Invia i dati di Security Command Center a Google Security Operations SOAR

Questa pagina spiega come inviare automaticamente risultati, asset, log di controllo e origini di sicurezza di Security Command Center a Google Security Operations SOAR. Inoltre, descrive come gestire i dati esportati.

Prima di iniziare, assicurati che i servizi Security Command Center e Google Cloud richiesti siano configurati correttamente e consentano a Google SecOps SOAR di accedere risultati, audit log e asset nel tuo ambiente Security Command Center. Per maggiori informazioni informazioni sull'integrazione di Security Command Center per Google SecOps SOAR, consulta Security Command Center nella documentazione di Google Security Operations.

Configurare l'autenticazione e l'autorizzazione

Prima di connetterti a Google SecOps SOAR, devi creare una l'account di servizio Identity and Access Management e assegnargli i ruoli IAM su entrambi a livello di organizzazione e di progetto.

Creare un account di servizio e concedere i ruoli IAM

In questo documento, questo account di servizio è chiamato anche account di servizio utente. I passaggi seguenti utilizzano la console Google Cloud. Per altri metodi, consulta i link alla fine di questa sezione.

Completa questi passaggi per ogni organizzazione Google Cloud in cui vuoi importare Security Command Center da cui proviene.

  1. Nello stesso progetto in cui crei gli argomenti Pub/Sub, utilizza la pagina Account di servizio nella console Google Cloud per creare un account di servizio. Per istruzioni, vedi Creazione e gestione degli account di servizio.

  2. Concedi all'account di servizio il seguente ruolo:

    • Editor Pub/Sub (roles/pubsub.editor)

  3. Copia il nome dell'account di servizio appena creato.

  4. Utilizza il selettore progetti nella console Google Cloud per effettuare il passaggio a livello di organizzazione.

  5. Apri la pagina IAM per l'organizzazione:

    Vai a IAM

  6. Nella pagina IAM, fai clic su Concedi l'accesso. Viene visualizzato il riquadro Concedi accesso.

  7. Nel riquadro Concedi l'accesso, completa i seguenti passaggi:

    1. Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.

    2. Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere all'account di servizio i seguenti ruoli IAM:

      • Visualizzatore amministratore Centro sicurezza (roles/securitycenter.adminViewer)
      • Editor configurazioni notifiche Centro sicurezza (roles/securitycenter.notificationConfigEditor)
      • Organization Viewer (roles/resourcemanager.organizationViewer)
      • Cloud Asset Viewer (roles/cloudasset.viewer)

    3. Fai clic su Salva. L'account di servizio viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.

      Per eredità, l'account di servizio diventa un'entità anche in tutti i progetti secondari dell'organizzazione. I ruoli applicabili sono elencati come ruoli ereditati.

Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione dei ruoli, consulta i seguenti argomenti:

Creare un account di servizio per l'impersonificazione

In questo documento, questo account di servizio è chiamato anche account di servizio SOAR. Crea un account di servizio per impersonare l'account di servizio dell'utente e le relative autorizzazioni.

  1. Nella console SOAR di Google SecOps, vai a Risposta, quindi fai clic su Configurazione delle integrazioni.

  2. Nella pagina Configurazione delle integrazioni, fai clic su Crea una nuova istanza. Viene visualizzata la finestra di dialogo Aggiungi istanza.

  3. Nell'elenco Integrazioni, seleziona Google Security Command Center e fai clic su Salva. Viene visualizzata la finestra di dialogo Google Security Command Center - Configure Instance (Google Security Command Center - Configura istanza).

  4. Nel campo Workload Identity Email (Email identità carico di lavoro), specifica l'ID email dell'account di servizio.

  5. Fai clic su Salva.

Fornisci le credenziali a Google SecOps SOAR

A seconda di dove ospiti Google SecOps SOAR, come fornire le credenziali IAM a Google SecOps SOAR differisce.

  • Se ospiti Google SecOps SOAR in Google Cloud, l'account di servizio utente che hai creato e i ruoli a livello di organizzazione che gli hai concesso sono disponibili automaticamente per eredità dall'organizzazione principale.
  • Se ospiti Google SecOps SOAR nel tuo ambiente on-premise, crea una chiave per l'account di servizio utente che hai creato. Devi avere la chiave dell'account di servizio file JSON per completare questa attività. Per conoscere le best practice per archiviare in modo sicuro le chiavi degli account di servizio, consulta Best practice per la gestione delle chiavi degli account di servizio.

Configura le notifiche

Completa questi passaggi per ogni organizzazione Google Cloud a cui vuoi da cui importare i dati di Security Command Center.

  1. Configura le notifiche dei risultati come segue:

    1. Abilita l'API Security Command Center.
    2. Crea un argomento Pub/Sub per i risultati.
    3. Crea un oggetto NotificationConfig contenente il filtro per i risultati che vuoi esportare. NotificationConfig deve utilizzare il valore-chiave Argomento Pub/Sub creato per i risultati.

