingkat organisasi yang Anda berikan akan tersedia secara otomatis melalui pewarisan dari organisasi induk. Jika Anda menggunakan beberapa organisasi Google Cloud, tambahkan akun layanan ini ke organisasi lain dan berikan peran IAM yang dijelaskan pada langkah 5 hingga 7 di Membuat akun layanan dan memberikan peran IAM.
Jika Anda men-deploy Splunk di perimeter layanan, buat aturan masuk dan keluar. Untuk mendapatkan petunjuk, lihat Memberikan akses perimeter di Kontrol Layanan VPC.
Jika Anda menghosting Splunk Enterprise di lingkungan lokal, buat kunci akun layanan untuk setiap organisasi Google Cloud. Anda memerlukan kunci akun layanan dalam format JSON untuk menyelesaikan panduan ini.
Jika Anda menghosting Splunk di cloud lain, konfigurasi workload identity federation dan download file konfigurasi kredensial. Jika Anda menggunakan beberapa organisasi Google Cloud, tambahkan akun layanan ini ke organisasi lain dan berikan peran IAM yang dijelaskan pada langkah 5 hingga 7 di Membuat akun layanan dan memberikan peran IAM.
Mengonfigurasi notifikasi
Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.
Anda memerlukan ID organisasi, nama topik Pub/Sub, dan nama langganan Pub/Sub dari tugas ini untuk mengonfigurasi Splunk.
Mengaktifkan notifikasi temuan untuk Pub/Sub, yang mencakup langkah-langkah berikut:
- Aktifkan Security Command Center API.
Buat tiga topik Pub/Sub:
- topik untuk temuan
- topik untuk aset
- topik untuk log audit
Buat
notificationConfig
untuk temuan di Security Command Center.notificationConfig
mengekspor temuan Security Command Center ke Pub/Sub berdasarkan filter yang Anda tentukan.
Aktifkan Cloud Asset API untuk project Anda.
Buat feed untuk aset Anda. Anda harus membuat dua feed di topik Pub/Sub yang sama: satu untuk resource dan satu lagi untuk kebijakan Identity and Access Management (IAM).
- Topik Pub/Sub untuk aset harus berbeda dengan yang digunakan untuk temuan.
Untuk feed resource Anda, gunakan filter berikut:
content-type=resource
Untuk feed kebijakan IAM, gunakan filter berikut:
content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
Buat sink tujuan untuk log audit. Integrasi ini menggunakan topik Pub/Sub sebagai tujuan.
Menginstal Aplikasi Google SCC untuk Splunk dan Add-on Google SCC untuk Splunk
Di bagian ini, Anda akan menginstal Aplikasi Google SCC untuk Splunk dan Add-on Google SCC untuk Splunk. Aplikasi ini, yang dikelola oleh Security Command Center, mengotomatiskan proses penjadwalan panggilan Security Command Center API, mengambil data Security Command Center secara rutin untuk digunakan di Splunk, dan menyiapkan dasbor yang memungkinkan Anda melihat data Security Command Center di Splunk.
Penginstalan aplikasi memerlukan akses ke antarmuka web Splunk.
Jika Anda memiliki deployment Splunk terdistribusi, instal aplikasi sebagai berikut:
- Instal Aplikasi SCC Google untuk Splunk di forwarder berat Splunk dan head penelusuran Splunk.
- Instal Add-on SCC Google untuk Splunk di head penelusuran Splunk.
Untuk menyelesaikan penginstalan, lakukan hal berikut:
Di antarmuka web Splunk, buka ikon roda gigi Aplikasi.
Pilih Kelola Aplikasi > Jelajahi aplikasi lainnya.
Telusuri dan instal aplikasi berikut:
- Add-on Google SCC untuk Splunk
- Aplikasi Google SCC untuk Splunk
Kedua aplikasi akan muncul di Daftar aplikasi Anda. Lanjutkan ke Menghubungkan Splunk ke Google Cloud untuk mengonfigurasi aplikasi.
Mengupgrade Aplikasi Google SCC untuk Splunk dan Add-on Google SCC untuk Splunk
Nonaktifkan semua input yang ada:
Di antarmuka web Splunk, klik Aplikasi > Add-on Google SCC untuk Splunk.
Pilih tab Inputs.
Untuk setiap input, klik Action > Disable.
Menghapus data yang diindeks Security Command Center. Anda dapat menggunakan perintah pembersihan Splunk CLI untuk menghapus data yang diindeks dari aplikasi sebelum menghapus aplikasi.
Lakukan upgrade:
Di antarmuka web Splunk, buka ikon roda gigi Aplikasi.
Pilih Kelola Aplikasi > Jelajahi aplikasi lainnya.
Telusuri dan upgrade aplikasi berikut:
- Add-on Google SCC untuk Splunk
- Aplikasi Google SCC untuk Splunk
Jika diminta, mulai ulang Splunk.
