Envoyer des données de Security Command Center à Splunk

Cette page explique comment envoyer automatiquement les résultats, les éléments, les journaux d'audit et les sources de sécurité de Security Command Center à Splunk. Elle décrit également comment gérer les données exportées. Splunk est une plate-forme de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) qui ingère des données provenant d'une ou de plusieurs sources. Elle permet aux équipes de sécurité de gérer les réponses aux incidents et d'effectuer des analyses en temps réel.

Dans ce guide, vous vérifiez que les services Security Command Center et Google Cloud requis sont correctement configurés et permettent à Splunk d'accéder aux résultats, aux journaux d'audit et aux informations sur les éléments dans votre environnement Security Command Center.

Avant de commencer

Ce guide suppose que vous utilisez l'un des outils suivants:

Splunk Enterprise version 8.1, 8.2 ou 9.0
Splunk Cloud
Héberger Splunk dans Google Cloud, Amazon Web Services ou Microsoft Azure

Configurer l'authentification et l'autorisation

Avant de vous connecter à Splunk, vous devez créer un compte de service Identity and Access Management (IAM) dans chaque organisation Google Cloud que vous souhaitez connecter, et attribuer au compte les rôles IAM au niveau de l'organisation et du projet dont le module complémentaire Google SCC pour Splunk a besoin.

Créer un compte de service et attribuer des rôles IAM

Les étapes suivantes utilisent la console Google Cloud. Pour les autres méthodes, consultez les liens à la fin de cette section.

Suivez ces étapes pour chaque organisation Google Cloud à partir de laquelle vous souhaitez importer des données Security Command Center.

Dans le projet dans lequel vous créez vos sujets Pub/Sub, utilisez la page Comptes de service de la console Google Cloud pour créer un compte de service. Pour obtenir des instructions, consultez la page Créer et gérer des comptes de service.
Attribuez le rôle suivant au compte de service :
- Éditeur Pub/Sub (roles/pubsub.editor)
Copiez le nom du compte de service que vous venez de créer.
Utilisez le sélecteur de projet dans la console Google Cloud pour passer au niveau de l'organisation.
Ouvrez la page IAM de l'organisation :

Accéder à IAM
Sur la page IAM, cliquez sur Accorder l'accès. Le panneau "Accorder l'accès" s'affiche.
Dans le panneau Accorder l'accès, procédez comme suit :
1. Dans la section Ajouter des comptes principaux du champ Nouveaux comptes principaux, collez le nom du compte de service.
2. Dans la section Attribuer des rôles, utilisez le champ Rôle pour attribuer les rôles IAM suivants au compte de service :
  - Éditeur administrateur du centre de sécurité (roles/securitycenter.adminEditor)
  - Éditeur de configuration des notifications du centre de sécurité (roles/securitycenter.notificationConfigEditor)
  - Lecteur d'organisation (roles/resourcemanager.organizationViewer)
  - Lecteur d'éléments cloud (roles/cloudasset.viewer)
3. Cliquez sur Enregistrer. Le compte de sécurité s'affiche dans l'onglet Autorisations de la page IAM sous Afficher par compte principal.
  
  Par héritage, le compte de service devient également un compte principal dans tous les projets enfants de l'organisation, et les rôles applicables au niveau du projet sont répertoriés en tant que rôles hérités.

Pour plus d'informations sur la création de comptes de service et l'attribution de rôles, consultez les rubriques suivantes :

Fournir les identifiants à Splunk

La procédure à suivre varie selon l'emplacement où vous hébergez Splunk.

Si vous hébergez Splunk dans Google Cloud, le compte de service que vous avez créé et les rôles au niveau de l'organisation que vous lui avez attribués sont automatiquement disponibles en héritant de l'organisation parente. Si vous utilisez plusieurs organisations Google Cloud, ajoutez ce compte de service aux autres organisations et attribuez-lui les rôles IAM décrits aux étapes 5 à 7 de la section Créer un compte de service et attribuer des rôles IAM.
Si vous hébergez Splunk Enterprise dans votre environnement sur site, créez une clé de compte de service pour chaque organisation Google Cloud. Vous aurez besoin des clés de compte de service au format JSON pour suivre ce guide.

