Esta página explica como enviar automaticamente conclusões, recursos, registos de auditoria e origens de segurança do Security Command Center para o SOAR do Google Security Operations. Também descreve como gerir os dados exportados.
Antes de começar, certifique-se de que o Security Command Center e os Google Cloud serviços necessários estão devidamente configurados e ative o Google SecOps SOAR para aceder a conclusões, registos de auditoria e recursos no seu ambiente do Security Command Center. Para mais informações sobre a integração do Security Command Center para o SOAR do Google SecOps, consulte o artigo Security Command Center na documentação do Google Security Operations.
Configure a autenticação e a autorização
Antes de se ligar ao Google SecOps SOAR, tem de criar uma conta de serviço de gestão de identidade e acesso e conceder-lhe funções de IAM ao nível da organização e do projeto.
Crie uma conta de serviço e conceda funções da IAM
Neste documento, esta conta de serviço também é denominada conta de serviço do utilizador. Os passos seguintes usam a Google Cloud consola. Para outros métodos, consulte os links no final desta secção.
Conclua estes passos para cada Google Cloud organização a partir da qual quer importar dados do Centro de comandos de segurança.
- No mesmo projeto em que cria os tópicos do Pub/Sub, use a página Contas de serviço na Google Cloud consola para criar uma conta de serviço. Para obter instruções, consulte o artigo Criar e gerir contas de serviço.
Conceda à conta de serviço a seguinte função:
- Editor do Pub/Sub (
roles/pubsub.editor)
- Editor do Pub/Sub (
Copie o nome da conta de serviço que acabou de criar.
Use o seletor de projetos na Google Cloud consola para mudar para o nível da organização.
Abra a página IAM da organização:
Na página do IAM, clique em Conceder acesso. É aberto o painel Conceder acesso.
No painel Conceder acesso, conclua os seguintes passos:
- Na secção Adicionar membros, no campo Novos membros, cole o nome da conta de serviço.
Na secção Atribuir funções, use o campo Função para conceder as seguintes funções do IAM à conta de serviço:
- Visualizador de administrador do centro de segurança (
roles/securitycenter.adminViewer) - Editor de configurações de notificações do centro de segurança
(
roles/securitycenter.notificationConfigEditor) - Visualizador da organização (
roles/resourcemanager.organizationViewer) - Cloud Asset Viewer (
roles/cloudasset.viewer)
- Visualizador de administrador do centro de segurança (
Clique em Guardar. A conta de serviço aparece no separador Autorizações da página IAM em Ver por responsáveis.
Por herança, a conta de serviço também se torna um principal em todos os projetos subordinados da organização. As funções aplicáveis ao nível do projeto são apresentadas como funções herdadas.
Para mais informações sobre como criar contas de serviço e conceder funções, consulte os seguintes tópicos:
Crie uma conta de serviço para roubo de identidade
Neste documento, esta conta de serviço também é denominada conta de serviço SOAR. Crie uma conta de serviço para usar a identidade da conta de serviço do utilizador e as respetivas autorizações.
Na consola SOAR do Google SecOps, navegue para Resposta e, de seguida, clique em Configuração de integrações.
Na página Configuração de integrações, clique em Criar uma nova instância. É apresentada a caixa de diálogo Adicionar instância.
Na lista Integrações, selecione Google Security Command Center e clique em Guardar. É apresentada a caixa de diálogo Google Security Command Center – Configurar instância.
No campo Email do Workload Identity, especifique o ID do email da conta de serviço.
Clique em Guardar.
Faculte as credenciais ao Google SecOps SOAR
A forma como fornece as credenciais da IAM ao Google SecOps SOAR varia consoante o local onde aloja o Google SecOps SOAR.
- Se estiver a alojar o Google SecOps SOAR em Google Cloud, a conta de serviço de utilizador que criou e as funções ao nível da organização que lhe concedeu estão disponíveis automaticamente por herança da organização principal.
- Se estiver a alojar o Google SecOps SOAR no seu ambiente no local, crie uma chave para a conta de serviço de utilizador que criou. Precisa do ficheiro JSON da chave da conta de serviço para concluir esta tarefa. Para saber mais sobre as práticas recomendadas para armazenar as chaves de contas de serviço em segurança, consulte o artigo Práticas recomendadas para gerir chaves de contas de serviço.
Configure as notificações
Conclua estes passos para cada Google Cloud organização a partir da qual quer importar dados do Security Command Center.
Configure as notificações de localização da seguinte forma:
- Ative a API Security Command Center.
