Security Command Center-Tools einrichten

>

Auf dieser Seite erfahren Sie, wie Sie Ihr Google Cloud-Projekt auf die Installation des Anwendungspakets für die Security Command Center-Tools vorbereiten. Diese Anwendungen fügen neue Funktionen hinzu, die zeigen, wie Sie das Security Command Center in Ihrer Organisation verwenden können.

Diese Anwendungen zeigen, wie Sie Integrationen oder Add-ons für die Security Command Center-Plattform entwickeln. Wenn Sie Entwickler von Sicherheitslösungen von Drittanbietern sind oder mehr für Ihre Organisation benötigen, sind diese Beispielanwendungen möglicherweise besonders nützlich.

Überblick

Das Paket "Security Command Center" umfasst folgende Komponenten:

Hallo Welt

Hello World ist eine kleine Beispielanwendung, die die Security Command Center API aufruft, um die Assets einer Organisation oder eines Sicherheitsanbieters abzurufen. Diese Anwendung verwendet Cloud Functions zum Einbinden in Security Command Center APIs und löst Sicherheitsworkflows basierend auf Security Command Center-Abfragen aus:

  • Abfrageparameter und -ergebnisse protokollieren.
  • Firewallregeln, die SSH-Verbindungen zu einer Instanz zulassen deaktivieren.
  • Zugriff auf einen Cloud Storage-Bucket entfernen.
  • Einen Snapshot für jedes Laufwerk erstellen, das zu einer Instanz gehört.

Hello World enthält auch eine kleine Bibliothek mit Cloud Functions-Beispielfunktionen, mit denen Sie die folgenden Aktionen mit Pub/Sub-Nachrichten programmatisch auslösen können:

  • Firewall reparieren
  • Snapshot-VM
  • Bucket-ACL ändern

Sie können den Hello World-Anwendungscode als Ausgangspunkt für andere Verhaltensweisen verwenden, wie z. B.:

  • Verwenden Sie Cloud Scheduler, um regelmäßig ein Pub/Sub-Thema aufzurufen und einen Sicherheitsworkflow auszulösen.
  • Abfrageergebnisse in einer Datenbank speichern oder als Benachrichtigung an ein anderes System senden
  • Fügen Sie eine neue Cloud Functions-Funktion hinzu, um eine andere Google API aufzurufen.

Wenn Sie proaktive Benachrichtigungen erhalten möchten, enthält Security Command Center eine allgemein verfügbare Benachrichtigungsfunktion, die Sie anstelle der Beispiele für Creator und Notifier auf dieser Seite verwenden können.

Benachrichtigungen

Die Beispiel-Anwendung für Benachrichtigungen zeigt ein Codebeispiel, wie Sie eine Verbindung zu einem Pub/Sub-Thema mit Security Command Center API-Benachrichtigungen herstellen. In dieser Beispielanwendung wird auch beschrieben, wie Sie eine Verbindung herstellen, Benachrichtigungen empfangen und anschließend als Benachrichtigungen an mehrere externe Systeme weiterleiten können.

Beispiele für externe Systeme:

  • SendGrid: für E-Mail-Nachrichten
  • Twilio: für SMS-Nachrichten
  • Jira: zum Erstellen von Bugs
  • Slack: für Instant-Messaging
  • Hangouts Chat: für Instant-Messaging

Ersteller

Sie sollten Benachrichtigungen über das integrierte Command Center mit der Funktion Benachrichtigungen verwalten.

Die Creator-Beispielanwendung fragt regelmäßig Security Command Center-Daten ab und sendet die Ergebnisse an ein Pub/Sub-Thema für Benachrichtigungen. Die Ersteller-Anwendung enthält Beispiele für die Verwendung der Parameter filter, readTime und compareDuration der Security Command Center API.

Notifier

Anstatt die Beispielanwendung "Notifier" zu verwenden, nutzen Sie am besten die Beispielanwendung "Alerts" auf dieser Seite, die direkt mit der Funktion der Benachrichtigungen der Security Command Center API funktioniert.

Das Paket der Security Command Center-Tools enthält eine Notifier-Beispielanwendung, die ähnliche Funktionen bietet, die von der Security Command Center API getrennt sind. Die Notifier-App abonniert ein Benachrichtigungs-Pub/Sub-Thema und sendet Benachrichtigungen an einen konfigurierten Kanal, z. B. E-Mail oder SMS. Die Notifier-App bezieht sich auf die Ergebnisse der Security Command Center-Abfrage von anderen Anwendungen, z. B. aus den Ersteller- und Query Builder-Anwendungen.

Sie können Ihre eigene Anwendung entwickeln, um das gleiche Pub/Sub-Thema zu abonnieren und festzulegen, wie Sie mit erhaltenen Nachrichten verfahren werden. Sie können beispielsweise die Ergebnisse verarbeiten und an ein internes System Ihrer Organisation senden oder die Ergebnisse für eine weitere Analyse in einer von Ihnen angegebenen Datenbank speichern.