Pour en savoir plus sur les bonnes pratiques de stockage sécurisé de vos clés de compte de service, consultez la section Bonnes pratiques de gestion des clés de compte de service.
Si vous hébergez Splunk dans un autre cloud, configurez la fédération d'identité de charge de travail et téléchargez les fichiers de configuration des identifiants. Si vous utilisez plusieurs organisations Google Cloud, ajoutez ce compte de service aux autres organisations et attribuez-lui les rôles IAM décrits aux étapes 5 à 7 de la section Créer un compte de service et attribuer des rôles IAM.

Configurer les notifications

Suivez ces étapes pour chaque organisation Google Cloud à partir de laquelle vous souhaitez importer des données Security Command Center.

Vous aurez besoin des ID de votre organisation, des noms des sujets Pub/Sub et des noms des abonnements Pub/Sub de cette tâche pour configurer Splunk.

Activez les notifications de résultats pour Pub/Sub. Cette procédure comprend les étapes suivantes:
1. Activez l'API Security Command Center.
2. Créez trois sujets Pub/Sub:
  - un sujet de résultats
  - un thème pour les éléments
  - un sujet pour les journaux d'audit
3. Créez un objet notificationConfig pour les résultats dans Security Command Center. notificationConfig exporte les résultats de Security Command Center vers Pub/Sub en fonction des filtres que vous spécifiez.
Activez l'API Cloud Asset pour votre projet.
Créez des flux pour vos éléments. Vous devez créer deux flux dans le même sujet Pub/Sub: un pour vos ressources et un autre pour vos stratégies IAM (Identity and Access Management).
- Le sujet Pub/Sub des éléments doit être différent de celui utilisé pour les résultats.
- Pour le flux de vos ressources, utilisez le filtre suivant:
  
  content-type=resource
- Pour le flux de stratégies IAM, utilisez le filtre suivant:
  
  content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
Créez un récepteur de destination pour les journaux d'audit. Cette intégration utilise un sujet Pub/Sub comme destination.

Installer l'application Google SCC pour Splunk et le module complémentaire Google SCC pour Splunk

Dans cette section, vous allez installer l'application Google SCC pour Splunk et le module complémentaire Google SCC pour Splunk. Ces applications, qui sont gérées par Security Command Center, automatisent le processus de planification des appels d'API Security Command Center, récupèrent régulièrement les données de Security Command Center à utiliser dans Splunk et configurent les tableaux de bord qui vous permettent d'afficher les données de Security Command Center dans Splunk.

L'installation d'une application nécessite l'accès à l'interface Web de Splunk.

Si vous disposez d'un déploiement Splunk distribué, installez les applications comme suit :

Installez l'application Google SCC pour Splunk sur le redirecteur lourd de Splunk et les têtes de recherche Splunk.
Installez le module complémentaire Google SCC pour Splunk sur les têtes de recherche Splunk.

Pour effectuer l'installation, procédez comme suit :

Dans l'interface Web Splunk, accédez à l'icône en forme de roue dentée Apps (Applications).
Sélectionnez Manage Apps > Browse more apps (Gérer les applications > Parcourir plus d'applications).
Recherchez et installez les applications suivantes :
- Module complémentaire Google SCC pour Splunk
- Application Google SCC pour Splunk

Les deux applications apparaissent dans votre liste d'applications. Passez à la section Connecter Splunk à Google Cloud pour configurer les applications.