- Crie um tópico do Pub/Sub para as descobertas.
- Crie um objeto
NotificationConfigque contenha o filtro para as descobertas que quer exportar. ONotificationConfigtem de usar o tópico Pub/Sub que criou para as descobertas.
Ative a API Cloud Asset para o seu projeto.
Precisa do ID da organização, do ID do projeto e do ID da subscrição do Pub/Sub desta tarefa para configurar o Google SecOps SOAR. Para aceder ao ID da organização e ao ID do projeto, consulte os artigos Aceder ao ID da organização e Identificar projetos, respetivamente.
Configure o Google SecOps SOAR
O SOAR do Google SecOps permite que as empresas e os fornecedores de serviços de segurança geridos (MSSPs) recolham dados e alertas de segurança de diferentes fontes combinando orquestração e automatização, informações sobre ameaças e resposta a incidentes.
Para usar o Security Command Center com o Google SecOps SOAR, conclua os seguintes passos:
Na consola SOAR do Google SecOps, navegue para Marketplace e, de seguida, clique em Integrações.
Pesquise
Google Security Command Centere instale a integração do Security Command Center que aparece nos resultados da pesquisa.Na integração do Google Security Command Center, clique em Configurar. A caixa de diálogo Google Security Command Center – Configurar instância é aberta.
Opcional: para criar um novo ambiente ou editar a configuração do ambiente, clique no ecrã de definições. A página Ambientes é aberta num novo separador.
Na página Ambientes, selecione o ambiente para o qual quer configurar a instância de integração.
No ambiente selecionado, clique em Criar uma nova instância. É apresentada a caixa de diálogo Adicionar instância.
Na lista Integrações, selecione Google Security Command Center e clique em Guardar. É apresentada a caixa de diálogo Google Security Command Center – Configurar instância.
Especifique os parâmetros de configuração e clique em Guardar.
Parâmetro Descrição Obrigatório Raiz da API Raiz da API da instância do Security Command Center. Por exemplo, securitycenter.googleapis.com.Sim ID da organização ID da organização cujas conclusões quer exportar. Não ID do projeto ID do projeto a usar na integração do Security Command Center. Não ID do projeto de quota ID do seu Google Cloud projeto para Google Cloud a utilização da API e a faturação. Não ID de localização ID da localização a usar na integração do Security Command Center. O ID de localização predefinido é global. Não Conta de serviço do utilizador Conta de serviço que criou em Crie uma conta de serviço e conceda funções de IAM. Se estiver a alojar o Google SecOps SOAR no seu ambiente no local, forneça o ID da chave da conta de serviço e todo o conteúdo do ficheiro JSON da conta de serviço. Sim Email do Workload Identity Email que criou em Crie uma conta de serviço para roubo de identidade. É um email do cliente da conta de serviço para substituir a utilização da conta de serviço do utilizador que pode ser usada para roubo de identidade. A conta de serviço SOAR tem de receber a função de IAM Service Account Token Creatorna conta de serviço do utilizador.Sim Validar SSL Ative esta opção para verificar se o certificado SSL usado para a ligação ao servidor do Security Command Center é válido. Sim Para verificar se a integração está configurada corretamente, clique em Testar.
Após a validação bem-sucedida, clique em Guardar.
Atualize a integração do Google Security Command Center
Para atualizar a integração do Google Security Command Center, conclua os seguintes passos:
Na consola SOAR do Google SecOps, navegue para Marketplace e, de seguida, clique em Integrações.
Pesquise a integração do Google Security Command Center e clique em Atualizar para VERSION_NUMBER.
Trabalhe com resultados e recursos
O Google SecOps SOAR usa conetores para carregar alertas de uma variedade de origens de dados para a plataforma.
Obtenha alertas do Security Command Center para análise no Google SecOps SOAR
Tem de configurar um conector para extrair informações sobre as conclusões do Security Command Center. Para configurar o conetor, consulte o artigo Carregue os seus dados (conetores).
Defina os seguintes parâmetros no Google SecOps SOAR para configurar o conetor do Google Security Command Center – Resultados.
| Parâmetro | Tipo | Valor predefinido | Obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | escrever | Sim | Nome do campo de origem para obter o nome do campo de evento. |
| Nome do campo do ambiente | String | Vazio | Não | Nome do campo onde o nome do ambiente está armazenado. Se o nome do campo do ambiente não for especificado, o ambiente predefinido é selecionado. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de expressão regular a executar no valor encontrado no campo Nome do campo do ambiente. A predefinição é .* para captar tudo e devolver o valor inalterado. Este parâmetro é usado para permitir que o utilizador manipule o campo de ambiente através da lógica de expressão regular. Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, é selecionado o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | Sim | Raiz da API da instância do Security Command Center. Por exemplo,
securitycenter.googleapis.com. |
|
| ID da organização | String | Não | ID da organização que deve ser usado na integração do Google Security Command Center. | |
| Conta de serviço do utilizador | Palavra-passe | Sim | Conta de serviço que criou em Crie uma conta de serviço e conceda funções de IAM. Se estiver a alojar o Google SecOps SOAR no seu ambiente no local, forneça o ID da chave da conta de serviço e todo o conteúdo do ficheiro JSON da conta de serviço. | |
| Encontrar o filtro de turmas | CSV | Ameaça, vulnerabilidade, configuração incorreta, SCC_Error, observação | Não | Encontrar turmas que devem ser carregadas. Os valores possíveis são:
|
| Gravidade mais baixa a obter | String | Alto | Não | A gravidade mais baixa que é usada para obter resultados. Os valores possíveis
são:
|
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas a partir das quais obter as conclusões. O limite máximo é 24. |
| Max Findings To Fetch | Número inteiro | 100 | Não | Número de resultados a processar por iteração de conetor. O limite máximo é 1000. |
| Use a lista dinâmica como uma lista de exclusão | Caixa de verificação | Desativado | Sim | Ative a lista dinâmica como uma lista de exclusão. |
| Validar SSL | Caixa de verificação | Desativado | Sim | Ative esta opção para verificar se o certificado SSL para a ligação ao servidor do Security Command Center é válido. |
| Endereço do servidor proxy | String | Não | O endereço do servidor proxy a usar. | |
| Nome de utilizador do proxy | String | Não | O nome de utilizador do proxy para autenticação. | |
| Palavra-passe do proxy | Palavra-passe | Não | A palavra-passe do proxy para autenticação. |
Enriqueça os recursos
Para permitir uma investigação de segurança, o Google Security Operations carrega dados contextuais de diferentes origens, realiza análises aos dados e fornece contexto adicional sobre artefactos num ambiente do cliente.
Para enriquecer os recursos com informações do Security Command Center, adicione a ação enrich assets a um playbook no Google SecOps SOAR e execute o playbook. Para mais informações, consulte o artigo Adicionar uma ação
Para configurar esta ação, defina os seguintes parâmetros:
| Parâmetro | Tipo | Valor predefinido | Obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
Liste as vulnerabilidades de alerta
Para listar as vulnerabilidades relacionadas com as entidades no Security Command Center, adicione a ação Listar vulnerabilidades de recursos a um manual de procedimentos no SOAR do Google Security Operations e execute o manual de procedimentos. Para mais informações, consulte o artigo Adicionar uma ação
Para configurar esta ação, defina os seguintes parâmetros:
| Parâmetro | Tipo | Valor predefinido | Obrigatório | Descrição |
|---|---|---|---|---|
| Nomes dos recursos | CSV | Sim | Especifique uma lista separada por vírgulas dos nomes dos recursos dos recursos para os quais quer devolver dados. | |
| Período | LDD | Desde sempre | Não | Especifique o período para a pesquisa de vulnerabilidades ou configurações incorretas. Os valores possíveis são:
|
| Tipos de registos | LDD | Vulnerabilidades + erros de configuração | Não | Especifique o tipo de registo que deve ser devolvido. Os valores possíveis
são:
|
| Tipo de saída | LDD | Estatísticas | Não | Especifique o tipo de saída que deve ser devolvido no resultado JSON
para o recurso. Os valores possíveis são:
|
| Máximo de registos a devolver | String | 100 | Não | Especifique o número de registos a devolver por tipo de registo por recursos. |
Atualize as conclusões
Para atualizar as conclusões no Security Command Center, adicione a ação de atualização de conclusões a um manual de procedimentos no Google SecOps SOAR e execute o manual de procedimentos. Para mais informações, consulte Adicionar uma ação
Para configurar esta ação, defina os seguintes parâmetros:
| Parâmetro | Tipo | Valor predefinido | Obrigatório | Descrição |
|---|---|---|---|---|
| Nome da descoberta | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Sim | Especifique uma lista separada por vírgulas de nomes de resultados que quer atualizar. |
| Estado Ignorar | LDD | Não | Especifique o estado de som desativado para a descoberta. Os valores possíveis são:
|
|
| Estado | LDD | Não | Especifique o estado do resultado. Os valores possíveis são:
|