Security Command Center-Daten an Google Security Operations SOAR senden

Auf dieser Seite wird erläutert, wie Ergebnisse, Assets, Audit-Logs und Sicherheitsquellen von Security Command Center automatisch an Google Security Operations SOAR gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten.

Bevor Sie beginnen, prüfen Sie, ob die erforderlichen Security Command Center- und Google Cloud Dienste ordnungsgemäß konfiguriert sind. Aktivieren Sie Google SecOps SOAR, um auf Ergebnisse, Audit-Logs und Assets in Ihrer Security Command Center-Umgebung zuzugreifen. Weitere Informationen zur Security Command Center-Integration für Google SecOps SOAR finden Sie in der Google Security Operations-Dokumentation unter Security Command Center.

Authentifizierung und Autorisierung konfigurieren

Bevor Sie eine Verbindung zu Google SecOps SOAR herstellen, müssen Sie ein IAM-Dienstkonto (Identity and Access Management) erstellen und ihm IAM-Rollen auf Organisations- und Projektebene zuweisen.

Dienstkonto erstellen und IAM-Rollen gewähren

In diesem Dokument wird dieses Dienstkonto auch als Nutzerdienstkonto bezeichnet. In den folgenden Schritten wird die Google Cloud Console verwendet. Weitere Methoden finden Sie in den Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

1. Erstellen Sie in demselben Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, in der Google Cloud Console auf der Seite Dienstkonten ein Dienstkonto. Eine Anleitung dazu finden Sie unter Dienstkonten erstellen und verwalten.

2. Weisen Sie dem Dienstkonto die folgende Rolle zu:

   • Pub/Sub-Bearbeiter (roles/pubsub.editor)

3. Kopieren Sie den Namen des soeben erstellten Dienstkontos.

4. Verwenden Sie die Projektauswahl in der Google Cloud Console, um zur Organisationsebene zu wechseln.

5. Öffnen Sie die Seite IAM für die Organisation:

   IAM aufrufen

6. Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Steuerfeld „Zugriff gewähren“ wird geöffnet.

7. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:

   1. Fügen Sie im Bereich Hauptkonten hinzu im Feld Neue Hauptkonten den Namen des Dienstkontos ein.

   2. Weisen Sie im Bereich Rollen zuweisen dem Dienstkonto im Feld Rolle die folgenden IAM-Rollen zu:

      • Sicherheitscenter-Admin-Betrachter (roles/securitycenter.adminViewer)
      • Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters (roles/securitycenter.notificationConfigEditor)
      • Organisationsbetrachter (roles/resourcemanager.organizationViewer)
      • Cloud-Asset-Betrachter (roles/cloudasset.viewer)

   3. Klicken Sie auf Speichern. Das Dienstkonto wird auf der Seite IAM auf dem Tab Berechtigungen unter Nach Hauptkonten filtern angezeigt.

      Durch Vererbung wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation. Die auf Projektebene anwendbaren Rollen werden als übernommene Rollen aufgeführt.

Weitere Informationen zum Erstellen von Dienstkonten und zum Zuweisen von Rollen finden Sie unter den folgenden Links:

• Dienstkonten erstellen und verwalten
• Zugriff auf Ressourcen erteilen, ändern und entziehen

Dienstkonto für Identitätsdiebstahl erstellen

In diesem Dokument wird dieses Dienstkonto auch als SOAR-Dienstkonto bezeichnet. Erstellen Sie ein Dienstkonto, um die Identität des Nutzerdienstkontos und dessen Berechtigungen zu übernehmen.

1. Klicken Sie in der Google SecOps SOAR-Konsole auf Response (Reaktion) und dann auf Integrationseinrichtung.

2. Klicken Sie auf der Seite Integrationseinrichtung auf Neue Instanz erstellen. Das Dialogfeld Instanz hinzufügen wird geöffnet.

3. Wählen Sie in der Liste Integrationen die Option Google Security Command Center aus und klicken Sie auf Speichern. Das Dialogfeld Google Security Command Center – Instanz konfigurieren wird geöffnet.

4. Geben Sie im Feld Workload Identity-E-Mail die E-Mail-ID des Dienstkontos an.

5. Klicken Sie auf Speichern.

Geben Sie die Anmeldedaten für Google SecOps SOAR an.

Je nachdem, wo Sie Google SecOps SOAR hosten, unterscheiden sich die IAM-Anmeldedaten, die Sie für Google SecOps SOAR angeben.

