Mengirimkan data Security Command Center ke Google Security Operations SOAR

Halaman ini menjelaskan cara otomatis mengirim temuan, aset, log audit, dan sumber keamanan Security Command Center ke SOAR Google Security Operations. Halaman ini juga menjelaskan cara mengelola data yang diekspor.

Sebelum memulai, pastikan layanan Security Command Center dan Google Cloud yang diperlukan dikonfigurasi dengan benar dan aktifkan Google SecOps SOAR untuk mengakses temuan, log audit, dan aset di lingkungan Security Command Center Anda. Untuk informasi selengkapnya tentang integrasi Security Command Center untuk Google SecOps SOAR, lihat Security Command Center dalam dokumentasi Google Security Operations.

Mengonfigurasi autentikasi dan otorisasi

Sebelum terhubung ke Google SecOps SOAR, Anda harus membuat akun layanan Identity and Access Management dan memberikan peran IAM ke akun tersebut di tingkat organisasi dan project.

Membuat akun layanan dan memberikan peran IAM

Dalam dokumen ini, akun layanan ini juga disebut akun layanan pengguna. Langkah-langkah berikut menggunakan konsol Google Cloud. Untuk metode lainnya, lihat link di bagian akhir bagian ini.

Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud tempat Anda ingin mengimpor data Security Command Center.

1. Di project yang sama dengan tempat Anda membuat topik Pub/Sub, gunakan halaman Service Accounts di konsol Google Cloud untuk membuat akun layanan. Untuk mengetahui petunjuknya, lihat Membuat dan mengelola akun layanan.

2. Berikan peran berikut ke akun layanan:

   • Pub/Sub Editor (roles/pubsub.editor)

3. Salin nama akun layanan yang baru saja Anda buat.

4. Gunakan pemilih project di konsol Google Cloud untuk beralih ke level organisasi.

5. Buka halaman IAM untuk organisasi:

   Buka IAM

6. Pada halaman IAM, klik Berikan akses. Panel akses grant akan terbuka.

7. Di panel Berikan akses, selesaikan langkah-langkah berikut:

   1. Di bagian Tambahkan akun utama di kolom New principals, tempelkan nama akun layanan.

   2. Di bagian Assign roles, gunakan kolom Role untuk memberikan peran IAM berikut ke akun layanan:

      • Security Center Admin Viewer (roles/securitycenter.adminViewer)
      • Security Center Notification Configurations Editor (roles/securitycenter.notificationConfigEditor)
      • Organization Viewer (roles/resourcemanager.organizationViewer)
      • Cloud Asset Viewer (roles/cloudasset.viewer)

   3. Klik Simpan. Akun layanan akan muncul di tab Permissions di halaman IAM pada bagian View by principals.

      Dengan pewarisan, akun layanan juga menjadi akun utama di semua project turunan organisasi. Peran yang berlaku di level project dicantumkan sebagai peran yang diwarisi.

Untuk mengetahui informasi selengkapnya tentang cara membuat akun layanan dan memberikan peran, lihat topik berikut:

• Membuat dan mengelola akun layanan
• Memberikan, mengubah, dan mencabut akses ke resource

Membuat akun layanan untuk peniruan identitas

Dalam dokumen ini, akun layanan ini juga disebut akun layanan SOAR. Buat akun layanan untuk meniru identitas akun layanan pengguna dan izinnya.

1. Di konsol SOAR Google SecOps, buka Response, lalu klik Integrations setup.

2. Di halaman Penyiapan integrasi, klik Buat instance baru. Dialog Tambahkan instance akan terbuka.

3. Dalam daftar Integrasi, pilih Pusat Perintah Keamanan Google, lalu klik Simpan. Dialog Google Security Command Center - Configure Instance akan terbuka.

4. Di kolom Workload Identity Email, tentukan ID email akun layanan.

5. Klik Simpan.

Berikan kredensial ke Google SecOps SOAR

Bergantung pada tempat Anda menghosting Google SecOps SOAR, cara Anda memberikan kredensial IAM ke Google SecOps SOAR akan berbeda.

