Inviare i dati di Security Command Center a Google Security Operations SOAR

Questa pagina spiega come inviare automaticamente risultati, asset, log di controllo e origini di sicurezza di Security Command Center a Google Security Operations SOAR. Inoltre, descrive come gestire i dati esportati.

Prima di iniziare, assicurati che Security Command Center e i Google Cloud servizi richiesti siano configurati correttamente e abilita Google SecOps SOAR ad accedere ai risultati, ai log di controllo e agli asset nel tuo ambiente Security Command Center. Per ulteriori informazioni sull'integrazione di Security Command Center per Google SecOps SOAR, consulta Security Command Center nella documentazione di Google Security Operations.

Configurare l'autenticazione e l'autorizzazione

Prima di connetterti a Google SecOps SOAR, devi creare un account di servizio Identity and Access Management e concedergli i ruoli IAM sia a livello di organizzazione sia a livello di progetto.

Creare un account di servizio e concedere i ruoli IAM

In questo documento, questo account di servizio è chiamato anche account di servizio utente. I passaggi che seguono utilizzano la console Google Cloud. Per altri metodi, consulta i link alla fine di questa sezione.

Completa questi passaggi per ogni Google Cloud organizzazione da cui vuoi importare i dati di Security Command Center.

  1. Nello stesso progetto in cui crei gli argomenti Pub/Sub, utilizza la pagina Account di servizio nella console Google Cloud per creare un account di servizio. Per le istruzioni, vedi Creazione e gestione degli account di servizio.
  2. Concedi all'account di servizio il seguente ruolo:

    • Editor Pub/Sub (roles/pubsub.editor)
  3. Copia il nome del service account appena creato.

  4. Utilizza il selettore dei progetti nella console Google Cloud per passare al livello dell'organizzazione.

  5. Apri la pagina IAM dell'organizzazione:

    Vai a IAM

  6. Nella pagina IAM, fai clic su Concedi accesso. Viene visualizzato il riquadro Concedi accesso.

  7. Nel riquadro Concedi l'accesso, completa i seguenti passaggi:

    1. Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.
    2. Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere all'account di servizio i seguenti ruoli IAM:

      • Visualizzatore amministratore Centro sicurezza (roles/securitycenter.adminViewer)
      • Editor configurazioni notifiche Centro sicurezza (roles/securitycenter.notificationConfigEditor)
      • Organization Viewer (roles/resourcemanager.organizationViewer)
      • Cloud Asset Viewer (roles/cloudasset.viewer)
    3. Fai clic su Salva. L'account di servizio viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.

      Per eredità, l'account di servizio diventa un principale anche in tutti i progetti secondari dell'organizzazione. I ruoli applicabili a livello di progetto sono elencati come ruoli ereditati.

Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione di ruoli, consulta i seguenti argomenti:

Creare un account di servizio per l'impersonificazione

In questo documento, questo account di servizio è chiamato anche account di servizio SOAR. Crea un account di servizio per rubare l'identità dell'account di servizio dell'utente e delle relative autorizzazioni.

  1. Nella console SOAR di Google SecOps, vai a Risposta, quindi fai clic su Configurazione delle integrazioni.

  2. Nella pagina Configurazione delle integrazioni, fai clic su Crea una nuova istanza. Viene visualizzata la finestra di dialogo Aggiungi istanza.

  3. Nell'elenco Integrazioni, seleziona Google Security Command Center e fai clic su Salva. Viene visualizzata la finestra di dialogo Google Security Command Center - Configure Instance (Google Security Command Center - Configura istanza).

  4. Nel campo Indirizzo email Workload Identity, specifica l'ID indirizzo email dell'account di servizio.

  5. Fai clic su Salva.

Fornisci le credenziali a Google SecOps SOAR

A seconda di dove ospiti Google SecOps SOAR, la modalità di impostazione delle credenziali IAM per Google SecOps SOAR è diversa.

  • Se ospiti Google SecOps SOAR in Google Cloud, l'account di servizio utente che hai creato e i ruoli a livello di organizzazione che gli hai concesso sono disponibili automaticamente per eredità dall'organizzazione principale.
  • Se ospiti Google SecOps SOAR nel tuo ambiente on-premise, crea una chiave per l'account di servizio utente che hai creato. Per completare questa operazione, devi disporre del file JSON della chiave dell'account di servizio. Per scoprire le best practice per archiviare le chiavi degli account di servizio in modo sicuro, consulta la sezione Best practice per la gestione delle chiavi degli account di servizio.

Configura le notifiche

Completa questi passaggi per ogni Google Cloud organizzazione da cui vuoi importare i dati di Security Command Center.

  1. Configura le notifiche dei risultati come segue:

    1. Abilita l'API Security Command Center.
    2. Crea un argomento Pub/Sub per i risultati.
    3. Crea un oggetto NotificationConfig contenente il filtro per i risultati che vuoi esportare. NotificationConfig deve utilizzare l'argomento Pub/Sub che hai creato per i risultati.
  2. Abilita l'API Cloud Asset per il tuo progetto.

Per configurare Google SecOps SOAR, devi avere l'ID organizzazione, l'ID progetto e l'ID abbonamento Pub/Sub di questa attività. Per recuperare l'ID organizzazione e l'ID progetto, consulta rispettivamente Recupero dell'ID organizzazione e Identificazione dei progetti.

Configurare Google SecOps SOAR

Google SecOps SOAR consente alle aziende e ai fornitori di servizi di sicurezza gestiti (MSSP) di raccogliere dati e avvisi di sicurezza da diverse fonti combinando orchestrazione e automazione, threat intelligence e risposta agli incidenti.

Per utilizzare Security Command Center con la piattaforma SOAR di Google SecOps, completa i seguenti passaggi:

  1. Nella console SOAR di Google SecOps, vai a Marketplace e poi fai clic su Integrations (Integrazioni).

  2. Cerca Google Security Command Center e installa l'integrazione di Security Command Center visualizzata nei risultati di ricerca.

  3. Nell'integrazione di Google Security Command Center, fai clic su Configura. Viene visualizzata la finestra di dialogo Google Security Command Center - Configura istanza.

  4. (Facoltativo) Per creare un nuovo ambiente o per modificarne la configurazione, fai clic su Schermata Impostazioni. La pagina Ambienti si apre in una nuova scheda.

  5. Nella pagina Ambienti, seleziona l'ambiente per cui vuoi configurare l'istanza di integrazione.

  6. Nell'ambiente selezionato, fai clic su Crea una nuova istanza. Viene visualizzata la finestra di dialogo Aggiungi istanza.

  7. Nell'elenco Integrazioni, seleziona Google Security Command Center e fai clic su Salva. Viene visualizzata la finestra di dialogo Google Security Command Center - Configure Instance (Google Security Command Center - Configura istanza).

  8. Specifica i parametri di configurazione e fai clic su Salva.

    Parametro Descrizione Obbligatorio
    Root API API principale dell'istanza Security Command Center. Ad esempio, securitycenter.googleapis.com.
    ID organizzazione ID dell'organizzazione di cui vuoi esportare i risultati. No
    ID progetto ID del progetto da utilizzare nell'integrazione di Security Command Center. No
    ID progetto quota ID del tuo Google Cloud progetto per Google Cloud l'utilizzo e la fatturazione dell'API. No
    ID località ID della stazione di ricarica da utilizzare nell'integrazione di Security Command Center. L'ID posizione predefinito è globale. No
    Service account dell'utente Account di servizio creato in Creare un account di servizio e concedere ruoli IAM. Se ospiti Google SecOps SOAR nel tuo ambiente on-premise, fornisci l'ID chiave dell'account di servizio e tutti i contenuti del file JSON dell'account di servizio.
    Email di Workload Identity L'indirizzo email che hai creato in Creare un account di servizio per la simulazione di identità. Si tratta di un indirizzo email del client dell'account di servizio che sostituisce l'utilizzo dell'account di servizio utente che può essere utilizzato per il furto d'identità. All'account di servizio SOAR deve essere concesso il ruolo IAM Service Account Token Creator nell'account di servizio dell'utente.
    Verifica SSL Attiva per verificare che il certificato SSL utilizzato per la connessione al server Security Command Center sia valido.
  9. Per verificare che l'integrazione sia configurata correttamente, fai clic su Test.

  10. Dopo la verifica, fai clic su Salva.

Eseguire l'upgrade dell'integrazione di Google Security Command Center

Per eseguire l'upgrade dell'integrazione di Google Security Command Center:

  1. Nella console SOAR di Google SecOps, vai a Marketplace e poi fai clic su Integrations (Integrazioni).

  2. Cerca l'integrazione di Google Security Command Center e fai clic su Esegui l'upgrade a VERSION_NUMBER.

Lavorare con risultati e asset

Google SecOps SOAR utilizza i connettori per importare nella piattaforma gli avvisi provenienti da una serie di origini dati.

Recuperare gli avvisi di Security Command Center per l'analisi in Google SecOps SOAR

Devi configurare un connettore per estrarre informazioni sui risultati da Security Command Center. Per configurare il connettore, consulta Importare i dati (connettori).

Imposta i seguenti parametri in Google SecOps SOAR per configurare il connettore Google Security Command Center - Findings.

Parametro Tipo Valore predefinito Obbligatorio Descrizione
Nome campo prodotto Stringa Nome prodotto Nome del campo di origine per recuperare il nome del campo del prodotto.
Nome campo evento Stringa tipo Nome del campo di origine per recuperare il nome del campo dell'evento.
Nome campo ambiente Stringa Vuoto No Nome del campo in cui è memorizzato il nome dell'ambiente. Se il nome del campo dell'ambiente non è specificato, viene selezionato l'ambiente predefinito.
Pattern regex dell'ambiente Stringa .* No Un pattern di espressioni regolari da eseguire sul valore trovato nel campo Nome campo ambiente. Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Questo parametro viene utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern di espressione regolare è nullo o vuoto o se il valore dell'ambiente è nullo, viene selezionato l'ambiente predefinito.
Timeout dello script (secondi) Numero intero 180 Limite di timeout per il processo Python che esegue lo script corrente.
Root API Stringa API principale dell'istanza Security Command Center. Ad esempio, securitycenter.googleapis.com.
ID organizzazione Stringa No L'ID dell'organizzazione da utilizzare nell'integrazione con Google Security Command Center.
Service account dell'utente Password Account di servizio creato in Creare un account di servizio e concedere ruoli IAM. Se ospiti Google SecOps SOAR nel tuo ambiente on-premise, fornisci l'ID chiave dell'account di servizio e tutti i contenuti del file JSON dell'account di servizio.
Filtro della classe di risultati CSV Threat, Vulnerability, Misconfiguration, SCC_Error, Observation No Individuare i corsi da importare. I valori possibili sono:
  • Minaccia
  • Vulnerabilità
  • Configurazione errata
  • SCC_Error
  • Osservazione
Se non viene fornito alcun valore, vengono importati i risultati di tutti i gruppi.
Gravità minima da recuperare Stringa Alta No La gravità più bassa utilizzata per recuperare i risultati. I valori possibili sono:
  • Bassa
  • Media
  • Alta
  • Critico
Nota: se viene importato un risultato con gravità non definita, la gravità è media. Se non viene fornito alcun valore, vengono importati i risultati con tutte le severità.
Ore massime a ritroso Numero intero 1 No Numero di ore da cui recuperare i risultati. Il limite massimo è 24.
Risultati massimi da recuperare Numero intero 100 No Numero di risultati da elaborare per un'iterazione del connettore. Il limite massimo è 1000.
Utilizzare l'elenco dinamico come elenco di esclusione Casella di controllo Disabilitato Attiva l'elenco dinamico come elenco escluso.
Verifica SSL Casella di controllo Disabilitato Attiva per verificare che il certificato SSL per la connessione al server Security Command Center sia valido.
Indirizzo del server proxy Stringa No L'indirizzo del server proxy da utilizzare.
Nome utente proxy Stringa No Il nome utente del proxy con cui eseguire l'autenticazione.
Password proxy Password No La password del proxy con cui eseguire l'autenticazione.

Arricchire gli asset

Per consentire un'indagine sulla sicurezza, Google Security Operations importa i dati contestuali da diverse origini, esegue l'analisi dei dati e fornisce un contesto aggiuntivo sugli elementi in un ambiente del cliente.

Per arricchire gli asset utilizzando le informazioni di Security Command Center, aggiungi l'azione di arricchimento degli asset a un playbook in Google SecOps SOAR ed esegui il playbook. Per ulteriori informazioni, consulta Aggiungere un'azione

Per configurare questa azione, imposta i seguenti parametri:

Parametro Tipo Valore predefinito Obbligatorio Descrizione
Nome campo prodotto Stringa Nome prodotto Inserisci il nome del campo di origine per recuperare il nome del campo del prodotto.

Elenca le vulnerabilità degli avvisi

Per elencare le vulnerabilità relative alle entità in Security Command Center, aggiungi l'azione elenca le vulnerabilità degli asset a un playbook in Google Security Operations SOAR ed esegui il playbook. Per ulteriori informazioni, consulta Aggiungere un'azione

Per configurare questa azione, imposta i seguenti parametri:

Parametro Tipo Valore predefinito Obbligatorio Descrizione
Nomi delle risorse asset CSV Specifica un elenco separato da virgole di nomi delle risorse delle risorse per le quali vuoi restituire i dati.
Periodo di tempo DDL Sempre No Specifica l'intervallo di tempo per la ricerca di vulnerabilità o errori di configurazione. I valori possibili sono:
  • Settimana scorsa
  • Mese scorso
  • Ultimo anno
  • Sempre
Tipi di record DDL Vulnerabilità + errori di configurazione No Specifica il tipo di record da restituire. I valori possibili sono:
  • Vulnerabilità
  • Errori di configurazione
  • Vulnerabilità + errori di configurazione
Tipo di output DDL Statistiche No Specifica il tipo di output da restituire nel risultato JSON per la risorsa. I valori possibili sono:
  • Statistiche
  • Dati
  • Statistiche e dati
Numero massimo di record da restituire Stringa 100 No Specifica il numero di record da restituire per tipo di record per asset.

Aggiornare i risultati

Per aggiornare i risultati in Security Command Center, aggiungi l'azione di aggiornamento dei risultati a un playbook in Google SecOps SOAR ed esegui il playbook. Per ulteriori informazioni, consulta Aggiungere un'azione.

Per configurare questa azione, imposta i seguenti parametri:

Parametro Tipo Valore predefinito Obbligatorio Descrizione
Nome risultato CSV organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID Specifica un elenco separato da virgole dei nomi dei risultati da aggiornare.
Stato disattivazione DDL No Specifica lo stato di disattivazione per il risultato. I valori possibili sono:
  • Disattiva audio
  • Riattiva audio
Stato DDL No Specifica lo stato del risultato. I valori possibili sono:
  • Attivo
  • Non attivo