Mettre à niveau l'application Google SCC pour Splunk et le module complémentaire Google SCC pour Splunk

Désactivez toutes les entrées existantes:
1. Dans l'interface Web de Splunk, cliquez sur Apps > Google SCC Add-on for Splunk (Applications > Module complémentaire Google SCC pour Splunk).
2. Sélectionnez l'onglet Inputs (Entrées).
3. Pour chaque entrée, cliquez sur Action > Disable (Action > Désactiver).
Supprimez les données indexées de Security Command Center. Vous pouvez utiliser la commande de nettoyage de la CLI Splunk pour supprimer les données indexées d'une application avant de supprimer celle-ci.
Effectuez la mise à niveau:
1. Dans l'interface Web Splunk, accédez à l'icône en forme de roue dentée Apps (Applications).
2. Sélectionnez Manage Apps > Browse more apps (Gérer les applications > Parcourir plus d'applications).
3. Recherchez les applications suivantes et mettez-les à jour:
  - Module complémentaire Google SCC pour Splunk
  - Application Google SCC pour Splunk
4. Si vous y êtes invité, redémarrez Splunk.
Pour chaque nouvelle organisation Google Cloud, remplissez la section Connecter Splunk à Google Cloud.
Créez les entrées, comme décrit dans la section Ajouter les entrées de données Security Command Center.

Connecter Splunk à Google Cloud

Vous devez disposer de la fonctionnalité admin_all_objects dans Splunk pour effectuer cette tâche.

Si vous avez installé Splunk sur Amazon Web Services ou Microsoft Azure, procédez comme suit :
1. Ouvrez une fenêtre de terminal.
2. Accédez au répertoire de l'application Google SCC pour Splunk :
```
cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
```
3. Ouvrez ta_googlescc_settings.conf dans un éditeur de texte :
```
sudo vim ta_googlescc_settings.conf
```
4. Ajoutez les lignes suivantes à la fin du fichier :
```
[additional_parameters]
scheme = http
```
5. Enregistrez et fermez le fichier.
6. Redémarrez la plate-forme Splunk.
Dans l'interface Web de Splunk, cliquez sur Apps > Google SCC Add-on for Splunk > Configuration > Google SCC Account (Applications > Module complémentaire Google SCC pour Splunk > Configuration > Compte Google SCC.
Accédez à l'onglet Configuration.
Cliquez sur Ajouter.
Effectuez l'une des opérations suivantes, en fonction du champ qui s'affiche :
- Si le champ Service Account JSON (Fichier JSON du compte de service) s'affiche, accédez au fichier JSON contenant la clé du compte de service. Ce champ s'affiche si vous utilisez Splunk sur site.
- Si le champ Credential Configuration (Configuration des identifiants) s'affiche, accédez au fichier de configuration des identifiants que vous avez téléchargé lors de la configuration de la fédération d'identité de charge de travail. Ce champ s'affiche si vous hébergez Splunk dans Microsoft Azure ou AWS.
Si vous avez déployé Splunk dans Google Cloud ou que vous avez suivi l'étape 1, la configuration du compte de service est automatiquement détectée.
Dans le champ Organisation, ajoutez votre ID d'organisation Google Cloud.
Si vous utilisez un serveur proxy pour connecter Splunk à Google Cloud, procédez comme suit :
1. Cliquez sur l'onglet Proxy.
2. Sélectionnez Activer.
3. Sélectionnez votre type de proxy (HTTPS, SOCKS4 ou SOCKS5).
4. Ajoutez le nom d'hôte et le port du proxy, et éventuellement le nom d'utilisateur et le mot de passe.
Dans l'onglet Logging (Journalisation), sélectionnez le niveau de journalisation du module complémentaire.
Cliquez sur Enregistrer.
Suivez les étapes 2 à 9 pour chaque organisation Google Cloud que vous souhaitez intégrer.

Créez des entrées de données pour vos organisations Google Cloud, comme décrit dans la section Ajouter les entrées de données Security Command Center.

Ajouter les entrées de données de Security Command Center

Dans l'interface Web de Splunk, cliquez sur Apps > Google SCC Add-on for Splunk (Applications > Module complémentaire Google SCC pour Splunk).
Sélectionnez l'onglet Inputs (Entrées).
Cliquez sur Create New Input (Créer une entrée).
Sélectionnez l'une des entrées :
- Entrée source
- Entrée résultats
- Entrée élément
- Entrée journaux d'audit
Cliquez sur l'icône de modification.

