Security Command Center-Daten an Splunk senden

Auf dieser Seite wird erläutert, wie Ergebnisse, Assets, Audit-Logs und Sicherheitsquellen von Security Command Center automatisch an Splunk gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten. Splunk ist eine Plattform des Sicherheits- und Ereignismanagements (SIEM), die Sicherheitsdaten aus einer oder mehreren Quellen aufnimmt und es Sicherheitsteams ermöglicht, Antworten auf Vorfälle zu verwalten und Echtzeitanalysen durchzuführen.

In dieser Anleitung sorgen Sie dafür, dass die erforderlichen Security Command Center- und Google Cloud-Dienste ordnungsgemäß konfiguriert sind. Aktivieren Sie Splunk, um auf Ergebnisse, Audit-Logs und Assetinformationen in Ihrer Security Command Center-Umgebung zuzugreifen.

Hinweise

In diesem Leitfaden wird davon ausgegangen, dass Sie eine der folgenden Optionen verwenden:

Authentifizierung und Autorisierung konfigurieren

Bevor Sie eine Verbindung zu Splunk herstellen können, müssen Sie in jeder Google Cloud-Organisation, mit der Sie eine Verbindung herstellen möchten, ein IAM-Dienstkonto (Identity and Access Management) erstellen und dem Konto die IAM-Rollen auf Organisations- und Projektebene zuweisen, die das SCC-Add-on von Google für Splunk benötigt.

Dienstkonto erstellen und IAM-Rollen zuweisen

In den folgenden Schritten wird die Google Cloud Console verwendet. Weitere Methoden finden Sie in den Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. Erstellen Sie in demselben Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, in der Google Cloud Console auf der Seite Dienstkonten ein Dienstkonto. Anweisungen finden Sie unter Dienstkonten erstellen und verwalten
  2. Weisen Sie dem Dienstkonto die folgende Rolle zu:

    • Pub/Sub-Bearbeiter (roles/pubsub.editor)
  3. Kopieren Sie den Namen des soeben erstellten Dienstkontos.

  4. Verwenden Sie die Projektauswahl in der Google Cloud Console, um zur Organisationsebene zu wechseln.

  5. Öffnen Sie die IAM für die Organisation:

    IAM aufrufen

  6. Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Die Erteilung wird geöffnet.

  7. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:

    1. Fügen Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.
    2. Verwenden Sie im Bereich Rollen zuweisen das Feld Rolle, um die folgende IAM-Rollen für das Dienstkonto:

      • Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
      • Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters (roles/securitycenter.notificationConfigEditor)
      • Organisationsbetrachter (roles/resourcemanager.organizationViewer)
      • Cloud-Asset-Betrachter (roles/cloudasset.viewer)
    3. Klicken Sie auf Speichern. Das Sicherheitskonto wird auf dem Tab Berechtigungen angezeigt. auf der Seite IAM unter Nach Hauptkonten ansehen.

      Durch Übernahme wird das Dienstkonto in allen der Organisation und die Rollen, die unter auf Projektebene werden als übernommene Rollen aufgeführt.

Weitere Informationen zum Erstellen von Dienstkonten und zum Gewähren von Rollen finden Sie unter folgenden Themen:

Anmeldedaten für Splunk bereitstellen

Je nachdem, wo Sie Splunk hosten, IAM-Anmeldedaten für Splunk sind unterschiedlich.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

Sie benötigen Ihre Organisations-IDs, Pub/Sub Themennamen und Pub/Sub-Abonamen aus dieser Aufgabe um Splunk zu konfigurieren.

  1. Ergebnisbenachrichtigungen für Pub/Sub aktivieren:

    1. Aktivieren Sie die Security Command Center API.
    2. Erstellen Sie drei Pub/Sub-Themen:

      • ein Thema für Erkenntnisse
      • ein Thema für Assets,
      • Ein Thema für Audit-Logs
    3. Erstellen Sie eine notificationConfig für die Ergebnisse im Security Command Center. Die notificationConfig exportiert die Security Command Center-Ergebnisse basierend auf den von Ihnen angegebenen Filtern nach Pub/Sub.

