Auf dieser Seite wird erläutert, wie Ergebnisse, Assets, Audit-Logs und Sicherheitsquellen von Security Command Center automatisch an Google Security Operations SOAR gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten.
Bevor Sie beginnen, prüfen Sie, ob die erforderlichen Security Command Center- und Google Cloud Dienste ordnungsgemäß konfiguriert sind. Aktivieren Sie Google SecOps SOAR, um auf Ergebnisse, Audit-Logs und Assets in Ihrer Security Command Center-Umgebung zuzugreifen. Weitere Informationen zur Security Command Center-Integration für Google SecOps SOAR finden Sie in der Google Security Operations-Dokumentation unter Security Command Center.
Authentifizierung und Autorisierung konfigurieren
Bevor Sie eine Verbindung zu Google SecOps SOAR herstellen, müssen Sie ein IAM-Dienstkonto (Identity and Access Management) erstellen und ihm IAM-Rollen auf Organisations- und Projektebene zuweisen.
Dienstkonto erstellen und IAM-Rollen gewähren
In diesem Dokument wird dieses Dienstkonto auch als Nutzerdienstkonto bezeichnet. In den folgenden Schritten wird die Google Cloud Console verwendet. Weitere Methoden finden Sie in den Links am Ende dieses Abschnitts.
Führen Sie diese Schritte für jede Google Cloud Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.
- Erstellen Sie in demselben Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, in der Google Cloud Console auf der Seite Dienstkonten ein Dienstkonto. Eine Anleitung dazu finden Sie unter Dienstkonten erstellen und verwalten.
Weisen Sie dem Dienstkonto die folgende Rolle zu:
- Pub/Sub-Bearbeiter (
roles/pubsub.editor
)
- Pub/Sub-Bearbeiter (
Kopieren Sie den Namen des soeben erstellten Dienstkontos.
Verwenden Sie die Projektauswahl in der Google Cloud Console, um zur Organisationsebene zu wechseln.
Öffnen Sie die Seite IAM für die Organisation:
Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Steuerfeld „Zugriff gewähren“ wird geöffnet.
Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:
- Fügen Sie im Bereich Hauptkonten hinzu im Feld Neue Hauptkonten den Namen des Dienstkontos ein.
Weisen Sie im Bereich Rollen zuweisen dem Dienstkonto im Feld Rolle die folgenden IAM-Rollen zu:
- Sicherheitscenter-Admin-Betrachter (
roles/securitycenter.adminViewer
) - Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters
(
roles/securitycenter.notificationConfigEditor
) - Organisationsbetrachter (
roles/resourcemanager.organizationViewer
) - Cloud-Asset-Betrachter (
roles/cloudasset.viewer
)
- Sicherheitscenter-Admin-Betrachter (
Klicken Sie auf Speichern. Das Dienstkonto wird auf der Seite IAM auf dem Tab Berechtigungen unter Nach Hauptkonten filtern angezeigt.
Durch Vererbung wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation. Die auf Projektebene anwendbaren Rollen werden als übernommene Rollen aufgeführt.
Weitere Informationen zum Erstellen von Dienstkonten und zum Zuweisen von Rollen finden Sie unter den folgenden Links:
Dienstkonto für Identitätsdiebstahl erstellen
In diesem Dokument wird dieses Dienstkonto auch als SOAR-Dienstkonto bezeichnet. Erstellen Sie ein Dienstkonto, um die Identität des Nutzerdienstkontos und dessen Berechtigungen zu übernehmen.
Klicken Sie in der Google SecOps SOAR-Konsole auf Response (Reaktion) und dann auf Integrationseinrichtung.
Klicken Sie auf der Seite Integrationseinrichtung auf Neue Instanz erstellen. Das Dialogfeld Instanz hinzufügen wird geöffnet.
Wählen Sie in der Liste Integrationen die Option Google Security Command Center aus und klicken Sie auf Speichern. Das Dialogfeld Google Security Command Center – Instanz konfigurieren wird geöffnet.
Geben Sie im Feld Workload Identity-E-Mail die E-Mail-ID des Dienstkontos an.
Klicken Sie auf Speichern.
Geben Sie die Anmeldedaten für Google SecOps SOAR an.
Je nachdem, wo Sie Google SecOps SOAR hosten, unterscheiden sich die IAM-Anmeldedaten, die Sie für Google SecOps SOAR angeben.
- Wenn Sie Google SecOps SOAR in Google Cloudhosten, sind das von Ihnen erstellte Nutzerdienstkonto und die von Ihnen zugewiesenen Rollen auf Organisationsebene automatisch durch Übernahme von der übergeordneten Organisation verfügbar.
- Wenn Sie Google SecOps SOAR in Ihrer lokalen Umgebung hosten, erstellen Sie einen Schlüssel für das von Ihnen erstellte Nutzerdienstkonto. Sie benötigen die JSON-Datei mit dem Dienstkontoschlüssel, um diese Aufgabe auszuführen. Informationen zu Best Practices für die sichere Speicherung von Dienstkontoschlüsseln finden Sie unter Best Practices für die Verwaltung von Dienstkontoschlüsseln.
Benachrichtigungen konfigurieren
Führen Sie diese Schritte für jede Google Cloud Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.
So richten Sie Ergebnisbenachrichtigungen ein:
- Aktivieren Sie die Security Command Center API.
- Erstellen Sie ein Pub/Sub-Thema für Ergebnisse.
- Erstellen Sie ein
NotificationConfig
-Objekt mit dem Filter für die Ergebnisse, die Sie exportieren möchten.NotificationConfig
muss das Pub/Sub-Thema verwenden, das Sie für Ergebnisse erstellt haben.
Aktivieren Sie die Cloud Asset API für Ihr Projekt.
Sie benötigen Ihre Organisations-ID, Ihre Projekt-ID und Ihre Pub/Sub-Abo-ID aus dieser Aufgabe, um Google SecOps SOAR zu konfigurieren. Informationen zum Abrufen Ihrer Organisations- und Projekt-ID finden Sie unter Organisations-ID abrufen bzw. Projekte identifizieren.
Google SecOps SOAR konfigurieren
Mit Google SecOps SOAR können Unternehmen und Anbieter von verwalteten Sicherheitsdiensten (MSSP) Daten und Sicherheitswarnungen aus verschiedenen Quellen erfassen, indem sie Orchestration und Automatisierung, Bedrohungsinformationen und Reaktion auf Vorfälle kombinieren.
Führen Sie die folgenden Schritte aus, um Security Command Center mit Google SecOps SOAR zu verwenden:
Klicken Sie in der Google SecOps SOAR Console auf Marketplace und dann auf Integrationen.
Suchen Sie nach
Google Security Command Center
und installieren Sie die Security Command Center-Integration, die in den Suchergebnissen angezeigt wird.Klicken Sie bei der Integration Google Security Command Center auf Konfigurieren. Das Dialogfeld Google Security Command Center – Instanz konfigurieren wird geöffnet.
Optional: Wenn Sie eine neue Umgebung erstellen oder die Umgebungskonfiguration bearbeiten möchten, klicken Sie auf Einstellungen. Die Seite Umgebungen wird in einem neuen Tab geöffnet.
Wählen Sie auf der Seite Umgebungen die Umgebung aus, für die Sie die Integrations-Instanz konfigurieren möchten.
Klicken Sie in der ausgewählten Umgebung auf Neue Instanz erstellen. Das Dialogfeld Instanz hinzufügen wird geöffnet.
Wählen Sie in der Liste Integrationen die Option Google Security Command Center aus und klicken Sie auf Speichern. Das Dialogfeld Google Security Command Center – Instanz konfigurieren wird geöffnet.
Geben Sie die Konfigurationsparameter an und klicken Sie auf Speichern.
Parameter Beschreibung Erforderlich API-Stamm API-Stamm der Security Command Center-Instanz. Zum Beispiel securitycenter.googleapis.com
.Ja Organisations-ID ID der Organisation, deren Ergebnisse Sie exportieren möchten. Nein Projekt-ID ID des Projekts, das in der Security Command Center-Integration verwendet werden soll. Nein Kontingentprojekt-ID ID Ihres Google Cloud Projekts für die Google Cloud API-Nutzung und -Abrechnung. Nein Standort-ID Die ID des Standorts, der in der Security Command Center-Integration verwendet werden soll. Die Standard-Standort-ID ist „global“. Nein Dienstkonto des Nutzers Dienstkonto, das Sie unter Dienstkonto erstellen und IAM-Rollen gewähren erstellt haben Wenn Sie Google SecOps SOAR in Ihrer lokalen Umgebung hosten, geben Sie die Dienstkontoschlüssel-ID und den gesamten Inhalt der JSON-Datei des Dienstkontos an. Ja Workload Identity-E-Mail-Adresse E-Mail-Adresse, die Sie unter Dienstkonto für Identitätsdiebstahl erstellen erstellt haben. Es ist eine E-Mail-Adresse für ein Dienstkonto, die die Verwendung des Nutzerdienstkontos ersetzt, das für die Identitätsübernahme verwendet werden kann. Dem SOAR-Dienstkonto muss die IAM-Rolle Service Account Token Creator
für das Nutzerdienstkonto zugewiesen werden.Ja SSL überprüfen Aktivieren Sie diese Option, um zu prüfen, ob das SSL-Zertifikat für die Verbindung zum Security Command Center-Server gültig ist. Ja Klicken Sie auf Testen, um zu prüfen, ob die Integration richtig konfiguriert ist.
Klicken Sie nach erfolgreicher Überprüfung auf Speichern.
Google Security Command Center-Integration upgraden
So aktualisieren Sie die Google Security Command Center-Integration:
Klicken Sie in der Google SecOps SOAR Console auf Marketplace und dann auf Integrationen.
Suchen Sie nach der Integration Google Security Command Center und klicken Sie auf Auf VERSION_NUMBER umstellen.
Mit Ergebnissen und Assets arbeiten
Google SecOps SOAR verwendet Connectors, um Benachrichtigungen aus verschiedenen Datenquellen in die Plattform aufzunehmen.
Security Command Center-Benachrichtigungen zur Analyse in Google SecOps SOAR abrufen
Sie müssen einen Connector konfigurieren, um Informationen zu Ergebnissen aus Security Command Center abzurufen. Informationen zum Konfigurieren des Connectors finden Sie unter Daten einspeisen (Connectors).
Legen Sie die folgenden Parameter in Google SecOps SOAR fest, um den Connector „Google Security Command Center – Ergebnisse“ zu konfigurieren.
Parameter | Typ | Standardwert | Erforderlich | Beschreibung |
---|---|---|---|---|
Produktfeldname | String | Produktname | Ja | Name des Quellfelds, um den Namen des Produktfelds abzurufen. |
Name des Ereignisfelds | String | Typ | Ja | Name des Quellfelds, um den Namen des Ereignisfelds abzurufen. |
Name des Umgebungsfelds | String | Leer | Nein | Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn der Name des Umgebungsfelds nicht angegeben ist, wird die Standardumgebung ausgewählt. |
Regex-Muster für Umgebung | String | .* | Nein | Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Name des Umgebungsfelds angewendet wird. Standardmäßig ist „*“ festgelegt, um alle Werte zu erfassen und den Wert unverändert zurückzugeben. Mit diesem Parameter kann der Nutzer das Umgebungsfeld über reguläre Ausdrücke bearbeiten. Wenn das Muster für reguläre Ausdrücke null oder leer ist oder der Umgebungswert null ist, wird die Standardumgebung ausgewählt. |
Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. |
API-Stamm | String | Ja | API-Stamm der Security Command Center-Instanz. Beispiel: securitycenter.googleapis.com . |
|
Organisations-ID | String | Nein | Die ID der Organisation, die in der Google Security Command Center-Integration verwendet werden soll. | |
Dienstkonto des Nutzers | Passwort | Ja | Dienstkonto, das Sie unter Dienstkonto erstellen und IAM-Rollen gewähren erstellt haben Wenn Sie Google SecOps SOAR in Ihrer lokalen Umgebung hosten, geben Sie die Dienstkontoschlüssel-ID und den gesamten Inhalt der JSON-Datei des Dienstkontos an. | |
Filter für Ergebnisklasse | CSV | Bedrohung, Sicherheitslücke, Fehlkonfiguration, SCC_Error, Beobachtung | Nein | Suche nach Klassen, die aufgenommen werden sollen. Mögliche Werte sind:
|
Niedrigster Schweregrad, der abgerufen werden soll | String | Hoch | Nein | Der niedrigste Schweregrad, der zum Abrufen von Ergebnissen verwendet wird. Mögliche Werte sind:
|
Max. Stunden rückwärts | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Ergebnisse abgerufen werden sollen. Das Maximum liegt bei 24. |
Maximale Anzahl der Ergebnisse, die abgerufen werden sollen | Ganzzahl | 100 | Nein | Anzahl der Ergebnisse, die pro Connector-Iteration verarbeitet werden sollen. Die maximale Anzahl ist 1.000. |
Dynamische Liste als Ausschlussliste verwenden | Kästchen | Deaktiviert | Ja | Aktivieren Sie die dynamische Liste als Ausschlussliste. |
SSL überprüfen | Kästchen | Deaktiviert | Ja | Aktivieren Sie diese Option, um zu prüfen, ob das SSL-Zertifikat für die Verbindung zum Security Command Center-Server gültig ist. |
Proxyserveradresse | String | Nein | Die Adresse des zu verwendenden Proxyservers. | |
Proxy-Nutzername | String | Nein | Der Proxynutzername, mit dem Sie sich authentifizieren möchten. | |
Proxy-Passwort | Passwort | Nein | Das Proxy-Passwort, mit dem Sie sich authentifizieren möchten. |
Assets anreichern
Um eine Sicherheitsprüfung zu ermöglichen, nimmt Google Security Operations Kontextdaten aus verschiedenen Quellen auf, analysiert die Daten und liefert zusätzlichen Kontext zu Artefakten in einer Kundenumgebung.
Wenn Sie Assets mit Informationen aus Security Command Center anreichern möchten, fügen Sie der Aktion „Assets anreichern“ ein Playbook in Google SecOps SOAR hinzu und führen Sie das Playbook aus. Weitere Informationen finden Sie unter Aktion hinzufügen.
Um diese Aktion zu konfigurieren, legen Sie die folgenden Parameter fest:
Parameter | Typ | Standardwert | Erforderlich | Beschreibung |
---|---|---|---|---|
Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
Sicherheitslücken auflisten
Wenn Sie die mit den Entitäten in Security Command Center verbundenen Sicherheitslücken auflisten möchten, fügen Sie einem Playbook in Google Security Operations SOAR die Aktion „Asset-Sicherheitslücken auflisten“ hinzu und führen Sie das Playbook aus. Weitere Informationen finden Sie unter Aktion hinzufügen.
Um diese Aktion zu konfigurieren, legen Sie die folgenden Parameter fest:
Parameter | Typ | Standardwert | Erforderlich | Beschreibung |
---|---|---|---|---|
Asset-Ressourcennamen | CSV | Ja | Geben Sie eine durch Kommas getrennte Liste der Ressourcennamen der Assets an, für die Sie Daten zurückgeben möchten. | |
Zeitraum | DDL | Gesamte Zeit | Nein | Geben Sie den Zeitraum für die Suche nach Sicherheitslücken oder Fehlkonfigurationen an. Mögliche Werte sind:
|
Datensatztypen | DDL | Sicherheitslücken und Fehlkonfigurationen | Nein | Geben Sie den Datensatztyp an, der zurückgegeben werden soll. Mögliche Werte sind:
|
Ausgabetyp | DDL | Statistiken | Nein | Gib den Ausgabetyp an, der im JSON-Ergebnis für das Asset zurückgegeben werden soll. Mögliche Werte sind:
|
Max. Anzahl der zurückzugebenden Datensätze | String | 100 | Nein | Geben Sie die Anzahl der zurückzugebenden Einträge pro Datensatztyp und pro Asset an. |
Ergebnisse aktualisieren
Wenn Sie Ergebnisse in Security Command Center aktualisieren möchten, fügen Sie der Aktion „Ergebnisse aktualisieren“ ein Playbook in Google SecOps SOAR hinzu und führen Sie das Playbook aus. Weitere Informationen finden Sie unter Aktion hinzufügen.
Um diese Aktion zu konfigurieren, legen Sie die folgenden Parameter fest:
Parameter | Typ | Standardwert | Erforderlich | Beschreibung |
---|---|---|---|---|
Name des Ergebnisses | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Ja | Geben Sie eine durch Kommas getrennte Liste der Namen der Ergebnisse an, die Sie aktualisieren möchten. |
Ausblendungsstatus | DDL | Nein | Geben Sie den Ausblendungsstatus für das Ergebnis an. Mögliche Werte sind:
|
|
Status des Bundeslandes | DDL | Nein | Geben Sie den Status für das Ergebnis an. Mögliche Werte sind:
|