设置 Security Command Center 工具

>

本页面介绍了如何准备 Google Cloud 项目以安装 Security Command Center 工具应用文件包。这些应用添加了新功能,介绍如何在您的组织中使用 Security Command Center。

这些应用演示了如何开发 Security Command Center 平台的集成或插件。如果您是第三方安全解决方案开发者,或者需要为您的组织带来更具体的方面,您可能会发现这些示例应用特别有用。

概览

Security Command Center 工具文件包包含以下组件:

Hello World

Hello World 是一个小型示例应用,其调用 Security Command Center API 以获取组织的资源或安全提供程序发现结果。此应用使用 Cloud Functions 与 Security Command Center API 集成,并根据 Security Command Center 查询触发安全工作流:

  • 日志查询参数和结果。
  • 停用允许连接到实例的 SSH 连接的防火墙规则。
  • 移除对 Cloud Storage 存储分区的访问权限。
  • 为属于某个实例的每个磁盘创建快照。

Hello World 还包含一个小型 Cloud Functions 示例库,使您能够以编程方式使用 Pub/Sub 消息触发以下操作:

  • 修复防火墙
  • 快照虚拟机
  • 更改存储分区 ACL

您可以使用 Hello World 应用代码作为其他行为的起点:

  • 使用 Cloud Scheduler 定期调用 Pub/Sub 主题并触发安全工作流。
  • 将查询结果存储在数据库中,或将其作为通知发送到其他系统。
  • 添加新的 Cloud Functions 函数以调用其他 Google API。

如果您想要接收主动提醒,则 Security Command Center 包含一个常规的 通知 功能,您可以使用本页中的 Creator 和 Notifier 示例。

提醒

Alerts 示例应用提供了一个代码示例关于如何连接到 Security Command Center API Notifications Pub/Sub 主题。此外,此示例应用还展示了如何连接、接收通知、将通知作为提醒发送到多个外部系统。

外部系统示例包括:

  • SendGrid:用于电子邮件
  • Twilio:用于短信
  • Jira:用于创建问题
  • Slack:用于即时通讯
  • Hangouts Chat:用于即时通讯

创建者

最好使用内置 通知 功能来管理来自 Security Command Center 的通知。

Creator 示例应用会定期查询 Security Command Center 数据,并将结果发送到通知 Pub/Sub 主题。Creator 应用提供了有关如何使用 Security Command Center APIfilterreadTimecompareDuration 参数的示例。

通知程序

您最好使用本页中的提醒示例应用,而不是使用通知示例应用,它可以直接使用 Security Command Center API 通知功能。

Security Command Center 工具文件包包含一个通知程序示例应用,该应用提供独立于 Security Command Center API 的类似功能。通知程序应用会订阅通知 Pub/Sub 主题,并向已配置的渠道发送通知,例如电子邮件或短信。通知应用指的是其他应用(例如 Creator 和 Query Builder 应用)的 Security Command Center 查询结果。

您可以开发自己的应用以订阅相同的通知 Pub/Sub 主题,并自定义如何处理收到的消息。例如,您可以处理结果并将其发送到组织的某个内部系统,或者将结果存储在您指定的数据库中以供进一步分析。

查询构建器

借助查询构建器应用,您可以使用 Web 应用界面在 Security Command Center 数据上创建和安排高级多步骤查询。查询结果可以发送到通知 Pub/Sub 主题,其他应用可以在这些主题中使用这些结果。您还可以配置查询构建器,以向查询结果添加 Security Command Center 安全标记。

例如,您可以计划查询,以便定期查找端口为 22 的网络防火墙。然后,您可以使用查询构建器在 Security Command Center 中标记结果并通知安全团队,以便他们采取适当的措施。

审核日志

审核日志应用可以通过导出接收器提取 Cloud Audit Logs 日志,并创建 Security Command Center 的安全发现结果。此应用集成了针对 Blocked Deployments 和 Break Glass 场景的 Access Transparency 提醒和 Binary Authorization 提醒。审核日志应用是流式 Dataflow 作业。使用审核日志应用按 Dataflow 价格收费。

此应用创建 单一 日志类型和 聚合 日志:

  • 单一日志类型会为每个发现的结果创建 Security Command Center 发现结果:
    • Google Kubernetes Engine 二进制授权
    • 访问透明度
    • Compute Engine
    • Cloud Storage
    • Service Networking
  • 聚合日志类型在 Dataflow 范围内对发现结果进行分组,然后创建一个 Security Command Center 发现结果:
    • 身份和访问权限管理 (IAM)

Splunk 连接器

Splunk Connector 应用使用 Security Command Center API 导出组织的资源和发现结果。您可以将应用配置为过滤 Security Command Center 数据,以限制导出的数据。例如,您可以仅搜索特定类型的发现结果。该应用按时间表运行,并将结果传递给连接到 Splunk Server Addon 的 Pub/Sub 主题。

设置脚本

Security Command Center 工具包包含一组配套脚本和实用程序。这些脚本和实用程序在安装过程中用于为每个应用创建必要的 Google Cloud 基础架构并帮助部署应用。

这些脚本可执行以下操作:

  • 创建项目
  • 创建服务帐号
  • 生成 SSL 证书
  • 部署应用

本指南详细介绍了如何使用设置脚本执行命令以安装 Security Command Center 工具。

图 1 提供 Security Command Center 工具的简要概览,不包括设置脚本:

Security Command Center Tools 概览图。
图 1:Security Command Center 工具示意图,其中包含每个工具如何与 Security Command Center 交互。

准备工作

如需完成本指南,您需要以下各项:

  • 启用了 Security Command Center 的活跃 Google Cloud 组织
  • 活跃的 Cloud Billing 帐号
  • 用于访问 Security Command Center API 的项目 ID。此项目必须启用 securitycenter.googleapis.com API。
  • 组织级层的以下身份和访问管理权限 角色
    • Billing Account User roles/billing.user
    • DNS Administrator roles/dns.admin
    • Organization Administrator roles/resourcemanager.organizationAdmin
    • Organization Role Administrator roles/iam.organizationRoleAdmin
    • Organization Role Viewer roles/iam.organizationRoleViewer
    • Project Creator roles/resourcemanager.projectCreator
    • Pub/Sub Publisher roles/pubsub.publisher
    • Security Center Admin roles/securitycenter.admin
    • Service Account Admin roles/iam.serviceAccountAdmin
    • Service Account Key Admin roles/iam.serviceAccountKeyAdmin
    • Service Management Administrator roles/servicemanagement.admin

安装 Security Command Center 工具

如需安装 Security Command Center 工具,请完成以下步骤以准备环境。完成本指南后,您可以按照该工具随附的 README 来单独安装各个工具。

您必须使用 Cloud Shell 来安装工具。利用 Cloud Shell,您可以直接在浏览器中通过命令行访问 Google Cloud 资源。

获取工具文件包

运行以下命令下载工具文件包并设置工作目录:

  1. 转到 Cloud Console。
    转到 Cloud Console 页面
  2. 点击激活 Cloud Shell
  3. 获取您要使用的工具版本的名称。这些内容以时间戳存储,因此您需要显示 Cloud Storage 存储分区内容。

       # list available versions
       gsutil ls gs://cloud-scc-beta-example-apps-download/
    
  4. 为您的工作目录和要下载的工具版本设置环境变量。

    1. Security Command Center 工具发布版本:

        # the Cloud SCC tools release version you want to download, for example 3.4.0
        export VERSION=release-version
      
    2. 工具版本的文件名:

        # the filename for the tools version you want to download,
        # for example 3.4.0-20190418T152241Z-001.zip
        export FILENAME=filename
      
    3. 工作目录的路径:

        # directory to unzip the installation zip files
        export WORKING_DIR=${HOME}/scc-tools-install
      
  5. 创建您的工作目录:

       # create the working directory
       mkdir $WORKING_DIR
    
  6. 转到工作目录:

       # go to the working directory
       cd $WORKING_DIR
    
  7. 运行以下命令下载 Security Command Center 工具文件:

       gsutil cp gs://cloud-scc-beta-example-apps-download/${FILENAME} .
    
  8. 解压缩 Security Command Center 工具文件:

       unzip -qo ${FILENAME} -d .
    
  9. 下载解压缩的工具文件中包含的 README 文件:

       cloudshell download ${VERSION}/README-${VERSION}.pdf
    
  10. 按照已下载 README-version.pdf 中的步骤完成设置。

完成 README 后,即可使用工具安装指南安装任何 Security Command Center 工具。

安装指南

您下载的工具文件包包含一个 README 文件,其中包含每个应用的安装说明。要获取 README 文件,请从工具文件目录运行 cloudshell download readme,其中 readme 是您要下载的工具 README 的名称:

  • Hello World:scc-hello-world-README-${VERSION}.pdf
  • 创建者:scc-creator-README-${VERSION}.pdf
  • Query Builder:scc-query-builder-README-${VERSION}.pdf
  • 通知程序:scc-notifier-README-${VERSION}.pdf
  • Audit Logs:scc-audit-logs-README-${VERSION}.pdf
  • Splunk 连接器:scc-connector-README-${VERSION}.pdf

安装应用后,您可以在用户指南中找到有关该应用的更多信息。要获取用户指南,请从工具文件目录运行 cloudshell download user-guide,其中 user-guide 是您要下载的工具用户指南的名称:

  • Hello World:scc-hello-world-USER_GUIDE-${VERSION}.pdf
  • 创建者:scc-creator-USER_GUIDE-${VERSION}.pdf
  • Query Builder:scc-query-builder-USER_GUIDE-${VERSION}.pdf
  • 通知程序:scc-notifier-USER_GUIDE-${VERSION}.pdf
  • Audit Logs:scc-audit-logs-USER_GUIDE-${VERSION}.pdf
  • Splunk 连接器:scc-connector-USER_GUIDE-${VERSION}.pdf