  2. Aktivieren Sie die Cloud Asset API für Ihr Projekt.

  3. Erstellen Sie Feeds für Ihre Assets. Du musst zwei Feeds im selben Pub/Sub-Thema erstellen: einen für Ihre Ressourcen und eine weitere für Ihre Richtlinien zur Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM).

    • Das Pub/Sub-Thema für Assets muss sich von dem unterscheiden, das für Ergebnisse verwendet wird.
    • Verwenden Sie für den Feed für Ihre Ressourcen den folgenden Filter:

      content-type=resource

    • Verwenden Sie für den IAM-Richtlinienfeed den folgenden Filter:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. Erstellen Sie einen Ziel-Sink für die Audit-Logs. Bei dieser Integration wird ein Pub/Sub-Thema als Ziel verwendet.

Google SCC App for Splunk und Google SCC Add-on for Splunk installieren

In diesem Abschnitt installieren Sie die Google SCC App for Splunk und das Google SCC Add-on for Splunk. Diese Apps, die vom Security Command Center verwaltet werden, automatisieren den Prozess der Planung von Security Command Center API-Aufrufen, rufen regelmäßig Security Command Center-Daten zur Verwendung in Splunk ab und richten die Dashboards ein, mit denen Sie Security Command Center-Daten in Splunk anzeigen können.

Die Installation der App erfordert Zugriff auf die Splunk-Weboberfläche.

Wenn Sie ein verteiltes Splunk-Deployment haben, installieren Sie die Apps so:

  • Google SCC App für Splunk auf Splunk installieren Heavy Forwarder und die Splunk-Search Heads.
  • Installieren Sie das Google SCC Add-on for Splunk auf den Splunk-Suchheadern.

So schließen Sie die Installation ab:

  1. Wechseln Sie in der Splunk-Weboberfläche zum Zahnradsymbol für Apps.

  2. Wählen Sie Apps verwalten > Weitere Apps suchen aus.

  3. Suchen und installieren Sie die folgenden Apps:

    • Google SCC Add-on for Splunk
    • Google SCC App for Splunk

Beide Apps werden in der Liste der Apps angezeigt. Fahren Sie mit Splunk mit Google Cloud verbinden fort, um die Apps zu konfigurieren.

Google SCC App for Splunk und Google SCC Add-on für Splunk aktualisieren

  1. Alle vorhandenen Eingaben deaktivieren:

    1. Klicken Sie in der Splunk-Weboberfläche auf Apps > Google SCC Add-on for Splunk.

    2. Wählen Sie den Tab Eingaben aus.

    3. Klicken Sie für jede Eingabe auf Aktion > Deaktivieren.

  2. Entfernen Sie die indexierten Daten aus dem Security Command Center. Sie können den Bereinigungsbefehl für die Splunk-Befehlszeile verwenden, um indexierte Daten aus einer App zu entfernen, bevor Sie die Anwendung löschen.

  3. Führen Sie das Upgrade aus:

    1. Wechseln Sie in der Splunk-Weboberfläche zum Zahnradsymbol für Apps.

    2. Wählen Sie Apps verwalten > Weitere Apps suchen aus.

    3. Suchen und aktualisieren Sie die folgenden Apps:

      • Google SCC Add-on for Splunk
      • Google SCC App for Splunk
    4. Starten Sie Splunk neu, wenn Sie dazu aufgefordert werden.

  4. Füllen Sie für jede neue Google Cloud-Organisation den Abschnitt Splunk mit Google Cloud verbinden aus.

  5. Erstellen Sie die neuen Eingaben wie unter Security Command Center-Dateneingaben hinzufügen beschrieben.

Splunk mit Google Cloud verbinden

Sie müssen das admin_all_objects-Funktion in Splunk ein, um diese Aufgabe abzuschließen.

