Como enviar dados do Security Command Center para o Splunk

Esta página explica como enviar automaticamente descobertas, recursos, registros de auditoria e origens de segurança do Security Command Center para o Splunk. Também descreve como gerenciar os dados exportados. O Splunk é uma plataforma de gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês) que ingere dados de segurança de uma ou mais fontes e permite que as equipes de segurança gerenciem respostas a incidentes e realizem análises em tempo real.

Neste guia, você garante que os serviços necessários do Security Command Center e do Google Cloud estejam configurados corretamente e permite que o Splunk acesse descobertas, registros de auditoria e informações de recursos no seu ambiente do Security Command Center.

Antes de começar

Para usar este guia, você precisa usar uma das seguintes opções:

Configurar autenticação e autorização

Antes de se conectar ao Splunk, você precisa criar uma conta de serviço do Identity and Access Management (IAM) em cada organização do Google Cloud a que você quer se conectar e conceder a ela os papéis do IAM no nível da organização e do projeto necessários para o complemento SCC do Google para o Splunk.

Criar uma conta de serviço e conceder papéis do IAM

As etapas a seguir usam o console do Google Cloud. Para ver outros métodos, consulte os links no final desta seção.

Conclua estas etapas para cada organização do Google Cloud de onde você quer importar dados do Security Command Center.

  1. No mesmo projeto em que você cria os tópicos do Pub/Sub, use a página Contas de serviço no console do Google Cloud para criar uma conta de serviço. Veja instruções em Como criar e gerenciar contas de serviço.
  2. Conceda à conta de serviço a este papel:

    • Editor do Pub/Sub (roles/pubsub.editor)
  3. Copie o nome da conta de serviço que você acabou de criar.

  4. Use o seletor de projetos no console do Google Cloud para mudar para o nível da organização.

  5. Abra a página IAM da organização:

    Acessar IAM

  6. Na página do IAM, clique em Conceder acesso. O painel de concessão de acesso é aberto.

  7. No painel Conceder acesso, conclua as seguintes etapas:

    1. Na seção Adicionar principais no campo Novos principais, cole o nome da conta de serviço.
    2. Na seção Atribuir papéis, use o campo Papel para conceder os seguintes papéis do IAM à conta de serviço:

      • Editor administrador da Central de segurança (roles/securitycenter.adminEditor)
      • Editor de configurações de notificação da Central de segurança (roles/securitycenter.notificationConfigEditor)
      • Leitor da organização (roles/resourcemanager.organizationViewer)
      • Leitor de recursos do Cloud (roles/cloudasset.viewer)
    3. Clique em Save. A conta de segurança aparece na guia Permissões da página IAM em Ver pelos principais.

      Por herança, a conta de serviço também se torna uma conta principal em todos os projetos filhos da organização e os papéis aplicáveis no nível do projeto são listados como papéis herdados.

Para mais informações sobre como criar contas de serviço e conceder papéis, consulte estes tópicos:

Forneça as credenciais para o Splunk

Dependendo de onde você está hospedando o Splunk, a maneira como você fornece as credenciais do IAM para o Splunk é diferente.

Configurar notificações

Conclua estas etapas para cada organização do Google Cloud de onde você quer importar dados do Security Command Center.

Para configurar o Splunk, você precisa dos IDs da organização, dos nomes de tópicos e das assinaturas do Pub/Sub.

  1. Ative as notificações de localização para o Pub/Sub, que incluem as seguintes etapas:

    1. Ative a API Security Command Center.
    2. Crie três tópicos do Pub/Sub:

      • Um tópico para as descobertas
      • Um tópico para recursos
      • Um tópico para registros de auditoria
    3. Crie um notificationConfig para as descobertas no Security Command Center. O notificationConfig exporta as descobertas do Security Command Center para o Pub/Sub com base em filtros especificados por você.

  2. Ative a API Cloud Asset no projeto.

  3. Crie feeds para seus recursos. É preciso criar dois feeds no mesmo tópico do Pub/Sub, um para os recursos e outro para as políticas do Identity and Access Management (IAM).

    • O tópico do Pub/Sub para recursos precisa ser diferente do usado para descobertas.
    • Para o feed dos recursos, use o seguinte filtro:

      content-type=resource

    • Para o feed de políticas do IAM, use o seguinte filtro:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. Crie um coletor de destino para os registros de auditoria. Essa integração usa um tópico do Pub/Sub como destino.

Instale o app Google SCC para o Splunk e o complemento do Google SCC para o Splunk

Nesta seção, você instalará o Google SCC App para o Splunk e o complemento do Google SCC para o Splunk. Esses apps, que são mantidos pelo Security Command Center, automatizam o processo de programação de chamadas da API Security Command Center, recuperam regularmente os dados do Security Command Center para uso no Splunk e configuram os painéis que permitem ver os dados do Security Command Center no Splunk.

A instalação do app requer acesso à interface da Web do Splunk.

Se você tiver uma implantação distribuída do Splunk, instale os apps da seguinte maneira:

Para concluir a instalação, faça o seguinte:

  1. Na interface da Web do Splunk, acesse o ícone de engrenagem Apps.

  2. Selecione Gerenciar apps > Procurar mais apps.

  3. Pesquise e instale estes apps:

    • Complemento SCC do Google para o Splunk
    • App Google SCC para Splunk

Os dois apps aparecerão na sua lista. Prossiga para Conectar o Splunk ao Google Cloud para configurar os apps.

Fazer upgrade do app Google SCC para o Splunk e o complemento do Google SCC para o Splunk

  1. Desative todas as entradas:

    1. Na interface da Web do Splunk, clique em Apps > Google SCC Add-on for Splunk.

    2. Selecione a guia Entradas.

    3. Para cada entrada, clique em Ação > Desativar.

  2. Remova os dados indexados do Security Command Center. Use o comando de limpeza da CLI do Splunk para remover dados indexados de um app antes de excluí-lo.

  3. Faça upgrade:

    1. Na interface da Web do Splunk, acesse o ícone de engrenagem Apps.

    2. Selecione Gerenciar apps > Procurar mais apps.

    3. Pesquise e faça upgrade destes apps:

      • Complemento SCC do Google para o Splunk
      • App Google SCC para Splunk
    4. Se solicitado, reinicie o Splunk.

  4. Para cada nova organização do Google Cloud, preencha a seção Conectar o Splunk ao Google Cloud.

  5. Crie as novas entradas, conforme descrito em Adicionar as entradas de dados do Security Command Center.

Conectar o Splunk ao Google Cloud

Você precisa ter o recurso admin_all_objects no Splunk para concluir esta tarefa.

  1. Se você instalou o Splunk no Amazon Web Services ou no Microsoft Azure, faça o seguinte:

    1. Abra uma janela de terminal.

    2. Acesse o diretório do Google SCC App para o Splunk:

      cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
      
    3. Abra ta_googlescc_settings.conf em um editor de texto:

      sudo vim ta_googlescc_settings.conf
      
    4. Adicione estas linhas ao final do arquivo:

      [additional_parameters]
      scheme = http
      
    5. Salve e feche o arquivo.

    6. Reinicie a plataforma Splunk.

  2. Na interface da Web do Splunk, clique em Apps > Google SCC Add-on for Splunk > Configuration > Google SCC Account.

  3. Selecione a guia Configuração.

  4. Clique em Adicionar.

  5. Dependendo do campo exibido, siga um destes procedimentos:

    • Se o campo JSON da conta de serviço for exibido, procure o arquivo JSON que inclui a chave da conta de serviço.

    • Se o campo Credential Configuration for exibido, procure o arquivo de configuração de credenciais que você salvou ao configurar a federação de identidade da carga de trabalho.

    Se você tiver implantado o Splunk no Google Cloud ou concluído a etapa 1, a configuração da conta de serviço será detectada automaticamente.

  6. No campo Organização, adicione o ID da organização do Google Cloud.

  7. Se você estiver usando um servidor proxy para conectar o Splunk ao Google Cloud, faça o seguinte:

    1. Clique na guia Proxy.
    2. Selecione Ativar.
    3. Selecione o tipo de proxy (HTTPS, SOCKS4 ou SOCKS5).
    4. Adicione o nome do host e a porta do proxy e, opcionalmente, o nome de usuário e a senha.
  8. Na guia Logging, selecione o nível de geração de registros do complemento.

  9. Clique em Save.

  10. Conclua as etapas de 2 a 9 para cada organização do Google Cloud que você quer integrar.

Crie entradas de dados para suas organizações do Google Cloud, conforme descrito em Adicionar as entradas de dados do Security Command Center.

Adicionar as entradas de dados do Security Command Center

  1. Na interface da Web do Splunk, clique em Apps > Google SCC Add-on for Splunk.

  2. Selecione a guia Entradas.

  3. Clique em Criar nova entrada.

  4. Selecione uma das entradas:

    • Entrada da origem
    • Entrada de descobertas
    • Entrada do recurso
    • Entrada de registros de auditoria
  5. Clique no ícone Editar.

  6. Digite as seguintes informações:

    Campo Descrição
    Nome da entrada O nome padrão da sua entrada de dados
    Intervalo O tempo (em segundos) de espera entre as chamadas de dados
    Índice O índice do Splunk para o qual os dados do Security Command Center são enviados
    ID da assinatura dos recursos Apenas para entradas de recurso, o nome da assinatura do Pub/Sub para recursos
    ID da assinatura de registros de auditoria Apenas para entrada de registros de auditoria, o nome da assinatura do Pub/Sub para registros de auditoria
    ID da assinatura de descobertas Apenas para entrada de descobertas, o nome da assinatura do Pub/Sub para descobertas
    Busca máxima O número máximo de recursos a serem buscados em uma chamada

  7. Clique em Atualizar.

  8. Repita as etapas de 3 a 7 para cada entrada que você quer adicionar.

  9. Repita as etapas de 3 a 8 para cada organização do Google Cloud que você quer integrar.

  10. Na linha Status, ative as entradas de dados que você quer encaminhar para o Splunk.

Atualizar o índice do Splunk

Conclua esta tarefa se você não usar o índice principal do Splunk:

  1. Na interface da Web do Splunk, clique em Configurações > Pesquisa avançada > Pesquisar macros.
  2. Selecione Google SCC App para o Splunk.
  3. Selecione googlescc_index.
  4. Atualize index=main para usar o índice.
  5. Clique em Save.

Ver dados do Security Command Center no Splunk

  1. Na interface da Web do Splunk, clique em Apps > Google SCC Add-on for Splunk.

  2. Selecione a guia Pesquisar.

  3. Defina a consulta de pesquisa, por exemplo, index="main".

  4. Selecione o período.

  5. Clique no ícone Pesquisar.

  6. Filtre os dados por tipo de origem (uma de origens, recursos, registros de auditoria, recursos do IAM ou descobertas), conforme necessário.

Ver os painéis

O app Google SCC para o Splunk permite visualizar os dados do Security Command Center. Ele inclui cinco painéis: Visão geral, Origens, Descobertas, Recursos, Registros de auditoria e Pesquisa.

Acesse esses painéis na interface da Web do Splunk na página Apps > Google SCC Apps para o Splunk.

Painel de visão geral

O painel Visão geral contém uma série de gráficos que exibe o número total de descobertas na sua organização por nível de gravidade, categoria e estado. As descobertas são compiladas nos serviços integrados do Security Command Center, como Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, além de todos os serviços integrados ativados.

