Security Command Center in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie Security Command Center in Google Security Operations (Google SecOps) einbinden.

Integrationsversion: 13.0

Hinweise

Für die Verwendung der Integration benötigen Sie eine benutzerdefinierte IAM-Rolle (Identity and Access Management) und ein Google Cloud -Dienstkonto. Sie können ein vorhandenes Dienstkonto verwenden oder ein neues erstellen.

IAM-Rolle erstellen und konfigurieren

So erstellen und konfigurieren Sie eine benutzerdefinierte IAM-Rolle für die Integration:

  1. Rufen Sie in der Google Cloud Console die IAM-Seite Rollen auf.

    Zu Rollen

  2. Klicken Sie auf Rolle erstellen, um eine benutzerdefinierte Rolle mit den für die Integration erforderlichen Berechtigungen zu erstellen.

  3. Geben Sie für eine neue benutzerdefinierte Rolle einen Titel, eine Beschreibung und eine eindeutige ID ein.

  4. Legen Sie die Rollenstartphase auf Allgemeine Verfügbarkeit fest.

  5. Fügen Sie der erstellten Rolle die folgenden Berechtigungen hinzu:

    • securitycenter.assets.list
    • securitycenter.findings.list
    • securitycenter.findings.setMute
    • securitycenter.findings.setState

API-Schlüssel erstellen und konfigurieren

Führen Sie die folgenden Schritte aus, um den API-Schlüssel zu erstellen:

  1. Rufen Sie in der Google Cloud Console die Seite APIs & Dienste > Anmeldedaten > Anmeldedaten erstellen auf.

  2. Wählen Sie API-Schlüssel aus. Ein Dialogfeld mit einem generierten API-Schlüssel wird angezeigt. Kopieren Sie den API-Schlüssel und speichern Sie ihn sicher.

So konfigurieren Sie die API-Einschränkung für den API-Schlüssel:

  1. Klicken Sie auf Schlüssel einschränken > API-Einschränkungen > Schlüssel einschränken.

  2. Wählen Sie Security Command Center API aus der API-Liste aus, konfigurieren Sie die entsprechenden Einschränkungen und klicken Sie auf Speichern.

Zugriff auf den API-Schlüssel gewähren

So gewähren Sie Security Command Center Zugriff auf Ihren API-Schlüssel:

  1. Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten.

  2. Wählen Sie das Dienstkonto aus, das Sie in der Security Command Center-Integration verwenden.

  3. Klicken Sie auf die E‑Mail-Adresse des Dienstkontos.

  4. Wählen Sie Zugriff erlauben aus.

  5. Geben Sie im Feld Neue Mitglieder die E-Mail-Adresse des Dienstkontos ein.

  6. Wählen Sie unter Sicherheitscenter die Rolle Security Center Findings Editor aus und klicken Sie auf Speichern.

Integrationsparameter

Für die Integration von Security Command Center sind die folgenden Parameter erforderlich:

Parameter Beschreibung
API Root

Erforderlich.

Der API-Stamm der Security Command Center-Instanz.
Organization ID

Optional.

Die Organisations-ID, die in der Security Command Center-Integration verwendet werden soll.
Project ID

Optional.

Die Projekt-ID der Security Command Center-Instanz.
Quota Project ID

Optional.

Die Google Cloud -Projekt-ID, die Sie für Google Cloud -APIs und die Abrechnung verwenden. Für diesen Parameter müssen Sie Ihrem Dienstkonto die Rolle Service Usage Consumer zuweisen.

Wenn Sie keinen Wert für diesen Parameter festlegen, ruft die Integration die Projekt-ID aus Ihrem Google Cloud Dienstkonto ab.
User's Service Account

Erforderlich.

Der Inhalt der JSON-Datei des Dienstkontoschlüssels.

Sie können diesen Parameter oder den Parameter Workload Identity Email konfigurieren.

Geben Sie zum Konfigurieren dieses Parameters den vollständigen Inhalt der JSON-Datei des Dienstkontoschlüssels an, die Sie beim Erstellen eines Dienstkontos heruntergeladen haben.
Workload Identity Email

Optional.

Die Client-E‑Mail-Adresse Ihres Dienstkontos.

Sie können diesen Parameter oder den Parameter User's Service Account konfigurieren.

Wenn Sie diesen Parameter festlegen, konfigurieren Sie den Parameter Quota Project ID.

Um die Identität von Dienstkonten mit der Workload Identity Federation zu übernehmen, weisen Sie Ihrem Dienstkonto die Rolle Service Account Token Creator zu. Weitere Informationen zu Workload Identitys und deren Verwendung finden Sie unter Identitäten für Arbeitslasten.
Verify SSL

Erforderlich.

Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Security Command Center-Server validiert.

Standardmäßig ausgewählt.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.

Ergebnisdetails abrufen

Mit der Aktion Ergebnisdetails abrufen können Sie Details zu einem Ergebnis in Security Command Center abrufen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Ergebnisdetails abrufen sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Finding Name

Erforderlich.

Namen werden gesucht, um Details zurückzugeben. Für diesen Parameter können mehrere Werte als durch Kommas getrennte Liste angegeben werden.

Das Beispiel für das Suchen nach Namen sieht so aus:

organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID

Aktionsausgaben

Die Aktion Ergebnisdetails abrufen gibt die folgenden Ausgaben zurück:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Tabelle „Fall-Repository“

Die Aktion Details zu Ergebnissen abrufen kann die folgende Tabelle zurückgeben:

Tabellentitel: Ergebnisdetails

Tabellenspalten:

  • Kategorie
  • Bundesland
  • Schweregrad
  • Typ
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Finding Details (Details zum Ergebnis abrufen) empfangen wird:

{
   {
      "finding_name": "organizations/ORGANIZATION_ID/sources/2678067631293752869/findings/hvX6WwbvFyBGqPbEs9WH9m",
      "finding": {
        "name": "organizations/ORGANIZATION_ID/sources/2678067631293752869/findings/hvX6WwbvFyBGqPbEs9WH9m",
        "parent": "organizations/ORGANIZATION_ID/sources/2678067631293752869",
        "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
        "state": "ACTIVE",
        "category": "Discovery: Service Account Self-Investigation",
        "sourceProperties": {
          "sourceId": {
            "projectNumber": "PROJECT_ID",
            "customerOrganizationNumber": "ORGANIZATION_ID"
          },
          "detectionCategory": {
            "technique": "discovery",
            "indicator": "audit_log",
            "ruleName": "iam_anomalous_behavior",
            "subRuleName": "service_account_gets_own_iam_policy"
          },
          "detectionPriority": "LOW",
          "affectedResources": [
            {
              "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID"
            }
          ],
          "evidence": [
            {
              "sourceLogId": {
                "projectId": "PROJECT_ID",
                "resourceContainer": "projects/PROJECT_ID",
                "timestamp": {
                  "seconds": "1622678907",
                  "nanos": 448368000
                },
                "insertId": "ID"
              }
            }
          ],
          "properties": {
            "serviceAccountGetsOwnIamPolicy": {
              "principalEmail": "prisma-cloud-serv@PROJECT_ID.iam.gserviceaccount.com",
              "projectId": "PROJECT_ID",
              "callerIp": "192.0.2.41",
              "callerUserAgent": "Redlock/GC-MDC/resource-manager/PROJECT_ID Google-API-Java-Client HTTP-Java-Client/1.34.0 (gzip),gzip(gfe)",
              "rawUserAgent": "Redlock/GC-MDC/resource-manager/PROJECT_ID Google-API-Java-Client HTTP-Java-Client/1.34.0 (gzip),gzip(gfe)"
            }
          },
          "contextUris": {
            "mitreUri": {
              "displayName": "Permission Groups Discovery: Cloud Groups",
              "url": "https://attack.mitre.org/techniques/ID/003/"
            },
            "cloudLoggingQueryUri": [
              {
                "displayName": "Cloud Logging Query Link",
                "url": "https://console.cloud.google.com/logs/query;query=timestamp%3D%222021-06-03T00:08:27.448368Z%22%0AinsertId%3D%22ID%22%0Aresource.labels.project_id%3D%22PROJECT_ID%22?project=PROJECT_ID"
              }
            ]
          }
        },
        "securityMarks": {
          "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
        },
        "eventTime": "2021-06-03T00:08:27.448Z",
        "createTime": "2021-06-03T00:08:31.074Z",
        "severity": "LOW",
        "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
        "mute": "UNDEFINED",
        "findingClass": "THREAT",
        "mitreAttack": {
          "primaryTactic": "DISCOVERY",
          "primaryTechniques": [
            "PERMISSION_GROUPS_DISCOVERY",
            "CLOUD_GROUPS"
          ]
        }
      },
      "resource": {
        "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
        "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
        "projectDisplayName": "PROJECT_ID",
        "parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
        "parentDisplayName": "example.net",
        "type": "google.cloud.resourcemanager.Project",
        "displayName": "PROJECT_ID"
      }
    }
}
Ausgabemeldungen

Die Aktion Ergebnisdetails abrufen kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully returned details about the following findings in Security Command Center: FINDING_NAMES.

Action wasn't able to find the following findings in Security Command Center: FINDING_NAMES.

None of the provided findings were found in Security Command Center.

 Die Aktion wurde ausgeführt.
Error executing action "Get Finding Details". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Finding Details verwendet wird:

Name des Scriptergebnisses Wert
is_success True oder False

Asset-Sicherheitslücken auflisten

Mit der Aktion List Asset Vulnerabilities (Asset-Sicherheitslücken auflisten) können Sie Sicherheitslücken im Zusammenhang mit Entitäten in Security Command Center auflisten.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion List Asset Vulnerabilities sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Asset Resource Names

Erforderlich.

Ressourcennamen der Assets, für die Daten zurückgegeben werden sollen. Für diesen Parameter können mehrere Werte als durch Kommas getrennte Liste angegeben werden.
Timeframe

Optional.

Ein Zeitraum, in dem nach Sicherheitslücken oder Fehlkonfigurationen gesucht werden soll.

Folgende Werte sind möglich:

  • Last Week
  • Last Month
  • Last Year
  • All Time

Der Standardwert ist All Time.
Record Types

Optional.

Der Typ des zurückzugebenden Datensatzes.

Folgende Werte sind möglich:

  • Vulnerabilities Misconfigurations
  • Vulnerabilities + Misconfigurations

Der Standardwert ist Vulnerabilities + Misconfigurations.

Output Type

Optional.

Der Typ der Ausgabe, die im JSON-Ergebnis für jedes Asset zurückgegeben werden soll.

Folgende Werte sind möglich:

  • Statistics
  • Data
  • Statistics + Data

Der Standardwert ist Statistics.
Max Records To Return

Optional.

Die maximale Anzahl der Datensätze, die für jeden Datensatztyp zurückgegeben werden sollen.

Der Standardwert ist 100.

Aktionsausgaben

Die Aktion List Asset Vulnerabilities (Asset-Sicherheitslücken auflisten) bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Tabelle „Fall-Repository“

Die Aktion List Asset Vulnerabilities kann die folgenden Tabellen zurückgeben:

Tabellentitel: ASSET_ID Sicherheitslücken

Tabellenspalten:

  • Kategorie
  • Beschreibung
  • Schweregrad
  • Uhrzeit des Events
  • CVE

Tabellentitel: ASSET_ID Falsche Konfigurationen

Tabellenspalten:

  • Kategorie
  • Beschreibung
  • Schweregrad
  • Uhrzeit des Events
  • Empfehlung
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion List Asset Vulnerabilities (Asset-Schwachstellen auflisten) empfangen wird:

{
   ."siemplify_asset_display_name":[1] [2]  ""
"vulnerabilities": {
        "statistics": {
            "critical": 1,
            "high": 1,
            "medium": 1,
            "low": 1,
            "undefined": 1
        },
        "data": [
            {
                "category": "CATEGORY"
                "description": "DESCRIPTION"
                "cve_id": "CVE_ID"
                "event_time": "EVENT_TIME"
                "related_references": "RELATED_REFERENCES"
                "severity": "SEVERITY"
            }
        ]
    },
    "misconfigurations": {
        "statistics": {
            "critical": 1,
            "high": 1,
            "medium": 1,
            "low": 1,
            "undefined": 1
        },
        "data": [
            {
                "category": "CATEGORY"
                "description": "DESCRIPTION"
                "recommendation": "RECOMMENDATION"
                "event_time": "EVENT_TIME"
                "severity": "SEVERITY"
            }
        ]
    },
}
Ausgabemeldungen

Die Aktion List Asset Vulnerabilities kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully returned related vulnerabilities and misconfigurations to the following entities in Security Command Center: ASSET_IDS.

No vulnerabilities and misconfigurations were found to the following entities in Security Command Center: ASSET_IDS.

No vulnerabilities and misconfigurations were found for the provided assets in Security Command Center.

 Die Aktion wurde ausgeführt.
Error executing action "List Asset Vulnerabilities". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion List Asset Vulnerabilities verwendet wird:

Name des Scriptergebnisses Wert
is_success True oder False

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu Security Command Center zu testen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Ausgabemeldungen

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung
Successfully connected to the Security Command Center server with the provided connection parameters! Die Aktion wurde ausgeführt.
Failed to connect to the Security Command Center server! Error is ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Name des Scriptergebnisses Wert
is_success True oder False

Ergebnis aktualisieren

Verwenden Sie die Aktion Ergebnis aktualisieren, um ein Ergebnis in Security Command Center zu aktualisieren.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Ergebnis aktualisieren sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Finding Name

Erforderlich.

Namen werden gesucht, die aktualisiert werden müssen. Für diesen Parameter können mehrere Werte als durch Kommas getrennte Liste angegeben werden.

Das Beispiel zum Suchen von Namen lautet: organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID
Mute Status

Optional.

Der Status „Ausblenden“ für das Ergebnis.

Folgende Werte sind möglich:

  • Select One
  • Mute
  • Unmute
State Status

Optional.

Der Ergebnisstatus.

Folgende Werte sind möglich:

  • Select One
  • Active
  • Inactive

Aktionsausgaben

Die Aktion Ergebnis aktualisieren bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall-Repository Nicht verfügbar
Link zum Fall‑Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabemeldungen Verfügbar
Scriptergebnis Verfügbar
Ausgabemeldungen

Der Vorgang Update finding (Ergebnis aktualisieren) kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully updated the following findings in Security Command Center: FINDING_NAMES

Action wasn't able to find the following findings in Security Command Center: FINDING_NAMES

None of the provided findings were found in Security Command Center.

 Die Aktion wurde ausgeführt.
Error executing action "Update finding". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Update finding (Ergebnis aktualisieren) verwendet wird:

Name des Scriptergebnisses Wert
is_success True oder False

Connectors

Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

Google Security Command Center – Findings Connector

Verwenden Sie den Google Security Command Center – Findings Connector, um Informationen zu Ergebnissen aus Security Command Center abzurufen.

Der dynamische Listenfilter funktioniert mit Kategorien.

Connector-Eingaben

Für den Google Security Command Center – Findings Connector sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Product Field Name

Erforderlich.

Der Name des Felds, in dem der Produktname gespeichert ist.

Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst.

Der Standardwert ist Product Name.
Event Field Name

Erforderlich.

Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt.

Der Standardwert ist category.
Environment Field Name

Optional.

Der Name des Felds, in dem der Name der Umgebung gespeichert ist.

Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet.
Environment Regex Pattern

Optional.

Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Environment Field Name angewendet wird. Mit diesem Parameter können Sie das Feld „environment“ mithilfe der Logik für reguläre Ausdrücke bearbeiten.

Verwenden Sie den Standardwert .*, um den erforderlichen Rohwert Environment Field Name abzurufen.

Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Script Timeout (Seconds)

Erforderlich.

Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird.

Der Standardwert ist 180.
API Root

Erforderlich.

Der API-Stamm der Security Command Center-Instanz.

Der Standardwert ist https://securitycenter.googleapis.com.

Organization ID

Optional.

Die ID einer Organisation, die in der Security Command Center-Integration verwendet werden soll.
Project ID

Optional.

Die Projekt-ID der Security Command Center-Instanz.
Quota Project ID

Optional.

Die Google Cloud -Projekt-ID, die Sie für Google Cloud -APIs und die Abrechnung verwenden. Für diesen Parameter müssen Sie Ihrem Dienstkonto die Rolle Service Usage Consumer zuweisen.

Wenn Sie keinen Wert für diesen Parameter festlegen, ruft die Integration die Projekt-ID aus Ihrem Google Cloud Dienstkonto ab.
User's Service Account

Erforderlich.

Der Inhalt der JSON-Datei des Dienstkontoschlüssels.

Sie können diesen Parameter oder den Parameter Workload Identity Email konfigurieren.

Geben Sie zum Konfigurieren dieses Parameters den vollständigen Inhalt der JSON-Datei des Dienstkontoschlüssels an, die Sie beim Erstellen eines Dienstkontos heruntergeladen haben.
Workload Identity Email

Optional.

Die Client-E‑Mail-Adresse Ihres Dienstkontos.

Sie können diesen Parameter oder den Parameter User's Service Account konfigurieren.

Wenn Sie diesen Parameter festlegen, konfigurieren Sie den Parameter Quota Project ID.

Um die Identität von Dienstkonten mit der Workload Identity Federation zu übernehmen, weisen Sie Ihrem Dienstkonto die Rolle Service Account Token Creator zu. Weitere Informationen zu Workload Identitys und deren Verwendung finden Sie unter Identitäten für Arbeitslasten.
Finding Class Filter

Optional.

Die Klassen für die Connector-Aufnahme.

Folgende Werte sind möglich:

  • Threat
  • Vulnerability
  • Misconfiguration
  • SCC_Error
  • Observation

Wenn Sie keinen Wert festlegen, werden Ergebnisse aus allen Klassen aufgenommen.

Der Standardwert ist Threat,Vulnerability,Misconfiguration,SCC_Error,Observation.
Lowest Severity To Fetch

Optional.

Der niedrigste Schweregrad der abzurufenden Benachrichtigungen.

Wenn Sie diesen Parameter nicht konfigurieren, werden Warnungen mit allen Schweregraden aufgenommen.

Der Connector behandelt Benachrichtigungen mit undefiniertem Schweregrad als Benachrichtigungen mit dem Schweregrad Medium.

Folgende Werte sind möglich:

  • Low
  • Medium
  • High
  • Critical

Der Standardwert ist High.
Max Hours Backwards

Optional.

Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, für die Ergebnisse abgerufen werden sollen.

Dieser Parameter kann für die erste Connector-Iteration nach der erstmaligen Aktivierung des Connectors oder als Fallback-Wert für einen abgelaufenen Connector-Zeitstempel gelten.

Der Höchstwert ist 24.

Der Standardwert ist 1.
Max Findings To Fetch

Optional.

Die Anzahl der Ergebnisse, die in jeder Connector-Iteration verarbeitet werden sollen.

Der Höchstwert ist 1000.

Der Standardwert ist 100.
Use dynamic list as a blacklist

Erforderlich.

Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste.

Diese Option ist standardmäßig nicht ausgewählt.
Verify SSL

Erforderlich.

Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Security Command Center-Server validiert.

Diese Option ist standardmäßig nicht ausgewählt.
Proxy Server Address

Optional.

Die Adresse des zu verwendenden Proxyservers.
Proxy Username

Optional.

Der Proxy-Nutzername für die Authentifizierung.
Proxy Password

Optional.

Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Der Google Security Command Center – Findings Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten