Como configurar as ferramentas do Security Command Center

>

Nesta página, fornecemos informações sobre como preparar seu projeto do Google Cloud para instalar o pacote de aplicativos de ferramentas do Security Command Center. Esses aplicativos adicionam novas funcionalidades que mostram como você pode usar o Security Command Center na sua organização.

Esses aplicativos demonstram como desenvolver integrações ou complementos para a plataforma do Security Command Center. Esses apps de exemplo são especialmente úteis se você é um desenvolvedor de soluções de segurança de terceiros ou precisa de algo mais específico para sua organização.

Visão geral

O pacote de ferramentas do Security Command Center inclui os seguintes componentes:

Hello World

O Hello World é um pequeno app de exemplo que chama a API Security Command Center para coletar recursos de uma organização ou descobertas de provedores de segurança. Este aplicativo usa o Cloud Functions para se integrar com as APIs do Security Command Center e acionar fluxos de trabalho de segurança com base em consultas do Security Command Center:

  • Parâmetros e resultados da consulta de registro.
  • Desative as regras de firewall que permitem conexões SSH com uma instância.
  • Remover o acesso a um bucket do Cloud Storage.
  • Crie um snapshot para cada disco que pertence a uma instância.

O Hello World também inclui uma pequena biblioteca de exemplos do Cloud Functions que permite acionar programaticamente as seguintes ações com mensagens do Pub/Sub:

  • Reparar firewall
  • VM do snapshot
  • Alterar ACL do bucket

Você pode usar o código do app Hello World como ponto de partida para outros comportamentos, como:

  • Use o Cloud Scheduler para chamar periodicamente um tópico do Pub/Sub e acionar um fluxo de trabalho de segurança.
  • Armazenar os resultados da consulta em um banco de dados ou enviá-los para outro sistema como notificação.
  • Adicione uma nova função do Cloud Functions para chamar outra API do Google.

Caso queira receber alertas proativos, o Security Command Center inclui um recurso de Notificações geralmente disponível que você pode usar em vez dos exemplos de Criador e Notificador nesta página.

Alertas

No aplicativo de exemplo Alertas, há um exemplo de código de como se conectar a um tópico Pub/Sub de notificações da API Security Command Center. Este aplicativo de exemplo também inclui como você pode se conectar, receber notificações e, em seguida, encaminhar as notificações como alertas para vários sistemas externos.

Exemplos de sistemas externos incluem:

  • SendGrid: para mensagens de e-mail
  • Twilio: para mensagens SMS
  • Jira: para criação de problemas
  • Slack: para mensagens instantâneas
  • Hangouts Chat: para mensagens instantâneas

Criador

É melhor usar o recurso integrado Notificações para gerenciar notificações do Security Command Center.

O app de exemplo Criador cria consultas dos dados do Security Command Center em intervalos regulares e envia os resultados para um tópico de Notificações do Pub/Sub. O aplicativo Criador fornece exemplos de como usar os parâmetros filter, readTime e compareDuration da API Security Command Center.

Notificador

Em vez de usar o aplicativo de exemplo Notificador, é melhor usar o aplicativo de exemplo Alertas nesta página, que funciona diretamente com o recurso Notificações da API do Security Command Center.

O pacote de ferramentas do Security Command Center inclui um aplicativo de exemplo do Notificador que oferece funcionalidade semelhante, separado da API Security Command Center. O app Notificador assina um tópico de notificações do Pub/Sub e envia notificações para um canal configurado, como e-mail ou SMS. O aplicativo Notificador se refere aos resultados da consulta do Security Command Center de outros aplicativos, como os aplicativos Criador e Criador de consultas.

É possível desenvolver seu próprio aplicativo para assinar o mesmo tópico do Pub/Sub de notificações e personalizar a maneira como você processa as mensagens recebidas. Por exemplo, você pode processar os resultados e enviá-los a um dos sistemas internos da sua organização ou armazená-los para análise posterior em um banco de dados especificado.

Criador de consultas

O aplicativo Criador de consultas permite criar e programar consultas avançadas em várias etapas nos dados do Security Command Center usando uma interface de aplicativo da Web. É possível enviar os resultados da consulta a um tópico das notificações do Pub/Sub, em que outros aplicativos podem consumir esses resultados. Também é possível configurar o Criador de consultas para adicionar marcações de segurança do Security Command Center aos resultados da consulta.

Por exemplo, você pode programar uma consulta para procurar periodicamente firewalls de rede com a porta 22 permitida. Você pode usar o Criador de consultas para marcar os resultados no Security Command Center e notificar sua equipe de segurança para que eles possam tomar as ações apropriadas.

Registros de auditoria

O aplicativo de registros de auditoria pode ingerir registros do Cloud Audit Logs através de coletores de exportação e criar descobertas de segurança do Security Command Center. Esse aplicativo inclui a integração de alertas de transparência no acesso e alertas de autorização binária para implantações bloqueadas e cenários do de acesso imediato. O aplicativo de registros de auditoria é um job de streaming do Dataflow. O uso dos registros de auditoria gera cobranças de acordo com os preços do Dataflow.

Este aplicativo cria tipos de registro único e agregado:

  • Os tipos de registro único criam uma descoberta do Security Command Center para cada ocorrência encontrada:
    • Autorização binária do Google Kubernetes Engine
    • Transparência no acesso
    • Compute Engine
    • Cloud Storage
    • Service Networking
  • Os tipos de registro agregados agrupam as descobertas em um período do Dataflow e criam uma descoberta do Security Command Center:
    • Identity and Access Management (IAM)

Splunk Connector

O aplicativo Splunk Connector usa a API Security Command Center para exportar os recursos e as descobertas de uma organização. É possível configurar o aplicativo para filtrar os dados do Security Command Center para limitar os dados exportados. Por exemplo, é possível pesquisar apenas as descobertas de um tipo específico. O app é executado em uma programação e envia os resultados para um tópico do Pub/Sub conectado a um complemento do servidor do Splunk.

Scripts de configuração

O pacote de ferramentas do Security Command Center inclui um conjunto de scripts e utilitários complementares. Os scripts e utilitários são usados durante a instalação para criar a infraestrutura necessária do Google Cloud para cada aplicativo e ajudar na implantação dos aplicativos.

Esses scripts fazem o seguinte:

  • Criar projetos
  • Criar contas de serviço
  • Gerar certificados SSL
  • Implantar apps

Este guia inclui instruções detalhadas sobre como executar os comandos para instalar as ferramentas do Security Command Center usando os scripts de configuração.

A Figura 1 apresenta uma visão geral de alto nível das ferramentas do Security Command Center, sem incluir os scripts de configuração:

Diagrama de visão geral do Security Command Center.
Figura 1. Diagrama das ferramentas do Security Command Center com uma descrição de como cada ferramenta interage com o Security Command Center.

Antes de começar

Para concluir este guia, você precisa do seguinte:

  • Uma organização ativa do Google Cloud com o Security Command Center ativado.
  • Uma conta de faturamento do Cloud ativa.
  • O ID do projeto que você quer usar para acessar a API Security Command Center. A API securitycenter.googleapis.com precisa estar ativada neste projeto.
  • Os papéis do gerenciamento de identidade e acesso a seguir no nível da organização:
    • Usuário da conta de faturamento - roles/billing.user
    • Administrador do DNS - roles/dns.admin
    • Administrador da organização - roles/resourcemanager.organizationAdmin
    • Administrador de papéis da organização - roles/iam.organizationRoleAdmin
    • Leitor de papel da organização - roles/iam.organizationRoleViewer
    • Criador do projeto - roles/resourcemanager.projectCreator
    • Divulgador do Pub/Sub - roles/pubsub.publisher
    • Administrador da Central de segurança - roles/securitycenter.admin
    • Administrador de contas de serviço - roles/iam.serviceAccountAdmin
    • Administrador da chave da conta de serviço - roles/iam.serviceAccountKeyAdmin
    • Administrador do Service Management - roles/servicemanagement.admin

Como instalar as ferramentas do Security Command Center

Para instalar as ferramentas do Security Command Center, conclua as etapas abaixo para preparar seu ambiente. Depois de concluir este guia, instale cada ferramenta de maneira independente seguindo o README que está incluído na ferramenta.

É necessário usar o Cloud Shell para instalar as ferramentas. O Cloud Shell oferece acesso de linha de comando aos seus recursos do Google Cloud diretamente no navegador.

Receber o pacote de ferramentas

Execute os seguintes comandos para fazer o download do pacote de ferramentas e configurar um diretório de trabalho:

  1. Acesse o Console do Cloud.
    Acessar a página do Console do Cloud
  2. Clique em Ativar o Cloud Shell.
  3. Receba o nome da versão das ferramentas que você quer usar. Eles são armazenados com um carimbo de data/hora. Portanto, você precisa exibir o conteúdo do bucket do Cloud Storage.

       # list available versions
       gsutil ls gs://cloud-scc-beta-example-apps-download/
    
  4. Defina variáveis de ambiente para o diretório de trabalho e a versão das ferramentas que você quer fazer o download.

    1. A versão da versão do Security Command Center:

        # the Cloud SCC tools release version you want to download, for example 3.4.0
        export VERSION=release-version
      
    2. O nome do arquivo da versão das ferramentas:

        # the filename for the tools version you want to download,
        # for example 3.4.0-20190418T152241Z-001.zip
        export FILENAME=filename
      
    3. O caminho para o diretório de trabalho:

        # directory to unzip the installation zip files
        export WORKING_DIR=${HOME}/scc-tools-install
      
  5. Crie o diretório de trabalho:

       # create the working directory
       mkdir $WORKING_DIR
    
  6. Acesse o diretório de trabalho:

       # go to the working directory
       cd $WORKING_DIR
    
  7. Faça o download dos arquivos de ferramentas do Security Command Center executando:

       gsutil cp gs://cloud-scc-beta-example-apps-download/${FILENAME} .
    
  8. Descompacte os arquivos das ferramentas do Security Command Center:

       unzip -qo ${FILENAME} -d .
    
  9. Faça o download do arquivo README incluído nos arquivos de ferramentas que você descompactou:

       cloudshell download ${VERSION}/README-${VERSION}.pdf
    
  10. Conclua a configuração seguindo as etapas no arquivo README-version.pdf que você baixou.

Depois de concluir o README, você estará pronto para instalar qualquer uma das ferramentas do Security Command Center usando os guias de instalação da ferramenta.

Guias de instalação

O pacote de ferramentas que você baixou contém um README que inclui instruções de instalação para cada aplicativo. Para conseguir um README, execute cloudshell download readme no diretório de arquivos de ferramentas, em que readme é o nome do arquivo README que você quer fazer o download:

  • Hello World: scc-hello-world-README-${VERSION}.pdf
  • Criador: scc-creator-README-${VERSION}.pdf
  • Criador de consulta: scc-query-builder-README-${VERSION}.pdf
  • Notificador: scc-notifier-README-${VERSION}.pdf
  • Registros de auditoria: scc-audit-logs-README-${VERSION}.pdf
  • Conector do Splunk: scc-connector-README-${VERSION}.pdf

Depois de instalar um app, você encontra mais informações no guia do usuário. Para ver o guia do usuário, execute cloudshell download user-guide no diretório de arquivos das ferramentas, em que user-guide é o nome do guia do usuário das ferramentas que você quer transferir:

  • Hello World: scc-hello-world-USER_GUIDE-${VERSION}.pdf
  • Criador: scc-creator-USER_GUIDE-${VERSION}.pdf
  • Criador de consulta: scc-query-builder-USER_GUIDE-${VERSION}.pdf
  • Notificador: scc-notifier-USER_GUIDE-${VERSION}.pdf
  • Registros de auditoria: scc-audit-logs-USER_GUIDE-${VERSION}.pdf
  • Conector do Splunk: scc-connector-USER_GUIDE-${VERSION}.pdf