  1. Wenn Sie Splunk in Amazon Web Services oder Microsoft Azure installiert haben, gehen Sie so vor:

    1. Öffnen Sie ein Terminalfenster.

    2. Wechseln Sie zum Google SCC App for Splunk-Verzeichnis:

      cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
      
    3. Öffnen Sie ta_googlescc_settings.conf in einem Texteditor:

      sudo vim ta_googlescc_settings.conf
      
    4. Fügen Sie die folgenden Zeilen am Ende der Datei hinzu:

      [additional_parameters]
      scheme = http
      
    5. Speichern und schließen Sie die Datei.

    6. Starten Sie die Splunk-Plattform neu.

  2. Klicken Sie in der Splunk-Weboberfläche auf Apps > Google SCC Add-on for Splunk > Konfiguration > Google SCC-Konto.

  3. Wählen Sie den Tab Konfiguration aus.

  4. Klicken Sie auf Hinzufügen.

  5. Führen Sie je nach angezeigtem Feld einen der folgenden Schritte aus:

    • Wenn das Feld Dienstkonto-JSON angezeigt wird, suchen Sie die JSON-Datei, die den Dienstkontoschlüssel enthält.

    • Wenn das Feld Anmeldedatenkonfiguration angezeigt wird, rufen Sie die Konfigurationsdatei für Anmeldedaten auf, die Sie beim Einrichten der Workload Identity-Föderation heruntergeladen haben.

    Wenn Sie Splunk in Google Cloud bereitgestellt oder Schritt 1 abgeschlossen haben, wird die Konfiguration des Dienstkontos automatisch erkannt.

  6. Geben Sie im Feld Organisation Ihre Google Cloud-Organisations-ID ein.

  7. Wenn Sie einen Proxyserver verwenden, um Splunk mit Google Cloud zu verbinden, gehen Sie so vor:

    1. Klicken Sie auf den Tab Proxy.
    2. Wählen Sie Aktivieren aus.
    3. Wählen Sie Ihren Proxytyp aus (HTTPS, SOCKS4 oder SOCKS5).
    4. Fügen Sie den Proxy-Hostnamen, den Port und optional den Nutzernamen und das Passwort hinzu.
  8. Wählen Sie auf dem Tab Logging die Logging-Ebene für das Add-on aus.

  9. Klicken Sie auf Speichern.

  10. Führen Sie die Schritte 2 bis 9 für jede Google Cloud-Organisation aus, die Sie einbinden möchten.

Erstellen Sie Dateninputs für Ihre Google Cloud-Organisationen, wie unter Security Command Center-Dateneingaben hinzufügen beschrieben.

Security Command Center-Dateneingaben hinzufügen

  1. Klicken Sie in der Splunk-Weboberfläche auf Apps > Google SCC Add-on for Splunk.

  2. Wählen Sie den Tab Eingaben aus.

  3. Klicken Sie auf Neue Eingabe erstellen.

  4. Wählen Sie eine der Eingaben aus:

    • Quelleingabe
    • Ergebniseingabe
    • Asseteingabe
    • Audit-Logeingabe
  5. Klicken Sie auf das Symbol Bearbeiten.

  6. Geben Sie die folgenden Informationen ein:

    Feld Beschreibung
    Eingabename Der Standardname für Ihre Dateneingabe
    Zeitraum Die Zeit in Sekunden, die zwischen Datenaufrufen gewartet werden soll.
    Index Der Splunk-Index, an den die Security Command Center-Daten gesendet werden
    Abo-ID für Assets Nur bei Asset-Eingaben: der Name des Pub/Sub-Abos für Ressourcen.
    Abo-ID für Audit-Logs Nur für Audit-Logeingaben: der Name des Pub/Sub-Abos für Audit-Logs
    Abo-ID für Ergebnisse Nur für Ergebniseingaben: der Name des Pub/Sub-Abos für Ergebnisse
    Maximaler Abruf Die maximale Anzahl von Assets, die in einem Aufruf abgerufen werden sollen