Saisissez les informations suivantes :

Champ	Description
Input name (Nom de l'entrée)	Nom par défaut de votre entrée de données
Intervalle	Délai d'attente (en secondes) entre les appels de données
Index	Index Splunk vers lequel les données de Security Command Center sont dirigées
Assets Subscription Id (ID d'abonnement des éléments)	Nom de l'abonnement Pub/Sub pour les ressources (seulement pour les entrées élément)
Audit Logs Subscription Id (ID d'abonnement des journaux d'audit)	Nom de l'abonnement Pub/Sub pour les journaux d'audit (seulement pour l'entrée journaux d'audit)
Findings Subscription Id (ID d'abonnement des résultats)	Nom de l'abonnement Pub/Sub pour les résultats (seulement pour l'entrée résultats)
Maximum Fetching (Récupération maximale)	Nombre maximal d'éléments à récupérer lors d'un appel

Cliquez sur Update (Mettre à jour).
Répétez les étapes 3 à 7 pour chaque entrée que vous souhaitez ajouter.
Répétez les étapes 3 à 8 pour chaque organisation Google Cloud que vous souhaitez intégrer.
Sur la ligne Status (État), activez les entrées de données que vous souhaitez transférer vers Splunk.

Mettre à jour l'index Splunk

Effectuez cette tâche si vous n'utilisez pas l'index principal Splunk :

Dans l'interface Web de Splunk, cliquez sur Settings > Advanced Search > Search macros (Paramètres > Recherche avancée > Rechercher des macros).
Sélectionnez Google SCC App for Splunk (Application Google SCC pour Splunk).
Sélectionnez googlescc_index.
Mettez à jour index=main pour utiliser votre index.
Cliquez sur Enregistrer.

Afficher les données de Security Command Center dans Splunk

Dans l'interface Web de Splunk, cliquez sur Apps > Google SCC Add-on for Splunk (Applications > Module complémentaire Google SCC pour Splunk).
Sélectionnez l'onglet Search (Rechercher).
Définissez votre requête de recherche, par exemple index="main".
Sélectionnez la période.
Cliquez sur l'icône Rechercher.
Filtrez les données par type de source (sources, éléments, journaux d'audit, éléments IAM ou résultats), le cas échéant.

Afficher les tableaux de bord

L'application Google SCC pour Splunk vous permet de visualiser les données de Security Command Center. Elle comprend cinq tableaux de bord: Overview (Aperçu), Sources (Sources), Findings (Résultats), Assets (Éléments), Audit Logs (Journaux d'audit) et Search (Recherche).

Vous pouvez accéder à ces tableaux de bord dans l'interface Web de Splunk à partir de la page Apps > Google SCC Apps for Splunk (Applications > Application Google SCC pour Splunk).

Tableau de bord Overview (Vue d'ensemble)

Le tableau de bord Overview (Vue d'ensemble) contient une série de graphiques qui affichent le nombre total de résultats dans votre organisation par niveau de gravité, catégorie et état. Les résultats sont compilés à partir des services intégrés à Security Command Center, tels que Security Health Analytics, Web Security Scanner, Event Threat Detection et Container Threat Detection, ainsi que de tous les services intégrés que vous activez.

Pour filtrer le contenu, vous pouvez définir la période et l'ID de l'organisation.

D'autres graphiques indiquent les catégories, les projets et les éléments qui génèrent le plus de résultats.

Tableau de bord Assets (Éléments)

Le tableau de bord Assets (Éléments) affiche un tableau des 1 000 éléments Google Cloud les plus récemment créés ou modifiés. Le tableau indique le nom de l'élément, son type, le propriétaire de la ressource et les date et heure de la dernière mise à jour.

Vous pouvez filtrer les données des éléments par période, ID d'organisation et type d'élément. Si vous cliquez sur View (Afficher) dans la colonne Redirect To SCC (Redirection vers SCC), vous êtes redirigé vers la page Éléments de Security Command Center dans la console Google Cloud, où s'affichent des informations détaillées sur l'élément sélectionné.

