本页介绍了如何自动将 Security Command Center 发现结果、资产、审核日志和安全来源发送到 Google Security Operations SOAR。还介绍了如何管理导出的数据。
在开始之前,请确保正确配置所需的 Security Command Center 和 Google Cloud 服务,并启用 Google SecOps SOAR 以访问 Security Command Center 环境中的发现结果、审核日志和资产。如需详细了解 Security Command Center 与 Google SecOps SOAR 的集成,请参阅 Google 安全运营文档中的 Security Command Center。
配置身份验证和授权
在连接到 Google SecOps SOAR 之前,您需要创建一个 Identity and Access Management 服务账号,并在组织级和项目级向其授予 IAM 角色。
创建服务账号并授予 IAM 角色
在本文档中,此服务账号也称为“用户服务账号”。以下步骤使用 Google Cloud 控制台。对于其他方法,请参阅本部分末尾的链接。
对您要从中导入 Security Command Center 数据的每个 Google Cloud 组织完成以下步骤。
- 在创建 Pub/Sub 主题的同一项目中,使用 Google Cloud 控制台的服务账号页面创建一个服务账号。如需查看相关说明,请参阅创建和管理服务账号。
授予该服务账号以下角色:
- Pub/Sub Editor (
roles/pubsub.editor)
- Pub/Sub Editor (
复制您刚刚创建的服务账号的名称。
使用 Google Cloud 控制台中的项目选择器切换到组织级层。
打开组织的 IAM 页面:
在 IAM 页面上,点击授予访问权限。此时将打开授予访问权限面板。
在授予访问权限面板中,完成以下步骤:
- 在新的主账号字段的添加主账号部分,粘贴服务账号的名称。
在分配角色部分中,使用角色字段向服务账号授予以下 IAM 角色:
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) - Security Center Notification Configurations Editor (
roles/securitycenter.notificationConfigEditor) - Organization Viewer (
roles/resourcemanager.organizationViewer) - Cloud Asset Viewer (
roles/cloudasset.viewer)
- Security Center Admin Viewer (
点击保存。该服务账号会显示在 IAM 页面的权限标签页上的按主账号查看下方。
通过继承,该服务账号也会成为组织的所有子项目中的主账号。适用于项目级层的角色会列为继承的角色。
如需详细了解如何创建服务账号并授予角色,请参阅以下主题:
创建用于模拟的服务账号
在本文档中,此服务账号也称为 SOAR 服务账号。创建一个服务账号来模拟用户服务账号及其权限。
在 Google SecOps SOAR 控制台中,前往响应,然后点击集成设置。
在集成设置页面中,点击创建新实例。系统随即会打开添加实例对话框。
在集成列表中,选择 Google Security Command Center,然后点击 Save(保存)。系统随即会打开 Google Security Command Center - Configure Instance 对话框。
在 Workload Identity Email 字段中,指定服务账号电子邮件 ID。
点击保存。
向 Google SecOps SOAR 提供凭据
向 Google SecOps SOAR 提供 IAM 凭据的方式有所不同,具体取决于您托管 Google SecOps SOAR 的位置。
- 如果您在 Google Cloud 中托管 Google SecOps SOAR,则您创建的用户服务账号以及您向其授予的组织级角色可通过从父级组织继承来自动获得。
- 如果您在本地环境中托管 Google SecOps SOAR,请为您创建的用户服务账号创建密钥。您需要服务账号密钥 JSON 文件才能完成此任务。如需了解安全存储服务账号密钥的最佳实践,请参阅管理服务账号密钥的最佳实践。
配置通知
对您要从中导入 Security Command Center 数据的每个 Google Cloud 组织完成以下步骤。
设置发现结果通知,如下所示:
- 启用 Security Command Center API。
- 为发现结果创建 Pub/Sub 主题。
- 创建一个
NotificationConfig对象,其中包含要导出的发现结果的过滤条件。NotificationConfig必须使用您为发现结果创建的 Pub/Sub 主题。
为您的项目启用 Cloud Asset API。
您需要此任务中的组织 ID、项目 ID 和 Pub/Sub 订阅 ID 来配置 Google SecOps SOAR。如需检索组织 ID 和项目 ID,请分别参阅检索组织 ID 和识别项目。
配置 Google SecOps SOAR
借助 Google SecOps SOAR,企业和托管安全服务提供商 (MSSP) 可以将编排和自动化、威胁情报和突发事件响应相结合,从不同的来源收集数据和安全提醒。
如需将 Security Command Center 与 Google SecOps SOAR 搭配使用,请完成以下步骤:
在 Google SecOps SOAR 控制台中,前往 Marketplace,然后点击 Integrations。
搜索
Google Security Command Center,然后安装搜索结果中显示的 Security Command Center 集成。在 Google Security Command Center 集成中,点击配置。系统会打开 Google Google Security Command Center - Configure Instance 对话框。
可选:如需创建新环境或修改环境配置,请点击“设置”界面。系统会在新标签页中打开环境页面。
在环境页面上,选择要为其配置集成实例的环境。
在所选环境中,点击创建新实例。系统随即会打开添加实例对话框。
在集成列表中,选择 Google Security Command Center,然后点击保存。系统随即会打开 Google Security Command Center - Configure Instance 对话框。
指定配置参数,然后点击保存。
参数 说明 必需 API 根 Security Command Center 实例的 API 根。例如: securitycenter.googleapis.com。是 组织 ID 您要导出发现结果的组织的 ID。 否 项目 ID 要在 Security Command Center 集成中使用的项目 ID。 否 配额项目 ID 用于跟踪 Google Cloud API 使用情况和结算信息的 Google Cloud 项目 ID。 否 位置 ID 要在 Security Command Center 集成中使用的地理位置的 ID。默认位置 ID 为全球。 否 用户的服务账号 您在创建服务账号并授予 IAM 角色中创建的服务账号。如果您在本地环境中托管 Google SecOps SOAR,请提供服务账号密钥 ID 和服务账号 JSON 文件的所有内容。 是 Workload Identity 电子邮件地址 您在创建用于冒充的服务账号中创建的电子邮件地址。这是用于替代可用于模拟的用户服务账号的服务账号客户电子邮件地址。必须向 SOAR 服务账号授予用户服务账号的 Service Account Token CreatorIAM 角色。是 验证 SSL 启用此选项可验证用于连接到 Security Command Center 服务器的 SSL 证书是否有效。 是 如需验证集成是否配置正确,请点击测试。
验证成功后,点击保存。
升级 Google Security Command Center 集成
如需升级 Google Security Command Center 集成,请完成以下步骤:
在 Google SecOps SOAR 控制台中,前往 Marketplace,然后点击 Integrations。
搜索 Google Security Command Center 集成,然后点击升级到 VERSION_NUMBER。
处理发现结果和资产
Google SecOps SOAR 使用连接器将来自各种数据源的提醒注入到平台中。
提取 Security Command Center 提醒,以便在 Google SecOps SOAR 中进行分析
您需要配置连接器,才能从 Security Command Center 中提取有关发现结果的信息。如需配置连接器,请参阅提取数据(连接器)。
在 Google SecOps SOAR 中设置以下参数,以配置 Google Security Command Center - Findings 连接器。
| 参数 | 类型 | 默认值 | 必填 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 用于检索商品字段名称的来源字段名称。 |
| 事件字段名称 | 字符串 | 类型 | 是 | 用于检索事件字段名称的来源字段名称。 |
| 环境字段名称 | 字符串 | 空 | 否 | 存储环境名称的字段的名称。 如果未指定环境字段名称,则系统会选择默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 用于对环境字段名称字段中找到的值运行的正则表达式模式。默认值为 .*,用于捕获所有值并返回不变的值。此参数用于允许用户通过正则表达式逻辑操控环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则系统会选择默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时限制。 |
| API 根 | 字符串 | 是 | Security Command Center 实例的 API 根。例如 securitycenter.googleapis.com。 |
|
| 组织 ID | 字符串 | 否 | 应在 Google Security Command Center 集成中使用的组织 ID。 | |
| 用户的服务账号 | 密码 | 是 | 您在创建服务账号并授予 IAM 角色中创建的服务账号。如果您在本地环境中托管 Google SecOps SOAR,请提供服务账号密钥 ID 和服务账号 JSON 文件的所有内容。 | |
| 发现结果类过滤器 | CSV | 威胁、漏洞、配置错误、SCC_Error、观察 | 否 | 查找应提取的类。可能的值包括:
|
| 要提取的最低严重级别 | 字符串 | 高 | 否 | 用于提取发现结果的最低严重级别。可能的值如下:
|
| 向后最长时长 | 整数 | 1 | 否 | 要从中提取发现结果的来源的小时数。上限为 24。 |
| 要提取的发现数上限 | 整数 | 100 | 否 | 每次连接器迭代要处理的发现数量。上限为 1000。 |
| 将动态列表用作排除列表 | 复选框 | 已停用 | 是 | 将动态列表启用为排除列表。 |
| 验证 SSL | 复选框 | 已停用 | 是 | 启用此选项可验证用于连接到 Security Command Center 服务器的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 否 | 要使用的代理服务器的地址。 | |
| 代理用户名 | 字符串 | 否 | 用于进行身份验证的代理用户名。 | |
| 代理密码 | 密码 | 否 | 用于进行身份验证的代理密码。 |
丰富素材资源
为了开展安全调查,Google Security Operations 会提取来自不同来源的上下文数据,对数据进行分析,并提供有关客户环境中工件的实用背景信息。
如需使用 Security Command Center 中的信息丰富资产,请将“丰富资产”操作添加到 Google SecOps SOAR 中的 Playbook,然后运行 Playbook。如需了解详情,请参阅添加操作
如需配置此操作,请设置以下参数:
| 参数 | 类型 | 默认值 | 必填 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入来源字段名称以检索商品字段名称。 |
列出提醒漏洞
如需在 Security Command Center 中列出与实体相关的漏洞,请将“列出资产漏洞”操作添加到 Google Security Operations SOAR 中的 Playbook,然后运行 Playbook。如需了解详情,请参阅添加操作
如需配置此操作,请设置以下参数:
| 参数 | 类型 | 默认值 | 必填 | 说明 |
|---|---|---|---|---|
| 资产资源名称 | CSV | 是 | 指定要为其返回数据的素材资源的资源名称的逗号分隔列表。 | |
| 时间范围 | DDL | 时间不限 | 否 | 指定漏洞或配置错误搜索的时间范围。可能的值包括:
|
| 记录类型 | DDL | 漏洞 + 配置错误 | 否 | 指定应返回的记录类型。可能的值如下:
|
| 输出类型 | DDL | 统计信息 | 否 | 指定应在资产的 JSON 结果中返回的输出类型。可能的值包括:
|
| 返回的记录数上限 | 字符串 | 100 | 否 | 指定每个素材资源的每种记录类型的返回记录数。 |
更新发现结果
如需在 Security Command Center 中更新发现结果,请将“更新发现结果”操作添加到 Google SecOps SOAR 中的 Playbook,然后运行 Playbook。如需了解详情,请参阅添加操作
如需配置此操作,请设置以下参数:
| 参数 | 类型 | 默认值 | 必填 | 说明 |
|---|---|---|---|---|
| 发现结果名称 | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
是 | 指定要更新的发现名称的逗号分隔列表。 |
| 忽略状态 | DDL | 否 | 指定发现结果的静音状态。可能的值包括:
|
|
| 州级状态 | DDL | 否 | 指定发现结果的状态。可能的值包括:
|