• Jika Anda menghosting Google SecOps SOAR di Google Cloud, akun layanan pengguna yang Anda buat dan peran tingkat organisasi yang Anda berikan ke akun tersebut akan tersedia secara otomatis melalui warisan dari organisasi induk.
• Jika Anda menghosting Google SecOps SOAR di lingkungan lokal, buat kunci untuk akun layanan pengguna yang Anda buat. Anda memerlukan file JSON kunci akun layanan untuk menyelesaikan tugas ini. Untuk mempelajari praktik terbaik untuk menyimpan kunci akun layanan dengan aman, lihat Praktik terbaik untuk mengelola kunci akun layanan.

Mengonfigurasi notifikasi

Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud yang ingin Anda impor data Security Command Center-nya.

1. Siapkan notifikasi temuan sebagai berikut:

   1. Aktifkan Security Command Center API.
   2. Buat topik Pub/Sub untuk temuan.
   3. Buat objek NotificationConfig yang berisi filter untuk temuan yang ingin Anda ekspor. NotificationConfig harus menggunakan topik Pub/Sub yang Anda buat untuk menemukan.

2. Aktifkan Cloud Asset API untuk project Anda.

Anda memerlukan ID organisasi, ID project, dan ID langganan Pub/Sub dari tugas ini untuk mengonfigurasi Google SecOps SOAR. Untuk mengambil ID organisasi dan project ID, lihat artikel Mengambil ID organisasi dan Mengidentifikasi project.

Mengonfigurasi Google SecOps SOAR

Google SecOps SOAR memungkinkan perusahaan dan penyedia layanan keamanan terkelola (MSSP) mengumpulkan data dan pemberitahuan keamanan dari berbagai sumber dengan menggabungkan orkestrasi dan otomatisasi, intelijen ancaman, dan respons insiden.

Untuk menggunakan Security Command Center dengan Google SecOps SOAR, selesaikan langkah-langkah berikut:

1. Di konsol Google SecOps SOAR, buka Marketplace, lalu klik Integrations.

2. Telusuri Google Security Command Center, lalu instal integrasi Security Command Center yang muncul di hasil penelusuran.

3. Pada integrasi Google Security Command Center, klik Configure. Dialog Google Security Command Center - Configure Instance akan terbuka.

4. Opsional: Untuk membuat lingkungan baru atau mengedit konfigurasi lingkungan, klik Layar setelan. Halaman Environments akan terbuka di tab baru.

5. Di halaman Environments, pilih lingkungan yang instance integrasinya ingin Anda konfigurasi.

6. Di lingkungan yang dipilih, klik Buat instance baru. Dialog Tambahkan instance akan terbuka.

7. Dalam daftar Integrasi, pilih Pusat Perintah Keamanan Google, lalu klik Simpan. Dialog Google Security Command Center - Configure Instance akan terbuka.

8. Tentukan parameter konfigurasi, lalu klik Simpan.

   Parameter	Deskripsi	Wajib
   Root API	Root API instance Security Command Center. Misalnya, securitycenter.googleapis.com.	Ya
   ID Organisasi	ID organisasi yang temuan datanya ingin Anda ekspor.	Tidak
   ID Project	ID project yang akan digunakan dalam integrasi Security Command Center.	Tidak
   ID Project Kuota	ID project Google Cloud Anda untuk penggunaan dan penagihan Google Cloud API.	Tidak
   ID Lokasi	ID lokasi yang akan digunakan dalam integrasi Security Command Center. ID lokasi default bersifat global.	Tidak
   Akun Layanan Pengguna	Akun layanan yang Anda buat di Membuat akun layanan dan memberikan peran IAM. Jika Anda menghosting Google SecOps SOAR di lingkungan lokal, berikan ID kunci akun layanan dan semua konten file JSON akun layanan.	Ya
   Email Workload Identity	Email yang Anda buat di Membuat akun layanan untuk peniruan identitas. Ini adalah email klien akun layanan untuk menggantikan penggunaan akun layanan pengguna yang dapat digunakan untuk peniruan identitas. Akun layanan SOAR harus diberi peran IAM Service Account Token Creator di akun layanan pengguna.	Ya
   Memverifikasi SSL	Aktifkan untuk memverifikasi bahwa sertifikat SSL yang digunakan untuk koneksi ke server Security Command Center valid.	Ya

