Questa pagina spiega come inviare automaticamente risultati, asset, log di controllo e origini di sicurezza di Security Command Center a Google Security Operations SOAR. Inoltre, descrive come gestire i dati esportati.
Prima di iniziare, assicurati che Security Command Center e i Google Cloud servizi richiesti siano configurati correttamente e abilita Google SecOps SOAR ad accedere ai risultati, ai log di controllo e agli asset nel tuo ambiente Security Command Center. Per ulteriori informazioni sull'integrazione di Security Command Center per Google SecOps SOAR, consulta Security Command Center nella documentazione di Google Security Operations.
Configurare l'autenticazione e l'autorizzazione
Prima di connetterti a Google SecOps SOAR, devi creare un account di servizio Identity and Access Management e concedergli i ruoli IAM sia a livello di organizzazione sia a livello di progetto.
Creare un account di servizio e concedere i ruoli IAM
In questo documento, questo account di servizio è chiamato anche account di servizio utente. I passaggi che seguono utilizzano la console Google Cloud. Per altri metodi, consulta i link alla fine di questa sezione.
Completa questi passaggi per ogni Google Cloud organizzazione da cui vuoi importare i dati di Security Command Center.
- Nello stesso progetto in cui crei gli argomenti Pub/Sub, utilizza la pagina Account di servizio nella console Google Cloud per creare un account di servizio. Per le istruzioni, vedi Creazione e gestione degli account di servizio.
Concedi all'account di servizio il seguente ruolo:
- Editor Pub/Sub (
roles/pubsub.editor)
- Editor Pub/Sub (
Copia il nome del service account appena creato.
Utilizza il selettore dei progetti nella console Google Cloud per passare al livello dell'organizzazione.
Apri la pagina IAM dell'organizzazione:
Nella pagina IAM, fai clic su Concedi accesso. Viene visualizzato il riquadro Concedi accesso.
Nel riquadro Concedi l'accesso, completa i seguenti passaggi:
- Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.
Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere all'account di servizio i seguenti ruoli IAM:
- Visualizzatore amministratore Centro sicurezza (
roles/securitycenter.adminViewer) - Editor configurazioni notifiche Centro sicurezza
(
roles/securitycenter.notificationConfigEditor) - Organization Viewer (
roles/resourcemanager.organizationViewer) - Cloud Asset Viewer (
roles/cloudasset.viewer)
- Visualizzatore amministratore Centro sicurezza (
Fai clic su Salva. L'account di servizio viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.
Per eredità, l'account di servizio diventa un principale anche in tutti i progetti secondari dell'organizzazione. I ruoli applicabili a livello di progetto sono elencati come ruoli ereditati.
Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione di ruoli, consulta i seguenti argomenti:
- Creazione e gestione degli account di servizio
- Concessione, modifica e revoca dell'accesso alle risorse
Creare un account di servizio per l'impersonificazione
In questo documento, questo account di servizio è chiamato anche account di servizio SOAR. Crea un account di servizio per rubare l'identità dell'account di servizio dell'utente e delle relative autorizzazioni.
Nella console SOAR di Google SecOps, vai a Risposta, quindi fai clic su Configurazione delle integrazioni.
Nella pagina Configurazione delle integrazioni, fai clic su Crea una nuova istanza. Viene visualizzata la finestra di dialogo Aggiungi istanza.
Nell'elenco Integrazioni, seleziona Google Security Command Center e fai clic su Salva. Viene visualizzata la finestra di dialogo Google Security Command Center - Configure Instance (Google Security Command Center - Configura istanza).
Nel campo Indirizzo email Workload Identity, specifica l'ID indirizzo email dell'account di servizio.
Fai clic su Salva.
Fornisci le credenziali a Google SecOps SOAR
A seconda di dove ospiti Google SecOps SOAR, la modalità di impostazione delle credenziali IAM per Google SecOps SOAR è diversa.
- Se ospiti Google SecOps SOAR in Google Cloud, l'account di servizio utente che hai creato e i ruoli a livello di organizzazione che gli hai concesso sono disponibili automaticamente per eredità dall'organizzazione principale.
- Se ospiti Google SecOps SOAR nel tuo ambiente on-premise, crea una chiave per l'account di servizio utente che hai creato. Per completare questa operazione, devi disporre del file JSON della chiave dell'account di servizio. Per scoprire le best practice per archiviare le chiavi degli account di servizio in modo sicuro, consulta la sezione Best practice per la gestione delle chiavi degli account di servizio.
Configura le notifiche
Completa questi passaggi per ogni Google Cloud organizzazione da cui vuoi importare i dati di Security Command Center.
Configura le notifiche dei risultati come segue:
- Abilita l'API Security Command Center.
- Crea un argomento Pub/Sub per i risultati.
- Crea un oggetto
NotificationConfigcontenente il filtro per i risultati che vuoi esportare.NotificationConfigdeve utilizzare l'argomento Pub/Sub che hai creato per i risultati.
Abilita l'API Cloud Asset per il tuo progetto.
Per configurare Google SecOps SOAR, devi avere l'ID organizzazione, l'ID progetto e l'ID abbonamento Pub/Sub di questa attività. Per recuperare l'ID organizzazione e l'ID progetto, consulta rispettivamente Recupero dell'ID organizzazione e Identificazione dei progetti.
Configurare Google SecOps SOAR
Google SecOps SOAR consente alle aziende e ai fornitori di servizi di sicurezza gestiti (MSSP) di raccogliere dati e avvisi di sicurezza da diverse fonti combinando orchestrazione e automazione, threat intelligence e risposta agli incidenti.
Per utilizzare Security Command Center con la piattaforma SOAR di Google SecOps, completa i seguenti passaggi:
Nella console SOAR di Google SecOps, vai a Marketplace e poi fai clic su Integrations (Integrazioni).
Cerca
Google Security Command Centere installa l'integrazione di Security Command Center visualizzata nei risultati di ricerca.Nell'integrazione di Google Security Command Center, fai clic su Configura. Viene visualizzata la finestra di dialogo Google Security Command Center - Configura istanza.
(Facoltativo) Per creare un nuovo ambiente o per modificarne la configurazione, fai clic su Schermata Impostazioni. La pagina Ambienti si apre in una nuova scheda.
Nella pagina Ambienti, seleziona l'ambiente per cui vuoi configurare l'istanza di integrazione.
Nell'ambiente selezionato, fai clic su Crea una nuova istanza. Viene visualizzata la finestra di dialogo Aggiungi istanza.
Nell'elenco Integrazioni, seleziona Google Security Command Center e fai clic su Salva. Viene visualizzata la finestra di dialogo Google Security Command Center - Configure Instance (Google Security Command Center - Configura istanza).
Specifica i parametri di configurazione e fai clic su Salva.
Parametro Descrizione Obbligatorio Root API API principale dell'istanza Security Command Center. Ad esempio, securitycenter.googleapis.com.Sì ID organizzazione ID dell'organizzazione di cui vuoi esportare i risultati. No ID progetto ID del progetto da utilizzare nell'integrazione di Security Command Center. No ID progetto quota ID del tuo Google Cloud progetto per Google Cloud l'utilizzo e la fatturazione dell'API. No ID località ID della stazione di ricarica da utilizzare nell'integrazione di Security Command Center. L'ID posizione predefinito è globale. No Service account dell'utente Account di servizio creato in Creare un account di servizio e concedere ruoli IAM. Se ospiti Google SecOps SOAR nel tuo ambiente on-premise, fornisci l'ID chiave dell'account di servizio e tutti i contenuti del file JSON dell'account di servizio. Sì Email di Workload Identity L'indirizzo email che hai creato in Creare un account di servizio per la simulazione di identità. Si tratta di un indirizzo email del client dell'account di servizio che sostituisce l'utilizzo dell'account di servizio utente che può essere utilizzato per il furto d'identità. All'account di servizio SOAR deve essere concesso il ruolo IAM Service Account Token Creatornell'account di servizio dell'utente.Sì Verifica SSL Attiva per verificare che il certificato SSL utilizzato per la connessione al server Security Command Center sia valido. Sì Per verificare che l'integrazione sia configurata correttamente, fai clic su Test.
Dopo la verifica, fai clic su Salva.
Eseguire l'upgrade dell'integrazione di Google Security Command Center
Per eseguire l'upgrade dell'integrazione di Google Security Command Center:
Nella console SOAR di Google SecOps, vai a Marketplace e poi fai clic su Integrations (Integrazioni).
Cerca l'integrazione di Google Security Command Center e fai clic su Esegui l'upgrade a VERSION_NUMBER.
Lavorare con risultati e asset
Google SecOps SOAR utilizza i connettori per importare nella piattaforma gli avvisi provenienti da una serie di origini dati.
Recuperare gli avvisi di Security Command Center per l'analisi in Google SecOps SOAR
Devi configurare un connettore per estrarre informazioni sui risultati da Security Command Center. Per configurare il connettore, consulta Importare i dati (connettori).
Imposta i seguenti parametri in Google SecOps SOAR per configurare il connettore Google Security Command Center - Findings.
| Parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Nome del campo di origine per recuperare il nome del campo del prodotto. |
| Nome campo evento | Stringa | tipo | Sì | Nome del campo di origine per recuperare il nome del campo dell'evento. |
| Nome campo ambiente | Stringa | Vuoto | No | Nome del campo in cui è memorizzato il nome dell'ambiente. Se il nome del campo dell'ambiente non è specificato, viene selezionato l'ambiente predefinito. |
| Pattern regex dell'ambiente | Stringa | .* | No | Un pattern di espressioni regolari da eseguire sul valore trovato nel campo Nome campo ambiente. Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Questo parametro viene utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern di espressione regolare è nullo o vuoto o se il valore dell'ambiente è nullo, viene selezionato l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | Sì | API principale dell'istanza Security Command Center. Ad esempio,
securitycenter.googleapis.com. |
|
| ID organizzazione | Stringa | No | L'ID dell'organizzazione da utilizzare nell'integrazione con Google Security Command Center. | |
| Service account dell'utente | Password | Sì | Account di servizio creato in Creare un account di servizio e concedere ruoli IAM. Se ospiti Google SecOps SOAR nel tuo ambiente on-premise, fornisci l'ID chiave dell'account di servizio e tutti i contenuti del file JSON dell'account di servizio. | |
| Filtro della classe di risultati | CSV | Threat, Vulnerability, Misconfiguration, SCC_Error, Observation | No | Individuare i corsi da importare. I valori possibili sono:
|
| Gravità minima da recuperare | Stringa | Alta | No | La gravità più bassa utilizzata per recuperare i risultati. I valori possibili
sono:
|
| Ore massime a ritroso | Numero intero | 1 | No | Numero di ore da cui recuperare i risultati. Il limite massimo è 24. |
| Risultati massimi da recuperare | Numero intero | 100 | No | Numero di risultati da elaborare per un'iterazione del connettore. Il limite massimo è 1000. |
| Utilizzare l'elenco dinamico come elenco di esclusione | Casella di controllo | Disabilitato | Sì | Attiva l'elenco dinamico come elenco escluso. |
| Verifica SSL | Casella di controllo | Disabilitato | Sì | Attiva per verificare che il certificato SSL per la connessione al server Security Command Center sia valido. |
| Indirizzo del server proxy | Stringa | No | L'indirizzo del server proxy da utilizzare. | |
| Nome utente proxy | Stringa | No | Il nome utente del proxy con cui eseguire l'autenticazione. | |
| Password proxy | Password | No | La password del proxy con cui eseguire l'autenticazione. |
Arricchire gli asset
Per consentire un'indagine sulla sicurezza, Google Security Operations importa i dati contestuali da diverse origini, esegue l'analisi dei dati e fornisce un contesto aggiuntivo sugli elementi in un ambiente del cliente.
Per arricchire gli asset utilizzando le informazioni di Security Command Center, aggiungi l'azione di arricchimento degli asset a un playbook in Google SecOps SOAR ed esegui il playbook. Per ulteriori informazioni, consulta Aggiungere un'azione
Per configurare questa azione, imposta i seguenti parametri:
| Parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo del prodotto. |
Elenca le vulnerabilità degli avvisi
Per elencare le vulnerabilità relative alle entità in Security Command Center, aggiungi l'azione elenca le vulnerabilità degli asset a un playbook in Google Security Operations SOAR ed esegui il playbook. Per ulteriori informazioni, consulta Aggiungere un'azione
Per configurare questa azione, imposta i seguenti parametri:
| Parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Nomi delle risorse asset | CSV | Sì | Specifica un elenco separato da virgole di nomi delle risorse delle risorse per le quali vuoi restituire i dati. | |
| Periodo di tempo | DDL | Sempre | No | Specifica l'intervallo di tempo per la ricerca di vulnerabilità o errori di configurazione. I valori possibili sono:
|
| Tipi di record | DDL | Vulnerabilità + errori di configurazione | No | Specifica il tipo di record da restituire. I valori possibili
sono:
|
| Tipo di output | DDL | Statistiche | No | Specifica il tipo di output da restituire nel risultato JSON
per la risorsa. I valori possibili sono:
|
| Numero massimo di record da restituire | Stringa | 100 | No | Specifica il numero di record da restituire per tipo di record per asset. |
Aggiornare i risultati
Per aggiornare i risultati in Security Command Center, aggiungi l'azione di aggiornamento dei risultati a un playbook in Google SecOps SOAR ed esegui il playbook. Per ulteriori informazioni, consulta Aggiungere un'azione.
Per configurare questa azione, imposta i seguenti parametri:
| Parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome risultato | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Sì | Specifica un elenco separato da virgole dei nomi dei risultati da aggiornare. |
| Stato disattivazione | DDL | No | Specifica lo stato di disattivazione per il risultato. I valori possibili sono:
|
|
| Stato | DDL | No | Specifica lo stato del risultato. I valori possibili sono:
|