• Wenn Sie Google SecOps SOAR in Google Cloudhosten, sind das von Ihnen erstellte Nutzerdienstkonto und die von Ihnen zugewiesenen Rollen auf Organisationsebene automatisch durch Übernahme von der übergeordneten Organisation verfügbar.
• Wenn Sie Google SecOps SOAR in Ihrer lokalen Umgebung hosten, erstellen Sie einen Schlüssel für das von Ihnen erstellte Nutzerdienstkonto. Sie benötigen die JSON-Datei mit dem Dienstkontoschlüssel, um diese Aufgabe auszuführen. Informationen zu Best Practices für die sichere Speicherung von Dienstkontoschlüsseln finden Sie unter Best Practices für die Verwaltung von Dienstkontoschlüsseln.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

1. So richten Sie Ergebnisbenachrichtigungen ein:

   1. Aktivieren Sie die Security Command Center API.
   2. Erstellen Sie ein Pub/Sub-Thema für Ergebnisse.
   3. Erstellen Sie ein NotificationConfig-Objekt mit dem Filter für die Ergebnisse, die Sie exportieren möchten. NotificationConfig muss das Pub/Sub-Thema verwenden, das Sie für Ergebnisse erstellt haben.

2. Aktivieren Sie die Cloud Asset API für Ihr Projekt.

Sie benötigen Ihre Organisations-ID, Ihre Projekt-ID und Ihre Pub/Sub-Abo-ID aus dieser Aufgabe, um Google SecOps SOAR zu konfigurieren. Informationen zum Abrufen Ihrer Organisations- und Projekt-ID finden Sie unter Organisations-ID abrufen bzw. Projekte identifizieren.

Google SecOps SOAR konfigurieren

Mit Google SecOps SOAR können Unternehmen und Anbieter von verwalteten Sicherheitsdiensten (MSSP) Daten und Sicherheitswarnungen aus verschiedenen Quellen erfassen, indem sie Orchestration und Automatisierung, Bedrohungsinformationen und Reaktion auf Vorfälle kombinieren.

Führen Sie die folgenden Schritte aus, um Security Command Center mit Google SecOps SOAR zu verwenden:

1. Klicken Sie in der Google SecOps SOAR Console auf Marketplace und dann auf Integrationen.

2. Suchen Sie nach Google Security Command Center und installieren Sie die Security Command Center-Integration, die in den Suchergebnissen angezeigt wird.

3. Klicken Sie bei der Integration Google Security Command Center auf Konfigurieren. Das Dialogfeld Google Security Command Center – Instanz konfigurieren wird geöffnet.

4. Optional: Wenn Sie eine neue Umgebung erstellen oder die Umgebungskonfiguration bearbeiten möchten, klicken Sie auf Einstellungen. Die Seite Umgebungen wird in einem neuen Tab geöffnet.

5. Wählen Sie auf der Seite Umgebungen die Umgebung aus, für die Sie die Integrations-Instanz konfigurieren möchten.

6. Klicken Sie in der ausgewählten Umgebung auf Neue Instanz erstellen. Das Dialogfeld Instanz hinzufügen wird geöffnet.

7. Wählen Sie in der Liste Integrationen die Option Google Security Command Center aus und klicken Sie auf Speichern. Das Dialogfeld Google Security Command Center – Instanz konfigurieren wird geöffnet.

8. Geben Sie die Konfigurationsparameter an und klicken Sie auf Speichern.

   Parameter	Beschreibung	Erforderlich
   API-Stamm	API-Stamm der Security Command Center-Instanz. Zum Beispiel securitycenter.googleapis.com.	Ja
   Organisations-ID	ID der Organisation, deren Ergebnisse Sie exportieren möchten.	Nein
   Projekt-ID	ID des Projekts, das in der Security Command Center-Integration verwendet werden soll.	Nein
   Kontingentprojekt-ID	ID Ihres Google Cloud Projekts für die Google Cloud API-Nutzung und -Abrechnung.	Nein
   Standort-ID	Die ID des Standorts, der in der Security Command Center-Integration verwendet werden soll. Die Standard-Standort-ID ist „global“.	Nein
   Dienstkonto des Nutzers	Dienstkonto, das Sie unter Dienstkonto erstellen und IAM-Rollen gewähren erstellt haben Wenn Sie Google SecOps SOAR in Ihrer lokalen Umgebung hosten, geben Sie die Dienstkontoschlüssel-ID und den gesamten Inhalt der JSON-Datei des Dienstkontos an.	Ja
   Workload Identity-E-Mail-Adresse	E-Mail-Adresse, die Sie unter Dienstkonto für Identitätsdiebstahl erstellen erstellt haben. Es ist eine E-Mail-Adresse für ein Dienstkonto, die die Verwendung des Nutzerdienstkontos ersetzt, das für die Identitätsübernahme verwendet werden kann. Dem SOAR-Dienstkonto muss die IAM-Rolle Service Account Token Creator für das Nutzerdienstkonto zugewiesen werden.	Ja
   SSL überprüfen	Aktivieren Sie diese Option, um zu prüfen, ob das SSL-Zertifikat für die Verbindung zum Security Command Center-Server gültig ist.	Ja