9. Untuk memverifikasi bahwa integrasi dikonfigurasi dengan benar, klik Uji.

10. Setelah verifikasi berhasil, klik Simpan.

Mengupgrade integrasi Google Security Command Center

Untuk mengupgrade integrasi Google Security Command Center, selesaikan langkah-langkah berikut:

1. Di konsol Google SecOps SOAR, buka Marketplace, lalu klik Integrations.

2. Telusuri integrasi Google Security Command Center, lalu klik Upgrade to VERSION_NUMBER.

Menggunakan temuan dan aset

Google SecOps SOAR menggunakan konektor untuk menyerap pemberitahuan dari berbagai sumber data ke dalam platform.

Mengambil pemberitahuan Security Command Center untuk analisis di Google SecOps SOAR

Anda perlu mengonfigurasi konektor untuk mengambil informasi tentang temuan dari Security Command Center. Untuk mengonfigurasi konektor, lihat Menyerap data (konektor).

Tetapkan parameter berikut di Google SecOps SOAR untuk mengonfigurasi konektor Google Security Command Center - Findings.

Parameter	Jenis	Nilai default	Wajib	Deskripsi
Nama Kolom Produk	String	Nama Produk	Ya	Nama kolom sumber untuk mengambil nama kolom produk.
Nama Kolom Peristiwa	String	jenis	Ya	Nama kolom sumber untuk mengambil nama kolom peristiwa.
Nama Kolom Lingkungan	String	Kosong	Tidak	Nama kolom tempat nama lingkungan disimpan. Jika nama kolom lingkungan tidak ditentukan, lingkungan default akan dipilih.
Pola Regex Lingkungan	String	.*	Tidak	Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom Environment Field Name. Defaultnya adalah .* untuk menangkap semua dan menampilkan nilai yang tidak berubah. Parameter ini digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika ekspresi reguler. Jika pola ekspresi reguler null atau kosong, atau nilai lingkungan null, lingkungan default akan dipilih.
Waktu Tunggu Skrip (Detik)	Bilangan bulat	180	Ya	Batas waktu tunggu untuk proses python yang menjalankan skrip saat ini.
Root API	String		Ya	Root API instance Security Command Center. Misalnya, securitycenter.googleapis.com.
ID Organisasi	String		Tidak	ID organisasi yang harus digunakan dalam integrasi Google Security Command Center.
Akun Layanan Pengguna	Sandi		Ya	Akun layanan yang Anda buat di Membuat akun layanan dan memberikan peran IAM. Jika Anda menghosting Google SecOps SOAR di lingkungan lokal, berikan ID kunci akun layanan dan semua konten file JSON akun layanan.
Menemukan Filter Kelas	CSV	Ancaman, Kerentanan, Konfigurasi yang Salah, SCC_Error, Pengamatan	Tidak	Menemukan class yang harus diserap. Kemungkinan nilainya adalah: Ancaman Kerentanan Error konfigurasi SCC_Error Pengamatan Jika tidak ada yang diberikan, temuan dari semua class akan diserap.
Keparahan Terendah yang Akan Diambil	String	Tinggi	Tidak	Tingkat keparahan terendah yang digunakan untuk mengambil temuan. Kemungkinan nilainya adalah: Rendah Sedang Tinggi Kritis Catatan: Jika temuan dengan tingkat keparahan yang tidak ditentukan diserap, temuan tersebut memiliki tingkat keparahan sedang. Jika tidak ada yang diberikan, temuan dengan semua tingkat keparahan akan ditransfer.
Jam Mundur Maksimal	Bilangan bulat	1	Tidak	Jumlah jam dari tempat pengambilan temuan. Batas maksimumnya adalah 24.
Temuan Maksimum yang Akan Diambil	Bilangan bulat	100	Tidak	Jumlah temuan yang akan diproses per satu iterasi konektor. Batas maksimum adalah 1.000.
Menggunakan daftar dinamis sebagai daftar pengecualian	Kotak centang	Nonaktif	Ya	Aktifkan daftar dinamis sebagai daftar pengecualian.
Memverifikasi SSL	Kotak centang	Nonaktif	Ya	Aktifkan untuk memverifikasi bahwa sertifikat SSL untuk koneksi ke server Security Command Center valid.
Alamat Server Proxy	String		Tidak	Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy	String		Tidak	Nama pengguna proxy yang akan digunakan untuk melakukan autentikasi.
Sandi Proxy	Sandi		Tidak	Sandi proxy yang akan digunakan untuk mengautentikasi.

Memperkaya aset

Untuk memungkinkan investigasi keamanan, Google Security Operations menyerap data kontekstual dari berbagai sumber, melakukan analisis pada data, dan memberikan konteks tambahan tentang artefak di lingkungan pelanggan.

Untuk memperkaya aset menggunakan informasi dari Security Command Center, tambahkan tindakan enrich assets ke playbook di Google SecOps SOAR dan jalankan playbook. Untuk informasi selengkapnya, lihat Menambahkan tindakan

Untuk mengonfigurasi tindakan ini, tetapkan parameter berikut:

Parameter	Jenis	Nilai default	Wajib	Deskripsi
Nama Kolom Produk	String	Nama Produk	Ya	Masukkan nama kolom sumber untuk mengambil nama kolom produk.

Mencantumkan kerentanan pemberitahuan

Untuk mencantumkan kerentanan yang terkait dengan entitas di Security Command Center, tambahkan tindakan daftar kerentanan aset ke playbook di SOAR Google Security Operations dan jalankan playbook. Untuk informasi selengkapnya, lihat Menambahkan tindakan

Untuk mengonfigurasi tindakan ini, tetapkan parameter berikut:

Parameter	Jenis	Nilai default	Wajib	Deskripsi
Nama Resource Aset	CSV		Ya	Tentukan daftar nama resource aset yang dipisahkan koma yang datanya ingin Anda tampilkan.
Jangka waktu	DDL	Sepanjang Waktu	Tidak	Tentukan jangka waktu untuk penelusuran kerentanan atau kesalahan konfigurasi. Kemungkinan nilainya adalah: Seminggu Terakhir Sebulan Terakhir Tahun Lalu Sepanjang Waktu
Jenis Data	DDL	Kerentanan + Kesalahan Konfigurasi	Tidak	Tentukan jenis data yang akan ditampilkan. Kemungkinan nilainya adalah: Kerentanan Kesalahan Konfigurasi Kerentanan + Kesalahan Konfigurasi
Jenis Output	DDL	Statistik	Tidak	Tentukan jenis output yang harus ditampilkan dalam hasil JSON untuk aset. Kemungkinan nilainya adalah: Statistik Data Statistik + Data
Jumlah Data Maksimal yang Akan Ditampilkan	String	100	Tidak	Tentukan jumlah data yang akan ditampilkan per jenis data per aset.

Memperbarui temuan

Untuk memperbarui temuan di Security Command Center, tambahkan tindakan update findings ke playbook di Google SecOps SOAR dan jalankan playbook. Untuk mengetahui informasi selengkapnya, lihat Menambahkan tindakan

Untuk mengonfigurasi tindakan ini, tetapkan parameter berikut:

Parameter	Jenis	Nilai default	Wajib	Deskripsi
Nama Temuan	CSV	organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID	Ya	Tentukan daftar nama temuan yang dipisahkan koma yang ingin Anda perbarui.
Jangan Tampilkan Status	DDL		Tidak	Tentukan status bisukan untuk temuan. Kemungkinan nilainya adalah: Bisukan Bunyikan
Status Status	DDL		Tidak	Tentukan status temuan. Kemungkinan nilainya adalah: Aktif Tidak Aktif