Esta página explica como enviar automaticamente descobertas, recursos, registros de auditoria e fontes de segurança do Security Command Center para o SOAR do Google Security Operations. Também descreve como gerenciar os dados exportados.
Antes de começar, verifique se os serviços necessários do Security Command Center e Google Cloud estão configurados corretamente e permita que o Google SecOps SOAR acesse descobertas, registros de auditoria e recursos no seu ambiente do Security Command Center. Para mais informações sobre a integração do Security Command Center para o Google SecOps SOAR, consulte Security Command Center na documentação do Google Security Operations.
Configurar autenticação e autorização
Antes de se conectar ao Google SecOps SOAR, você precisa criar uma conta de serviço do Identity and Access Management e conceder a ela papéis do IAM no nível da organização e do projeto.
Criar uma conta de serviço e conceder papéis do IAM
Neste documento, essa conta de serviço também é chamada de conta de serviço do usuário. As etapas a seguir usam o console do Google Cloud. Para ver outros métodos, consulte os links no final desta seção.
Conclua estas etapas para cada Google Cloud organização de que você quer importar dados do Security Command Center.
- No mesmo projeto em que você cria os tópicos do Pub/Sub, use a página Contas de serviço no console do Google Cloud para criar uma conta de serviço. Veja instruções em Como criar e gerenciar contas de serviço.
Conceda à conta de serviço a este papel:
- Editor do Pub/Sub (
roles/pubsub.editor)
- Editor do Pub/Sub (
Copie o nome da conta de serviço que você acabou de criar.
Use o seletor de projetos no console do Google Cloud para mudar para o nível da organização.
Abra a página IAM da organização:
Na página do IAM, clique em Conceder acesso. O painel de concessão de acesso é aberto.
No painel Conceder acesso, conclua as seguintes etapas:
- Na seção Adicionar principais no campo Novos principais, cole o nome da conta de serviço.
Na seção Atribuir papéis, use o campo Papel para conceder os seguintes papéis do IAM à conta de serviço:
- Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) - Editor de configurações de notificação da Central de segurança
(
roles/securitycenter.notificationConfigEditor) - Leitor da organização (
roles/resourcemanager.organizationViewer) - Leitor de recursos do Cloud (
roles/cloudasset.viewer)
- Leitor administrador da Central de segurança (
Clique em Salvar. A conta de serviço aparece na guia Permissões da página IAM em Ver pelos principais.
Por herança, a conta de serviço também se torna uma conta principal em todos os projetos filhos da organização. Os papéis aplicáveis no nível do projeto são listados como papéis herdados.
Para mais informações sobre como criar contas de serviço e conceder papéis, consulte estes tópicos:
Criar uma conta de serviço para a usurpação de identidade
Neste documento, essa conta de serviço também é chamada de conta de serviço do SOAR. Crie uma conta de serviço para representar a conta de serviço do usuário e as permissões dela.
No console do Google SecOps SOAR, navegue até Resposta e clique em Configuração de integrações.
Na página Configuração de integrações, clique em Criar uma nova instância. A caixa de diálogo Adicionar instância é aberta.
Na lista Integrações, selecione Google Security Command Center e clique em Salvar. A caixa de diálogo Google Security Command Center: Configure Instance é aberta.
No campo E-mail da identidade da carga de trabalho, especifique o ID de e-mail da conta de serviço.
Clique em Salvar.
Fornecer as credenciais para o Google SecOps SOAR
Dependendo de onde você está hospedando o Google SecOps SOAR, a forma de fornecer as credenciais do IAM ao Google SecOps SOAR é diferente.
- Se você estiver hospedando o Google SecOps SOAR em Google Cloud, a conta de serviço do usuário que você criou e os papéis no nível da organização que você concedeu a ela estarão disponíveis automaticamente por herança da organização mãe.
- Se você estiver hospedando o Google SecOps SOAR no seu ambiente local, crie uma chave para a conta de serviço do usuário que você criou. Você precisa do arquivo JSON da chave da conta de serviço para concluir esta tarefa. Para saber mais sobre as práticas recomendadas para armazenar as chaves da conta de serviço com segurança, consulte Práticas recomendadas para gerenciar chaves de contas de serviço.
Configurar notificações
Conclua estas etapas para cada Google Cloud organização de que você quer importar dados do Security Command Center.
Configure as notificações de localização da seguinte forma:
- Ative a API Security Command Center.
- Crie um tópico do Pub/Sub para descobertas.
- Crie um objeto
NotificationConfigque contenha o filtro para as descobertas que você quer exportar. ONotificationConfigprecisa usar o tópico do Pub/Sub criado para as descobertas.
Ative a API Cloud Asset no projeto.
Você vai precisar do ID da organização, do ID do projeto e do ID da assinatura do Pub/Sub desta tarefa para configurar o Google SecOps SOAR. Para recuperar esses IDs, consulte Como recuperar o ID da organização e Como identificar projetos, respectivamente.
Configurar o Google SecOps SOAR
O SOAR do Google SecOps permite que empresas e provedores de serviços de segurança gerenciados (MSSPs, na sigla em inglês) coletem dados e alertas de segurança de diferentes fontes combinando orquestração e automação, inteligência contra ameaças e resposta a incidentes.
Para usar o Security Command Center com o Google SecOps SOAR, siga estas etapas:
No console do Google SecOps SOAR, navegue até Marketplace e clique em Integrations.
Pesquise
Google Security Command Centere instale a integração do Security Command Center que aparece nos resultados da pesquisa.Na integração do Google Security Command Center, clique em Configurar. A caixa de diálogo Google Security Command Center: configurar instância é aberta.
Opcional: para criar um novo ambiente ou editar a configuração, clique em Tela de configurações. A página Environments é aberta em uma nova guia.
Na página Ambientes, selecione o ambiente em que você quer configurar a instância de integração.
No ambiente selecionado, clique em Criar uma nova instância. A caixa de diálogo Adicionar instância é aberta.
Na lista Integrações, selecione Google Security Command Center e clique em Salvar. A caixa de diálogo Google Security Command Center: Configure Instance é aberta.
Especifique os parâmetros de configuração e clique em Salvar.
Parâmetro Descrição Obrigatório Raiz da API Raiz da API da instância do Security Command Center. Exemplo: securitycenter.googleapis.com.Sim ID da organização ID da organização que tem as descobertas que você quer exportar. Não ID do projeto ID do projeto a ser usado na integração com o Security Command Center. Não ID do projeto de cota ID do seu Google Cloud projeto para Google Cloud uso e faturamento da API. Não ID do local ID do local a ser usado na integração do Security Command Center. O ID de local padrão é global. Não Conta de serviço do usuário Conta de serviço criada em Criar uma conta de serviço e conceder papéis do IAM. Se você estiver hospedando o Google SecOps SOAR no seu ambiente local, forneça o ID da chave da conta de serviço e todo o conteúdo do arquivo JSON da conta de serviço. Sim E-mail da identidade da carga de trabalho E-mail que você criou em Criar uma conta de serviço para falsificação de identidade. É um e-mail de cliente da conta de serviço para substituir o uso da conta de serviço do usuário que pode ser usado para falsificação de identidade. A conta de serviço do SOAR precisa receber o papel do IAM Service Account Token Creatorna conta de serviço do usuário.Sim Verificar SSL Ative para verificar se o certificado SSL usado para a conexão com o servidor do Security Command Center é válido. Sim Para verificar se a integração está configurada corretamente, clique em Testar.
Depois de concluir a verificação, clique em Salvar.
Fazer upgrade da integração com o Google Security Command Center
Para fazer upgrade da integração do Google Security Command Center, siga estas etapas:
No console do Google SecOps SOAR, navegue até Marketplace e clique em Integrations.
Pesquise a integração do Google Security Command Center e clique em Upgrade to VERSION_NUMBER.
Trabalhar com descobertas e recursos
O Google SecOps SOAR usa conectores para ingerir alertas de várias fontes de dados na plataforma.
Buscar alertas do Security Command Center para análise no SOAR do Google SecOps
Você precisa configurar um conector para extrair informações sobre as descobertas do Security Command Center. Para configurar o conector, consulte Inserir dados (conectores).
Defina os seguintes parâmetros no SOAR do Google SecOps para configurar o conector do Google Security Command Center: descobertas.
| Parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | tipo | Sim | Nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo do ambiente | String | Vazio | Não | Nome do campo em que o nome do ambiente é armazenado. Se o nome do campo de ambiente não for especificado, o ambiente padrão será selecionado. |
| Padrão de Regex do ambiente | String | .* | Não | Um padrão de expressão regular para executar no valor encontrado no campo Nome do campo do ambiente. O padrão é .* para capturar tudo e retornar o valor inalterado. Esse parâmetro é usado para permitir que o usuário manipule o campo de ambiente usando a lógica de expressão regular. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o ambiente padrão será selecionado. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | Sim | Raiz da API da instância do Security Command Center. Por exemplo,
securitycenter.googleapis.com. |
|
| ID da organização | String | Não | ID da organização que precisa ser usada na integração do Google Security Command Center. | |
| Conta de serviço do usuário | Senha | Sim | Conta de serviço criada em Criar uma conta de serviço e conceder papéis do IAM. Se você estiver hospedando o Google SecOps SOAR no seu ambiente local, forneça o ID da chave da conta de serviço e todo o conteúdo do arquivo JSON da conta de serviço. | |
| Filtro de classe da descoberta | CSV | Ameaça, vulnerabilidade, configuração incorreta, SCC_Error, observação | Não | Encontrar classes que precisam ser ingeridas. Os valores possíveis são:
|
| Menor gravidade para buscar | String | Alta | Não | A gravidade mais baixa usada para buscar descobertas. Os valores possíveis
são:
|
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas de onde buscar as descobertas. O limite máximo é 24. |
| Número máximo de descobertas a serem buscadas | Número inteiro | 100 | Não | Número de descobertas a serem processadas por uma iteração do conector. O limite máximo é 1.000. |
| Usar a lista dinâmica como uma lista de exclusão | Caixa de seleção | Desativado | Sim | Ative a lista dinâmica como uma lista de exclusão. |
| Verificar SSL | Caixa de seleção | Desativado | Sim | Ative para verificar se o certificado SSL da conexão com o servidor do Security Command Center é válido. |
| Endereço do servidor proxy | String | Não | O endereço do servidor proxy a ser usado. | |
| Nome de usuário do proxy | String | Não | O nome de usuário do proxy para autenticação. | |
| Senha do proxy | Senha | Não | A senha do proxy para autenticação. |
Enriquecer recursos
Para permitir uma investigação de segurança, o Google Security Operations ingere dados contextuais de diferentes fontes, realiza análises nos dados e fornece mais contexto sobre artefatos em um ambiente do cliente.
Para enriquecer recursos usando informações do Security Command Center, adicione a ação de enriquecer recursos a um playbook no Google SecOps SOAR e execute o playbook. Para mais informações, consulte Como adicionar uma ação.
Para configurar essa ação, defina os seguintes parâmetros:
| Parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
Listar vulnerabilidades de alerta
Para listar as vulnerabilidades relacionadas às entidades no Security Command Center, adicione a ação "List asset vulnerabilities" a um playbook no SOAR do Google Security Operations e execute o playbook. Para mais informações, consulte Como adicionar uma ação.
Para configurar essa ação, defina os seguintes parâmetros:
| Parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Nomes de recursos de ativos | CSV | Sim | Especifique uma lista separada por vírgulas de nomes de recursos dos recursos para os quais você quer retornar dados. | |
| Período | DDL | Todo o período | Não | Especifique o período para a pesquisa de vulnerabilidades ou configurações
incorretas. Os valores possíveis são:
|
| Tipos de registro | DDL | Vulnerabilidades + configurações incorretas | Não | Especifique o tipo de registro que deve ser retornado. Os valores possíveis
são:
|
| Tipo de saída | DDL | Estatísticas | Não | Especifica o tipo de saída que precisa ser retornado no resultado JSON
do recurso. Os valores possíveis são:
|
| Registros máximos a serem retornados | String | 100 | Não | Especifique o número de registros a serem retornados por tipo de registro e por recurso. |
Atualizar descobertas
Para atualizar as descobertas no Security Command Center, adicione a ação de atualização de descobertas a um playbook no Google SecOps SOAR e execute o playbook. Para mais informações, consulte Como adicionar uma ação.
Para configurar essa ação, defina os seguintes parâmetros:
| Parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Nome da descoberta | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Sim | Especifique uma lista separada por vírgulas de nomes de descobertas que você quer atualizar. |
| Status de desativação | DDL | Não | Especifique o status de desativação do som para a descoberta. Os valores possíveis são:
|
|
| Status do estado | DDL | Não | Especifique o status do estado da descoberta. Os valores possíveis são:
|