Para filtrar o conteúdo, defina o período e o ID da organização.

Outros gráficos mostram quais categorias, projetos e recursos estão gerando mais descobertas.

Painel de recursos

O painel Recursos exibe uma tabela dos mil recursos do Google Cloud criados ou modificados mais recentemente. A tabela mostra o nome, o tipo e o proprietário do recurso, além do horário da última atualização.

É possível filtrar os dados de recursos por período, ID da organização e tipo de recurso. Ao clicar em Ver na coluna Redirecionar para o SCC, você será redirecionado para a página Recursos do Security Command Center no console do Google Cloud e verá os detalhes do recurso selecionado.

Painel de registros de auditoria

O painel Registros de auditoria exibe uma série de gráficos e tabelas que mostra informações sobre o registro de auditoria. Os registros de auditoria incluídos no painel são atividades do administrador, acesso a dados, eventos do sistema e registros de auditoria negados pela política. A tabela inclui a hora, o nome do registro, a gravidade, o nome do serviço, o nome do recurso e o tipo de recurso.

É possível filtrar os dados por período, ID da organização e nome do registro.

Painel de descobertas

O painel Descobertas inclui uma tabela das mil descobertas mais recentes. A coluna da tabela inclui itens como categoria, nome do recurso, nome da fonte, marcas de segurança, classe de descoberta e gravidade.

Filtre os dados por período, ID da organização, categoria, gravidade, nome da origem, do recurso, do projeto ou da classe de descoberta. Além disso, na coluna Status da atualização, é possível atualizar o estado de uma descoberta. Para indicar que você está revisando ativamente uma descoberta, clique em Marcar como ATIVA. Se você não estiver revisando ativamente uma descoberta, clique em Marcar como INATIVA.

Ao clicar no nome de uma descoberta, você será redirecionado para a página Descobertas do Security Command Center no console do Google Cloud e verá os detalhes da descoberta selecionada.

Painel de origens

O painel Origens mostra uma tabela com todas as origens de segurança. As colunas da tabela incluem nome, nome de exibição e descrição.

Para filtrar conteúdo, defina o período.

Desinstalar os apps

Desinstale os apps quando não quiser mais recuperar os dados do Security Command Center para o Splunk.

  1. Na interface da Web do Splunk, acesse Apps > Gerenciar apps.

  2. Pesquise Google SCC App for Splunk.

  3. Na coluna Status, clique em Desativar.

  4. Pesquise Google SCC Add-on for Splunk.

  5. Na coluna Status, clique em Desativar.

  6. Remova os dados indexados do Security Command Center. Você pode usar o Comando de limpeza da CLI Splunk para remover dados indexados de um app antes de excluí-lo.

  7. Em um ambiente autônomo do Splunk, faça o seguinte:

    1. Abra um terminal e faça login no Splunk.

    2. Exclua os apps e os diretórios deles em $SPLUNK_HOME/etc/apps/APPNAME:

      ./splunk remove app APPNAME -auth USERNAME:PASSWORD
      

      Substitua APPNAME por GoogleSCCAppforSplunk ou TA_GoogleSCC.

    3. Repita a etapa b para o outro app.

    4. Como opção, remova os diretórios específicos do usuário excluindo todos os arquivos encontrados em $SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk e $SPLUNK_HOME/etc/users/*/TA_GoogleSCC.

    5. Reinicie a plataforma Splunk.

  8. Em um ambiente Splunk distribuído, faça o seguinte:

    1. Faça login no gerenciador de implantações.
    2. Exclua os apps e os diretórios deles em $SPLUNK_HOME/etc/apps/APPNAME:

      ./splunk remove app APPNAME -auth USERNAME:PASSWORD
      

      Substitua APPNAME por GoogleSCCAppforSplunk ou TA_GoogleSCC.

    3. Repita a etapa b para o outro app.

    4. Execute o comando splunk apply shcluster-bundle:

      splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
      

A seguir