Query Builder

Mit der Query Builder-App können Sie erweiterte, mehrstufige Abfragen von Security Command Center-Daten über eine Webanwendungsoberfläche erstellen und planen. Abfrageergebnisse können an ein Benachrichtigungs-Pub/Sub-Thema gesendet werden, in dem andere Anwendungen sie verwenden können. Außerdem können Sie Query Builder so konfigurieren, dass Sicherheitsergebnisse in Security Command Center eingefügt werden.

Sie können beispielsweise eine Abfrage planen, um regelmäßig nach Netzwerk-Firewalls mit Port 22 zu suchen. Sie können dann mit Query Builder die Ergebnisse im Security Command Center markieren und Ihr Sicherheitsteam benachrichtigen, damit es entsprechende Maßnahmen ergreifen kann.

Audit-Logs

Die Anwendung Audit-Logs kann Cloud-Audit-Logs über Exportsenken aufnehmen und Sicherheitsergebnisse für Security Command Center erstellen. Diese Anwendung umfasst die Integration von Access Transparency-Benachrichtigungen und Warnungen zu Binärautorisierungen für blockierte Bereitstellungen und Break-Glass-Szenarien. Die Audit-Logs-Anwendung ist ein Streaming-Dataflow-Job. Bei Verwendung der Audit-Logs-Anwendung fallen die Kosten für Dataflow-Preise an.

Diese Anwendung erstellt einzelne und aggregierte Logtypen:

  • Einzelne Logtypen erstellen für jedes gefundene Ergebnis ein Security Command Center:
    • Google Kubernetes Engine-Binärautorisierung
    • Access Transparency
    • Compute Engine
    • Cloud Storage
    • Dienstnetzwerk
  • Aggregierte Logtypen gruppieren die Ergebnisse innerhalb eines Dataflow-Zeitraums und erstellen dann ein Security Command Center-Ergebnis:
    • Identitäts- und Zugriffsverwaltung

Splunk-Connector

Die Splunk Connector-Anwendung verwendet die Security Command Center API, um die Assets und Ergebnisse einer Organisation zu exportieren. Sie können die Anwendung so konfigurieren, dass Daten aus Security Command Center gefiltert werden, um die exportierten Daten einzuschränken. Sie können beispielsweise nur nach Ergebnissen eines bestimmten Typs suchen. Die Anwendung wird nach einem Zeitplan ausgeführt und liefert Ergebnisse an ein Pub/Sub-Thema, das mit einem Splunk Server-Addon verbunden ist.

Setupskripts

Das Security Command Center-Tools-Paket enthält eine Reihe von Begleitskripts und Dienstprogrammen. Die Skripts und Dienstprogramme werden während der Installation verwendet, um die erforderliche Google Cloud-Infrastruktur für jede Anwendung zu erstellen und die Anwendungen bereitzustellen.

Diese Skripts führen unter anderem Folgendes aus:

  • Projekte erstellen
  • Dienstkonten erstellen
  • SSL-Zertifikate generieren
  • Apps bereitstellen

Diese Anleitung enthält ausführliche Anleitungen zum Ausführen der Befehle, um die Security Command Center-Tools mithilfe der Setup-Skripts zu installieren.

Abbildung 1 bietet einen allgemeinen Überblick über die Security Command Center-Tools, ohne die Einrichtungsskripts:

Übersicht über die Security Command Center-Tools.
Abbildung 1: Übersicht der Security Command Center-Tools mit einer Beschreibung der Interaktion der einzelnen Tools mit Security Command Center.

Hinweis

Zum Durcharbeiten dieser Anleitung benötigen Sie Folgendes:

  • Eine aktive Google Cloud-Organisation mit aktiviertem Security Command Center.
  • Ein aktives Cloud-Rechnungskonto.
  • Die Projekt-ID, die Sie für den Zugriff auf die Security Command Center API verwenden möchten. Für dieses Projekt muss die securitycenter.googleapis.com API aktiviert sein.
  • Die folgenden Rollen von Identity and Access Management auf Organisationsebene:
    • Rechnungskontonutzer – roles/billing.user
    • DNS-Administrator – roles/dns.admin
    • Organisationsadministrator – roles/resourcemanager.organizationAdmin
    • Administrator für Organisationsrollen – roles/iam.organizationRoleAdmin
    • Organisationsrollen-Betrachter – roles/iam.organizationRoleViewer
    • Projektersteller – roles/resourcemanager.projectCreator
    • Pub/Sub-Publisher – roles/pubsub.publisher
    • Sicherheitscenter-Administrator – roles/securitycenter.admin
    • Dienstkontoadministrator – roles/iam.serviceAccountAdmin
    • Schlüsseladministrator des Dienstkontos – roles/iam.serviceAccountKeyAdmin
    • Service Management-Administrator – roles/servicemanagement.admin

Command Center-Tools installieren

Um die Security Command Center-Tools zu installieren, führen Sie die folgenden Schritte aus, um Ihre Umgebung vorzubereiten. Wenn Sie diese Anleitung abgeschlossen haben, können Sie jedes Tool unabhängig voneinander installieren. Dazu befolgen Sie die README-Datei des Tools.

