Questa pagina spiega come inviare automaticamente risultati, asset, log di controllo e origini di sicurezza di Security Command Center a Splunk. Descrive inoltre come gestire i dati esportati. Splunk è una piattaforma SIEM (Security Information and Event Management) che importa i dati di sicurezza da una o più origini e consente ai team di sicurezza di gestire le risposte agli incidenti ed eseguire analisi in tempo reale.
In questa guida, assicurati che i servizi Security Command Center e Google Cloud richiesti siano configurati correttamente e consenti a Splunk di accedere a risultati, log di controllo e informazioni sulle risorse nel tuo ambiente Security Command Center.
Prima di iniziare
Questa guida presuppone che tu stia utilizzando uno dei seguenti elementi:
Splunk Enterprise versione 8.1, 8.2 o 9.0
Hosting di Splunk in Google Cloud, Amazon Web Services o Microsoft Azure
Configurare l'autenticazione e l'autorizzazione
Prima di connetterti a Splunk, devi creare un account di servizio Identity and Access Management (IAM) in ogni organizzazione Google Cloud che vuoi connettere e concedere all'account i ruoli IAM sia a livello di organizzazione sia a livello di progetto di cui ha bisogno il componente aggiuntivo SCC di Google per Splunk.
Creare un account di servizio e concedere i ruoli IAM
I passaggi che seguono utilizzano la console Google Cloud. Per altri metodi, consulta i link alla fine di questa sezione.
Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.
- Nello stesso progetto in cui crei gli argomenti Pub/Sub, utilizza la pagina Account di servizio nella console Google Cloud per creare un account di servizio. Per le istruzioni, vedi Creazione e gestione degli account di servizio.
Concedi all'account di servizio il seguente ruolo:
- Editor Pub/Sub (
roles/pubsub.editor
)
- Editor Pub/Sub (
Copia il nome dell'account di servizio appena creato.
Utilizza il selettore dei progetti nella console Google Cloud per passare al livello dell'organizzazione.
Apri la pagina IAM dell'organizzazione:
Nella pagina IAM, fai clic su Concedi l'accesso. Viene visualizzato il riquadro Concedi accesso.
Nel riquadro Concedi l'accesso, completa i seguenti passaggi:
- Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.
Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere all'account di servizio i seguenti ruoli IAM:
- Editor amministratore Centro sicurezza (
roles/securitycenter.adminEditor
) - Editor configurazioni notifiche Centro sicurezza
(
roles/securitycenter.notificationConfigEditor
) - Organization Viewer (
roles/resourcemanager.organizationViewer
) - Cloud Asset Viewer (
roles/cloudasset.viewer
) Fai clic su Salva. L'account di servizio viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.
Per eredità, l'account di servizio diventa un principale anche in tutti i progetti secondari dell'organizzazione. I ruoli applicabili a livello di progetto sono elencati come ruoli ereditati.
Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione di ruoli, consulta i seguenti argomenti:
- Creazione e gestione degli account di servizio
- Concessione, modifica e revoca dell'accesso alle risorse
Fornisci le credenziali a Splunk
A seconda di dove ospiti Splunk, la modalità di impostazione delle credenziali IAM per Splunk varia.
Se ospiti Splunk in Google Cloud, tieni presente quanto segue:
L'account di servizio che hai creato e i ruoli a livello di organizzazione che gli hai concesso sono disponibili automaticamente per eredità dall'organizzazione principale. Se utilizzi più organizzazioni Google Cloud, aggiungi questo account di servizio alle altre organizzazioni e concedi i ruoli IAM descritti nei passaggi da 5 a 7 dell'articolo Creare un account di servizio e assegnare i ruoli IAM.
Se esegui il deployment di Splunk in un perimetro di servizio, crea le regole di ingresso e di uscita. Per le istruzioni, consulta Concedere l'accesso al perimetro in Controlli di servizio VPC.
Se ospiti Splunk Enterprise nel tuo ambiente on-premise, crea una chiave dell'account di servizio per ogni organizzazione Google Cloud. Per completare questa guida, avrai bisogno delle chiavi dell'account di servizio in formato JSON.
Se ospiti Splunk in un altro cloud, configura la federazione delle identità per i carichi di lavoro e scarica i file di configurazione delle credenziali. Se utilizzi più organizzazioni Google Cloud, aggiungi questo account di servizio alle altre organizzazioni e concedi i ruoli IAM descritti nei passaggi da 5 a 7 dell'articolo Creare un account di servizio e concedere i ruoli IAM.
Configura le notifiche
Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.
Per configurare Splunk, avrai bisogno degli ID organizzazione, dei nomi degli argomenti Pub/Sub e dei nomi delle sottoscrizioni Pub/Sub di questa attività.
Abilita le notifiche sui risultati per Pub/Sub, che include i seguenti passaggi:
- Abilita l'API Security Command Center.
Crea tre argomenti Pub/Sub:
- un argomento per i risultati
- un argomento per le risorse
- Un argomento per gli audit log
Crea un
notificationConfig
per i risultati in Security Command Center.notificationConfig
esporta i risultati di Security Command Center in Pub/Sub in base ai filtri specificati.
Abilita l'API Cloud Asset per il tuo progetto.
Crea feed per le tue risorse. Devi creare due feed nello stesso argomento Pub/Sub: uno per le risorse e un altro per i criteri IAM (Identity and Access Management).
- L'argomento Pub/Sub per gli asset deve essere diverso da quello utilizzato per i risultati.
Per il feed delle risorse, utilizza il seguente filtro:
content-type=resource
Per il feed dei criteri IAM, utilizza il seguente filtro:
content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
Crea un'area di destinazione per i log di controllo. Questa integrazione utilizza un argomento Pub/Sub come destinazione.
Installa l'app Google SCC per Splunk e il componente aggiuntivo Google SCC per Splunk
In questa sezione, installi l'app Google SCC per Splunk e il componente aggiuntivo Google SCC per Splunk. Queste app, gestite da Security Command Center, automatizzano la procedura di pianificazione delle chiamate all'API Security Command Center, recuperano regolarmente i dati di Security Command Center per utilizzarli in Splunk e configurano le dashboard che ti consentono di visualizzare i dati di Security Command Center in Splunk.
L'installazione dell'app richiede l'accesso all'interfaccia web di Splunk.
Se hai un deployment Splunk distribuito, installa le app come segue:
- Installa l'app Google SCC per Splunk su heavy forwarder e search head di Splunk.
- Installa il componente aggiuntivo Google SCC per Splunk sui search head Splunk.
Per completare l'installazione:
Nell'interfaccia web di Splunk, vai all'icona a forma di ingranaggio App.
Seleziona Gestisci app > Sfoglia altre app.
Cerca e installa le seguenti app:
- Componente aggiuntivo Google SCC per Splunk
- App Google SCC per Splunk
Entrambe le app vengono visualizzate nell'elenco App. Vai a Collegare Splunk a Google Cloud per configurare le app.
Eseguire l'upgrade dell'app Google SCC per Splunk e del componente aggiuntivo Google SCC per Splunk
Disattiva tutti gli input esistenti:
Nell'interfaccia web di Splunk, fai clic su App > Componente aggiuntivo Google SCC per Splunk.
Seleziona la scheda Input.
Per ogni input, fai clic su Azione > Disattiva.
Rimuovi i dati indicizzati di Security Command Center. Puoi utilizzare il comando clean della CLI di Splunk per rimuovere i dati indicizzati da un'app prima di eliminarla.
Esegui l'upgrade:
Nell'interfaccia web di Splunk, vai all'icona a forma di ingranaggio App.
Seleziona Gestisci app > Sfoglia altre app.
Cerca e aggiorna le seguenti app:
- Componente aggiuntivo Google SCC per Splunk
- App Google SCC per Splunk
Se richiesto, riavvia Splunk.
Per ogni nuova organizzazione Google Cloud, completa la sezione Collegare Splunk a Google Cloud.
Crea i nuovi input, come descritto in Aggiungere gli input di dati di Security Command Center.
Connettere Splunk a Google Cloud
Per completare questa attività, devi disporre della funzionalità admin_all_objects
in Splunk.
Se hai installato Splunk su Amazon Web Services o Microsoft Azure, svolgi i seguenti passaggi:
Apri una finestra del terminale.
Vai alla directory dell'app Google SCC per Splunk:
cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
Apri
ta_googlescc_settings.conf
in un editor di testo:sudo vim ta_googlescc_settings.conf
Aggiungi le seguenti righe alla fine del file:
[additional_parameters] scheme = http
Salva e chiudi il file.
Riavviare la piattaforma Splunk.
Nell'interfaccia web di Splunk, fai clic su App > Componente aggiuntivo Google SCC per Splunk > Configurazione > Account Google SCC.
Seleziona la scheda Configurazione.
Fai clic su Aggiungi.
Esegui una delle seguenti operazioni, a seconda del campo visualizzato:
Se viene visualizzato il campo JSON account di servizio, vai al file JSON che include la chiave dell'account di servizio.
Se viene visualizzato il campo Configurazione delle credenziali, vai al file di configurazione delle credenziali scaricato quando hai configurato la federazione delle identità per i carichi di lavoro.
Se hai eseguito il deployment di Splunk in Google Cloud o hai completato il passaggio 1, la configurazione dell'account di servizio viene rilevata automaticamente.
Nel campo Organizzazione, aggiungi l'ID organizzazione Google Cloud.
Se utilizzi un server proxy per connettere Splunk a Google Cloud:
- Fai clic sulla scheda Proxy.
- Seleziona Attiva.
- Seleziona il tipo di proxy (HTTPS, SOCKS4 o SOCKS5).
- Aggiungi il nome host e la porta del proxy e, facoltativamente, il nome utente e la password.
Nella scheda Logging, seleziona il livello di logging per il componente aggiuntivo.
Fai clic su Salva.
Completa i passaggi da 2 a 9 per ogni organizzazione Google Cloud che vuoi integrare.
Crea input di dati per le tue organizzazioni Google Cloud, come descritto in Aggiungere gli input di dati di Security Command Center.
Aggiungi gli input di dati di Security Command Center
Nell'interfaccia web di Splunk, fai clic su App > Componente aggiuntivo Google SCC per Splunk.
Seleziona la scheda Input.
Fai clic su Crea nuova immissione.
Seleziona uno degli input:
- Input di origine
- Input dei risultati
- Input asset
- Input degli audit log
Fai clic sull'icona Modifica.
Inserisci le seguenti informazioni:
Campo Descrizione Nome input Il nome predefinito per l'input di dati Intervallo Il tempo (in secondi) di attesa tra le chiamate per i dati Indice L'indice Splunk a cui vengono inviati i dati di Security Command Center ID abbonamento asset Solo per gli input delle risorse, il nome della sottoscrizione Pub/Sub per le risorse ID abbonamento per gli audit log Solo per l'input dei log di controllo, il nome della sottoscrizione Pub/Sub per i log di controllo ID abbonamento ai risultati Solo per l'inserimento dei risultati, il nome della sottoscrizione Pub/Sub per i risultati Recupero massimo Il numero massimo di asset da recuperare in una chiamata Fai clic su Aggiorna.
Ripeti i passaggi da 3 a 7 per ogni input da aggiungere.
Ripeti i passaggi da 3 a 8 per ogni organizzazione Google Cloud da integrare.
Nella riga Stato, attiva gli input di dati da inoltrare a Splunk.
Aggiorna l'indice Splunk
Completa questa operazione se non utilizzi l'indice principale di Splunk:
- Nell'interfaccia web di Splunk, fai clic su Impostazioni > Ricerca avanzata > Macro di ricerca.
- Seleziona App Google SCC per Splunk.
- Seleziona googlescc_index.
- Aggiorna
index=main
per utilizzare l'indice. - Fai clic su Salva.
Visualizzare i dati di Security Command Center in Splunk
Nell'interfaccia web di Splunk, fai clic su App > Componente aggiuntivo Google SCC per Splunk.
Seleziona la scheda Ricerca.
Imposta la query di ricerca, ad esempio
index="main"
.Seleziona l'intervallo di tempo.
Fai clic sull'icona Cerca.
Filtra i dati in base al tipo di origine (una delle origini, delle risorse, dei log di controllo, delle risorse IAM o dei risultati), come richiesto.
Visualizzare le dashboard
L'app Google SCC per Splunk ti consente di visualizzare i dati di Security Command Center. Include cinque dashboard: Panoramica, Origini, Risultati, Asset, Log di controllo e Ricerca.
Puoi accedere a queste dashboard nell'interfaccia web di Splunk, dalla pagina App > App Google SCC per Splunk.
Dashboard Panoramica
La dashboard Panoramica contiene una serie di grafici che mostrano il numero totale di risultati nella tua organizzazione in base a livello di gravità, categoria e stato. I risultati vengono compilati dai servizi integrati di Security Command Center, come Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection e da eventuali servizi integrati che attivi.
Per filtrare i contenuti, puoi impostare l'intervallo di tempo e l'ID organizzazione.
Altri grafici mostrano quali categorie, progetti e asset generano il maggior numero di risultati.
Dashboard Asset
La dashboard Asset mostra una tabella dei 1000 asset Google Cloud creati o modificati più di recente. La tabella mostra il nome dell'asset, il tipo di asset, il proprietario della risorsa e l'ora dell'ultimo aggiornamento.
Puoi filtrare i dati delle risorse in base all'intervallo di tempo, all'ID organizzazione e al tipo di risorsa. Se fai clic su Visualizza nella colonna Reindirizza a SCC, viene visualizzata la pagina Asset di Security Command Center nella console Google Cloud e vengono mostrati i dettagli dell'asset selezionato.
Dashboard degli audit log
La dashboard Log di controllo mostra una serie di grafici e tabelle che mostrano le informazioni dei log di controllo. Gli audit log inclusi nella dashboard sono quelli relativi all'attività di amministrazione, all'accesso ai dati, agli eventi di sistema e agli accessi negati in base ai criteri. La tabella include l'ora, il nome del log, la gravità, il nome del servizio, il nome della risorsa e il tipo di risorsa.
Puoi filtrare i dati in base all'intervallo di tempo, all'ID organizzazione e al nome del log.
Dashboard dei risultati
La dashboard Risultati include una tabella dei 1000 risultati più recenti. La colonna della tabella include elementi quali categoria, nome della risorsa, nome dell'origine, indicatori di sicurezza, classe del rilevamento e gravità.
Puoi filtrare i dati in base all'intervallo di tempo, all'ID organizzazione, alla categoria, alla gravità, al nome dell'origine, al nome della risorsa, al nome del progetto o alla classe di risultati. Inoltre, nella colonna Aggiorna stato puoi aggiornare lo stato di un rilevamento. Per indicare che stai esaminando attivamente un risultato, fai clic su Contrassegna come ATTIVO. Se non stai esaminando attivamente un rilevamento, fai clic su Contrassegna come NON ATTIVO.
Se fai clic sul nome di un risultato, viene visualizzata la pagina Risultati di Security Command Center nella console Google Cloud e vengono mostrati i dettagli del risultato selezionato.
Dashboard Origini
La dashboard Origini mostra una tabella di tutte le origini di sicurezza. Le colonne della tabella includono nome, nome visualizzato e descrizione.
Per filtrare i contenuti, puoi impostare l'intervallo di tempo.
Disinstalla le app
Disinstalla le app quando non vuoi più recuperare i dati di Security Command Center per Splunk.
Nell'interfaccia web di Splunk, vai ad Applicazioni > Gestisci app.
Cerca
Google SCC App for Splunk
.Nella colonna Stato, fai clic su Disattiva.
Cerca
Google SCC Add-on for Splunk
.Nella colonna Stato, fai clic su Disattiva.
Se vuoi, rimuovi i dati indicizzati di Security Command Center. Puoi utilizzare il comando clean della CLI di Splunk per rimuovere i dati indicizzati da un'app prima di eliminarla.
In un ambiente Splunk autonomo:
Apri un terminale e accedi a Splunk.
Elimina le app e le relative directory in
$SPLUNK_HOME/etc/apps/APPNAME
:./splunk remove app APPNAME -auth USERNAME:PASSWORD
Sostituisci APPNAME con
GoogleSCCAppforSplunk
oTA_GoogleSCC
.Ripeti il passaggio b per l'altra app.
Se vuoi, rimuovi le directory specifiche dell'utente eliminando i file trovati in
$SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk
e$SPLUNK_HOME/etc/users/*/TA_GoogleSCC
.Riavviare la piattaforma Splunk.
In un ambiente Splunk distribuito:
- Accedi al gestore del deployment.
Elimina le app e le relative directory in
$SPLUNK_HOME/etc/apps/APPNAME
:./splunk remove app APPNAME -auth USERNAME:PASSWORD
Sostituisci APPNAME con
GoogleSCCAppforSplunk
oTA_GoogleSCC
.Ripeti il passaggio b per l'altra app.
Esegui il comando
splunk apply shcluster-bundle
:splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
Passaggi successivi
Scopri di più sulla configurazione delle notifiche dei risultati in Security Command Center.
Scopri come filtrare le notifiche dei risultati in Security Command Center.