Security Command Center in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie Security Command Center in Google Security Operations einbinden.

Hinweis

Bevor Sie die Security Command Center-Integration in Google SecOps konfigurieren, müssen Sie die folgenden Voraussetzungen erfüllen:

  1. Erstellen Sie eine benutzerdefinierte IAM-Rolle (Identity and Access Management) mit den erforderlichen Berechtigungen.

  2. Erstellen Sie ein Dienstkonto.

  3. Wählen Sie eine der folgenden Authentifizierungsmethoden aus und konfigurieren Sie sie:

    • Option 1: Workload Identity (empfohlen): Bei dieser Methode werden kurzlebige, temporäre Zugriffstokens mithilfe der Dienstkonto-Identitätsübernahme verwendet. Dadurch müssen keine Secrets gespeichert werden.

    • Option 2: JSON-Schlüssel des Dienstkontos: Bei dieser Methode wird eine statische, langlebige Secret-Schlüsseldatei verwendet. Verwenden Sie diese Methode nur, wenn Workload Identity in Ihrer Umgebung nicht verfügbar ist.

IAM-Rolle erstellen und konfigurieren

So erstellen und konfigurieren Sie eine benutzerdefinierte Rolle für die Integration:

  1. Rufen Sie in der Google Cloud Console die Seite IAM & Verwaltung > Rollen auf.

    Zu Rollen

  2. Klicken Sie auf Rolle erstellen, um eine benutzerdefinierte Rolle mit den für die Integration erforderlichen Berechtigungen zu erstellen.

  3. Geben Sie einen Titel, eine Beschreibung und eine eindeutige ID ein.

  4. Setzen Sie die Rollenstartphase auf General Availability.

  5. Fügen Sie der erstellten Rolle die folgenden Berechtigungen hinzu:

    • securitycenter.assets.list
    • securitycenter.findings.list
    • securitycenter.findings.setMute
    • securitycenter.findings.setState
    • serviceusage.services.use (für API-Nutzung und Kontingentzuordnung erforderlich)

  6. Klicken Sie auf Erstellen.

Dienstkonto erstellen

So erstellen Sie ein Dienstkonto für die Integration:

  1. Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten.

    Zur Seite „Dienstkonten“

  2. Klicken Sie auf Dienstkonto erstellen.

  3. Geben Sie einen Namen und eine Beschreibung ein und klicken Sie auf Erstellen und fortfahren.

  4. Fügen Sie im Schritt Diesem Dienstkonto Zugriff auf das Projekt erteilen die benutzerdefinierte Rolle hinzu, die Sie erstellt haben.

  5. Klicken Sie auf Fertig, um das Erstellen des Kontos abzuschließen. Die E-Mail-Adresse dieses Dienstkontos wird während der Konfiguration der Authentifizierung verwendet.

Workload Identity-Anmeldedaten konfigurieren

Wählen Sie diese Methode oder die JSON-Schlüsselmethode aus, um die Integration zu authentifizieren. Workload Identity ist der empfohlene und sicherere Ansatz, da kurzlebige, temporäre Zugriffstokens mithilfe der Identitätsübernahme für Dienstkonten verwendet werden. Dadurch entfällt die Notwendigkeit, langlebige Secrets zu speichern oder zu rotieren.

Eindeutige Instanzidentität ermitteln

Wenn Sie Workload Identity verwenden möchten, müssen Sie Ihrer Google SecOps-Instanz die Berechtigung erteilen, die Identität Ihres Dienstkontos zu übernehmen. Dies ist der letzte Schritt, der es der Instanz ermöglicht, sicher auf Google Cloud Ressourcen zuzugreifen.

  1. Gehen Sie in Google SecOps zu Content Hub > Response Integrations.

  2. Wählen Sie die Integration aus, die Sie konfigurieren, und geben Sie die E-Mail-Adresse Ihres Dienstkontos in das Feld Workload Identity Email ein.

  3. Geben Sie eine gültige Projekt-ID in das Feld Quota Project ID ein.

  4. Klicken Sie auf Speichern > Test. Der Test sollte fehlschlagen.

  5. Klicken Sie rechts neben Test auf close_small und suchen Sie in der Fehlermeldung nach der Identitäts-E-Mail-Adresse, die mit gke-init-python@... oder soar-python@... beginnt.

    Kopieren Sie diese eindeutige E-Mail-Adresse und fügen Sie sie während der Konfiguration der Integration in Workload Identity Email ein.

Instanzidentität in Google Cloudautorisieren

Nachdem Sie die eindeutige Identität für Ihre Google SecOps-Instanz abgerufen haben, müssen Sie sie autorisieren, auf Ihre Google Cloud -Ressourcen zuzugreifen. Dieser Schritt ermöglicht die Identitätsübertragung für Dienstkonten. So kann die Plattform kurzlebige Tokens generieren und in Ihrem Namen agieren, ohne dass statische Schlüssel erforderlich sind.

  1. Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten.

  2. Wählen Sie das Zieldienstkonto aus und rufen Sie Berechtigungen > Zugriff gewähren auf.

  3. Fügen Sie die eindeutige E-Mail-Adresse in das Feld Neue Hauptkonten ein.

  4. Weisen Sie die Rolle Ersteller von Dienstkonto-Tokens (roles/iam.serviceAccountTokenCreator) zu.

Zugriff auf Kontingentprojekt gewähren

Wenn Sie sich mit einer Workload Identity authentifizieren, müssen Sie in den Integrationseinstellungen ein Quota Project ID angeben, um die API-Nutzung und die Abrechnung nachzuverfolgen.

Dazu müssen Sie Ihrem Dienstkonto die folgende Rolle für das zugewiesene Kontingentprojekt zuweisen:

  1. Rufen Sie in der Google Cloud Console IAM & Verwaltung > IAM auf und wählen Sie Ihr Projekt aus.

    IAM aufrufen

  2. Suchen Sie in der Liste der Hauptkonten nach Ihrem Dienstkonto und klicken Sie für dieses Konto auf Bearbeiten(Hauptkonto bearbeiten).

  3. Klicken Sie auf Weitere Rolle hinzufügen und wählen Sie Service Usage Consumer (roles/serviceusage.serviceUsageConsumer) aus.

  4. Klicken Sie auf Speichern.

JSON-Schlüssel konfigurieren

Wählen Sie diese Methode oder die Workload Identity-Methode aus, um die Integration zu authentifizieren. Verwenden Sie die JSON-Schlüsselmethode nur, wenn Workload Identity in Ihrer Umgebung nicht verfügbar ist, da Workload Identity der empfohlene und sicherere Ansatz ist. Diese Methode basiert auf einer statischen, langlebigen Secret-Schlüsseldatei, die manuell verwaltet und rotiert werden muss.

So generieren Sie die JSON-Schlüsseldatei, die zum Authentifizieren der Integration erforderlich ist:

  1. Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten und wählen Sie das erstellte Dienstkonto aus.

    Zur Seite „Dienstkonten“

  2. Rufen Sie den Tab Schlüssel auf.

  3. Klicken Sie auf Schlüssel hinzufügen > Neuen Schlüssel erstellen.

  4. Wählen Sie als Schlüsseltyp JSON aus und klicken Sie auf Erstellen. Die JSON-Datei wird auf Ihren Computer heruntergeladen.

  5. Kopieren Sie den gesamten Inhalt dieser Datei und fügen Sie ihn während der Konfiguration der Integration in User's service account ein.

Integrationsparameter

Für die Einbindung von Security Command Center sind die folgenden Parameter erforderlich:

Parameter Beschreibung
API Root

Erforderlich.

Der API-Stamm der Security Command Center-Instanz.
Organization ID

Optional.

Die ID der Google Cloud -Organisation, die zum Festlegen des Bereichs der Security Command Center-Integrationsabfragen verwendet werden soll.
Project ID

Optional.

Die Google Cloud Projekt-ID, die zum Festlegen des Bereichs der Security Command Center-Instanzabfragen verwendet wird.
Quota Project ID

Optional.

Die Google Cloud -Projekt-ID, die für die API-Nutzung und Abrechnung verwendet wird.

Dieser Parameter ist erforderlich, wenn Sie die Authentifizierung mit einer Workload Identity durchführen.
User's Service Account

Optional.

Der vollständige Inhalt der JSON-Datei des Dienstkontoschlüssels.

Konfigurieren Sie diesen Parameter nur, wenn Sie die Authentifizierung mit einem JSON-Schlüssel durchführen.
Workload Identity Email

Optional.

Die Client-E‑Mail-Adresse Ihres Dienstkontos.

Konfigurieren Sie diesen Parameter nur, wenn Sie sich mit einer Workload Identity authentifizieren.

Wenn Sie diesen Parameter konfigurieren, müssen Sie auch Quota Project ID konfigurieren.
Verify SSL

Erforderlich.

Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Security Command Center-Server validiert.

Standardmäßig aktiviert.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen in „Mein Arbeitsbereich“ beantworten und Manuelle Aktion ausführen.

Ergebnisdetails abrufen

Mit der Aktion Ergebnisdetails abrufen können Sie Details zu einem Ergebnis in Security Command Center abrufen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Ergebnisdetails abrufen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Finding Name

Erforderlich.

Die vollständigen Ressourcennamen der Ergebnisse, für die Details zurückgegeben werden sollen, im Format organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID.

Für diesen Parameter können mehrere Werte als durch Kommas getrennte Liste angegeben werden.

Aktionsausgaben

Die Aktion Ergebnisdetails abrufen gibt die folgenden Ausgaben zurück:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Tabelle „Fall-Repository“

Die Aktion Details zu Ergebnissen abrufen kann die folgende Tabelle zurückgeben:

Tabellentitel: Ergebnisdetails

Tabellenspalten:

  • Kategorie
  • Bundesland
  • Schweregrad
  • Typ
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Finding Details (Details zum Ergebnis abrufen) empfangen wird:

{
   {
      "finding_name": "organizations/ORGANIZATION_ID/sources/2678067631293752869/findings/hvX6WwbvFyBGqPbEs9WH9m",
      "finding": {
        "name": "organizations/ORGANIZATION_ID/sources/2678067631293752869/findings/hvX6WwbvFyBGqPbEs9WH9m",
        "parent": "organizations/ORGANIZATION_ID/sources/2678067631293752869",
        "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
        "state": "ACTIVE",
        "category": "Discovery: Service Account Self-Investigation",
        "sourceProperties": {
          "sourceId": {
            "projectNumber": "PROJECT_ID",
            "customerOrganizationNumber": "ORGANIZATION_ID"
          },
          "detectionCategory": {
            "technique": "discovery",
            "indicator": "audit_log",
            "ruleName": "iam_anomalous_behavior",
            "subRuleName": "service_account_gets_own_iam_policy"
          },
          "detectionPriority": "LOW",
          "affectedResources": [
            {
              "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID"
            }
          ],
          "evidence": [
            {
              "sourceLogId": {
                "projectId": "PROJECT_ID",
                "resourceContainer": "projects/PROJECT_ID",
                "timestamp": {
                  "seconds": "1622678907",
                  "nanos": 448368000
                },
                "insertId": "ID"
              }
            }
          ],
          "properties": {
            "serviceAccountGetsOwnIamPolicy": {
              "principalEmail": "prisma-cloud-serv@PROJECT_ID.iam.gserviceaccount.com",
              "projectId": "PROJECT_ID",
              "callerIp": "192.0.2.41",
              "callerUserAgent": "Redlock/GC-MDC/resource-manager/PROJECT_ID Google-API-Java-Client HTTP-Java-Client/1.34.0 (gzip),gzip(gfe)",
              "rawUserAgent": "Redlock/GC-MDC/resource-manager/PROJECT_ID Google-API-Java-Client HTTP-Java-Client/1.34.0 (gzip),gzip(gfe)"
            }
          },
          "contextUris": {
            "mitreUri": {
              "displayName": "Permission Groups Discovery: Cloud Groups",
              "url": "https://attack.mitre.org/techniques/ID/003/"
            },
            "cloudLoggingQueryUri": [
              {
                "displayName": "Cloud Logging Query Link",
                "url": "https://console.cloud.google.com/logs/query;query=timestamp%3D%222021-06-03T00:08:27.448368Z%22%0AinsertId%3D%22ID%22%0Aresource.labels.project_id%3D%22PROJECT_ID%22?project=PROJECT_ID"
              }
            ]
          }
        },
        "securityMarks": {
          "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
        },
        "eventTime": "2021-06-03T00:08:27.448Z",
        "createTime": "2021-06-03T00:08:31.074Z",
        "severity": "LOW",
        "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
        "mute": "UNDEFINED",
        "findingClass": "THREAT",
        "mitreAttack": {
          "primaryTactic": "DISCOVERY",
          "primaryTechniques": [
            "PERMISSION_GROUPS_DISCOVERY",
            "CLOUD_GROUPS"
          ]
        }
      },
      "resource": {
        "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
        "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
        "projectDisplayName": "PROJECT_ID",
        "parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
        "parentDisplayName": "example.net",
        "type": "google.cloud.resourcemanager.Project",
        "displayName": "PROJECT_ID"
      }
    }
}
Ausgabenachrichten

Die Aktion Ergebnisdetails abrufen kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully returned details about the following findings in Security Command Center: FINDING_NAMES.

Action wasn't able to find the following findings in Security Command Center: FINDING_NAMES.

None of the provided findings were found in Security Command Center.

 Die Aktion wurde ausgeführt.
Error executing action "Get Finding Details". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Finding Details (Details zu Sicherheitsrisiko abrufen) verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

Asset-Sicherheitslücken auflisten

Mit der Aktion List Asset Vulnerabilities (Sicherheitslücken für Assets auflisten) können Sie Sicherheitslücken im Zusammenhang mit Entitäten in Security Command Center auflisten.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion List Asset Vulnerabilities sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Asset Resource Names

Erforderlich.

Eine durch Kommas getrennte Liste der eindeutigen Kennungen (vollständige Ressourcennamen) für die Assets, für die Daten abgerufen werden sollen.
Timeframe

Optional.

Der Zeitraum, in dem nach Sicherheitslücken oder Fehlkonfigurationen gesucht werden soll.

Folgende Werte sind möglich:

  • Last Week
  • Last Month
  • Last Year
  • All Time

Der Standardwert ist All Time.
Record Types

Optional.

Der Typ des Datensatzes, der zurückgegeben werden soll.

Folgende Werte sind möglich:

  • Vulnerabilities + Misconfigurations
  • Vulnerabilities
  • Misconfigurations

Der Standardwert ist Vulnerabilities + Misconfigurations.

Output Type

Optional.

Der Typ der Ausgabe, die im JSON-Ergebnis für jedes Asset zurückgegeben werden soll.

Folgende Werte sind möglich:

  • Statistics
  • Data
  • Statistics + Data

Der Standardwert ist Statistics.
Max Records To Return

Optional.

Die maximale Anzahl der Datensätze, die für jeden Datensatztyp zurückgegeben werden sollen.

Der Standardwert ist 100.

Aktionsausgaben

Die Aktion List Asset Vulnerabilities (Asset-Sicherheitslücken auflisten) bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Tabelle „Fall-Repository“

Die Aktion List Asset Vulnerabilities kann die folgenden Tabellen zurückgeben:

Tabellentitel: ASSET_ID Sicherheitslücken

Tabellenspalten:

  • Kategorie
  • Beschreibung
  • Schweregrad
  • Uhrzeit des Events
  • CVE

Tabellentitel: ASSET_ID Fehlkonfigurationen

Tabellenspalten:

  • Kategorie
  • Beschreibung
  • Schweregrad
  • Uhrzeit des Events
  • Empfehlung
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion List Asset Vulnerabilities (Asset-Sicherheitslücken auflisten) empfangen wird:

{
   ."siemplify_asset_display_name":[1] [2]  ""
"vulnerabilities": {
        "statistics": {
            "critical": 1,
            "high": 1,
            "medium": 1,
            "low": 1,
            "undefined": 1
        },
        "data": [
            {
                "category": "CATEGORY"
                "description": "DESCRIPTION"
                "cve_id": "CVE_ID"
                "event_time": "EVENT_TIME"
                "related_references": "RELATED_REFERENCES"
                "severity": "SEVERITY"
            }
        ]
    },
    "misconfigurations": {
        "statistics": {
            "critical": 1,
            "high": 1,
            "medium": 1,
            "low": 1,
            "undefined": 1
        },
        "data": [
            {
                "category": "CATEGORY"
                "description": "DESCRIPTION"
                "recommendation": "RECOMMENDATION"
                "event_time": "EVENT_TIME"
                "severity": "SEVERITY"
            }
        ]
    },
}
Ausgabenachrichten

Die Aktion List Asset Vulnerabilities (Asset-Sicherheitslücken auflisten) kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully returned related vulnerabilities and misconfigurations to the following entities in Security Command Center: ASSET_IDS.

No vulnerabilities and misconfigurations were found to the following entities in Security Command Center: ASSET_IDS.

No vulnerabilities and misconfigurations were found for the provided assets in Security Command Center.

 Die Aktion wurde ausgeführt.
Error executing action "List Asset Vulnerabilities". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion List Asset Vulnerabilities aufgeführt:

Name des Scriptergebnisses Wert
is_success true oder false

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu Security Command Center zu testen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Ausgabenachrichten

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung
Successfully connected to the Security Command Center server with the provided connection parameters! Die Aktion wurde ausgeführt.
Failed to connect to the Security Command Center server! Error is ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Name des Scriptergebnisses Wert
is_success true oder false

Ergebnisse aktualisieren

Mit der Aktion Ergebnis aktualisieren können Sie ein vorhandenes Ergebnis in Security Command Center aktualisieren.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Update Finding sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Finding Name

Erforderlich.

Die vollständigen Ressourcennamen der Ergebnisse, für die Details zurückgegeben werden sollen, im Format organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID.

Für diesen Parameter können mehrere Werte als durch Kommas getrennte Liste angegeben werden.
Mute Status

Optional.

Der Status des Ausblendens des Ergebnisses.

Folgende Werte sind möglich:

  • Mute
  • Unmute
State Status

Optional.

Der Status des Befunds.

Folgende Werte sind möglich:

  • Active
  • Inactive

Aktionsausgaben

Die Aktion Update Finding (Ergebnis aktualisieren) bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Ausgabenachrichten

Die Aktion Update Finding kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully updated the following findings in Security Command Center: FINDING_NAMES

Action wasn't able to find the following findings in Security Command Center: FINDING_NAMES

None of the provided findings were found in Security Command Center.

 Die Aktion wurde ausgeführt.
Error executing action "Update Finding". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Update Finding verwendet wird:

Name des Scriptergebnisses Wert
is_success true oder false

Connectors

Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

Security Command Center – Findings Connector

Mit dem Security Command Center - Findings Connector können Sie Informationen zu Ergebnissen aus Security Command Center abrufen.

Dieser Connector unterstützt das Filtern von Ergebnissen nach Kategorie mithilfe der dynamischen Liste.

Connector-Eingaben

Für den Security Command Center – Findings Connector sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Product Field Name

Erforderlich.

Der Name des Felds, in dem der Produktname gespeichert ist.

Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst.

Der Standardwert ist Product Name.
Event Field Name

Erforderlich.

Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt.
Environment Field Name

Optional.

Der Name des Felds, in dem der Name der Umgebung gespeichert ist.

Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet.

Der Standardwert ist "".
Environment Regex Pattern

Optional.

