本页面介绍如何自动将 Security Command Center 发现结果、资产、审核日志和安全来源发送到 Google Security Operations SOAR。还介绍了如何管理导出的数据。
在开始之前,请确保正确配置所需的 Security Command Center 和 Google Cloud 服务,并使 Google SecOps SOAR 能够访问 Security Command Center 环境中的发现结果、审核日志和资产。如需详细了解 Google SecOps SOAR 的 Security Command Center 集成,请参阅 Google Security Operations 文档中的 Security Command Center。
配置身份验证和授权
在连接到 Google SecOps SOAR 之前,您需要创建一个 Identity and Access Management 服务账号,并在组织级层和项目级层向其授予 IAM 角色。
创建服务账号并授予 IAM 角色
在本文档中,此服务账号也称为“用户服务账号”。以下步骤使用 Google Cloud 控制台。对于其他方法,请参阅本部分末尾的链接。
对您要从中导入 Security Command Center 数据的每个 Google Cloud 组织完成以下步骤。
- 在创建 Pub/Sub 主题的同一项目中,使用 Google Cloud 控制台的服务账号页面创建一个服务账号。如需查看相关说明,请参阅创建和管理服务账号。
授予该服务账号以下角色:
- Pub/Sub Editor (
roles/pubsub.editor)
- Pub/Sub Editor (
复制您刚创建的服务账号的名称。
使用 Google Cloud 控制台中的项目选择器切换到组织级。
打开组织的 IAM 页面:
在 IAM 页面上,点击授予访问权限。此时将打开授予访问权限面板。
在授予访问权限面板中,完成以下步骤:
- 在新的主账号字段的添加主账号部分,粘贴服务账号的名称。
在分配角色部分中,使用角色字段向服务账号授予以下 IAM 角色:
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) - Security Center Notification Configurations Editor (
roles/securitycenter.notificationConfigEditor) - Organization Viewer (
roles/resourcemanager.organizationViewer) - Cloud Asset Viewer (
roles/cloudasset.viewer)
- Security Center Admin Viewer (
点击保存。服务账号会显示在 IAM 页面的权限标签页上的按主账号查看下方。
通过继承,该服务账号也会成为组织的所有子项目中的主账号。适用于项目级层的角色被列为继承的角色。
如需详细了解如何创建服务账号并授予角色,请参阅以下主题:
创建用于模拟的服务账号
在本文档中,此服务账号也称为“SOAR 服务账号”。 创建服务账号以模拟用户服务账号及其权限。
在 Google SecOps SOAR 控制台中,前往响应,然后点击集成设置。
在集成设置页面中,点击创建新实例。系统随即会打开添加实例对话框。
在集成列表中,选择 Google Security Command Center,然后点击保存。系统会打开 Google Security Command Center - 配置实例对话框。
在 Workload Identity 邮箱字段中,指定服务账号邮箱 ID。
点击保存。
向 Google SecOps SOAR 提供凭证
向 Google SecOps SOAR 提供 IAM 凭证的方式有所不同,具体取决于您托管 Google SecOps SOAR 的位置。
- 如果您在 Google Cloud中托管 Google SecOps SOAR,则您创建的用户服务账号以及您向其授予的组织级角色可通过从父级组织继承来自动获得。
- 如果您在本地环境中托管 Google SecOps SOAR,请为您创建的用户服务账号创建密钥。您需要服务账号密钥 JSON 文件才能完成此任务。如需了解安全存储服务账号密钥的最佳实践,请参阅管理服务账号密钥的最佳实践。
配置通知
对您要从中导入 Security Command Center 数据的每个 Google Cloud 组织完成以下步骤。
设置发现结果通知,如下所示:
- 启用 Security Command Center API。
- 为发现结果创建 Pub/Sub 主题。
- 创建一个
NotificationConfig对象,其中包含要导出的发现结果的过滤条件。NotificationConfig必须使用您为发现结果创建的 Pub/Sub 主题。
为您的项目启用 Cloud Asset API。
您需要此任务中的组织 ID、项目 ID 和 Pub/Sub 订阅 ID 来配置 Google SecOps SOAR。要检索组织 ID 和项目 ID,请分别参阅检索组织 ID 和识别项目。
配置 Google SecOps SOAR
Google SecOps SOAR 结合了编排和自动化、威胁情报和突发事件响应,使企业和受管安全服务提供商 (MSSP) 能够从不同来源收集数据和安全提醒。
如需将 Security Command Center 与 Google SecOps SOAR 一起使用,请完成以下步骤:
在 Google SecOps SOAR 控制台中,前往 Marketplace,然后点击集成。
搜索
Google Security Command Center,然后安装搜索结果中显示的 Security Command Center 集成。在 Google Security Command Center 集成上,点击配置。 系统会打开 Google Security Command Center - 配置实例对话框。
可选:如需创建新环境或修改环境配置,请点击“设置”界面。系统会在新标签页中打开环境页面。
在环境页面上,选择要为其配置集成实例的环境。
在所选环境中,点击创建新实例。系统随即会打开添加实例对话框。
在集成列表中,选择 Google Security Command Center,然后点击保存。系统会打开 Google Security Command Center - 配置实例对话框。
指定配置参数,然后点击保存。
参数 说明 必需 API 根 Security Command Center 实例的 API 根。例如: securitycenter.googleapis.com。是 组织 ID 您要导出其发现结果的组织的 ID。 否 项目 ID 要在 Security Command Center 集成中使用的项目 ID。 否 配额项目 ID 您的 Google Cloud 项目 ID,用于 Google Cloud API 使用情况和结算。 否 位置 ID 要在 Security Command Center 集成中使用的位置的 ID。默认位置 ID 为全球。 否 用户的服务账号 您在创建服务账号并授予 IAM 角色中创建的服务账号。如果您在本地环境中托管 Google SecOps SOAR,请提供服务账号密钥 ID 和服务账号 JSON 文件的所有内容。 是 Workload Identity 邮箱 您在创建用于模拟的服务账号中创建的邮箱。这是一个服务账号客户端邮箱,用于替换可用于模拟的用户服务账号。必须向 SOAR 服务账号授予用户服务账号的 Service Account Token CreatorIAM 角色。是 验证 SSL 启用后,系统会验证用于连接到 Security Command Center 服务器的 SSL 证书是否有效。 是 如需验证集成是否已正确配置,请点击测试。
验证成功后,点击保存。
升级 Google Security Command Center 集成
如需升级 Google Security Command Center 集成,请完成以下步骤:
在 Google SecOps SOAR 控制台中,前往 Marketplace,然后点击集成。
搜索 Google Security Command Center 集成,然后点击升级到 VERSION_NUMBER。
处理发现结果和资产
Google SecOps SOAR 使用连接器将各种数据源中的提醒注入到平台中。
在 Google SecOps SOAR 中提取 Security Command Center 提醒以进行分析
您需要配置连接器,以从 Security Command Center 拉取有关发现结果的信息。如需配置连接器,请参阅注入数据(连接器)。
在 Google SecOps SOAR 中设置以下参数,以配置 Google Security Command Center - 发现结果连接器。
| 参数 | 类型 | 默认值 | 必填 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 用于检索产品字段名称的源字段名称。 |
| 事件字段名称 | 字符串 | 类型 | 是 | 用于检索事件字段名的源字段名。 |
| 环境字段名称 | 字符串 | 空 | 否 | 存储环境名称的字段的名称。 如果未指定环境字段名称,则选择默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对环境字段名称字段中找到的值运行的正则表达式模式。默认值为 .*,用于捕获所有内容并返回未更改的值。此参数用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则选择默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时限。 |
| API 根 | 字符串 | 是 | Security Command Center 实例的 API 根。例如,securitycenter.googleapis.com。 |
|
| 组织 ID | 字符串 | 否 | 应在 Google Security Command Center 集成中使用的组织的 ID。 | |
| 用户的服务账号 | 密码 | 是 | 您在创建服务账号并授予 IAM 角色中创建的服务账号。如果您在本地环境中托管 Google SecOps SOAR,请提供服务账号密钥 ID 和服务账号 JSON 文件的所有内容。 | |
| 发现结果类过滤条件 | CSV | 威胁、漏洞、配置错误、SCC_Error、观察结果 | 否 | 应注入的发现结果类别。可能的值包括:
|
| 要提取的最低严重程度 | 字符串 | 高 | 否 | 用于提取发现结果的最低严重程度。可能的值包括:
|
| 回溯的小时数上限 | 整数 | 1 | 否 | 提取发现结果的小时数。上限为 24。 |
| 要提取的发现结果数量上限 | 整数 | 100 | 否 | 每次连接器迭代要处理的发现结果数量。上限为 1000。 |
| 将动态列表用作排除列表 | 复选框 | 已停用 | 是 | 将动态列表启用为排除列表。 |
| 验证 SSL | 复选框 | 已停用 | 是 | 启用后,系统会验证与 Security Command Center 服务器的连接所用的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 否 | 要使用的代理服务器的地址。 | |
| 代理用户名 | 字符串 | 否 | 用于进行身份验证的代理用户名。 | |
| 代理密码 | 密码 | 否 | 用于进行身份验证的代理密码。 |
丰富资产
为了能够进行安全调查,Google Security Operations 会从不同来源注入情境数据,对数据进行分析,并提供客户环境中有关制品的其他情境信息。
如需使用 Security Command Center 中的信息来丰富资产,请在 Google SecOps SOAR 中向 playbook 添加“丰富资产”操作,然后运行该 playbook。如需了解详情,请参阅添加操作
如需配置此操作,请设置以下参数:
| 参数 | 类型 | 默认值 | 必填 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入要检索产品字段名称的源字段名称。 |
列出提醒漏洞
如需列出与 Security Command Center 中的实体相关的漏洞,请将“列出资产漏洞”操作添加到 Google Security Operations SOAR 中的 playbook,然后运行该 playbook。如需了解详情,请参阅添加操作
如需配置此操作,请设置以下参数:
| 参数 | 类型 | 默认值 | 必填 | 说明 |
|---|---|---|---|---|
| 资产资源名称 | CSV | 是 | 指定以英文逗号分隔的资产资源名称列表,以返回相应资产的数据。 | |
| 时间范围 | DDL | 时间不限 | 否 | 指定漏洞或配置错误搜索的时间范围。可能的值包括:
|
| 记录类型 | DDL | 漏洞 + 错误配置 | 否 | 指定应返回的记录类型。可能的值包括:
|
| 输出类型 | DDL | 统计信息 | 否 | 指定应在相应资产的 JSON 结果中返回的输出类型。可能的值包括:
|
| 要返回的记录数上限 | 字符串 | 100 | 否 | 指定每个资产的每种记录类型要返回的记录数。 |
更新发现结果
如需更新 Security Command Center 中的发现结果,请在 Google SecOps SOAR 中向 playbook 添加“更新发现结果”操作,然后运行该 playbook。如需了解详情,请参阅添加操作
如需配置此操作,请设置以下参数:
| 参数 | 类型 | 默认值 | 必填 | 说明 |
|---|---|---|---|---|
| 发现结果名称 | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
是 | 指定要更新的发现结果名称的英文逗号分隔列表。 |
| 忽略状态 | DDL | 否 | 指定发现结果的忽略状态。可能的值包括:
|
|
| 状态 | DDL | 否 | 指定发现结果的状态。可能的值包括:
|