Security Command Center-Tools einrichten

>

Auf dieser Seite wird beschrieben, wie Sie Ihr Google Cloud-Projekt für die Installation des Security Command Center Tools-Anwendungspakets vorbereiten. Diese Anwendungen bieten neue Funktionen, die zeigen, wie Sie Security Command Center in Ihrer Organisation nutzen können.

Diese Anwendungen zeigen, wie Einbindungen oder Add-ons auf der Security Command Center-Plattform entwickelt werden. Diese Beispielanwendungen sind insbesondere für Entwickler von Drittanbieter-Sicherheitslösungen oder für Entwickler nützlich, die spezifischere Informationen für ihre Organisation benötigen.

Überblick

Das Security Command Center-Toolpaket enthält die folgenden Komponenten:

Hallo Welt

Hello World ist eine kleine Beispielanwendung, die die Security Command Center API aufruft, um die Assets einer Organisation oder eines Sicherheitsanbieters abzurufen. Diese Anwendung nutzt Cloud Functions zur Integration in Security Command Center APIs und löst Sicherheitsworkflows basierend auf Abfragen von Security Command Center aus:

  • Abfrageparameter und -ergebnisse protokollieren.
  • Firewallregeln, die SSH-Verbindungen zu einer Instanz zulassen deaktivieren.
  • Zugriff auf einen Cloud Storage-Bucket entfernen.
  • Einen Snapshot für jedes Laufwerk erstellen, das zu einer Instanz gehört.

Hello World enthält auch eine kleine Bibliothek mit Cloud Functions-Beispielfunktionen, mit denen Sie die folgenden Aktionen mit Pub/Sub-Nachrichten programmatisch auslösen können:

  • Firewall reparieren
  • Snapshot-VM
  • Bucket-ACL ändern

Sie können den Hello World-Anwendungscode als Ausgangspunkt für andere Verhaltensweisen verwenden, wie z. B.:

  • Mit Cloud Scheduler können Sie regelmäßig ein Pub/Sub-Thema aufrufen und einen Sicherheitsworkflow auslösen.
  • Speichern Sie Abfrageergebnisse in einer Datenbank oder senden Sie sie als Benachrichtigung an ein anderes System.
  • Fügen Sie eine neue Cloud Functions-Funktion hinzu, um eine weitere Google API aufzurufen.

Wenn Sie proaktive Benachrichtigungen erhalten möchten, können Sie das allgemein verfügbare Feature „Benachrichtigungen“ von Security Command Center anstelle der Beispiele „Creator“ und „Notifier“ auf dieser Seite nutzen.

Benachrichtigungen

Die Beispielanwendung „Alerts“ enthält ein Codebeispiel für das Herstellen einer Verbindung zu einem Pub/Sub-Benachrichtigungsthema für die Security Command Center API. Diese Beispielanwendung umfasst auch Anleitungen dazu, wie Sie eine Verbindung herstellen, Benachrichtigungen erhalten und diese Benachrichtigungen dann an mehrere externe Systeme weiterleiten können.

Beispiele für externe Systeme:

  • SendGrid: für E-Mail-Nachrichten
  • Twilio: für SMS-Nachrichten
  • Jira: zum Erstellen von Bugs
  • Slack: für Instant-Messaging
  • Hangouts Chat: für Instant-Messaging

Ersteller

Es empfiehlt sich, das integrierte Feature Benachrichtigungen zu verwenden, um Benachrichtigungen aus Security Command Center zu verwalten.

Die Beispielanwendung „Creator“ fragt die Security Command Center-Daten in regelmäßigen Abständen ab und sendet die Ergebnisse an ein Pub/Sub-Benachrichtigungsthema. Die Anwendung „Creator“ enthält Beispiele für die Verwendung der Parameter filter, readTime und compareDuration der Security Command Center API.

Notifier

Anstatt die Beispielanwendung "Notifier" zu verwenden, nutzen Sie am besten die Beispielanwendung "Alerts" auf dieser Seite, die direkt mit der Funktion der Benachrichtigungen der Security Command Center API funktioniert.

Das Security Command Center-Toolpaket enthält die Beispielanwendung „Notifier“ mit ähnlichen Funktionen, unabhängig von der Security Command Center API. Die Anwendung „Notifier“ abonniert ein Pub/Sub-Benachrichtigungsthema und sendet Benachrichtigungen an einen konfigurierten Kanal wie E-Mail oder SMS. Die Anwendung „Notifier“ bezieht sich auf Ergebnisse der Security Command Center-Abfrage von anderen Anwendungen wie „Creator“ und „Query Builder“.

Sie können Ihre eigene Anwendung entwickeln, um das gleiche Pub/Sub-Thema für Benachrichtigungen zu abonnieren und festzulegen, wie Sie Nachrichten erhalten. Sie können die Ergebnisse beispielsweise verarbeiten und an eines der internen Systeme Ihrer Organisation senden oder die Ergebnisse zur weiteren Analyse in einer von Ihnen angegebenen Datenbank speichern.