  7. Klicken Sie auf Aktualisieren.

  8. Wiederholen Sie die Schritte 3 bis 7 für jede Eingabe, die Sie hinzufügen möchten.

  9. Wiederholen Sie die Schritte 3 bis 8 für jede Google Cloud-Organisation, die Sie integrieren möchten.

  10. Aktivieren Sie in der Zeile Status die Dateneingaben, die Sie an Splunk weiterleiten möchten.

Splunk-Index aktualisieren

Führen Sie diese Aufgabe aus, wenn Sie den Haupt-Splunk-Index nicht verwenden:

  1. Klicken Sie in der Splunk-Weboberfläche auf Einstellungen > Erweiterte Suche > Makros suchen.
  2. Wählen Sie Google SCC App for Splunk aus.
  3. Wählen Sie googlescc_index aus.
  4. Aktualisieren Sie index=main, um Ihren Index zu verwenden.
  5. Klicken Sie auf Speichern.

Security Command Center-Daten in Splunk ansehen

  1. Klicken Sie in der Splunk-Weboberfläche auf Apps > Google SCC Add-on for Splunk.

  2. Wählen Sie den Tab Suchen.

  3. Legen Sie Ihre Suchanfrage fest, z. B. index="main".

  4. Wählen Sie den Zeitraum aus.

  5. Klicken Sie auf das Symbol Suchen.

  6. Filtern Sie die Daten je nach Bedarf nach Quellentyp (eine der Quellen, Assets, Audit-Logs, IAM-Assets oder Ergebnisse).

Dashboards aufrufen

Mit der Google SCC App for Splunk können Sie die Daten aus Security Command Center visualisieren. Es enthält fünf Dashboards: Übersicht, Quellen, Ergebnisse, Assets, Audit-Logs und Suche.

Sie können auf diese Dashboards in der Splunk-Weboberfläche von der Seite Apps > Google SCC Apps for Splunk zugreifen.

Übersichts-Dashboard

Das Dashboard Übersicht enthält eine Reihe von Diagrammen, in denen die Gesamtzahl der Ergebnisse in Ihrer Organisation nach Schweregrad, Kategorie und Status angezeigt wird. Die Ergebnisse werden aus den integrierten Diensten von Security Command Center zusammengestellt, z. B. Security Health Analytics Web Security Scanner Event Threat Detection und Container Threat Detection und alle integrierten Dienste, die Sie aktivieren.

Sie können den Zeitraum und die Organisations-ID festlegen, um Inhalte zu filtern.

Zusätzliche Diagramme zeigen, welche Kategorien, Projekte und Assets die meisten Ergebnisse generieren.

Assets-Dashboard

Im Dashboard Assets wird eine Tabelle der 1.000 zuletzt erstellten oder geänderten Google Cloud-Assets angezeigt. Die Tabelle enthält den Namen des Assets, den Asset-Typ, den Ressourceninhaber und den Zeitpunkt der letzten Aktualisierung.

Sie können Asset-Daten nach Zeitraum, Organisations-ID und Asset-Typ filtern. Wenn Sie in der Spalte Zu SCC weiterleiten auf Ansehen klicken, werden Sie auf die Seite Assets des Security Command Centers in der Google Cloud Console umgeleitet und erhalten Informationen zu dem ausgewählten Asset.

Audit-Logs-Dashboard

Im Dashboard Audit-Logs werden eine Reihe von Diagrammen und Tabellen angezeigt, die Informationen zum Audit-Log enthalten. Im Dashboard sind Audit-Logs zu Administratoraktivitäten, Datenzugriff, Systemereignissen und Audit-Logs zu abgelehnten Richtlinien enthalten. Die Tabelle enthält die Zeit, den Lognamen, den Schweregrad, den Dienstnamen, den Ressourcennamen und den Ressourcentyp.