  2. Abilita l'API Cloud Asset per il tuo progetto.

Per configurare Google SecOps SOAR, devi avere l'ID organizzazione, l'ID progetto e l'ID abbonamento Pub/Sub di questa attività. Per recuperare l'ID organizzazione e l'ID progetto, consulta Recupero dell'ID organizzazione e sull'identificazione dei progetti, rispettivamente.

Configura Google SecOps SOAR

Google SecOps SOAR consente alle aziende e ai fornitori di servizi di sicurezza gestiti (MSSP) di raccogliere dati e avvisi di sicurezza da diverse fonti combinando orchestrazione e automazione, threat intelligence e risposta agli incidenti.

Per utilizzare Security Command Center con la piattaforma SOAR di Google SecOps, completa i seguenti passaggi:

  1. Nella console SOAR di Google SecOps, vai a Marketplace e poi fai clic su Integrations (Integrazioni).

  2. Cerca Google Security Command Center e installa l'integrazione di Security Command Center visualizzata nei risultati di ricerca.

  3. Nell'integrazione di Google Security Command Center, fai clic su Configura. La finestra di dialogo Google Security Command Center - Configura istanza si apre.

  4. (Facoltativo) Per creare un nuovo ambiente o per modificarne la configurazione, fai clic su Schermata Impostazioni. La pagina Ambienti si apre in una nuova scheda.

  5. Nella pagina Ambienti, seleziona l'ambiente per il quale vuoi e configurare l'istanza di integrazione.

  6. Nell'ambiente selezionato, fai clic su Crea una nuova istanza. Viene visualizzata la finestra di dialogo Aggiungi istanza.

  7. Nell'elenco Integrations (Integrazioni), seleziona Google Security Command Center e fai clic su Salva. Viene visualizzata la finestra di dialogo Google Security Command Center - Configure Instance (Google Security Command Center - Configura istanza).

  8. Specifica i parametri di configurazione e fai clic su Salva.

    Parametro Descrizione Obbligatorio
    Radice API API principale dell'istanza Security Command Center. Ad esempio, securitycenter.googleapis.com.
    ID organizzazione ID dell'organizzazione di cui vuoi esportare i risultati. No
    ID progetto ID del progetto da utilizzare nell'integrazione di Security Command Center. No
    ID progetto quota L'ID del tuo progetto Google Cloud per l'utilizzo e la fatturazione delle API Google Cloud. No
    ID località ID della località da utilizzare in Security Command Center e integrazione. L'ID posizione predefinito è globale. No
    Account di servizio dell'utente Account di servizio creato in Creare un account di servizio e concedere ruoli IAM. Se ospiti Google SecOps SOAR nel tuo ambiente on-premise, fornisci l'ID chiave dell'account di servizio e tutti i contenuti del file JSON dell'account di servizio.
    Email di Workload Identity L'indirizzo email che hai creato in Creare un account di servizio per la simulazione di identità. È l'email del client dell'account di servizio che sostituisce Utilizzo dell'account di servizio utente che può essere usato per la rappresentazione. All'account di servizio SOAR deve essere concesso il ruolo IAM Service Account Token Creator nell'account di servizio dell'utente.
    Verifica SSL Attiva questa opzione per verificare che il certificato SSL utilizzato per la connessione al server Security Command Center sia valida.

  9. Per verificare che l'integrazione sia configurata correttamente, fai clic su Test.

  10. Una volta completata la verifica, fai clic su Salva.

Eseguire l'upgrade dell'integrazione di Google Security Command Center

Per eseguire l'upgrade dell'integrazione di Google Security Command Center, completa i seguenti passaggi:

  1. Nella console SOAR di Google SecOps, vai a Marketplace, e quindi fai clic su Integrations (Integrazioni).

  2. Cerca l'integrazione di Google Security Command Center e fai clic su Esegui l'upgrade a VERSION_NUMBER.

Utilizzo dei risultati e degli asset

Google SecOps SOAR utilizza i connettori per importare nella piattaforma gli avvisi da una serie di origini dati.

Recuperare gli avvisi di Security Command Center per l'analisi in Google SecOps SOAR

Devi configurare un connettore per estrarre informazioni sui risultati da Security Command Center. Per configurare il connettore, consulta Importare i dati (connettori).

Imposta i seguenti parametri in Google SecOps SOAR per configurare il connettore Google Security Command Center - Findings.