9. Klicken Sie auf Testen, um zu prüfen, ob die Integration richtig konfiguriert ist.

10. Klicken Sie nach erfolgreicher Überprüfung auf Speichern.

Google Security Command Center-Integration upgraden

So aktualisieren Sie die Google Security Command Center-Integration:

1. Klicken Sie in der Google SecOps SOAR Console auf Marketplace und dann auf Integrationen.

2. Suchen Sie nach der Integration Google Security Command Center und klicken Sie auf Auf VERSION_NUMBER umstellen.

Mit Ergebnissen und Assets arbeiten

Google SecOps SOAR verwendet Connectors, um Benachrichtigungen aus verschiedenen Datenquellen in die Plattform aufzunehmen.

Security Command Center-Benachrichtigungen zur Analyse in Google SecOps SOAR abrufen

Sie müssen einen Connector konfigurieren, um Informationen zu Ergebnissen aus Security Command Center abzurufen. Informationen zum Konfigurieren des Connectors finden Sie unter Daten einspeisen (Connectors).

Legen Sie die folgenden Parameter in Google SecOps SOAR fest, um den Connector „Google Security Command Center – Ergebnisse“ zu konfigurieren.

Parameter	Typ	Standardwert	Erforderlich	Beschreibung
Produktfeldname	String	Produktname	Ja	Name des Quellfelds, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds	String	Typ	Ja	Name des Quellfelds, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds	String	Leer	Nein	Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn der Name des Umgebungsfelds nicht angegeben ist, wird die Standardumgebung ausgewählt.
Regex-Muster für Umgebung	String	.*	Nein	Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Name des Umgebungsfelds angewendet wird. Standardmäßig ist „*“ festgelegt, um alle Werte zu erfassen und den Wert unverändert zurückzugeben. Mit diesem Parameter kann der Nutzer das Umgebungsfeld über reguläre Ausdrücke bearbeiten. Wenn das Muster für reguläre Ausdrücke null oder leer ist oder der Umgebungswert null ist, wird die Standardumgebung ausgewählt.
Zeitlimit für Script (Sekunden)	Ganzzahl	180	Ja	Zeitlimit für den Python-Prozess, in dem das aktuelle Script ausgeführt wird.
API-Stamm	String		Ja	API-Stamm der Security Command Center-Instanz. Beispiel: securitycenter.googleapis.com.
Organisations-ID	String		Nein	Die ID der Organisation, die in der Google Security Command Center-Integration verwendet werden soll.
Dienstkonto des Nutzers	Passwort		Ja	Dienstkonto, das Sie unter Dienstkonto erstellen und IAM-Rollen gewähren erstellt haben Wenn Sie Google SecOps SOAR in Ihrer lokalen Umgebung hosten, geben Sie die Dienstkontoschlüssel-ID und den gesamten Inhalt der JSON-Datei des Dienstkontos an.
Filter für Ergebnisklasse	CSV	Bedrohung, Sicherheitslücke, Fehlkonfiguration, SCC_Error, Beobachtung	Nein	Suche nach Klassen, die aufgenommen werden sollen. Mögliche Werte sind: Bedrohung Sicherheitslücke Fehlerhafte Konfiguration SCC_Error Beobachtung Wenn nichts angegeben wird, werden Ergebnisse aus allen Klassen aufgenommen.
Niedrigster Schweregrad, der abgerufen werden soll	String	Hoch	Nein	Der niedrigste Schweregrad, der zum Abrufen von Ergebnissen verwendet wird. Mögliche Werte sind: Niedrig Mittel Hoch Kritisch Hinweis: Wenn ein Ergebnis mit nicht definiertem Schweregrad aufgenommen wird, erhält es den Schweregrad „Mittel“. Wenn nichts angegeben ist, werden Ergebnisse aller Schweregrade aufgenommen.
Max. Stunden rückwärts	Ganzzahl	1	Nein	Anzahl der Stunden, ab denen Ergebnisse abgerufen werden sollen. Das Maximum liegt bei 24.
Maximale Anzahl der Ergebnisse, die abgerufen werden sollen	Ganzzahl	100	Nein	Anzahl der Ergebnisse, die pro Connector-Iteration verarbeitet werden sollen. Die maximale Anzahl ist 1.000.
Dynamische Liste als Ausschlussliste verwenden	Kästchen	Deaktiviert	Ja	Aktivieren Sie die dynamische Liste als Ausschlussliste.
SSL überprüfen	Kästchen	Deaktiviert	Ja	Aktivieren Sie diese Option, um zu prüfen, ob das SSL-Zertifikat für die Verbindung zum Security Command Center-Server gültig ist.
Proxyserveradresse	String		Nein	Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername	String		Nein	Der Proxynutzername, mit dem Sie sich authentifizieren möchten.
Proxy-Passwort	Passwort		Nein	Das Proxy-Passwort, mit dem Sie sich authentifizieren möchten.