Sie können die Daten nach Zeitraum, Organisations-ID und Logname filtern.

Ergebnis-Dashboard

Das Dashboard Ergebnisse enthält eine Tabelle mit den 1.000 neuesten Ergebnissen. Die Tabellenspalte enthält Elemente wie Kategorie, Asset-Name, Quellname, Sicherheitsmarkierungen, Ergebnisklasse und Schweregrad.

Sie können die Daten nach Zeitraum, Organisations-ID, Kategorie, Schweregrad, Name der Quelle, Asset-Name, Projektname oder Ergebnisklasse filtern. Darüber hinaus können Sie in der Spalte Aktualisierungsstatus den Status eines Ergebnisses aktualisieren. Klicken Sie auf Als AKTIV markieren, um anzugeben, dass Sie ein Ergebnis aktiv prüfen. Wenn Sie ein Ergebnis nicht aktiv prüfen, klicken Sie auf Als INAKTIV markieren.

Wenn Sie auf einen Ergebnisnamen klicken, werden Sie zur Seite Ergebnisse von Security Command Center in der Google Cloud Console weitergeleitet und sehen Details zum ausgewählten Ergebnis.

Quellen-Dashboard

Im Dashboard Quellen wird eine Tabelle aller Sicherheitsquellen angezeigt. Tabellenspalten enthalten den Namen, den Anzeigenamen und die Beschreibung.

Sie können den Zeitraum festlegen, um Inhalte zu filtern.

Apps deinstallieren

Deinstallieren Sie die Apps, wenn Sie keine Security Command Center-Daten für Splunk abrufen möchten.

  1. Rufen Sie in der Splunk-Weboberfläche Apps > Apps verwalten auf.

  2. Suchen Sie nach Google SCC App for Splunk.

  3. Klicken Sie in der Spalte Status auf Deaktivieren.

  4. Suchen Sie nach Google SCC Add-on for Splunk.

  5. Klicken Sie in der Spalte Status auf Deaktivieren.

  6. Entfernen Sie optional die indexierten Daten aus dem Security Command Center. Sie können die Clean-Befehl der Splunk-Befehlszeile , um indexierte Daten aus einer App zu entfernen, bevor Sie die App löschen.

  7. Gehen Sie in einer eigenständigen Splunk-Umgebung so vor:

    1. Öffnen Sie ein Terminal und melden Sie sich in Splunk an.

    2. Löschen Sie die Apps und ihre Verzeichnisse in $SPLUNK_HOME/etc/apps/APPNAME:

      ./splunk remove app APPNAME -auth USERNAME:PASSWORD
      

      Ersetzen Sie APPNAME durch GoogleSCCAppforSplunk oder TA_GoogleSCC.

    3. Wiederholen Sie Schritt b für die andere App.

    4. Entfernen Sie optional die nutzerspezifischen Verzeichnisse. Löschen Sie dazu alle Dateien in $SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk und $SPLUNK_HOME/etc/users/*/TA_GoogleSCC.

    5. Starten Sie die Splunk-Plattform neu.

  8. Gehen Sie in einer verteilten Splunk-Umgebung so vor:

    1. Melden Sie sich beim Deployer Manager an.
    2. Löschen Sie die Apps und ihre Verzeichnisse in $SPLUNK_HOME/etc/apps/APPNAME:

      ./splunk remove app APPNAME -auth USERNAME:PASSWORD
      

      Ersetzen Sie APPNAME durch GoogleSCCAppforSplunk oder TA_GoogleSCC.

    3. Wiederholen Sie Schritt b für die andere App.

    4. Führen Sie den Befehl splunk apply shcluster-bundle aus:

      splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
      

Nächste Schritte