Esta página explica como enviar automaticamente descobertas, recursos, registros de auditoria e fontes de segurança do Security Command Center para o SOAR do Google Security Operations. Também descreve como gerenciar os dados exportados.
Antes de começar, verifique se os serviços necessários do Security Command Center e do Google Cloud estejam configuradas corretamente e ativem o Google SecOps SOAR descobertas, registros de auditoria e recursos no ambiente do Security Command Center. Para mais informações sobre a integração do Security Command Center com o Google SecOps SOAR, consulte Security Command Center na documentação de Operações de segurança do Google.
Configurar autenticação e autorização
Antes de se conectar ao Google SecOps SOAR, você precisa criar um conta de serviço do Identity and Access Management e conceder a ela papéis do IAM nos níveis de organização e projeto.
Criar uma conta de serviço e conceder papéis do IAM
Neste documento, essa conta de serviço também é chamada de conta de serviço do usuário. As etapas a seguir usam o console do Google Cloud. Para ver outros métodos, consulte os links no final desta seção.
Conclua estas etapas para cada organização do Google Cloud de onde você quer importar dados do Security Command Center.
- No mesmo projeto em que você cria os tópicos do Pub/Sub, use a página Contas de serviço no console do Google Cloud para criar uma conta de serviço. Veja instruções em Como criar e gerenciar contas de serviço.
Conceda à conta de serviço a este papel:
- Editor do Pub/Sub (
roles/pubsub.editor)
- Editor do Pub/Sub (
Copie o nome da conta de serviço que você acabou de criar.
Use o seletor de projetos no console do Google Cloud para mudar para o nível da organização.
Abra a página IAM da organização:
Na página do IAM, clique em Conceder acesso. O painel de concessão de acesso é aberto.
No painel Conceder acesso, conclua as seguintes etapas:
- Na seção Adicionar principais no campo Novos principais, cole o nome da conta de serviço.
Na seção Atribuir papéis, use o campo Papel para conceder os seguintes papéis do IAM à conta de serviço:
- Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) - Editor de configurações de notificação da Central de segurança
(
roles/securitycenter.notificationConfigEditor) - Leitor da organização (
roles/resourcemanager.organizationViewer) - Leitor de recursos do Cloud (
roles/cloudasset.viewer)
- Leitor administrador da Central de segurança (
Clique em Salvar. A conta de serviço aparece na guia Permissões da página IAM em Visualizar por principais.
Por herança, a conta de serviço também se torna um principal em todos projetos filhos da organização. Os papéis aplicáveis no nível do projeto são listados como papéis herdados.
Para mais informações sobre como criar contas de serviço e conceder papéis, consulte estes tópicos:
Criar uma conta de serviço para a usurpação de identidade
Neste documento, essa conta de serviço também é chamada de conta de serviço SOAR. Crie uma conta de serviço para representar a conta de serviço do usuário e as permissões dela.
No console do Google SecOps SOAR, navegue até Resposta, e clique em Integrations setup (Configuração de integrações).
Na página Configuração de integrações, clique em Criar uma nova instância. A caixa de diálogo Adicionar instância é aberta.
Na lista Integrações, selecione Google Security Command Center e clique em Salvar. A caixa de diálogo Google Security Command Center - Configure Instance é aberta.
No campo E-mail de Identidade da carga de trabalho, especifique o ID de e-mail da conta de serviço.
Clique em Salvar.
Fornecer as credenciais para o Google SecOps SOAR
Dependendo de onde você está hospedando o Google SecOps SOAR, a forma de fornecer as credenciais do IAM ao Google SecOps SOAR é diferente.
- Se você estiver hospedando o Google SecOps SOAR no Google Cloud, a conta de serviço do usuário que você criou e os papéis no nível da organização que você concedeu a ela estão disponíveis automaticamente por herança da organização mãe.
- Se você estiver hospedando o Google SecOps SOAR no seu ambiente local, crie uma chave para a conta de serviço do usuário que você criou. Você precisa da chave da conta de serviço JSON para concluir esta tarefa. Para saber mais sobre as práticas recomendadas para armazenar as chaves das conta de serviço com segurança, consulte Práticas recomendadas para gerenciar conta de serviço de serviço.
Configurar notificações
Conclua estas etapas para cada organização do Google Cloud de onde você quer importar dados do Security Command Center.
Configurar notificações de descoberta como segue:
- Ative a API Security Command Center.
- Crie um tópico do Pub/Sub para descobertas.
- Crie um objeto
NotificationConfigque contenha o filtro para as descobertas que você quer exportar. ONotificationConfigprecisa usar o tópico do Pub/Sub criado para as descobertas.
Ative a API Cloud Asset no projeto.
Você precisa do ID da organização, do ID do projeto e do Pub/Sub o ID de assinatura desta tarefa para configurar o Google SecOps SOAR. Para recuperar o ID da organização e do projeto, consulte Como recuperar o ID da organização e Identificar projetos, respectivamente.
Configurar o Google SecOps SOAR
O Google SecOps SOAR permite que empresas e provedores de serviços de segurança gerenciados (MSSPs, na sigla em inglês) coletem dados e alertas de segurança de diferentes fontes combinando orquestração e automação, inteligência contra ameaças e resposta a incidentes.
Para usar o Security Command Center com o Google SecOps SOAR, siga estas etapas:
No console do Google SecOps SOAR, navegue até Marketplace e clique em Integrations.
Pesquise
Google Security Command Centere instale a integração do Security Command Center que aparece nos resultados da pesquisa.Na integração do Google Security Command Center, clique em Configurar. A caixa de diálogo Google Security Command Center: configurar instância é aberta.
Opcional: para criar um novo ambiente ou editar a configuração dele, Clique na tela Configurações. A página Environments é aberta em uma nova guia.
Na página Ambientes, selecione o ambiente em que você quer configurar a instância de integração.
No ambiente selecionado, clique em Criar uma nova instância. O A caixa de diálogo Adicionar instância será aberta.
Na lista Integrações, selecione Google Security Command Center e Clique em Salvar. Google Security Command Center - Configurar instância a caixa de diálogo será aberta.
Especifique os parâmetros de configuração e clique em Salvar.
Parâmetro Descrição Obrigatório Raiz da API Raiz da API da instância do Security Command Center. Exemplo: securitycenter.googleapis.com.Sim ID da organização ID da organização com as descobertas que você quer exportar. Não ID do projeto ID do projeto a ser usado na integração do Security Command Center. Não ID do projeto de cota ID do seu projeto do Google Cloud para uso e faturamento da API Google Cloud. Não ID do local ID do local a ser usado na integração do Security Command Center. O ID do local padrão é global. Não Conta de serviço do usuário Conta de serviço que você criou Crie uma conta de serviço e conceda papéis do IAM. Se você estiver hospedando o SOAR do Google SecOps no seu ambiente no local, informe o ID da chave da conta de serviço e todo o conteúdo do serviço arquivo JSON da conta de serviço. Sim E-mail da identidade da carga de trabalho E-mail que você criou em Criar uma conta de serviço por falsificação de identidade. É um e-mail de cliente da conta de serviço para substituir o uso da conta de serviço do usuário que pode ser usado para falsificação de identidade. A conta de serviço do SOAR precisa receber o papel Service Account Token Creatordo IAM na conta de serviço do usuário.Sim Verificar SSL Ative para verificar se o certificado SSL usado para a conexão com o servidor do Security Command Center é válido. Sim Para verificar se a integração está configurada corretamente, clique em Testar.
Após a verificação, clique em Salvar.
Fazer upgrade da integração do Google Security Command Center
Para fazer upgrade da integração do Google Security Command Center, siga estas etapas:
No console do Google SecOps SOAR, acesse Marketplace, e clique em Integrations.
Pesquise a integração do Google Security Command Center e clique em Faça upgrade para o VERSION_NUMBER.
Trabalhar com descobertas e recursos
O Google SecOps SOAR usa conectores para ingerir alertas de várias fontes de dados na plataforma.
Buscar alertas do Security Command Center para análise no SOAR do Google SecOps
Você precisa configurar um conector para extrair informações sobre as descobertas do Security Command Center. Para configurar o conector, consulte Ingerir os dados (conectores).
Defina os seguintes parâmetros no SOAR do Google SecOps para configurar o conector do Google Security Command Center: descobertas.
| Parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | tipo | Sim | Nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo do ambiente | String | Vazio | Não | Nome do campo em que o nome do ambiente está armazenado. Se o nome do campo de ambiente não for especificado, o ambiente padrão será selecionado. |
| Padrão de Regex do ambiente | String | .* | Não | Um padrão de expressão regular a ser executado no valor encontrado no Nome do campo do ambiente. O padrão é .* para capturar todos e retorna o valor inalterado. Esse parâmetro é usado para permitir que o usuário manipule o campo de ambiente usando a lógica de expressão regular. Se o padrão de expressão regular for nulo ou vazio ou se o valor do ambiente for nulo, o ambiente padrão será selecionado. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | Sim | Raiz da API da instância do Security Command Center. Por exemplo:
securitycenter.googleapis.com: |
|
| ID da organização | String | Não | ID da organização que precisa ser usada na integração do Google Security Command Center. | |
| Conta de serviço do usuário | Senha | Sim | Conta de serviço criada em Criar uma conta de serviço e conceder papéis do IAM. Se você estiver hospedando o Google SecOps SOAR no seu ambiente local, forneça o ID da chave da conta de serviço e todo o conteúdo do arquivo JSON da conta de serviço. | |
| Filtro de classe da descoberta | CSV | Ameaça, vulnerabilidade, configuração incorreta, SCC_Error, Observação | Não | Encontrar classes que precisam ser ingeridas. Os valores possíveis são:
|
| Menor gravidade para buscar | String | Alta | Não | A gravidade mais baixa usada para buscar descobertas. Os valores possíveis
são:
|
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas de onde buscar descobertas. O limite máximo é 24. |
| Máximo de descobertas a serem buscadas | Número inteiro | 100 | Não | Número de descobertas a serem processadas por uma iteração do conector. Máximo limite é 1.000. |
| Usar lista dinâmica como uma lista de exclusão | Caixa de seleção | Desativado | Sim | Ativar a lista dinâmica como uma lista de exclusão. |
| Verificar SSL | Caixa de seleção | Desativado | Sim | Ative para verificar se o certificado SSL da conexão com o servidor do Security Command Center é válido. |
| Endereço do servidor proxy | String | Não | O endereço do servidor proxy a ser usado. | |
| Nome de usuário do proxy | String | Não | O nome de usuário do proxy para autenticação. | |
| Senha do proxy | Senha | Não | A senha do proxy para autenticação. |
Enriquecer recursos
Para permitir uma investigação de segurança, o Google Security Operations ingere dados contextuais de diferentes fontes, realiza análises nos dados e fornece mais contexto sobre artefatos em um ambiente do cliente.
Para enriquecer recursos usando informações do Security Command Center, adicione a ação de enriquecer recursos a um playbook no Google SecOps SOAR e execute o playbook. Para mais informações, consulte Como adicionar uma ação
Para configurar essa ação, defina os seguintes parâmetros:
| Parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
Listar vulnerabilidades de alerta
Para listar vulnerabilidades relacionadas às entidades no Security Command Center, adicione o método Listar ações de vulnerabilidades de recursos em um playbook no Google Security Operations SOAR e executar o playbook. Para mais informações, consulte Como adicionar uma ação.
Para configurar essa ação, defina os seguintes parâmetros:
| Parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Nomes de recursos de ativos | CSV | Sim | Especifique uma lista separada por vírgulas de nomes de recursos dos recursos para os quais você quer retornar dados. | |
| Período | DDL | Todo o período | Não | Especifique o período das vulnerabilidades ou dos erros de configuração
pesquisa. Os valores possíveis são:
|
| Tipos de registro | DDL | Vulnerabilidades e configurações incorretas | Não | Especifique o tipo de registro que será retornado. Os valores possíveis
são:
|
| Tipo de saída | DDL | Estatísticas | Não | Especifique o tipo de saída que será retornado no resultado JSON
para o recurso. Os valores possíveis são:
|
| Máximo de registros a serem retornados | String | 100 | Não | Especifique o número de registros a serem retornados por tipo de registro e por recursos. |
Atualizar descobertas
Para atualizar as descobertas no Security Command Center, adicione a ação de atualização de descobertas a um playbook no Google SecOps SOAR e execute o playbook. Para mais informações, consulte Como adicionar uma ação
Para configurar esta ação, defina os seguintes parâmetros:
| Parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Nome da descoberta | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Sim | Especifique uma lista separada por vírgulas de nomes de descobertas que você quer atualizar. |
| Som desativado | DDL | Não | Especifique o status de silenciamento da descoberta. Os valores possíveis são:
|
|
| Status do estado | DDL | Não | Especifique o status do estado da descoberta. Os valores possíveis são:
|