Assets anreichern

Um eine Sicherheitsprüfung zu ermöglichen, nimmt Google Security Operations Kontextdaten aus verschiedenen Quellen auf, analysiert die Daten und liefert zusätzlichen Kontext zu Artefakten in einer Kundenumgebung.

Wenn Sie Assets mit Informationen aus Security Command Center anreichern möchten, fügen Sie der Aktion „Assets anreichern“ ein Playbook in Google SecOps SOAR hinzu und führen Sie das Playbook aus. Weitere Informationen finden Sie unter Aktion hinzufügen.

Um diese Aktion zu konfigurieren, legen Sie die folgenden Parameter fest:

Parameter	Typ	Standardwert	Erforderlich	Beschreibung
Produktfeldname	String	Produktname	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.

Sicherheitslücken auflisten

Wenn Sie die mit den Entitäten in Security Command Center verbundenen Sicherheitslücken auflisten möchten, fügen Sie einem Playbook in Google Security Operations SOAR die Aktion „Asset-Sicherheitslücken auflisten“ hinzu und führen Sie das Playbook aus. Weitere Informationen finden Sie unter Aktion hinzufügen.

Um diese Aktion zu konfigurieren, legen Sie die folgenden Parameter fest:

Parameter	Typ	Standardwert	Erforderlich	Beschreibung
Asset-Ressourcennamen	CSV		Ja	Geben Sie eine durch Kommas getrennte Liste der Ressourcennamen der Assets an, für die Sie Daten zurückgeben möchten.
Zeitraum	DDL	Gesamte Zeit	Nein	Geben Sie den Zeitraum für die Suche nach Sicherheitslücken oder Fehlkonfigurationen an. Mögliche Werte sind: Letzte Woche Letzter Monat Letztes Jahr Gesamte Zeit
Datensatztypen	DDL	Sicherheitslücken und Fehlkonfigurationen	Nein	Geben Sie den Datensatztyp an, der zurückgegeben werden soll. Mögliche Werte sind: Sicherheitslücken Fehlkonfigurationen Sicherheitslücken und Fehlkonfigurationen
Ausgabetyp	DDL	Statistiken	Nein	Gib den Ausgabetyp an, der im JSON-Ergebnis für das Asset zurückgegeben werden soll. Mögliche Werte sind: Statistiken Daten Statistiken und Daten
Max. Anzahl der zurückzugebenden Datensätze	String	100	Nein	Geben Sie die Anzahl der zurückzugebenden Einträge pro Datensatztyp und pro Asset an.

Ergebnisse aktualisieren

Wenn Sie Ergebnisse in Security Command Center aktualisieren möchten, fügen Sie der Aktion „Ergebnisse aktualisieren“ ein Playbook in Google SecOps SOAR hinzu und führen Sie das Playbook aus. Weitere Informationen finden Sie unter Aktion hinzufügen.

Um diese Aktion zu konfigurieren, legen Sie die folgenden Parameter fest:

Parameter	Typ	Standardwert	Erforderlich	Beschreibung
Name des Ergebnisses	CSV	organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID	Ja	Geben Sie eine durch Kommas getrennte Liste der Namen der Ergebnisse an, die Sie aktualisieren möchten.
Ausblendungsstatus	DDL		Nein	Geben Sie den Ausblendungsstatus für das Ergebnis an. Mögliche Werte sind: Ausblenden Nicht mehr ausblenden
Status des Bundeslandes	DDL		Nein	Geben Sie den Status für das Ergebnis an. Mögliche Werte sind: Aktiv Inaktiv