Sie müssen Cloud Shell verwenden, um die Tools zu installieren. Cloud Shell bietet Ihnen direkt über Ihren Browser Befehlszeilenzugriff auf Ihre Google Cloud-Ressourcen.

Tool-Paket abrufen

Laden Sie das Tool-Paket mit den folgenden Befehlen herunter und richten Sie ein Arbeitsverzeichnis ein:

  1. Wechseln Sie zur Cloud Console.
    Zur Cloud Console-Seite
  2. Klicken Sie auf Google Cloud Shell aktivieren.
  3. Rufen Sie den Namen der Tools-Version ab, die Sie verwenden möchten. Diese werden mit einem Zeitstempel gespeichert, sodass Sie die Inhalte des Cloud Storage-Buckets anzeigen müssen.

       # list available versions
       gsutil ls gs://cloud-scc-beta-example-apps-download/
    
  4. Legen Sie Umgebungsvariablen für Ihr Arbeitsverzeichnis und die Version der Tools fest, die Sie herunterladen möchten.

    1. Releaseversion des Security Command Center-Tools:

        # the Cloud SCC tools release version you want to download, for example 3.4.0
        export VERSION=release-version
      
    2. Der Dateiname für die Toolversion:

        # the filename for the tools version you want to download,
        # for example 3.4.0-20190418T152241Z-001.zip
        export FILENAME=filename
      
    3. Der Pfad für Ihr Arbeitsverzeichnis:

        # directory to unzip the installation zip files
        export WORKING_DIR=${HOME}/scc-tools-install
      
  5. Erstellen Sie Ihr Arbeitsverzeichnis:

       # create the working directory
       mkdir $WORKING_DIR
    
  6. Gehen Sie zum Arbeitsverzeichnis:

       # go to the working directory
       cd $WORKING_DIR
    
  7. Laden Sie die Tools des Security Command Centers herunter, indem Sie Folgendes ausführen:

       gsutil cp gs://cloud-scc-beta-example-apps-download/${FILENAME} .
    
  8. Entpacken Sie die Dateien der Security Command Center-Tools:

       unzip -qo ${FILENAME} -d .
    
  9. Laden Sie die README-Datei herunter, die in den entpackten Tools enthalten ist:

       cloudshell download ${VERSION}/README-${VERSION}.pdf
    
  10. Schließen Sie die Einrichtung ab. Dafür folgen Sie den Schritten in README-version.pdf, den Sie heruntergeladen haben.

Nachdem Sie die README-Datei durchgearbeitet haben, können Sie mithilfe der Installationsanleitungen eines Tools das Security Command Center installieren.

Installationsanleitungen

Das heruntergeladene Tools-Paket enthält eine README-Datei mit Installationsanleitungen für die einzelnen Anwendungen. Führen Sie zum Abrufen einer README-Datei cloudshell download readme aus dem Dateiverzeichnis für Tools aus, wobei readme der Name der README-Datei ist, die Sie herunterladen möchten:

  • Hello World: scc-hello-world-README-${VERSION}.pdf
  • Veranstalter: scc-creator-README-${VERSION}.pdf
  • Query Builder: scc-query-builder-README-${VERSION}.pdf
  • Notifier: scc-notifier-README-${VERSION}.pdf
  • Audit-Logs: scc-audit-logs-README-${VERSION}.pdf
  • Splunk-Connector: scc-connector-README-${VERSION}.pdf

Weitere Informationen zur Anwendung finden Sie im Nutzerhandbuch. Führen Sie cloudshell download user-guide aus dem Verzeichnis der Tools-Datei aus, um ein Nutzerhandbuch zu erhalten. Dabei ist user-guide der Name des Nutzerhandbuchs für das Tool, das Sie herunterladen möchten:

  • Hello World: scc-hello-world-USER_GUIDE-${VERSION}.pdf
  • Veranstalter: scc-creator-USER_GUIDE-${VERSION}.pdf
  • Query Builder: scc-query-builder-USER_GUIDE-${VERSION}.pdf
  • Notifier: scc-notifier-USER_GUIDE-${VERSION}.pdf
  • Audit-Logs: scc-audit-logs-USER_GUIDE-${VERSION}.pdf
  • Splunk-Connector: scc-connector-USER_GUIDE-${VERSION}.pdf