本頁說明如何自動將 Security Command Center 發現項目、資產、稽核記錄和安全來源傳送至 Google Security Operations SOAR。並說明如何管理匯出的資料。
開始前,請確認已妥善設定必要的 Security Command Center 和 Google Cloud 服務 ,並啟用 Google SecOps SOAR,以便存取 Security Command Center 環境中的發現項目、稽核記錄和資產。如要進一步瞭解 Google SecOps SOAR 的 Security Command Center 整合功能,請參閱 Google Security Operations 說明文件中的「Security Command Center」。
設定驗證和授權
連線至 Google SecOps SOAR 前,您需要建立 Identity and Access Management 服務帳戶,並在機構和專案層級授予該帳戶 IAM 角色。
建立服務帳戶並授予 IAM 角色
在本文件中,這個服務帳戶也稱為「使用者服務帳戶」。 下列步驟使用 Google Cloud 控制台。如要瞭解其他方法,請參閱本節結尾的連結。
針對要匯入 Security Command Center 資料的每個 Google Cloud 機構,完成下列步驟。
- 在您建立 Pub/Sub 主題的專案中,使用 Google Cloud 控制台的「Service Accounts」(服務帳戶)頁面建立服務帳戶。如需操作說明,請參閱「建立及管理服務帳戶」。
將下列角色授予服務帳戶:
- Pub/Sub 編輯者 (
roles/pubsub.editor)
- Pub/Sub 編輯者 (
複製您剛建立的服務帳戶名稱。
使用 Google Cloud 控制台中的專案選取器,切換至機構層級。
開啟機構的「IAM」IAM頁面:
在「IAM」頁面中,按一下「授予存取權」。「授予存取權」面板隨即開啟。
在「授予存取權」面板中,完成下列步驟:
- 在「新增主體」欄位的「新增主體」部分中,貼上服務帳戶名稱。
在「指派角色」部分,使用「角色」欄位將下列 IAM 角色授予服務帳戶:
- 安全中心管理員檢視者 (
roles/securitycenter.adminViewer) - 安全中心通知設定編輯者
(
roles/securitycenter.notificationConfigEditor) - 機構檢視者 (
roles/resourcemanager.organizationViewer) - Cloud Asset Viewer (
roles/cloudasset.viewer)
- 安全中心管理員檢視者 (
按一下 [儲存]。服務帳戶會顯示在「依主體查看」下「IAM」頁面的「權限」分頁中。
透過繼承,服務帳戶也會成為機構所有子專案中的主體。適用於專案層級的角色會列為已繼承的角色。
如要進一步瞭解如何建立服務帳戶及授予角色,請參閱下列主題:
建立用於模擬的服務帳戶
本文也將這個服務帳戶稱為 SOAR 服務帳戶。 建立服務帳戶,模擬使用者服務帳戶及其權限。
在 Google SecOps SOAR 控制台中,前往「Response」(回應),然後按一下「Integrations setup」(整合設定)。
在「整合設定」頁面中,按一下「建立新執行個體」。「新增執行個體」對話方塊隨即開啟。
在「整合」清單中,選取「Google Security Command Center」,然後按一下「儲存」。「Google Security Command Center - Configure Instance」(Google Security Command Center - 設定執行個體) 對話方塊隨即開啟。
在「Workload Identity Email」欄位中,指定服務帳戶電子郵件 ID。
按一下 [儲存]。
將憑證提供給 Google SecOps SOAR
提供 IAM 憑證給 Google SecOps SOAR 的方式,取決於 Google SecOps SOAR 的代管位置。
- 如果您在 Google Cloud中代管 Google SecOps SOAR,系統會自動從上層機構繼承您建立的使用者服務帳戶,以及您授予該帳戶的機構層級角色。
- 如果您是在地端環境中代管 Google SecOps SOAR,請為您建立的使用者服務帳戶建立金鑰。您需要服務帳戶金鑰 JSON 檔案才能完成這項工作。如要瞭解安全儲存服務帳戶金鑰的最佳做法,請參閱管理服務帳戶金鑰的最佳做法。
設定通知
針對要匯入 Security Command Center 資料的每個 Google Cloud 機構,完成這些步驟。
按照下列步驟設定尋找通知:
- 啟用 Security Command Center API。
- 為調查結果建立 Pub/Sub 主題。
- 建立
