Security Command Center-Daten an Google Security Operations SOAR senden

Auf dieser Seite wird erläutert, wie Sie Security Command Center-Ergebnisse, -Assets Audit-Logs und Sicherheitsquellen zu Google Security Operations SOAR zu übertragen. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten.

Prüfen Sie vor Beginn, ob die erforderlichen Security Command Center- und Google Cloud-Dienste ordnungsgemäß konfiguriert sind. Aktivieren Sie Google SecOps SOAR, um auf Ergebnisse, Audit-Logs und Assets in Ihrer Security Command Center-Umgebung zuzugreifen. Weitere Informationen Informationen zur Security Command Center-Integration für Google SecOps SOAR, Siehe Security Command Center in der Google Security Operations-Dokumentation.

Authentifizierung und Autorisierung konfigurieren

Bevor Sie eine Verbindung zu Google SecOps SOAR herstellen, müssen Sie ein IAM-Dienstkonto (Identity and Access Management) erstellen und ihm sowohl auf Organisations- als auch auf Projektebene IAM-Rollen zuweisen.

Dienstkonto erstellen und IAM-Rollen gewähren

In diesem Dokument wird dieses Dienstkonto auch als Nutzerdienstkonto bezeichnet. In den folgenden Schritten wird die Google Cloud Console verwendet. Weitere Methoden finden Sie in den Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. Erstellen Sie in demselben Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, in der Google Cloud Console auf der Seite Dienstkonten ein Dienstkonto. Eine Anleitung dazu finden Sie unter Dienstkonten erstellen und verwalten.

  2. Weisen Sie dem Dienstkonto die folgende Rolle zu:

    • Pub/Sub-Bearbeiter (roles/pubsub.editor)

  3. Kopieren Sie den Namen des gerade erstellten Dienstkontos.

  4. Verwenden Sie die Projektauswahl in der Google Cloud Console, um zu wechseln bis hin zur Organisationsebene.

  5. Öffnen Sie die Seite IAM für die Organisation:

    IAM aufrufen

  6. Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Die Erteilung wird geöffnet.

  7. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:

    1. Fügen Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.

    2. Weisen Sie im Bereich Rollen zuweisen dem Dienstkonto im Feld Rolle die folgenden IAM-Rollen zu:

      • Sicherheitscenter-Admin-Betrachter (roles/securitycenter.adminViewer)
      • Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters (roles/securitycenter.notificationConfigEditor)
      • Organisationsbetrachter (roles/resourcemanager.organizationViewer)
      • Cloud-Asset-Betrachter (roles/cloudasset.viewer)

    3. Klicken Sie auf Speichern. Das Dienstkonto wird auf der Seite IAM auf dem Tab Berechtigungen unter Nach Hauptkonten filtern angezeigt.

      Durch Vererbung wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation. Die auf Projektebene anwendbaren Rollen werden als übernommene Rollen aufgeführt.

Weitere Informationen zum Erstellen von Dienstkonten und zum Gewähren von Rollen finden Sie unter folgenden Themen:

Dienstkonto für die Identitätsübernahme erstellen

In diesem Dokument wird dieses Dienstkonto auch als SOAR-Dienstkonto bezeichnet. Erstellen Sie ein Dienstkonto, um die Identität des Nutzerdienstkontos und dessen Berechtigungen zu übernehmen.

  1. Klicken Sie in der Google SecOps SOAR-Konsole auf Response (Reaktion) und dann auf Integrationseinrichtung.

  2. Klicken Sie auf der Seite Integrationseinrichtung auf Neue Instanz erstellen. Das Dialogfeld Instanz hinzufügen wird geöffnet.

  3. Wählen Sie in der Liste Integrationen die Option Google Security Command Center aus und klicken Sie auf Speichern. Google Security Command Center – Instanz konfigurieren wird geöffnet.

  4. Geben Sie im Feld Workload Identity Email die E-Mail-ID des Dienstkontos an.

  5. Klicken Sie auf Speichern.

Anmeldedaten für Google SecOps SOAR bereitstellen

Je nachdem, wo Sie Google SecOps SOAR hosten, unterscheiden sich die Möglichkeiten, wie Sie die IAM-Anmeldedaten für Google SecOps SOAR angeben.

  • Wenn Sie Google SecOps SOAR in Google Cloud hosten, sind das von Ihnen erstellte Nutzerdienstkonto und die von Ihnen zugewiesenen Rollen auf Organisationsebene automatisch verfügbar, da sie von der übergeordneten Organisation übernommen werden.
  • Wenn Sie Google SecOps SOAR in Ihrer lokalen Umgebung hosten, erstellen Sie einen Schlüssel für das von Ihnen erstellte Nutzerdienstkonto. Sie benötigen den Dienstkontoschlüssel JSON-Datei zum Abschließen dieser Aufgabe. Informationen zu Best Practices für die sichere Speicherung von Dienstkontoschlüsseln finden Sie unter Best Practices für die Verwaltung von Dienstkontoschlüsseln.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, die Sie Security Command Center-Daten importieren.

  1. Richten Sie Ergebnisbenachrichtigungen ein als folgt:

    1. Aktivieren Sie die Security Command Center API.
    2. Erstellen Sie ein Pub/Sub-Thema für Ergebnisse.
    3. Erstellen Sie ein NotificationConfig-Objekt, das den Filter für Ergebnisse enthält die Sie exportieren möchten. NotificationConfig muss das Pub/Sub-Thema verwenden, das Sie für Ergebnisse erstellt haben.

  2. Aktivieren Sie die Cloud Asset API für Ihr Projekt.

Sie benötigen Ihre Organisations-ID, Ihre Projekt-ID und Ihre Pub/Sub-Abo-ID aus dieser Aufgabe, um Google SecOps SOAR zu konfigurieren. Informationen zum Abrufen Ihrer Organisations-ID und Projekt-ID finden Sie unter Organisations-ID abrufen und Projekte identifizieren, .

Google SecOps SOAR konfigurieren

Mit Google SecOps SOAR können Unternehmen und Anbieter von verwalteten Sicherheitsdiensten (Managed Security Service Providers, MSSPs) Daten und Sicherheitswarnungen aus verschiedenen Quellen erfassen, indem sie Orchestration und Automatisierung, Bedrohungsinformationen und Reaktion auf Vorfälle kombinieren.

Führen Sie die folgenden Schritte aus, um Security Command Center mit Google SecOps SOAR zu verwenden:

  1. Klicken Sie in der Google SecOps SOAR Console auf Marketplace und dann auf Integrationen.

  2. Suchen Sie nach Google Security Command Center und installieren Sie Security Command Center die in den Suchergebnissen erscheint.

  3. Klicken Sie bei der Integration Google Security Command Center auf Konfigurieren. Das Dialogfeld Google Security Command Center – Instanz konfigurieren wird geöffnet.

  4. Optional: Um eine neue Umgebung zu erstellen oder die Umgebungskonfiguration zu bearbeiten, Klicken Sie auf Bildschirm "Einstellungen". Die Seite Umgebungen wird in einem neuen Tab geöffnet.

  5. Wählen Sie auf der Seite Umgebungen die Umgebung aus, für die Sie die Integrations-Instanz konfigurieren möchten.

  6. Klicken Sie in der ausgewählten Umgebung auf Neue Instanz erstellen. Die Das Dialogfeld Instanz hinzufügen wird geöffnet.

  7. Wählen Sie in der Liste Integrationen die Option Google Security Command Center und Klicken Sie auf Speichern. Das Dialogfeld Google Security Command Center – Instanz konfigurieren wird geöffnet.

  8. Geben Sie die Konfigurationsparameter an und klicken Sie auf Speichern.

    Parameter Beschreibung Erforderlich
    API-Stamm API-Stammverzeichnis der Security Command Center-Instanz. Zum Beispiel securitycenter.googleapis.com. Ja
    Organisations-ID ID der Organisation, deren Ergebnisse Sie exportieren möchten. Nein
    Projekt-ID ID des Projekts, das in der Security Command Center-Integration verwendet werden soll. Nein
    Kontingentprojekt-ID ID Ihres Google Cloud-Projekts für die Nutzung und Abrechnung der Google Cloud API. Nein
    Standort-ID ID des Standorts, der in Security Command Center verwendet werden soll Die Standard-Standort-ID ist „global“. Nein
    Dienstkonto des Nutzers Dienstkonto, das Sie in erstellt haben Dienstkonto erstellen und gewähren IAM-Rollen Wenn Sie Google SecOps SOAR in Ihrer lokalen Umgebung hosten, geben Sie die Dienstkontoschlüssel-ID und den gesamten Inhalt der JSON-Datei des Dienstkontos an. Ja
    Workload Identity-E-Mail-Adresse E-Mail-Adresse, die Sie unter Dienstkonto für Identitätsdiebstahl erstellen erstellt haben. Es handelt sich um die E-Mail-Adresse eines Dienstkonto-Clients, die den Nutzung des Nutzerdienstkontos, das für die Identitätsübernahme verwendet werden kann. Dem SOAR-Dienstkonto muss die IAM-Rolle Service Account Token Creator für das Nutzerdienstkonto gewährt werden. Ja
    SSL überprüfen Aktivieren Sie diese Option, um zu prüfen, ob das für Die Verbindung zum Security Command Center-Server ist gültig. Ja

  9. Klicken Sie auf Testen, um zu prüfen, ob die Integration richtig konfiguriert ist.

  10. Klicken Sie nach erfolgreicher Überprüfung auf Speichern.

Google Security Command Center-Integration upgraden

So führen Sie ein Upgrade der Google Security Command Center-Integration durch:

  1. Gehen Sie in der Google SecOps SOAR-Konsole zu Marketplace. Klicken Sie dann auf Integrations (Integrationen).

  2. Suchen Sie nach der Integration von Google Security Command Center und klicken Sie auf Upgrade auf VERSION_NUMBER ausführen.

Mit Ergebnissen und Assets arbeiten

Google SecOps SOAR nutzt Connectors, um Benachrichtigungen aus einem in die Plattform eingebunden werden.

Security Command Center-Benachrichtigungen zur Analyse in Google SecOps SOAR abrufen

Sie müssen einen Connector konfigurieren, um Informationen zu Ergebnissen aus Security Command Center abzurufen. Informationen zum Konfigurieren des Connectors finden Sie unter Daten aufnehmen (Connectors)

Legen Sie zum Konfigurieren die folgenden Parameter in Google SecOps SOAR fest Google Security Command Center – Findings Connector.

Parameter Typ Standardwert Verbindlich Beschreibung
Produktfeldname String Produktname Ja Name des Quellfelds zum Abrufen des Produktfeldnamens.
Name des Ereignisfelds String Typ Ja Name des Quellfelds, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds String Leer Nein Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn kein Name für das Umgebungsfeld angegeben wird, Umgebung ausgewählt ist.
Regex-Muster für Umgebung String .* Nein Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Name des Umgebungsfelds angewendet wird. Standardmäßig ist „*“ festgelegt, um alle Werte zu erfassen und den Wert unverändert zurückzugeben. Mit diesem Parameter kann der Nutzer um das Umgebungsfeld über Logik für reguläre Ausdrücke zu bearbeiten. Wenn das Muster für reguläre Ausdrücke null oder leer ist oder der Umgebungswert null ist, wird die Standardumgebung ausgewählt.
Zeitlimit für Script (Sekunden) Ganzzahl 180 Ja Zeitlimit für den Python-Prozess, der das aktuelle Skript ausführt.
API-Stamm String Ja API-Stamm der Security Command Center-Instanz. Beispiel: securitycenter.googleapis.com
Organisations-ID String Nein ID der Organisation, die in Google Security Command Center verwendet werden soll
Dienstkonto des Nutzers Passwort Ja Dienstkonto, das Sie unter Dienstkonto erstellen und IAM-Rollen gewähren erstellt haben Wenn Sie Google SecOps SOAR in Ihrer lokalen Umgebung, dann die Dienstkontoschlüssel-ID und den gesamten Dienstinhalt JSON-Datei des Kontos.
Ergebnisklassenfilter CSV Bedrohung, Sicherheitslücke, Fehlkonfiguration, SCC_Error, Beobachtung Nein Suche nach Klassen, die aufgenommen werden sollen. Mögliche Werte sind:
  • Bedrohung
  • Sicherheitslücke
  • Fehlerhafte Konfiguration
  • SCC_Error
  • Beobachtung
Wenn nichts angegeben ist, werden Ergebnisse aus allen Klassen aufgenommen.
Niedrigster Schweregrad, der abgerufen werden soll String Hoch Nein Der niedrigste Schweregrad, der zum Abrufen von Ergebnissen verwendet wird. Mögliche Werte sind:
  • Niedrig
  • Mittel
  • Hoch
  • Kritisch
Hinweis: Wenn ein Ergebnis mit nicht definiertem Schweregrad aufgenommen wird, erhält es den Schweregrad „Mittel“. Wenn nichts angegeben ist, werden Ergebnisse aller Schweregrade aufgenommen.
Max. Stunden rückwärts Ganzzahl 1 Nein Anzahl der Stunden, ab denen Ergebnisse abgerufen werden sollen. Das Maximum liegt bei 24.
Maximale Anzahl der Ergebnisse, die abgerufen werden sollen Ganzzahl 100 Nein Anzahl der Ergebnisse, die pro Connector-Iteration verarbeitet werden sollen. Maximal Limit bei 1.000 liegt.
Dynamische Liste als Ausschlussliste verwenden Kästchen Deaktiviert Ja Aktivieren Sie die dynamische Liste als Ausschlussliste.
SSL überprüfen Kästchen Deaktiviert Ja Aktivieren Sie diese Option, um zu prüfen, ob das SSL-Zertifikat für die Verbindung zum Security Command Center-Server gültig ist.
Proxyserver-Adresse String Nein Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername String Nein Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort Passwort Nein Das Proxy-Passwort, mit dem die Authentifizierung erfolgen soll.

Assets anreichern

Für eine Sicherheitsprüfung nimmt Google Security Operations kontextbezogene Informationen auf Daten aus verschiedenen Quellen analysieren, Daten analysieren Kontext zu Artefakten in einer Kundenumgebung.

Wenn Sie Assets mit Informationen aus Security Command Center anreichern möchten, fügen Sie der Aktion „Assets anreichern“ ein Playbook in Google SecOps SOAR hinzu und führen Sie das Playbook aus. Weitere Informationen finden Sie unter Aktion hinzufügen

Legen Sie die folgenden Parameter fest, um diese Aktion zu konfigurieren:

Parameter Typ Standardwert Verbindlich Beschreibung
Produktfeldname String Produktname Ja Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.

Sicherheitslücken auflisten

Wenn Sie die mit den Entitäten in Security Command Center verbundenen Sicherheitslücken auflisten möchten, fügen Sie einem Playbook in Google Security Operations SOAR die Aktion „Asset-Sicherheitslücken auflisten“ hinzu und führen Sie das Playbook aus. Weitere Informationen finden Sie unter Aktion hinzufügen

Um diese Aktion zu konfigurieren, legen Sie die folgenden Parameter fest:

Parameter Typ Standardwert Verbindlich Beschreibung
Ressourcennamen des Assets CSV Ja Geben Sie eine durch Kommas getrennte Liste der Ressourcennamen der Assets an, für die Sie Daten zurückgeben möchten.
Zeitraum DDL Gesamte Zeit Nein Geben Sie den Zeitraum für die Suche nach Sicherheitslücken oder Fehlkonfigurationen an. Mögliche Werte sind:
  • Letzte Woche
  • Letzter Monat
  • Letztes Jahr
  • Gesamte Zeit
Eintragstypen DDL Sicherheitslücken und Fehlkonfigurationen Nein Geben Sie den Datensatztyp an, der zurückgegeben werden soll. Mögliche Werte sind:
  • Sicherheitslücken
  • Fehlkonfigurationen
  • Sicherheitslücken und Fehlkonfigurationen
Ausgabetyp DDL Statistiken Nein Geben Sie den Ausgabetyp an, der im JSON-Ergebnis zurückgegeben werden soll für das Asset. Mögliche Werte sind:
  • Statistiken
  • Daten
  • Statistiken und Daten
Max. zurückzugebende Datensätze String 100 Nein Geben Sie die Anzahl der Datensätze an, die pro Datensatztyp und Medienelement zurückgegeben werden sollen.

Ergebnisse aktualisieren

Um Ergebnisse in Security Command Center zu aktualisieren, fügen Sie die Aktion zum Aktualisieren der Ergebnisse zu einer Playbook in Google SecOps SOAR und führen Sie das Playbook aus. Weitere Informationen finden Sie unter Aktion hinzufügen.

Um diese Aktion zu konfigurieren, legen Sie die folgenden Parameter fest:

Parameter Typ Standardwert Verbindlich Beschreibung
Name des Ergebnisses CSV organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID Ja Geben Sie eine durch Kommas getrennte Liste der Namen der Ergebnisse an, die Sie aktualisieren möchten.
Stummschaltung DDL Nein Geben Sie den Ausblendungsstatus für das Ergebnis an. Mögliche Werte:
  • Ausblenden
  • Nicht mehr ausblenden
Status DDL Nein Geben Sie den Status für das Ergebnis an. Mögliche Werte:
  • Aktiv
  • Inaktiv