Query Builder

Mit der Anwendung „Query Builder“ können Sie erweiterte mehrstufige Abfragen von Security Command Center-Daten über die Benutzeroberfläche einer Webanwendung erstellen und planen. Abfrageergebnisse können an ein Pub/Sub-Benachrichtigungsthema gesendet und dann von anderen Anwendungen verwendet werden. Sie können Query Builder auch so konfigurieren, dass in Security Command Center Sicherheitsmarkierungen zu Abfrageergebnissen hinzugefügt werden.

Sie können beispielsweise eine Abfrage planen, um regelmäßig nach Netzwerk-Firewalls zu suchen, in denen Port 22 zugelassen ist. Sie können dann mit Query Builder die Ergebnisse in Security Command Center markieren und Ihr Sicherheitsteam benachrichtigen, damit es entsprechende Maßnahmen ergreifen kann.

Audit-Logs

Die Anwendung „Audit Logs“ kann Cloud-Audit-Logs über Exportsenken aufnehmen und Sicherheitsergebnisse in Security Command Center erstellen. Diese Anwendung umfasst die Einbindung von Access Transparency-Benachrichtigungen und Warnungen zu Binärautorisierungen für blockierte Bereitstellungen und Break-Glass-Szenarien. Die Anwendung „Audit Logs“ ist ein Streaming-Dataflow-Job. Bei Verwendung der Anwendung „Audit Logs“ fallen Gebühren für Dataflow-Preise an.

Diese Anwendung erstellt einzelne und aggregierte Logtypen:

  • Einzelne Logtypen erstellen für jedes gefundene Ergebnis ein Security Command Center:
    • Binärautorisierung von Google Kubernetes Engine
    • Access Transparency
    • Compute Engine
    • Cloud Storage
    • Dienstnetzwerk
  • Aggregierte Logtypen gruppieren die Ergebnisse innerhalb eines Dataflow-Zeitraums und erstellen dann ein Security Command Center-Ergebnis:
    • Identitäts- und Zugriffsverwaltung

Splunk Connector

Die Splunk Connector-App verwendet die Security Command Center API, um die Assets und Ergebnisse einer Organisation zu exportieren. Sie können die Anwendung so konfigurieren, dass Daten aus Security Command Center gefiltert werden, um die exportierten Daten einzuschränken. Sie können beispielsweise nur nach Ergebnissen eines bestimmten Typs suchen. Die Anwendung wird nach einem Zeitplan ausgeführt und liefert die Ergebnisse an ein Pub/Sub-Thema, das mit einem Splunk Server-Add-on verbunden ist.

Skripts einrichten

Das Security Command Center-Toolspaket enthält eine Reihe von Begleitskripts und -funktionen. Die Skripts und Dienstprogramme werden während der Installation verwendet, um die erforderliche Google Cloud-Infrastruktur für jede Anwendung zu erstellen und die Anwendungen bereitzustellen.

Diese Skripts führen beispielsweise folgende Aufgaben aus:

  • Projekte erstellen
  • Dienstkonten erstellen
  • SSL-Zertifikate generieren
  • Apps bereitstellen

In diesem Leitfaden wird beschrieben, wie Sie die Befehle zum Installieren der Security Command Center-Tools mithilfe von Einrichtungsskripts ausführen.

Abbildung 1 bietet einen allgemeinen Überblick über die Security Command Center-Tools, ohne die Einrichtungsskripts:

Übersicht über die Security Command Center-Tools.
Abbildung 1: Übersicht der Security Command Center-Tools mit einer Beschreibung der Interaktion der einzelnen Tools mit Security Command Center.

Hinweis

Zum Durcharbeiten dieser Anleitung benötigen Sie Folgendes:

  • Eine aktive Google Cloud-Organisation, in der Security Command Center aktiviert ist.
  • Ein aktives Cloud-Rechnungskonto.
  • Die Projekt-ID, mit der Sie auf die Security Command Center API zugreifen möchten. Für dieses Projekt muss die securitycenter.googleapis.com API aktiviert sein.
  • Die folgenden IAM-Rollen (Identity and Access Management) auf Organisationsebene:
    • Rechnungskontonutzer – roles/billing.user
    • DNS-Administrator – roles/dns.admin
    • Organisationsadministrator – roles/resourcemanager.organizationAdmin
    • Administrator für Organisationsrollen – roles/iam.organizationRoleAdmin
    • Organisationsrollen-Betrachter – roles/iam.organizationRoleViewer
    • Projektersteller – roles/resourcemanager.projectCreator
    • Pub/Sub-Publisher – roles/pubsub.publisher
    • Sicherheitscenter-Administrator – roles/securitycenter.admin
    • Dienstkontoadministrator – roles/iam.serviceAccountAdmin
    • Schlüsseladministrator des Dienstkontos – roles/iam.serviceAccountKeyAdmin
    • Service Management-Administrator – roles/servicemanagement.admin

Command Center-Tools installieren

Führen Sie zum Installieren der Security Command Center-Tools die folgenden Schritte aus, um Ihre Umgebung vorzubereiten. Nachdem Sie diese Anleitung abgeschlossen haben, können Sie jedes Tool unabhängig voneinander installieren. Dazu befolgen Sie die README-Datei des Tools.

Zum Installieren der Tools müssen Sie Cloud Shell verwenden. Cloud Shell bietet Ihnen direkt über den Browser Befehlszeilenzugriff auf Ihre Google Cloud-Ressourcen.

Tool-Paket abrufen

Laden Sie das Toolpaket mit den folgenden Befehlen herunter und richten Sie ein Arbeitsverzeichnis ein:

  1. Wechseln Sie zur Cloud Console.
    Zur Seite der Cloud Console
  2. Klicken Sie auf Google Cloud Shell aktivieren.
  3. Rufen Sie den Namen der Version des Toolpakets ab, die Sie verwenden möchten. Die Tools werden mit einem Zeitstempel gespeichert, sodass Sie die Inhalte des Cloud Storage-Buckets anzeigen müssen.

       # list available versions
       gsutil ls gs://cloud-scc-beta-example-apps-download/
    
  4. Legen Sie Umgebungsvariablen für Ihr Arbeitsverzeichnis und die Version der Tools fest, die Sie herunterladen möchten.

    1. Releaseversion des Security Command Center-Tools:

        # the Cloud SCC tools release version you want to download, for example 3.4.0
        export VERSION=release-version
      
    2. Der Dateiname für die Toolversion:

        # the filename for the tools version you want to download,
        # for example 3.4.0-20190418T152241Z-001.zip
        export FILENAME=filename
      
    3. Der Pfad zu Ihrem Arbeitsverzeichnis:

        # directory to unzip the installation zip files
        export WORKING_DIR=${HOME}/scc-tools-install
      
  5. Erstellen Sie Ihr Arbeitsverzeichnis:

       # create the working directory
       mkdir $WORKING_DIR
    
  6. Wechseln Sie in das Arbeitsverzeichnis:

       # go to the working directory
       cd $WORKING_DIR
    
  7. Führen Sie folgenden Befehl aus, um die Security Command Center-Tooldateien herunterzuladen:

       gsutil cp gs://cloud-scc-beta-example-apps-download/${FILENAME} .
    
  8. Entpacken Sie die Security Command Center-Tooldateien:

       unzip -qo ${FILENAME} -d .
    
  9. Laden Sie die README-Datei herunter, die in den entpackten Tooldateien enthalten ist:

       cloudshell download ${VERSION}/README-${VERSION}.pdf
    
  10. Schließen Sie die Einrichtung ab. Dafür folgen Sie den Schritten in README-version.pdf, den Sie heruntergeladen haben.

Nachdem Sie die README-Datei abgeschlossen haben, befolgen Sie die Installationsanleitungen, um die gewünschten Security Command Center-Tools zu installieren.

Installationsanleitungen

Das heruntergeladene Toolpaket enthält eine README-Datei mit Installationsanleitungen für die einzelnen Anwendungen. Führen Sie cloudshell download readme im Verzeichnis der Tooldatei aus, um eine README-Datei zu erhalten. Dabei ist readme der Name der Tool-README-Datei, die Sie herunterladen möchten:

  • Hello World: scc-hello-world-README-${VERSION}.pdf
  • Veranstalter: scc-creator-README-${VERSION}.pdf
  • Query Builder: scc-query-builder-README-${VERSION}.pdf
  • Notifier: scc-notifier-README-${VERSION}.pdf
  • Audit-Logs: scc-audit-logs-README-${VERSION}.pdf
  • Splunk Connector: scc-connector-README-${VERSION}.pdf

Nachdem Sie eine Anwendung installiert haben, lesen Sie die zugehörigen Informationen im Nutzerhandbuch. Führen Sie cloudshell download user-guide im Verzeichnis der Tooldatei aus, um ein Nutzerhandbuch abzurufen. Dabei ist user-guide der Name des Tool-Nutzerhandbuchs, das Sie herunterladen möchten:

  • Hello World: scc-hello-world-USER_GUIDE-${VERSION}.pdf
  • Veranstalter: scc-creator-USER_GUIDE-${VERSION}.pdf
  • Query Builder: scc-query-builder-USER_GUIDE-${VERSION}.pdf
  • Notifier: scc-notifier-USER_GUIDE-${VERSION}.pdf
  • Audit-Logs: scc-audit-logs-USER_GUIDE-${VERSION}.pdf
  • Splunk Connector: scc-connector-USER_GUIDE-${VERSION}.pdf