Enviar dados do Security Command Center para o SOAR do Google Security Operations

Esta página explica como enviar automaticamente descobertas, recursos, registros de auditoria e fontes de segurança do Security Command Center para o SOAR do Google Security Operations. Também descreve como gerenciar os dados exportados.

Antes de começar, verifique se os serviços necessários do Security Command Center e Google Cloud estão configurados corretamente e permita que o Google SecOps SOAR acesse descobertas, registros de auditoria e recursos no seu ambiente do Security Command Center. Para mais informações sobre a integração do Security Command Center para o Google SecOps SOAR, consulte Security Command Center na documentação do Google Security Operations.

Configurar autenticação e autorização

Antes de se conectar ao Google SecOps SOAR, você precisa criar uma conta de serviço do Identity and Access Management e conceder a ela papéis do IAM no nível da organização e do projeto.

Criar uma conta de serviço e conceder papéis do IAM

Neste documento, essa conta de serviço também é chamada de conta de serviço do usuário. As etapas a seguir usam o console do Google Cloud. Para ver outros métodos, consulte os links no final desta seção.

Conclua estas etapas para cada Google Cloud organização de que você quer importar dados do Security Command Center.

  1. No mesmo projeto em que você cria os tópicos do Pub/Sub, use a página Contas de serviço no console do Google Cloud para criar uma conta de serviço. Veja instruções em Como criar e gerenciar contas de serviço.
  2. Conceda à conta de serviço a este papel:

    • Editor do Pub/Sub (roles/pubsub.editor)
  3. Copie o nome da conta de serviço que você acabou de criar.

  4. Use o seletor de projetos no console do Google Cloud para mudar para o nível da organização.

  5. Abra a página IAM da organização:

    Acessar IAM

  6. Na página do IAM, clique em Conceder acesso. O painel de concessão de acesso é aberto.

  7. No painel Conceder acesso, conclua as seguintes etapas:

    1. Na seção Adicionar principais no campo Novos principais, cole o nome da conta de serviço.
    2. Na seção Atribuir papéis, use o campo Papel para conceder os seguintes papéis do IAM à conta de serviço:

      • Leitor administrador da Central de segurança (roles/securitycenter.adminViewer)
      • Editor de configurações de notificação da Central de segurança (roles/securitycenter.notificationConfigEditor)
      • Leitor da organização (roles/resourcemanager.organizationViewer)
      • Leitor de recursos do Cloud (roles/cloudasset.viewer)
    3. Clique em Salvar. A conta de serviço aparece na guia Permissões da página IAM em Ver pelos principais.

      Por herança, a conta de serviço também se torna uma conta principal em todos os projetos filhos da organização. Os papéis aplicáveis no nível do projeto são listados como papéis herdados.

Para mais informações sobre como criar contas de serviço e conceder papéis, consulte estes tópicos:

Criar uma conta de serviço para a usurpação de identidade

Neste documento, essa conta de serviço também é chamada de conta de serviço do SOAR. Crie uma conta de serviço para representar a conta de serviço do usuário e as permissões dela.

  1. No console do Google SecOps SOAR, navegue até Resposta e clique em Configuração de integrações.

  2. Na página Configuração de integrações, clique em Criar uma nova instância. A caixa de diálogo Adicionar instância é aberta.

  3. Na lista Integrações, selecione Google Security Command Center e clique em Salvar. A caixa de diálogo Google Security Command Center: Configure Instance é aberta.

  4. No campo E-mail da identidade da carga de trabalho, especifique o ID de e-mail da conta de serviço.

  5. Clique em Salvar.

Fornecer as credenciais para o Google SecOps SOAR

Dependendo de onde você está hospedando o Google SecOps SOAR, a forma de fornecer as credenciais do IAM ao Google SecOps SOAR é diferente.

  • Se você estiver hospedando o Google SecOps SOAR em Google Cloud, a conta de serviço do usuário que você criou e os papéis no nível da organização que você concedeu a ela estarão disponíveis automaticamente por herança da organização mãe.
  • Se você estiver hospedando o Google SecOps SOAR no seu ambiente local, crie uma chave para a conta de serviço do usuário que você criou. Você precisa do arquivo JSON da chave da conta de serviço para concluir esta tarefa. Para saber mais sobre as práticas recomendadas para armazenar as chaves da conta de serviço com segurança, consulte Práticas recomendadas para gerenciar chaves de contas de serviço.

Configurar notificações

Conclua estas etapas para cada Google Cloud organização de que você quer importar dados do Security Command Center.

  1. Configure as notificações de localização da seguinte forma:

    1. Ative a API Security Command Center.
    2. Crie um tópico do Pub/Sub para descobertas.
    3. Crie um objeto NotificationConfig que contenha o filtro para as descobertas que você quer exportar. O NotificationConfig precisa usar o tópico do Pub/Sub criado para as descobertas.
  2. Ative a API Cloud Asset no projeto.

Você vai precisar do ID da organização, do ID do projeto e do ID da assinatura do Pub/Sub desta tarefa para configurar o Google SecOps SOAR. Para recuperar esses IDs, consulte Como recuperar o ID da organização e Como identificar projetos, respectivamente.

Configurar o Google SecOps SOAR

O SOAR do Google SecOps permite que empresas e provedores de serviços de segurança gerenciados (MSSPs, na sigla em inglês) coletem dados e alertas de segurança de diferentes fontes combinando orquestração e automação, inteligência contra ameaças e resposta a incidentes.

Para usar o Security Command Center com o Google SecOps SOAR, siga estas etapas:

  1. No console do Google SecOps SOAR, navegue até Marketplace e clique em Integrations.

  2. Pesquise Google Security Command Center e instale a integração do Security Command Center que aparece nos resultados da pesquisa.

  3. Na integração do Google Security Command Center, clique em Configurar. A caixa de diálogo Google Security Command Center: configurar instância é aberta.

  4. Opcional: para criar um novo ambiente ou editar a configuração, clique em Tela de configurações. A página Environments é aberta em uma nova guia.

  5. Na página Ambientes, selecione o ambiente em que você quer configurar a instância de integração.

  6. No ambiente selecionado, clique em Criar uma nova instância. A caixa de diálogo Adicionar instância é aberta.

  7. Na lista Integrações, selecione Google Security Command Center e clique em Salvar. A caixa de diálogo Google Security Command Center: Configure Instance é aberta.

  8. Especifique os parâmetros de configuração e clique em Salvar.

    Parâmetro Descrição Obrigatório
    Raiz da API Raiz da API da instância do Security Command Center. Exemplo: securitycenter.googleapis.com. Sim
    ID da organização ID da organização que tem as descobertas que você quer exportar. Não
    ID do projeto ID do projeto a ser usado na integração com o Security Command Center. Não
    ID do projeto de cota ID do seu Google Cloud projeto para Google Cloud uso e faturamento da API. Não
    ID do local ID do local a ser usado na integração do Security Command Center. O ID de local padrão é global. Não
    Conta de serviço do usuário Conta de serviço criada em Criar uma conta de serviço e conceder papéis do IAM. Se você estiver hospedando o Google SecOps SOAR no seu ambiente local, forneça o ID da chave da conta de serviço e todo o conteúdo do arquivo JSON da conta de serviço. Sim
    E-mail da identidade da carga de trabalho E-mail que você criou em Criar uma conta de serviço para falsificação de identidade. É um e-mail de cliente da conta de serviço para substituir o uso da conta de serviço do usuário que pode ser usado para falsificação de identidade. A conta de serviço do SOAR precisa receber o papel do IAM Service Account Token Creator na conta de serviço do usuário. Sim
    Verificar SSL Ative para verificar se o certificado SSL usado para a conexão com o servidor do Security Command Center é válido. Sim
  9. Para verificar se a integração está configurada corretamente, clique em Testar.

  10. Depois de concluir a verificação, clique em Salvar.

Fazer upgrade da integração com o Google Security Command Center

Para fazer upgrade da integração do Google Security Command Center, siga estas etapas:

  1. No console do Google SecOps SOAR, navegue até Marketplace e clique em Integrations.

  2. Pesquise a integração do Google Security Command Center e clique em Upgrade to VERSION_NUMBER.

Trabalhar com descobertas e recursos

O Google SecOps SOAR usa conectores para ingerir alertas de várias fontes de dados na plataforma.

Buscar alertas do Security Command Center para análise no SOAR do Google SecOps

Você precisa configurar um conector para extrair informações sobre as descobertas do Security Command Center. Para configurar o conector, consulte Inserir dados (conectores).

Defina os seguintes parâmetros no SOAR do Google SecOps para configurar o conector do Google Security Command Center: descobertas.

Parâmetro Tipo Valor padrão Obrigatório Descrição
Nome do campo do produto String Nome do produto Sim Nome do campo de origem para recuperar o nome do campo do produto.
Nome do campo do evento String tipo Sim Nome do campo de origem para recuperar o nome do campo de evento.
Nome do campo do ambiente String Vazio Não Nome do campo em que o nome do ambiente é armazenado. Se o nome do campo de ambiente não for especificado, o ambiente padrão será selecionado.
Padrão de Regex do ambiente String .* Não Um padrão de expressão regular para executar no valor encontrado no campo Nome do campo do ambiente. O padrão é .* para capturar tudo e retornar o valor inalterado. Esse parâmetro é usado para permitir que o usuário manipule o campo de ambiente usando a lógica de expressão regular. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o ambiente padrão será selecionado.
Tempo limite do script (segundos) Número inteiro 180 Sim Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API String Sim Raiz da API da instância do Security Command Center. Por exemplo, securitycenter.googleapis.com.
ID da organização String Não ID da organização que precisa ser usada na integração do Google Security Command Center.
Conta de serviço do usuário Senha Sim Conta de serviço criada em Criar uma conta de serviço e conceder papéis do IAM. Se você estiver hospedando o Google SecOps SOAR no seu ambiente local, forneça o ID da chave da conta de serviço e todo o conteúdo do arquivo JSON da conta de serviço.
Filtro de classe da descoberta CSV Ameaça, vulnerabilidade, configuração incorreta, SCC_Error, observação Não Encontrar classes que precisam ser ingeridas. Os valores possíveis são:
  • Ameaça
  • Vulnerabilidade
  • Configuração incorreta
  • SCC_Error
  • Observação
Se nada for fornecido, as descobertas de todas as classes serão processadas.
Menor gravidade para buscar String Alta Não A gravidade mais baixa usada para buscar descobertas. Os valores possíveis são:
  • Baixo
  • Médio
  • Alta
  • Crítico
Observação: se uma descoberta com gravidade indefinida for ingerida, ela terá gravidade média. Se nada for fornecido, as descobertas de todas as severidades serão processadas.
Máximo de horas para trás Número inteiro 1 Não Número de horas de onde buscar as descobertas. O limite máximo é 24.
Número máximo de descobertas a serem buscadas Número inteiro 100 Não Número de descobertas a serem processadas por uma iteração do conector. O limite máximo é 1.000.
Usar a lista dinâmica como uma lista de exclusão Caixa de seleção Desativado Sim Ative a lista dinâmica como uma lista de exclusão.
Verificar SSL Caixa de seleção Desativado Sim Ative para verificar se o certificado SSL da conexão com o servidor do Security Command Center é válido.
Endereço do servidor proxy String Não O endereço do servidor proxy a ser usado.
Nome de usuário do proxy String Não O nome de usuário do proxy para autenticação.
Senha do proxy Senha Não A senha do proxy para autenticação.

Enriquecer recursos

Para permitir uma investigação de segurança, o Google Security Operations ingere dados contextuais de diferentes fontes, realiza análises nos dados e fornece mais contexto sobre artefatos em um ambiente do cliente.

Para enriquecer recursos usando informações do Security Command Center, adicione a ação de enriquecer recursos a um playbook no Google SecOps SOAR e execute o playbook. Para mais informações, consulte Como adicionar uma ação.

Para configurar essa ação, defina os seguintes parâmetros:

Parâmetro Tipo Valor padrão Obrigatório Descrição
Nome do campo do produto String Nome do produto Sim Insira o nome do campo de origem para recuperar o nome do campo do produto.

Listar vulnerabilidades de alerta

Para listar as vulnerabilidades relacionadas às entidades no Security Command Center, adicione a ação "List asset vulnerabilities" a um playbook no SOAR do Google Security Operations e execute o playbook. Para mais informações, consulte Como adicionar uma ação.

Para configurar essa ação, defina os seguintes parâmetros:

Parâmetro Tipo Valor padrão Obrigatório Descrição
Nomes de recursos de ativos CSV Sim Especifique uma lista separada por vírgulas de nomes de recursos dos recursos para os quais você quer retornar dados.
Período DDL Todo o período Não Especifique o período para a pesquisa de vulnerabilidades ou configurações incorretas. Os valores possíveis são:
  • Última semana
  • Mês anterior
  • Último ano
  • Todo o período
Tipos de registro DDL Vulnerabilidades + configurações incorretas Não Especifique o tipo de registro que deve ser retornado. Os valores possíveis são:
  • Vulnerabilidades
  • Configurações incorretas
  • Vulnerabilidades + configurações incorretas
Tipo de saída DDL Estatísticas Não Especifica o tipo de saída que precisa ser retornado no resultado JSON do recurso. Os valores possíveis são:
  • Estatísticas
  • Dados
  • Estatísticas e dados
Registros máximos a serem retornados String 100 Não Especifique o número de registros a serem retornados por tipo de registro e por recurso.

Atualizar descobertas

Para atualizar as descobertas no Security Command Center, adicione a ação de atualização de descobertas a um playbook no Google SecOps SOAR e execute o playbook. Para mais informações, consulte Como adicionar uma ação.

Para configurar essa ação, defina os seguintes parâmetros:

Parâmetro Tipo Valor padrão Obrigatório Descrição
Nome da descoberta CSV organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID Sim Especifique uma lista separada por vírgulas de nomes de descobertas que você quer atualizar.
Status de desativação DDL Não Especifique o status de desativação do som para a descoberta. Os valores possíveis são:
  • Desativar som
  • Ativar o som
Status do estado DDL Não Especifique o status do estado da descoberta. Os valores possíveis são:
  • Ativo
  • Inativo