Parametro Tipo Valore predefinito Obbligatorio Descrizione
Nome campo prodotto Stringa Nome prodotto Nome del campo di origine per recuperare il nome del campo del prodotto.
Nome campo evento Stringa tipo Nome del campo di origine per recuperare il nome del campo dell'evento.
Nome campo ambiente Stringa Vuoto No Nome del campo in cui è memorizzato il nome dell'ambiente. Se il nome del campo dell'ambiente non è specificato, viene selezionato l'ambiente predefinito.
Pattern regex dell'ambiente Stringa .* No Un pattern di espressioni regolari da eseguire sul valore trovato nel campo Nome campo ambiente. Il valore predefinito è .* per intercettare tutto e restituire il valore invariato. Questo parametro viene utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern di espressione regolare è nullo o vuoto o se il valore dell'ambiente è nullo, viene selezionato l'ambiente predefinito.
Timeout dello script (secondi) Numero intero 180 Limite di timeout per il processo Python che esegue lo script corrente.
API Root Stringa API principale dell'istanza Security Command Center. Ad esempio: securitycenter.googleapis.com.
ID organizzazione Stringa No ID dell'organizzazione da utilizzare in Google Security Command Center e integrazione.
Account di servizio dell'utente Password Account di servizio che hai creato Crea un account di servizio e concedi Ruoli IAM. Se ospiti Google SecOps SOAR nel tuo ambiente on-premise, fornisci l'ID chiave dell'account di servizio e tutti i contenuti del file JSON dell'account di servizio.
Filtro classe dei risultati CSV Minaccia, Vulnerabilità, Configurazione errata, SCC_Error, Osservazione No Individuare i corsi da importare. I valori possibili sono:
  • Minaccia
  • Vulnerabilità
  • Configurazione errata
  • SCC_Error
  • Osservazione
Se non viene fornito nulla, vengono importati i risultati di tutte le classi.
Gravità minima da recuperare Stringa Alta No La gravità più bassa utilizzata per recuperare i risultati. I valori possibili sono:
  • Bassa
  • Media
  • Alta
  • Critico
Nota: se viene importato un risultato con gravità non definita, la gravità è media. Se non viene fornito nulla, i risultati con tutte le gravità vengono importati.
Ore massime indietro Numero intero 1 No Numero di ore per il recupero dei risultati. Il limite massimo è 24.
Numero massimo di risultati da recuperare Numero intero 100 No Numero di risultati da elaborare per una iterazione del connettore. Massima è 1000.
Utilizza elenco dinamico come elenco di esclusione Casella di controllo Disabilitato Attiva l'elenco dinamico come elenco escluso.
Verifica SSL Casella di controllo Disabilitato Abilita questa opzione per verificare che il certificato SSL per connessione al server Security Command Center è valida.
Indirizzo del server proxy Stringa No L'indirizzo del server proxy da utilizzare.
Nome utente proxy Stringa No Il nome utente del proxy con cui eseguire l'autenticazione.
Password proxy Password No La password del proxy con cui eseguire l'autenticazione.

Arricchisci gli asset

Per consentire un'indagine sulla sicurezza, Google Security Operations importa i dati contestuali da diverse origini, esegue l'analisi dei dati e fornisce un contesto aggiuntivo sugli elementi in un ambiente del cliente.

Per arricchire gli asset utilizzando le informazioni di Security Command Center, aggiungi l'azione di arricchimento degli asset a un playbook in Google SecOps SOAR ed esegui il playbook. Per ulteriori informazioni, consulta Aggiungere un'azione

Per configurare questa azione, imposta i seguenti parametri:

Parametro Tipo Valore predefinito Obbligatorio Descrizione
Nome campo prodotto Stringa Nome prodotto Inserisci il nome del campo di origine per recuperare il nome del campo del prodotto.

Elenca le vulnerabilità degli avvisi

Per elencare le vulnerabilità relative alle entità in Security Command Center, aggiungi l'azione elenca le vulnerabilità degli asset a un playbook in Google Security Operations SOAR ed esegui il playbook. Per ulteriori informazioni, consulta Aggiungere un'azione

Per configurare questa azione, imposta i seguenti parametri:

Parametro Tipo Valore predefinito Obbligatorio Descrizione
Nomi risorse asset CSV Specifica un elenco separato da virgole di nomi delle risorse delle risorse per le quali vuoi restituire i dati.
Periodo di tempo DDL Sempre No Specifica l'intervallo di tempo per la ricerca di vulnerabilità o errori di configurazione. I valori possibili sono:
  • Settimana scorsa
  • Mese scorso
  • Ultimo anno
  • Sempre
Tipi di record DDL Vulnerabilità + errori di configurazione No Specifica il tipo di record da restituire. Valori possibili sono:
  • Vulnerabilità
  • Errori di configurazione
  • Vulnerabilità + errori di configurazione
Tipo di output DDL Statistiche No Specifica il tipo di output da restituire nel risultato JSON per la risorsa. I valori possibili sono:
  • Statistiche
  • Dati
  • Statistiche e dati
Numero massimo di record da restituire Stringa 100 No Specifica il numero di record da restituire per tipo di record e per asset.

Aggiorna risultati

Per aggiornare i risultati in Security Command Center, aggiungi l'azione dei risultati di aggiornamento a un in Google SecOps SOAR ed eseguire il playbook. Per maggiori informazioni le informazioni, vedi Aggiunta di un'azione

Per configurare questa azione, imposta i seguenti parametri:

Parametro Tipo Valore predefinito Obbligatorio Descrizione
Nome risultato CSV organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID Specifica un elenco separato da virgole dei nomi dei risultati da aggiornare.
Stato disattivato DDL No Specifica lo stato di disattivazione per il risultato. I valori possibili sono:
  • Disattiva audio
  • Riattiva audio
Stato DDL No Specifica lo stato del risultato. I valori possibili sono:
  • Attivo
  • Non attivo