Tableau de bord Audit logs (Journaux d'audit)

Le tableau de bord Audit logs (Journaux d'audit) affiche une série de graphiques et de tableaux présentant les informations des journaux d'audit. Les journaux d'audit inclus dans le tableau de bord sont l'activité d'administration, l'accès aux données, les événements système et les journaux d'audit de refus de règles. Le tableau indique l'horodatage, le nom du journal, la gravité, le nom du service, ainsi que le nom et le type de la ressource.

Vous pouvez filtrer les données par période, ID d'organisation et nom de journal.

Tableau de bord Findings (Résultats)

Le tableau de bord Findings (Résultats) inclut un tableau des 1 000 résultats les plus récents. Les colonnes du tableau spécifient des éléments tels que la catégorie, le nom de l'élément, le nom de la source, les marques de sécurité, la classe de résultat et la gravité.

Vous pouvez filtrer les données par période, ID de l'organisation, catégorie, gravité, nom de la source, nom de l'asset, nom du projet ou classe du résultat. En outre, dans la colonne Update Status (État d'actualisation), vous pouvez actualiser l'état d'un résultat. Pour indiquer que vous examinez activement un résultat, cliquez sur Mark as ACTIVE (Marquer comme actif). Si vous n'examinez pas activement un résultat, cliquez sur Mark as INACTIVE (Marquer comme inactif).

Si vous cliquez sur le nom d'un résultat, vous êtes redirigé vers la page Résultats de Security Command Center dans la console Google Cloud, sur laquelle vous pouvez voir les détails du résultat sélectionné.

Tableau de bord Sources

Le tableau de bord Sources affiche un tableau de toutes vos sources de sécurité. Les colonnes de la table incluent le nom, le nom à afficher et la description.

Pour filtrer le contenu, vous pouvez définir la période.

Désinstaller les applications

Désinstallez les applications lorsque vous ne souhaitez plus récupérer les données de Security Command Center pour Splunk.

Dans l'interface Web de Splunk, accédez à Apps > Manage Apps (Applications > Gérer les applications).
Recherchez Google SCC App for Splunk.
Dans la colonne Status (État), cliquez sur Disable (Désactiver).
Recherchez Google SCC Add-on for Splunk.
Dans la colonne Status (État), cliquez sur Disable (Désactiver).
Vous pouvez également supprimer les données indexées de Security Command Center. Vous pouvez utiliser la commande de nettoyage de la CLI Splunk pour supprimer les données indexées d'une application avant de supprimer celle-ci.
Dans un environnement Splunk autonome, procédez comme suit :
1. Ouvrez un terminal et connectez-vous à Splunk.
2. Supprimez les applications et leurs répertoires dans $SPLUNK_HOME/etc/apps/APPNAME :
```
./splunk remove app APPNAME -auth USERNAME:PASSWORD
```
  Remplacez APPNAME par GoogleSCCAppforSplunk ou TA_GoogleSCC.
3. Répétez l'étape b pour l'autre application.
4. Vous pouvez également supprimer les répertoires spécifiques à l'utilisateur en supprimant les fichiers identifiés dans $SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk et $SPLUNK_HOME/etc/users/*/TA_GoogleSCC.
5. Redémarrez la plate-forme Splunk.
Dans un environnement Splunk distribué, procédez comme suit :
1. Connectez-vous au gestionnaire de déploiement.
2. Supprimez les applications et leurs répertoires dans $SPLUNK_HOME/etc/apps/APPNAME :
```
./splunk remove app APPNAME -auth USERNAME:PASSWORD
```
  Remplacez APPNAME par GoogleSCCAppforSplunk ou TA_GoogleSCC.
3. Répétez l'étape b pour l'autre application.
4. Exécutez la commande splunk apply shcluster-bundle :
```
splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
```

Étapes suivantes

Découvrez comment configurer des notifications de résultats dans Security Command Center.
Découvrez comment filtrer les notifications de résultats dans Security Command Center.