Ein Muster für einen regulären Ausdruck, der für den Wert im Feld Environment Field Name ausgeführt werden soll. Mit diesem Parameter können Sie das Feld „environment“ mithilfe der Logik für reguläre Ausdrücke bearbeiten.

Verwenden Sie den Standardwert .*, um den erforderlichen Rohwert Environment Field Name abzurufen.

Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
API Root

Erforderlich.

Der API-Stamm der Security Command Center-Instanz.
Organization ID

Optional.

Die ID der Google Cloud zu verwendenden Organisation
Project ID

Optional.

Die Google Cloud zu verwendende Projekt-ID.
Quota Project ID

Optional.

Die Google Cloud zu verwendende Projekt-ID.
Location ID

Optional.

Die ID des zu verwendenden Standorts.

Der Standardwert ist global.
User's Service Account

Erforderlich.

Der vollständige Inhalt der JSON-Datei des Dienstkontoschlüssels.

Verwenden Sie diesen Parameter nur, wenn Sie sich mit einem JSON-Schlüssel authentifizieren.
Workload Identity Email

Optional.

Die Client-E‑Mail-Adresse Ihres Dienstkontos.

Verwenden Sie diesen Parameter nur, wenn Sie sich mit einer Workload Identity authentifizieren.

Wenn Sie diesen Parameter konfigurieren, müssen Sie auch Quota Project ID konfigurieren.
Finding Class Filter

Optional.

Eine durch Kommas getrennte Liste der Arten von Sicherheitsergebnissen, die beim Aufnehmen von Daten aus der Quelle berücksichtigt werden sollen.

Folgende Werte sind möglich:

  • Threat
  • Vulnerability
  • Misconfiguration
  • SCC_Error
  • Observation
  • Toxic Combination
  • Chokepoint

Wenn kein Wert angegeben ist, werden Ergebnisse aus allen Klassen aufgenommen.
Lowest Severity To Fetch

Optional.

Der niedrigste Schweregrad der abzurufenden Benachrichtigungen.

Wenn Sie diesen Parameter nicht konfigurieren, werden Benachrichtigungen mit allen Schweregraden vom Connector aufgenommen.

Folgende Werte sind möglich:

  • Low
  • Medium
  • High
  • Critical

Wenn einem Ergebnis mit einem nicht definierten Schweregrad der Schweregrad Fallback Severity zugewiesen wird, wird es bei der Filterung nach diesem Parameter nicht berücksichtigt.

Wenn kein Wert angegeben ist, werden alle Schweregradtypen aufgenommen.
Fallback Severity

Optional.

Der Schweregrad, der jedem aufgenommenen Sicherheitsergebnis ohne definierten oder erkennbaren Schweregrad aus der Quelle zugewiesen werden soll.

Folgende Werte sind möglich:

  • Low
  • Medium
  • High
  • Critical

Der Standardwert ist Medium.
Max Hours Backwards

Optional.

Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, für die Ergebnisse abgerufen werden sollen.

Dieser Parameter kann für die erste Connector-Iteration nach der erstmaligen Aktivierung des Connectors oder als Fallback-Wert für einen abgelaufenen Connector-Zeitstempel gelten.

Der Höchstwert ist 24.

Der Standardwert ist 1.
Max Findings To Fetch

Optional.

Die Anzahl der Ergebnisse, die in jeder Connector-Iteration verarbeitet werden sollen.

Der Höchstwert ist 1000.

Der Standardwert ist 100.
Use dynamic list as a blacklist

Erforderlich.

Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Sperrliste.

Standardmäßig deaktiviert.
Verify SSL

Erforderlich.

Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Security Command Center-Server validiert.

Standardmäßig deaktiviert.
Proxy Server Address

Optional.

Die Adresse des zu verwendenden Proxyservers.
Proxy Username

Optional.

Der Proxy-Nutzername für die Authentifizierung.
Proxy Password

Optional.

Das Proxy-Passwort für die Authentifizierung.
PythonProcessTime

Erforderlich.

Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird.

Der Standardwert ist 180.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten