Cette page explique comment envoyer automatiquement les résultats, les éléments, les journaux d'audit et les sources de sécurité de Security Command Center à Google Security Operations SOAR. Elle décrit également comment gérer les données exportées.
Avant de commencer, assurez-vous que les services Security Command Center et Google Cloud requis sont correctement configurés, et autorisez Google SecOps SOAR à accéder aux résultats, aux journaux d'audit et aux éléments de votre environnement Security Command Center. Pour en savoir plus sur l'intégration de Security Command Center à Google SecOps SOAR, consultez la section Security Command Center dans la documentation Google Security Operations.
Configurer l'authentification et l'autorisation
Avant de vous connecter à Google SecOps SOAR, vous devez créer un compte de service IAM (Identity and Access Management) et lui attribuer des rôles IAM au niveau de l'organisation et du projet.
Créer un compte de service et accorder des rôles IAM
Dans ce document, ce compte de service est également appelé compte de service utilisateur. Les étapes suivantes utilisent la console Google Cloud. Pour découvrir d'autres méthodes, consultez les liens à la fin de cette section.
Suivez cette procédure pour chaque organisation Google Cloud à partir de laquelle vous souhaitez importer des données Security Command Center.
- Dans le projet dans lequel vous créez vos sujets Pub/Sub, utilisez la page Comptes de service de la console Google Cloud pour créer un compte de service. Pour obtenir des instructions, consultez la page Créer et gérer des comptes de service.
Attribuez le rôle suivant au compte de service :
- Éditeur Pub/Sub (
roles/pubsub.editor)
- Éditeur Pub/Sub (
Copiez le nom du compte de service que vous venez de créer.
Utilisez le sélecteur de projet dans la console Google Cloud pour passer au niveau de l'organisation.
Ouvrez la page IAM de l'organisation :
Sur la page IAM, cliquez sur Accorder l'accès. Le panneau "Accorder l'accès" s'affiche.
Dans le panneau Accorder l'accès, procédez comme suit :
- Dans la section Ajouter des comptes principaux du champ Nouveaux comptes principaux, collez le nom du compte de service.
Dans la section Attribuer des rôles, utilisez le champ Rôle pour attribuer les rôles IAM suivants au compte de service :
- Lecteur administrateur du centre de sécurité (
roles/securitycenter.adminViewer) - Éditeur de configuration des notifications du centre de sécurité
(
roles/securitycenter.notificationConfigEditor) - Lecteur d'organisation (
roles/resourcemanager.organizationViewer) - Lecteur d'éléments Cloud (
roles/cloudasset.viewer)
- Lecteur administrateur du centre de sécurité (
Cliquez sur Enregistrer. Le compte de service s'affiche dans l'onglet Autorisations de la page IAM sous Afficher par compte principal.
Par héritage, le compte de service devient également un principal dans tous les projets enfants de l'organisation. Les rôles applicables au niveau du projet sont listés comme des rôles hérités.
Pour plus d'informations sur la création de comptes de service et l'attribution de rôles, consultez les rubriques suivantes :
Créer un compte de service pour l'usurpation d'identité
Dans ce document, ce compte de service est également appelé compte de service SOAR. Créez un compte de service pour usurper l'identité du compte de service utilisateur et ses autorisations.
Dans la console Google SecOps SOAR, accédez à Response (Réponse), puis cliquez sur Integrations setup (Configuration des intégrations).
Sur la page Configuration des intégrations, cliquez sur Créer une instance. La boîte de dialogue Ajouter une instance s'ouvre.
Dans la liste Intégrations, sélectionnez Google Security Command Center, puis cliquez sur Enregistrer. La boîte de dialogue Google Security Command Center - Configure Instance (Centre de commande de sécurité Google - Configurer l'instance) s'ouvre.
Dans le champ Adresse e-mail Workload Identity, spécifiez l'ID de messagerie du compte de service.
Cliquez sur Enregistrer.
Fournir les identifiants à Google SecOps SOAR
La procédure à suivre varie selon l'emplacement où vous hébergez Google SecOps SOAR.
- Si vous hébergez Google SecOps SOAR dans Google Cloud, le compte de service utilisateur que vous avez créé et les rôles au niveau de l'organisation que vous lui avez attribués sont automatiquement disponibles en héritant de l'organisation parente.
- Si vous hébergez Google SecOps SOAR dans votre environnement sur site, créez une clé pour le compte de service utilisateur que vous avez créé. Vous avez besoin du fichier JSON de la clé du compte de service pour effectuer cette tâche. Pour découvrir les bonnes pratiques permettant de stocker les clés de compte de service de manière sécurisée, consultez la page Bonnes pratiques pour la gestion des clés de compte de service.
Configurer les notifications
Suivez ces étapes pour chaque organisation Google Cloud à partir de laquelle vous souhaitez importer des données Security Command Center.
Configurez les notifications de résultats comme suit:
- Activez l'API Security Command Center.
- Créez un sujet Pub/Sub pour les résultats.
- Créez un objet
NotificationConfigcontenant le filtre pour les résultats que vous souhaitez exporter. La configurationNotificationConfigdoit utiliser le sujet Pub/Sub que vous créez pour les résultats.
Activez l'API Cloud Asset pour votre projet.
Vous aurez besoin de l'ID de votre organisation, de l'ID de projet et de l'ID d'abonnement Pub/Sub fournis dans cette tâche pour configurer Google SecOps SOAR. Pour récupérer votre ID d'organisation et votre ID de projet, consultez les sections Récupérer votre ID d'organisation et Identifier des projets, respectivement.
Configurer Google SecOps SOAR
La solution Google SecOps SOAR permet aux entreprises et aux fournisseurs de services de sécurité gérés (MSSP, Managed Security Service Provider) de collecter des données et des alertes de sécurité provenant de différentes sources en combinant l'orchestration et l'automatisation, la Threat Intelligence et la gestion des incidents.
Pour utiliser Security Command Center avec Google SecOps SOAR, procédez comme suit:
Dans la console Google SecOps SOAR, accédez à Marketplace (Place de marché), puis cliquez sur Integrations (Intégrations).
Recherchez
Google Security Command Center, puis installez l'intégration Security Command Center qui s'affiche dans les résultats de recherche.Dans l'intégration Google Security Command Center, cliquez sur Configurer. La boîte de dialogue Google Security Command Center - Configure Instance (Centre de sécurité Google - Configurer l'instance) s'ouvre.
Facultatif: Pour créer un environnement ou modifier sa configuration, cliquez sur Écran des paramètres. La page Environnements s'ouvre dans un nouvel onglet.
Sur la page Environnements, sélectionnez l'environnement pour lequel vous souhaitez configurer l'instance d'intégration.
Dans l'environnement sélectionné, cliquez sur Créer une instance. La boîte de dialogue Ajouter une instance s'ouvre.
Dans la liste Intégrations, sélectionnez Google Security Command Center, puis cliquez sur Enregistrer. La boîte de dialogue Google Security Command Center - Configure Instance (Centre de commande de sécurité Google - Configurer l'instance) s'ouvre.
Spécifiez les paramètres de configuration, puis cliquez sur Enregistrer.
Paramètre Description Obligatoire Racine de l'API Racine de l'API de l'instance Security Command Center. Exemple : securitycenter.googleapis.comOui ID de l'organisation ID de l'organisation dont vous souhaitez exporter les résultats. Non ID du projet ID du projet à utiliser dans l'intégration à Security Command Center. Non ID du projet de quota ID de votre projet Google Cloud pour l'utilisation et la facturation des API Google Cloud. Non ID d'emplacement ID de l'emplacement à utiliser dans l'intégration à Security Command Center. L'ID d'emplacement par défaut est "global". Non Compte de service de l'utilisateur Compte de service que vous avez créé dans Créer un compte de service et attribuer des rôles IAM. Si vous hébergez Google SecOps SOAR dans votre environnement sur site, fournissez l'ID de clé du compte de service et tout le contenu du fichier JSON du compte de service. Oui Adresse e-mail Workload Identity Adresse e-mail que vous avez créée dans Créer un compte de service pour l'usurpation d'identité. Il s'agit d'une adresse e-mail client de compte de service pour remplacer l'utilisation du compte de service utilisateur pouvant être utilisé pour l'usurpation d'identité. Le compte de service SOAR doit disposer du rôle IAM Service Account Token Creatorsur le compte de service utilisateur.Oui Vérifier le protocole SSL Activez cette option pour vérifier que le certificat SSL utilisé pour la connexion au serveur Security Command Center est valide. Oui Pour vérifier que l'intégration est correctement configurée, cliquez sur Tester.
Une fois la validation réussie, cliquez sur Enregistrer.
Mettre à niveau l'intégration à Google Security Command Center
Pour mettre à niveau l'intégration de Google Security Command Center, procédez comme suit:
Dans la console Google SecOps SOAR, accédez à Marketplace (Place de marché), puis cliquez sur Integrations (Intégrations).
Recherchez l'intégration de Google Security Command Center, puis cliquez sur Mettre à niveau vers VERSION_NUMBER.
Utiliser les résultats et les éléments
Google SecOps SOAR utilise des connecteurs pour ingérer les alertes provenant de diverses sources de données dans la plate-forme.
Extraire les alertes de Security Command Center pour les analyser dans Google SecOps SOAR
Vous devez configurer un connecteur pour extraire des informations sur les résultats de Security Command Center. Pour configurer le connecteur, consultez la section Ingérer vos données (connecteurs).
Définissez les paramètres suivants dans Google SecOps SOAR pour configurer le connecteur Google Security Command Center – Findings.
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ "Produit" | Chaîne | Nom du produit | Oui | Nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ de l'événement | Chaîne | type | Oui | Nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ de l'environnement | Chaîne | Vide | Non | Nom du champ dans lequel le nom de l'environnement est stocké. Si le nom du champ d'environnement n'est pas spécifié, l'environnement par défaut est sélectionné. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Nom du champ de l'environnement. La valeur par défaut est .* pour tout capturer et renvoyer la valeur inchangée. Ce paramètre permet à l'utilisateur de manipuler le champ d'environnement à l'aide de la logique d'expression régulière. Si le modèle d'expression régulière est nul ou vide, ou si la valeur de l'environnement est nulle, l'environnement par défaut est sélectionné. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Limite de délai avant expiration pour le processus Python exécutant le script en cours. |
| Racine de l'API | Chaîne | Oui | Racine de l'API de l'instance Security Command Center. Par exemple, securitycenter.googleapis.com. |
|
| ID de l'organisation | Chaîne | Non | ID de l'organisation à utiliser dans l'intégration de Google Security Command Center. | |
| Compte de service de l'utilisateur | Mot de passe | Oui | Compte de service que vous avez créé dans Créer un compte de service et attribuer des rôles IAM. Si vous hébergez Google SecOps SOAR dans votre environnement sur site, fournissez l'ID de clé du compte de service et tout le contenu du fichier JSON du compte de service. | |
| Filtre de classe de résultats | CSV | Menace, Faille, Mauvaise configuration, SCC_Error, Observation | Non | Recherche des cours à ingérer. Les valeurs possibles du champ sont les suivantes :
|
| Gravité la plus faible à extraire | Chaîne | Élevée | Non | Gravité la plus faible utilisée pour extraire les résultats. Les valeurs possibles sont les suivantes:
|
| Nombre maximal d'heures en arrière | Integer | 1 | Non | Nombre d'heures à partir duquel extraire les résultats. La limite maximale est de 24. |
| Nombre maximal de résultats à extraire | Integer | 100 | Non | Nombre de résultats à traiter par itération du connecteur. La limite maximale est de 1 000. |
| Utiliser une liste dynamique comme liste d'exclusion | Case à cocher | Désactivé | Oui | Activez la liste dynamique en tant que liste d'exclusion. |
| Vérifier le protocole SSL | Case à cocher | Désactivé | Oui | Activez cette option pour vérifier que le certificat SSL de la connexion au serveur Security Command Center est valide. |
| Adresse du serveur proxy | Chaîne | Non | Adresse du serveur proxy à utiliser. | |
| Nom d'utilisateur du proxy | Chaîne | Non | Nom d'utilisateur du proxy à utiliser pour l'authentification. | |
| Mot de passe du proxy | Mot de passe | Non | Mot de passe du proxy avec lequel s'authentifier. |
Enrichir des composants
Pour permettre une enquête de sécurité, Google Security Operations ingère des données contextuelles provenant de différentes sources, effectue une analyse des données et fournit un contexte supplémentaire sur les artefacts dans un environnement client.
Pour enrichir des éléments à l'aide d'informations de Security Command Center, ajoutez l'action d'enrichissement des éléments à un playbook dans Google SecOps SOAR, puis exécutez-le. Pour en savoir plus, consultez la section Ajouter une action.
Pour configurer cette action, définissez les paramètres suivants:
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ "Produit" | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
Répertorier les failles d'alerte
Pour lister les failles liées aux entités dans Security Command Center, ajoutez l'action de liste des failles des éléments à un playbook dans Google Security Operations SOAR, puis exécutez-le. Pour en savoir plus, consultez la section Ajouter une action.
Pour configurer cette action, définissez les paramètres suivants:
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Noms des ressources d'éléments | CSV | Oui | Spécifiez une liste de noms de ressources des éléments pour lesquels vous souhaitez renvoyer des données, séparés par une virgule. | |
| Délai | LDD | Depuis le début | Non | Spécifiez la période de recherche de failles ou d'erreurs de configuration. Les valeurs possibles sont les suivantes:
|
| Types d'enregistrements | LDD | Failles et erreurs de configuration | Non | Spécifiez le type d'enregistrement à renvoyer. Les valeurs possibles sont les suivantes:
|
| Type de sortie | LDD | Statistiques | Non | Spécifiez le type de sortie à renvoyer dans le résultat JSON pour l'asset. Les valeurs possibles sont les suivantes:
|
| Nombre maximal d'enregistrements à renvoyer | Chaîne | 100 | Non | Spécifiez le nombre d'enregistrements à renvoyer par type d'enregistrement et par composant. |
Mettre à jour les résultats
Pour mettre à jour les résultats dans Security Command Center, ajoutez l'action de mise à jour des résultats à un playbook dans Google SecOps SOAR, puis exécutez-le. Pour en savoir plus, consultez la section Ajouter une action.
Pour configurer cette action, définissez les paramètres suivants:
| Paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du résultat | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Oui | Spécifiez une liste de noms de résultats à mettre à jour, séparés par une virgule. |
| Son | LDD | Non | Spécifiez l'état de masquage du résultat. Les valeurs possibles sont les suivantes:
|
|
| État | LDD | Non | Spécifiez l'état du résultat. Les valeurs possibles sont les suivantes:
|