Questa pagina è stata tradotta dall'API Cloud Translation.

Invio dei dati di Security Command Center a Splunk

Questa pagina spiega come inviare automaticamente a Splunk i risultati, gli asset, gli audit log e le origini di sicurezza di Security Command Center. Viene inoltre descritto come gestire i dati esportati. Splunk è una piattaforma di gestione delle informazioni e degli eventi di sicurezza (SIEM) che importa i dati di sicurezza da una o più fonti e consente ai team di sicurezza di gestire le risposte agli incidenti ed eseguire analisi in tempo reale.

In questa guida, assicuri che i servizi Security Command Center e Google Cloud richiesti siano configurati correttamente e consenti a Splunk di accedere ai risultati, agli audit log e alle informazioni sugli asset nel tuo ambiente Security Command Center.

Prima di iniziare

Questa guida presuppone l'utilizzo di uno dei seguenti sistemi:

Splunk Enterprise versione 8.1, 8.2 o 9.0
Splunk Cloud
Hosting di Splunk in Google Cloud, Amazon Web Services o Microsoft Azure

Configura autenticazione e autorizzazione

Prima di connetterti a Splunk, devi creare un account di servizio Identity and Access Management (IAM) in ogni organizzazione Google Cloud che vuoi connettere e concedere all'account i ruoli IAM a livello di organizzazione e di progetto necessari per il componente aggiuntivo Google SCC per Splunk.

Crea un account di servizio e concedi ruoli IAM

I passaggi seguenti utilizzano la console Google Cloud. Per altri metodi, consulta i link alla fine di questa sezione.

Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.

Nello stesso progetto in cui crei gli argomenti Pub/Sub, usa la pagina Account di servizio nella console Google Cloud per creare un account di servizio. Per le istruzioni, consulta Creazione e gestione degli account di servizio.
Concedi all'account di servizio il seguente ruolo:
- Editor Pub/Sub (roles/pubsub.editor)
Copia il nome dell'account di servizio appena creato.
Usa il selettore di progetti nella console Google Cloud per passare al livello di organizzazione.
Apri la pagina IAM per l'organizzazione:

Vai a IAM
Nella pagina IAM, fai clic su Concedi l'accesso. Si apre il riquadro di concessione dell'accesso.
Nel riquadro Concedi l'accesso, completa i seguenti passaggi:
1. Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.
2. Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere i seguenti ruoli IAM all'account di servizio:
  - Editor amministratore Centro sicurezza (roles/securitycenter.adminEditor)
  - Editor configurazioni delle notifiche del Centro sicurezza (roles/securitycenter.notificationConfigEditor)
  - Organization Viewer (roles/resourcemanager.organizationViewer) (Visualizzatore organizzazione)
  - Visualizzatore Cloud Asset (roles/cloudasset.viewer)
3. Fai clic su Salva. L'account di sicurezza viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.
  
  Per ereditarietà, l'account di servizio diventa anche un'entità in tutti i progetti figlio dell'organizzazione e i ruoli applicabili a livello di progetto sono elencati come ruoli ereditati.

Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione dei ruoli, consulta i seguenti argomenti:

Fornisci le credenziali a Splunk

A seconda di dove ospiti Splunk, il modo in cui fornisci le credenziali IAM a Splunk varia.

Se ospiti Splunk in Google Cloud, l'account di servizio che hai creato e i ruoli a livello di organizzazione che hai concesso sono disponibili automaticamente per ereditarietà dall'organizzazione principale. Se utilizzi più organizzazioni Google Cloud, aggiungi questo account di servizio alle altre organizzazioni e concedigli i ruoli IAM descritti nei passaggi da 5 a 7 della sezione Creare un account di servizio e concedere ruoli IAM.
Se ospiti Splunk Enterprise nel tuo ambiente on-premise, crea una chiave dell'account di servizio per ogni organizzazione Google Cloud. Per completare questa guida, sono necessarie le chiavi dell'account di servizio in formato JSON.

Nota: Le chiavi degli account di servizio comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle chiavi degli account di servizio quando è possibile. Se devi eseguire l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte nelle Best practice per la gestione delle chiavi degli account di servizio. Se non ti viene consentito di creare una chiave dell'account di servizio, la creazione di chiavi dell'account di servizio potrebbe essere disabilitata per la tua organizzazione. Per saperne di più, consulta Gestione di risorse dell'organizzazione sicure per impostazione predefinita.
Se ospiti Splunk su un altro cloud, configura la federazione delle identità per i carichi di lavoro e scarica i file di configurazione delle credenziali. Se utilizzi più organizzazioni Google Cloud, aggiungi questo account di servizio alle altre organizzazioni e concedigli i ruoli IAM descritti nei passaggi da 5 a 7 della sezione Creare un account di servizio e concedere ruoli IAM.

Configura le notifiche

Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.

Per configurare Splunk, avrai bisogno degli ID organizzazione, dei nomi degli argomenti Pub/Sub e dei nomi delle sottoscrizioni Pub/Sub di questa attività.

Abilita le notifiche sui risultati per Pub/Sub, che include i seguenti passaggi:
1. Abilita l'API Security Command Center.
2. Crea tre argomenti Pub/Sub:
  - un argomento per i risultati
  - un argomento per le risorse
  - un argomento per gli audit log
3. Crea un notificationConfig per i risultati in Security Command Center. L'elemento notificationConfig esporta i risultati di Security Command Center in Pub/Sub in base ai filtri da te specificati.
Abilita l'API Cloud Asset per il progetto.
Crea i feed per gli asset. Devi creare due feed nello stesso argomento Pub/Sub: uno per le tue risorse e un altro per i tuoi criteri IAM (Identity and Access Management).
- L'argomento Pub/Sub per gli asset deve essere diverso da quello utilizzato per i risultati.
- Per il feed delle risorse, utilizza il seguente filtro:
  
  content-type=resource
- Per il feed dei criteri IAM, utilizza il seguente filtro:
  
  content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
Crea un sink di destinazione per gli audit log. Questa integrazione utilizza un argomento Pub/Sub come destinazione.

Installa l'app Google SCC per Splunk e il componente aggiuntivo Google SCC per Splunk

In questa sezione installerai l'app Google SCC per Splunk e il componente aggiuntivo Google SCC per Splunk. Queste app, gestite da Security Command Center, automatizzano il processo di pianificazione delle chiamate API Security Command Center, recuperano regolarmente i dati di Security Command Center da utilizzare in Splunk e configurano le dashboard che consentono di visualizzare i dati di Security Command Center in Splunk.

L'installazione dell'app richiede l'accesso all'interfaccia web di Splunk.

Se disponi di un deployment Splunk distribuito, installa le app nel seguente modo:

Installa l'app Google SCC per Splunk sullo inoltro pesante e sulle teste di ricerca di Splunk.
Installa il componente aggiuntivo Google SCC per Splunk sulle teste di ricerca di Splunk.

Per completare l'installazione, segui questi passaggi:

Nell'interfaccia web di Splunk, vai all'icona a forma di ingranaggio App.
Seleziona Gestisci app > Sfoglia altre app.
Cerca e installa le seguenti app:
- Componente aggiuntivo Google SCC per Splunk
- App Google SCC per Splunk

Entrambe le app vengono visualizzate nell'elenco delle app. Continua a Collegare Splunk a Google Cloud per configurare le app.

Esegui l'upgrade dell'app Google SCC per Splunk e del componente aggiuntivo Google SCC per Splunk

Disattiva tutti gli input esistenti:
1. Nell'interfaccia web di Splunk, fai clic su Applicazioni > Componente aggiuntivo Google SCC per Splunk.
2. Seleziona la scheda Input.
3. Per ciascun input, fai clic su Azione > Disabilita.
Rimuovi i dati indicizzati di Security Command Center. Puoi utilizzare il comando pulito dell'interfaccia a riga di comando Splunk per rimuovere i dati indicizzati da un'app prima di eliminarla.
Esegui l'upgrade:
1. Nell'interfaccia web di Splunk, vai all'icona a forma di ingranaggio App.
2. Seleziona Gestisci app > Sfoglia altre app.
3. Cerca le seguenti app ed esegui l'upgrade:
  - Componente aggiuntivo Google SCC per Splunk
  - App Google SCC per Splunk
4. Se richiesto, riavvia Splunk.
Per ogni nuova organizzazione Google Cloud, completa la sezione Collegare Splunk a Google Cloud.
Crea i nuovi input, come descritto in Aggiungere gli input di dati di Security Command Center.

Connetti Splunk a Google Cloud

Per completare questa attività devi avere la funzionalità admin_all_objects in Splunk.

Se hai installato Splunk su Amazon Web Services o Microsoft Azure, segui questi passaggi:
1. Apri una finestra del terminale.
2. Passa all'app Google SCC per Splunk:
```
cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
```
3. Apri ta_googlescc_settings.conf in un editor di testo:
```
sudo vim ta_googlescc_settings.conf
```
4. Aggiungi le seguenti righe alla fine del file:
```
[additional_parameters]
scheme = http
```
5. Salva e chiudi il file.
6. Riavvia la piattaforma Splunk.
Nell'interfaccia web di Splunk, fai clic su Applicazioni > Componente aggiuntivo Google SCC per Splunk > Configurazione > Account Google SCC.
Seleziona la scheda Configurazione.
Fai clic su Aggiungi.
Esegui una delle seguenti operazioni, a seconda del campo visualizzato:
- Se viene visualizzato il campo JSON Service Account JSON, vai al file JSON che include la chiave dell'account di servizio. Questo campo viene visualizzato se utilizzi Splunk on-premise.
- Se viene visualizzato il campo Configurazione credenziali, vai al file di configurazione delle credenziali che hai scaricato durante l'impostazione della federazione delle identità per i carichi di lavoro. Questo campo viene visualizzato se ospiti Splunk in Microsoft Azure o AWS.
Se hai eseguito il deployment di Splunk in Google Cloud o hai completato il passaggio 1, la configurazione dell'account di servizio viene rilevata automaticamente.
Nel campo Organization (Organizzazione), aggiungi il tuo ID organizzazione Google Cloud.
Se utilizzi un server proxy per connettere Splunk a Google Cloud:
1. Fai clic sulla scheda Proxy.
2. Seleziona Attiva.
3. Seleziona il tipo di proxy (HTTPS, SOCKS4 o SOCKS5).
4. Aggiungi il nome host del proxy, la porta e, facoltativamente, il nome utente e la password.
Nella scheda Logging, seleziona il livello di logging per il componente aggiuntivo.
Fai clic su Salva.
Completa i passaggi da 2 a 9 per ogni organizzazione Google Cloud che vuoi integrare.

Crea input di dati per le tue organizzazioni Google Cloud, come descritto in Aggiungere gli input di dati di Security Command Center.

Aggiungi gli input di dati di Security Command Center

Nell'interfaccia web di Splunk, fai clic su Applicazioni > Componente aggiuntivo Google SCC per Splunk.
Seleziona la scheda Input.
Fai clic su Crea nuovo input.
Seleziona uno degli input:
- Input origine
- Input risultati
- Input asset
- Input degli audit log
Fai clic sull'icona Modifica.

Inserisci le seguenti informazioni:

Campo	Descrizione
Nome input	Il nome predefinito per l'input di dati
Intervallo	Il tempo (in secondi) di attesa tra una chiamata per i dati
Indice	L'indice Splunk a cui vengono inviati i dati di Security Command Center
ID abbonamento risorse	Solo per gli input degli asset, il nome della sottoscrizione Pub/Sub per le risorse
ID abbonamento per gli audit log	Solo per l'input degli audit log, il nome della sottoscrizione Pub/Sub per gli audit log
ID abbonamento risultati	Solo per l'input dei risultati, il nome della sottoscrizione Pub/Sub per i risultati
Numero massimo di elementi di recupero	Il numero massimo di asset da recuperare in una chiamata

Fai clic su Update (Aggiorna).
Ripeti i passaggi da 3 a 7 per ogni input che vuoi aggiungere.
Ripeti i passaggi da 3 a 8 per ogni organizzazione Google Cloud che vuoi integrare.
Nella riga Stato, attiva gli input di dati che vuoi inoltrare a Splunk.

Aggiorna l'indice Splunk

Completa questa attività se non utilizzi l'indice Splunk principale:

Nell'interfaccia web di Splunk, fai clic su Impostazioni > Ricerca avanzata > Macro di ricerca.
Seleziona App Google SCC per Splunk.
Seleziona googlescc_index.
Aggiorna index=main per utilizzare il tuo indice.
Fai clic su Salva.

Visualizza i dati di Security Command Center in Splunk

Nell'interfaccia web di Splunk, fai clic su Applicazioni > Componente aggiuntivo Google SCC per Splunk.
Seleziona la scheda Ricerca.
Imposta la query di ricerca, ad esempio index="main".
Seleziona l'intervallo di tempo.
Fai clic sull'icona Cerca.
Filtra i dati in base al tipo di origine (origine, asset, audit log, asset IAM o risultati), come necessario.

Visualizza le dashboard

L'app Google SCC per Splunk consente di visualizzare i dati da Security Command Center. Comprende cinque dashboard: Panoramica, Origini, Risultati, Asset, Log di controllo e Ricerca.

Puoi accedere a queste dashboard nell'interfaccia web di Splunk, dalla pagina Applicazioni > App SCC di Google per Splunk.

Dashboard Panoramica

La dashboard Panoramica contiene una serie di grafici che mostrano il numero totale dei risultati nella tua organizzazione per livello di gravità, categoria e stato. I risultati vengono compilati dai servizi integrati di Security Command Center, come Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, oltre agli eventuali servizi integrati attivati.

Per filtrare i contenuti, puoi impostare l'intervallo di tempo e l'ID organizzazione.

I grafici aggiuntivi mostrano quali categorie, progetti e asset stanno generando il maggior numero di risultati.

Dashboard degli asset

La dashboard Asset mostra una tabella dei 1000 asset Google Cloud creati o modificati più di recente. La tabella mostra il nome e il tipo di asset, il proprietario della risorsa e l'ora dell'ultimo aggiornamento.

Puoi filtrare i dati degli asset in base a intervallo di tempo, ID organizzazione e tipo di asset. Se fai clic su Visualizza nella colonna Reindirizzamento a SCC, il sistema ti reindirizzerà alla pagina Asset di Security Command Center nella console Google Cloud e verranno mostrati i dettagli dell'asset selezionato.

Dashboard degli audit log

La dashboard Log di controllo mostra una serie di grafici e tabelle che mostrano le informazioni del log di controllo. I log di controllo inclusi nella dashboard sono gli audit log relativi ad attività dell'amministratore, accesso ai dati, eventi di sistema e criteri negati. La tabella include l'ora, il nome del log, la gravità, il nome del servizio, il nome della risorsa e il tipo di risorsa.

Puoi filtrare i dati in base a intervallo di tempo, ID organizzazione e nome log.

Dashboard dei risultati

La dashboard Risultati include una tabella dei 1000 risultati più recenti. La colonna della tabella include elementi quali categoria, nome asset, nome origine, contrassegni di sicurezza, classe di risultati e gravità.

Puoi filtrare i dati in base a intervallo di tempo, ID organizzazione, categoria, gravità, nome dell'origine, nome dell'asset, nome del progetto o classe di risultati. Inoltre, nella colonna Aggiorna stato puoi aggiornare lo stato di un risultato. Per indicare che stai esaminando attivamente un risultato, fai clic su Contrassegna come ATTIVO. Se non stai esaminando attivamente un risultato, fai clic su Contrassegna come INATTIVO.

Se fai clic su un nome di ricerca, il sistema ti reindirizzerà alla pagina Risultati di Security Command Center nella console Google Cloud e verranno mostrati i dettagli del risultato selezionato.

Dashboard delle origini

La dashboard Origini mostra una tabella di tutte le origini di sicurezza. Le colonne della tabella includono nome, nome visualizzato e descrizione.

Per filtrare i contenuti, puoi impostare l'intervallo di tempo.

Disinstallare le app

Disinstalla le app se non vuoi più recuperare i dati di Security Command Center per Splunk.

Nell'interfaccia web di Splunk, vai ad Applicazioni > Gestisci app.
Cerca Google SCC App for Splunk.
Nella colonna Stato, fai clic su Disattiva.
Cerca Google SCC Add-on for Splunk.
Nella colonna Stato, fai clic su Disattiva.
Se vuoi, rimuovi i dati indicizzati di Security Command Center. Puoi utilizzare il comando pulito dell'interfaccia a riga di comando Splunk per rimuovere i dati indicizzati da un'app prima di eliminarla.
In un ambiente autonomo Splunk, segui questi passaggi:
1. Apri un terminale e accedi a Splunk.
2. Elimina le app e le relative directory in $SPLUNK_HOME/etc/apps/APPNAME:
```
./splunk remove app APPNAME -auth USERNAME:PASSWORD
```
  Sostituisci APPNAME con GoogleSCCAppforSplunk o TA_GoogleSCC.
3. Ripeti il passaggio b per l'altra app.
4. Se vuoi, puoi rimuovere le directory specifiche dell'utente eliminando tutti i file trovati in $SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk e $SPLUNK_HOME/etc/users/*/TA_GoogleSCC.
5. Riavvia la piattaforma Splunk.
In un ambiente Splunk distribuito, segui questi passaggi:
1. Accedi al gestore deployment.
2. Elimina le app e le relative directory in $SPLUNK_HOME/etc/apps/APPNAME:
```
./splunk remove app APPNAME -auth USERNAME:PASSWORD
```
  Sostituisci APPNAME con GoogleSCCAppforSplunk o TA_GoogleSCC.
3. Ripeti il passaggio b per l'altra app.
4. Esegui il comando splunk apply shcluster-bundle:
```
splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
```

Passaggi successivi

Scopri di più sulla configurazione delle notifiche di rilevamento in Security Command Center.
Scopri come filtrare le notifiche sui risultati in Security Command Center.