NotificationConfig物件,其中包含要匯出調查結果的篩選器。NotificationConfig必須使用您為調查結果建立的 Pub/Sub 主題。
為您的專案啟用 Cloud Asset API。
您需要這項工作中的機構 ID、專案 ID 和 Pub/Sub 訂閱 ID,才能設定 Google SecOps SOAR。如要擷取機構 ID 和專案 ID,請分別參閱「擷取機構 ID」和「識別專案」。
設定 Google SecOps SOAR
Google SecOps SOAR 結合調度管理和自動化、威脅情報和事件應變,可協助企業和受管理的安全服務供應商 (MSSP) 從不同來源收集資料和安全快訊。
如要搭配 Google SecOps SOAR 使用 Security Command Center,請完成下列步驟:
在 Google SecOps SOAR 控制台中,前往「Marketplace」,然後按一下「Integrations」。
搜尋
Google Security Command Center,然後安裝搜尋結果中顯示的 Security Command Center 整合服務。在「Google Security Command Center」整合功能上,按一下「設定」。 系統會開啟「Google Google Security Command Center - Configure Instance」對話方塊。
選用:如要建立新環境或編輯環境設定,請按一下「設定畫面」。「環境」頁面會在新分頁中開啟。
在「Environments」(環境) 頁面上,選取要設定整合執行個體的環境。
在所選環境中,按一下「建立新的執行個體」。「新增執行個體」對話方塊隨即開啟。
在「整合」清單中,選取「Google Security Command Center」,然後按一下「儲存」。「Google Security Command Center - Configure Instance」(Google Security Command Center - 設定執行個體) 對話方塊隨即開啟。
指定設定參數,然後按一下「儲存」。
參數 說明 必要 API 根層級 Security Command Center 執行個體的 API 根目錄。例如: securitycenter.googleapis.com。是 機構 ID 要匯出發現項目的機構 ID。 否 專案 ID 要在 Security Command Center 整合中使用的專案 ID。 否 配額專案 ID 專案 ID,用於 API 用量和帳單。 Google Cloud Google Cloud 否 位置 ID 要在 Security Command Center 整合中使用的位置 ID。預設位置 ID 為「全球」。 否 使用者服務帳戶 在「建立服務帳戶並授予 IAM 角色」中建立的服務帳戶。如果您是在地端環境中代管 Google SecOps SOAR,請提供服務帳戶金鑰 ID 和服務帳戶 JSON 檔案的所有內容。 是 Workload Identity 電子郵件地址 您在「建立服務帳戶以進行模擬」中建立的電子郵件地址。這是服務帳戶用戶端電子郵件,可取代用於模擬身分的使用者服務帳戶。必須將使用者服務帳戶的 Service Account Token CreatorIAM 角色授予 SOAR 服務帳戶。是 驗證 SSL 啟用這項設定,即可驗證用於連線至 Security Command Center 伺服器的 SSL 憑證是否有效。 是 如要確認整合設定是否正確,請按一下「測試」。
驗證成功後,按一下「儲存」。
升級 Google Security Command Center 整合服務
如要升級 Google Security Command Center 整合服務,請完成下列步驟:
在 Google SecOps SOAR 控制台中,前往「Marketplace」,然後按一下「Integrations」。
搜尋「Google Security Command Center」整合服務,然後按一下「升級至 VERSION_NUMBER」。
處理調查結果和資產
Google SecOps SOAR 會使用連接器,將各種資料來源的快訊擷取到平台中。
在 Google SecOps SOAR 中擷取 Security Command Center 快訊以進行分析
您必須設定連接器,才能從 Security Command Center 提取有關發現項目的資訊。如要設定連接器,請參閱「擷取資料 (連接器)」。
在 Google SecOps SOAR 中設定下列參數,以設定 Google Security Command Center - Findings 連接器。
| 參數 | 類型 | 預設值 | 必填 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 要擷取產品欄位名稱的來源欄位名稱。 |
| 事件欄位名稱 | 字串 | 類型 | 是 | 要擷取事件欄位名稱的來源欄位名稱。 |
| 環境欄位名稱 | 字串 | 空白 | 否 | 儲存環境名稱的欄位名稱。 如未指定環境欄位名稱,系統會選取預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要在「環境欄位名稱」欄位中找到的值上執行的規則運算式模式。預設值為 .*,可擷取所有內容並傳回未變更的值。這個參數可讓使用者透過規則運算式邏輯操控環境欄位。如果規則運算式模式為空值或空白,或環境值為空值,系統會選取預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | 是 | Security Command Center 執行個體的 API 根目錄。例如:securitycenter.googleapis.com。 |
|
| 機構 ID | 字串 | 否 | 應在 Google Security Command Center 整合中使用的機構 ID。 | |
| 使用者服務帳戶 | 密碼 | 是 | 您在「建立服務帳戶並授予 IAM 角色」中建立的服務帳戶。如果您是在地端環境中代管 Google SecOps SOAR,請提供服務帳戶金鑰 ID 和服務帳戶 JSON 檔案的所有內容。 | |
| 尋找課程篩選器 | CSV | 威脅、安全漏洞、設定錯誤、SCC_Error、觀察 | 否 | 尋找應擷取的類別。可能的值包括:
|
| 要擷取的最低嚴重程度 | 字串 | 高 | 否 | 用於擷取結果的最低嚴重性。可能的值包括:
|
| 可倒轉的小時數上限 | 整數 | 1 | 否 | 要擷取發現項目的時數。上限為 24。 |
| 要擷取的調查結果數量上限 | 整數 | 100 | 否 | 每個連接器疊代要處理的發現項目數量。上限為 1000。 |
| 將動態清單做為排除清單 | 核取方塊 | 已停用 | 是 | 啟用動態清單做為排除清單。 |
| 驗證 SSL | 核取方塊 | 已停用 | 是 | 啟用後,系統會驗證連線至 Security Command Center 伺服器的 SSL 憑證是否有效。 |
| Proxy 伺服器位址 | 字串 | 否 | 要使用的 Proxy 伺服器位址。 | |
| Proxy 使用者名稱 | 字串 | 否 | 用於驗證的 Proxy 使用者名稱。 | |
| Proxy 密碼 | 密碼 | 否 | 用於驗證的 Proxy 密碼。 |
豐富素材資源
如要啟用安全調查,Google Security Operations 會從不同來源擷取情境資料、分析資料,並提供客戶環境中構件的額外情境資訊。
如要使用 Security Command Center 的資訊擴充資產,請在 Google SecOps SOAR 的應對手冊中新增「擴充資產」動作,然後執行應對手冊。詳情請參閱「新增動作」。
如要設定這項動作,請設定下列參數:
| 參數 | 類型 | 預設值 | 必填 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
列出快訊安全漏洞
如要列出 Security Command Center 中與實體相關的安全性弱點,請將「列出資產安全性弱點」動作新增至 Google Security Operations SOAR 的應對手冊,然後執行該應對手冊。詳情請參閱「新增動作」。
如要設定這項動作,請設定下列參數:
| 參數 | 類型 | 預設值 | 必填 | 說明 |
|---|---|---|---|---|
| 資產資源名稱 | CSV | 是 | 指定要傳回資料的資產資源名稱清單 (以半形逗號分隔)。 | |
| 時間範圍 | DDL | 不限時間 | 否 | 指定安全漏洞或錯誤設定的搜尋時間範圍。可能的值包括:
|
| 記錄類型 | DDL | 安全漏洞 + 設定錯誤 | 否 | 指定應傳回的記錄類型。可能的值包括:
|
| 輸出類型 | DDL | 統計資料 | 否 | 指定資產的 JSON 結果應傳回的輸出類型。可能的值包括:
|
| 要傳回的記錄數量上限 | 字串 | 100 | 否 | 指定每個資產的每種記錄類型要傳回的記錄數量。 |
更新發現項目
如要在 Security Command Center 中更新發現項目,請在 Google SecOps SOAR 的劇本中新增更新發現項目動作,然後執行劇本。詳情請參閱「新增動作」
如要設定這項動作,請設定下列參數:
| 參數 | 類型 | 預設值 | 必填 | 說明 |
|---|---|---|---|---|
| 發現項目名稱 | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
是 | 指定要更新的發現項目名稱清單 (以半形逗號分隔)。 |
| 忽略狀態 | DDL | 否 | 指定發現項目的忽略狀態。可能的值包括:
|
|
| 狀態 | DDL | 否 | 指定發現項目的狀態。可能的值包括:
|