Untuk setiap organisasi Google Cloud baru, selesaikan bagian Menghubungkan Splunk ke Google Cloud.
Buat input baru, seperti yang dijelaskan dalam Menambahkan input data Security Command Center.
Menghubungkan Splunk ke Google Cloud
Anda harus memiliki
kemampuan admin_all_objects
di Splunk untuk menyelesaikan tugas ini.
Jika Anda menginstal Splunk di Amazon Web Services atau Microsoft Azure, lakukan hal berikut:
Buka jendela terminal.
Buka direktori Aplikasi Google SCC untuk Splunk:
cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
Buka
ta_googlescc_settings.conf
di editor teks:sudo vim ta_googlescc_settings.conf
Tambahkan baris berikut ke bagian akhir file:
[additional_parameters] scheme = http
Simpan dan tutup file tersebut.
Mulai ulang platform Splunk.
Di antarmuka web Splunk, klik Aplikasi > Add-on Google SCC untuk Splunk > Konfigurasi > Akun Google SCC.
Pilih tab Configuration
Klik Tambahkan.
Lakukan salah satu tindakan berikut, bergantung pada kolom yang muncul:
Jika kolom Service Account JSON ditampilkan, cari file JSON yang menyertakan kunci akun layanan.
Jika kolom Konfigurasi Kredensial ditampilkan, buka file konfigurasi kredensial yang Anda download saat menyiapkan workload identity federation.
Jika Anda men-deploy Splunk di Google Cloud atau menyelesaikan langkah 1, konfigurasi akun layanan akan otomatis terdeteksi.
Di kolom Organization, tambahkan ID organisasi Google Cloud Anda.
Jika Anda menggunakan server proxy untuk menghubungkan Splunk dengan Google Cloud, lakukan hal berikut:
- Klik tab Proxy.
- Pilih Aktifkan.
- Pilih jenis proxy (HTTPS, SOCKS4, atau SOCKS5).
- Tambahkan nama host, port, dan opsional nama pengguna dan sandi proxy Anda.
Di tab Logging, pilih level logging untuk add-on.
Klik Simpan.
Selesaikan langkah 2-9 untuk setiap organisasi Google Cloud yang ingin Anda integrasikan.
Buat input data untuk organisasi Google Cloud Anda, seperti yang dijelaskan dalam Menambahkan input data Security Command Center.
Menambahkan input data Security Command Center
Di antarmuka web Splunk, klik Aplikasi > Add-on Google SCC untuk Splunk.
Pilih tab Inputs.
Klik Create New Input.
Pilih salah satu input:
- Input Sumber
- Input Temuan
- Input Aset
- Input Log Audit
Klik ikon Edit.
Masukkan informasi berikut:
Kolom Deskripsi Nama input Nama default untuk input data Anda Interval Waktu (dalam detik) yang harus ditunggu di antara panggilan untuk data Indeks Indeks Splunk yang menjadi tujuan data Security Command Center ID Langganan Aset Khusus untuk input aset, nama langganan Pub/Sub untuk resource ID Langganan Log Audit Khusus untuk input log audit, nama langganan Pub/Sub untuk log audit ID Langganan Temuan Khusus untuk input temuan, nama langganan Pub/Sub untuk temuan Pengambilan Maksimum Jumlah maksimum aset yang akan diambil dalam satu panggilan Klik Perbarui.
Ulangi langkah 3 hingga 7 untuk setiap input yang ingin ditambahkan.
Ulangi langkah 3 hingga 8 untuk setiap organisasi Google Cloud yang ingin Anda integrasikan.
Di baris Status, aktifkan input data yang ingin Anda teruskan ke Splunk.
Memperbarui indeks Splunk
Selesaikan tugas ini jika Anda tidak menggunakan indeks Splunk utama:
- Di antarmuka web Splunk, klik Setelan > Penelusuran Lanjutan > Makro penelusuran.
- Pilih Aplikasi Google SCC untuk Splunk.
- Pilih googlescc_index.
- Perbarui
index=main
untuk menggunakan indeks Anda. - Klik Simpan.
Melihat data Security Command Center di Splunk
Di antarmuka web Splunk, klik Aplikasi > Add-on Google SCC untuk Splunk.
Pilih tab Penelusuran.
Tetapkan kueri penelusuran Anda, misalnya
index="main"
.Pilih rentang waktu.
Klik ikon Telusuri.
Filter data menurut jenis sumber (salah satu sumber, aset, log audit, aset IAM, atau temuan), sesuai kebutuhan.
Melihat dasbor
Aplikasi Google SCC untuk Splunk memungkinkan Anda memvisualisasikan data dari Security Command Center. Dasbor ini mencakup lima dasbor: Ringkasan, Sumber, Temuan, Aset, Log Audit, dan Penelusuran.
Anda dapat mengakses dasbor ini di antarmuka web Splunk, dari halaman Apps > Google SCC Apps for Splunk.
Dasbor ringkasan
Dasbor Ringkasan berisi serangkaian diagram yang menampilkan jumlah total temuan di organisasi Anda menurut tingkat keparahan, kategori, dan status. Temuan dikompilasi dari layanan bawaan Security Command Center, seperti Security Health Analytics, Web Security Scanner, Event Threat Detection, dan Container Threat Detection serta layanan terintegrasi apa pun yang Anda aktifkan.
Untuk memfilter konten, Anda dapat menetapkan rentang waktu dan ID organisasi.
Diagram tambahan menunjukkan kategori, project, dan aset mana yang menghasilkan temuan terbanyak.
Dasbor aset
Dasbor Aset menampilkan tabel berisi 1.000 aset Google Cloud yang baru dibuat atau diubah. Tabel menampilkan nama aset, jenis aset, pemilik resource, dan waktu pembaruan terakhir.
Anda dapat memfilter data aset menurut rentang waktu, ID organisasi, dan jenis aset. Jika Anda mengklik Lihat di kolom Alihkan ke SCC, Anda akan dialihkan ke halaman Aset Security Command Center di konsol Google Cloud dan melihat detail untuk aset yang dipilih.
Dasbor log audit
Dasbor Log audit menampilkan serangkaian diagram dan tabel yang menampilkan informasi log audit. Log audit yang disertakan di dasbor adalah log audit aktivitas administrator, akses data, peristiwa sistem, dan kebijakan ditolak. Tabel ini mencakup waktu, nama log, tingkat keparahan, nama layanan, nama resource, dan jenis resource.
Anda dapat memfilter data menurut rentang waktu, ID organisasi, dan nama log.
Dasbor temuan
Dasbor Temuan menyertakan tabel berisi 1.000 temuan terbaru. Kolom tabel mencakup item seperti kategori, nama aset, nama sumber, tanda keamanan, class temuan, dan tingkat keparahan.
Anda dapat memfilter data menurut rentang waktu, ID organisasi, kategori, tingkat keparahan, nama sumber, nama aset, nama project, atau class temuan. Selain itu, di kolom Update Status, Anda dapat memperbarui status temuan. Untuk menunjukkan bahwa Anda sedang meninjau temuan secara aktif, klik Tandai sebagai AKTIF. Jika Anda tidak secara aktif meninjau temuan, klik Tandai sebagai TIDAK AKTIF.
Jika mengklik nama temuan, Anda akan dialihkan ke halaman Temuan Security Command Center di konsol Google Cloud dan melihat detail untuk temuan yang dipilih.
Dasbor sumber
Dasbor Sumber menampilkan tabel semua sumber keamanan Anda. Kolom tabel mencakup nama, nama tampilan, dan deskripsi.
Untuk memfilter konten, Anda dapat menetapkan rentang waktu.
Meng-uninstal aplikasi
Uninstal aplikasi jika Anda tidak ingin lagi mengambil data Security Command Center untuk Splunk.
Di antarmuka web Splunk, buka Aplikasi > Kelola Aplikasi.
Telusuri
Google SCC App for Splunk
.Di kolom Status, klik Nonaktifkan.
Telusuri
Google SCC Add-on for Splunk
.Di kolom Status, klik Nonaktifkan.
Secara opsional, hapus data yang diindeks Security Command Center. Anda dapat menggunakan perintah pembersihan Splunk CLI untuk menghapus data yang diindeks dari aplikasi sebelum menghapus aplikasi.
Di lingkungan mandiri Splunk, lakukan hal berikut:
Buka terminal dan login ke Splunk.
Hapus aplikasi dan direktorinya di
$SPLUNK_HOME/etc/apps/APPNAME
:./splunk remove app APPNAME -auth USERNAME:PASSWORD
Mengganti APPNAME dengan
GoogleSCCAppforSplunk
atauTA_GoogleSCC
.Ulangi langkah b untuk aplikasi lainnya.
Secara opsional, hapus direktori khusus pengguna dengan menghapus file apa pun yang ditemukan di
$SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk
dan$SPLUNK_HOME/etc/users/*/TA_GoogleSCC
.Mulai ulang platform Splunk.
Di lingkungan Splunk terdistribusi, lakukan hal berikut:
- Login ke pengelola deployer.
Hapus aplikasi dan direktorinya di
$SPLUNK_HOME/etc/apps/APPNAME
:./splunk remove app APPNAME -auth USERNAME:PASSWORD
Mengganti APPNAME dengan
GoogleSCCAppforSplunk
atauTA_GoogleSCC
.Ulangi langkah b untuk aplikasi lainnya.
Jalankan perintah
splunk apply shcluster-bundle
:splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
Langkah selanjutnya
Pelajari lebih lanjut cara menyiapkan notifikasi temuan di Security Command Center.
Baca artikel tentang memfilter notifikasi temuan di Security Command Center.