Mengintegrasikan Security Command Center dengan Google SecOps

Dokumen ini menjelaskan cara mengintegrasikan Security Command Center dengan Google Security Operations (Google SecOps).

Versi integrasi: 13.0

Sebelum memulai

Untuk menggunakan integrasi, Anda memerlukan peran Identity and Access Management (IAM) kustom dan akun layanan Google Cloud . Anda dapat menggunakan akun layanan yang ada atau membuat yang baru.

Membuat dan mengonfigurasi peran IAM

Untuk membuat dan mengonfigurasi peran IAM kustom untuk integrasi, selesaikan langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman Roles IAM.

    Buka Peran

  2. Klik Buat peran untuk membuat peran kustom dengan izin yang diperlukan untuk integrasi.

  3. Untuk peran kustom baru, masukkan Judul, Deskripsi, dan ID unik.

  4. Tetapkan Role Launch Stage ke General Availability.

  5. Tambahkan izin berikut ke peran yang dibuat:

    • securitycenter.assets.list
    • securitycenter.findings.list
    • securitycenter.findings.setMute
    • securitycenter.findings.setState

Membuat dan mengonfigurasi kunci API

Untuk membuat kunci API, selesaikan langkah-langkah berikut:

  1. Di Google Cloud konsol, buka APIs & Services > Credentials > Create Credentials.

  2. Pilih Kunci API. Dialog akan muncul dengan kunci API yang dibuat. Salin kunci API dan simpan dengan aman.

Untuk mengonfigurasi pembatasan API pada kunci API, selesaikan langkah-langkah berikut:

  1. Klik Batasi kunci > Pembatasan API > Batasi kunci.

  2. Pilih Security Command Center API dari daftar API, lalu konfigurasi batasan yang berlaku dan klik Simpan.

Memberikan akses ke kunci API

Untuk memberikan akses Security Command Center ke kunci API Anda, selesaikan langkah-langkah berikut:

  1. Di konsol Google Cloud , buka IAM & Admin > Service accounts.

  2. Pilih akun layanan yang Anda gunakan dalam integrasi Security Command Center.

  3. Klik alamat email akun layanan.

  4. Pilih Grant access.

  5. Di kolom Anggota baru, masukkan alamat email akun layanan.

  6. Di bagian Pusat Keamanan, pilih peran Security Center Findings Editor lalu klik Simpan.

Parameter integrasi

Integrasi Security Command Center memerlukan parameter berikut:

Parameter Deskripsi
API Root

Wajib.

Root API instance Security Command Center.
Organization ID

Opsional.

ID organisasi yang akan digunakan dalam integrasi Security Command Center.
Project ID

Opsional.

Project ID instance Security Command Center.
Quota Project ID

Opsional.

Google Cloud Project ID yang Anda gunakan untuk Google Cloud API dan penagihan. Parameter ini mengharuskan Anda memberikan peran Service Usage Consumer ke akun layanan Anda.

Jika Anda tidak menetapkan nilai untuk parameter ini, integrasi akan mengambil project ID dari akun layanan Google Cloud Anda.
User's Service Account

Wajib.

Konten file JSON kunci akun layanan.

Anda dapat mengonfigurasi parameter ini atau parameter Workload Identity Email.

Untuk mengonfigurasi parameter ini, berikan konten lengkap file JSON kunci akun layanan yang Anda download saat membuat akun layanan.
Workload Identity Email

Opsional.

Alamat email klien akun layanan Anda.

Anda dapat mengonfigurasi parameter ini atau parameter User's Service Account.

Jika Anda menetapkan parameter ini, konfigurasi parameter Quota Project ID.

Untuk meniru identitas akun layanan dengan Workload Identity Federation, berikan peran Service Account Token Creator ke akun layanan Anda. Untuk mengetahui detail selengkapnya tentang identitas beban kerja dan cara menggunakannya, lihat Identitas untuk beban kerja.
Verify SSL

Wajib.

Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Security Command Center.

Dipilih secara default.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.

Mendapatkan Detail Temuan

Gunakan tindakan Dapatkan Detail Temuan untuk mengambil detail tentang temuan di Security Command Center.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Get Finding Details memerlukan parameter berikut:

Parameter Deskripsi
Finding Name

Wajib.

Menemukan nama untuk menampilkan detail. Parameter ini menerima beberapa nilai sebagai daftar yang dipisahkan koma.

Contoh untuk menemukan nama adalah sebagai berikut:

organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID

Output tindakan

Tindakan Get Finding Details memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Tabel repositori kasus

Tindakan Get Finding Details dapat menampilkan tabel berikut:

Judul tabel: Detail Temuan

Kolom tabel:

  • Kategori
  • Status
  • Keparahan
  • Jenis
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Finding Details:

{
   {
      "finding_name": "organizations/ORGANIZATION_ID/sources/2678067631293752869/findings/hvX6WwbvFyBGqPbEs9WH9m",
      "finding": {
        "name": "organizations/ORGANIZATION_ID/sources/2678067631293752869/findings/hvX6WwbvFyBGqPbEs9WH9m",
        "parent": "organizations/ORGANIZATION_ID/sources/2678067631293752869",
        "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
        "state": "ACTIVE",
        "category": "Discovery: Service Account Self-Investigation",
        "sourceProperties": {
          "sourceId": {
            "projectNumber": "PROJECT_ID",
            "customerOrganizationNumber": "ORGANIZATION_ID"
          },
          "detectionCategory": {
            "technique": "discovery",
            "indicator": "audit_log",
            "ruleName": "iam_anomalous_behavior",
            "subRuleName": "service_account_gets_own_iam_policy"
          },
          "detectionPriority": "LOW",
          "affectedResources": [
            {
              "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID"
            }
          ],
          "evidence": [
            {
              "sourceLogId": {
                "projectId": "PROJECT_ID",
                "resourceContainer": "projects/PROJECT_ID",
                "timestamp": {
                  "seconds": "1622678907",
                  "nanos": 448368000
                },
                "insertId": "ID"
              }
            }
          ],
          "properties": {
            "serviceAccountGetsOwnIamPolicy": {
              "principalEmail": "prisma-cloud-serv@PROJECT_ID.iam.gserviceaccount.com",
              "projectId": "PROJECT_ID",
              "callerIp": "192.0.2.41",
              "callerUserAgent": "Redlock/GC-MDC/resource-manager/PROJECT_ID Google-API-Java-Client HTTP-Java-Client/1.34.0 (gzip),gzip(gfe)",
              "rawUserAgent": "Redlock/GC-MDC/resource-manager/PROJECT_ID Google-API-Java-Client HTTP-Java-Client/1.34.0 (gzip),gzip(gfe)"
            }
          },
          "contextUris": {
            "mitreUri": {
              "displayName": "Permission Groups Discovery: Cloud Groups",
              "url": "https://attack.mitre.org/techniques/ID/003/"
            },
            "cloudLoggingQueryUri": [
              {
                "displayName": "Cloud Logging Query Link",
                "url": "https://console.cloud.google.com/logs/query;query=timestamp%3D%222021-06-03T00:08:27.448368Z%22%0AinsertId%3D%22ID%22%0Aresource.labels.project_id%3D%22PROJECT_ID%22?project=PROJECT_ID"
              }
            ]
          }
        },
        "securityMarks": {
          "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
        },
        "eventTime": "2021-06-03T00:08:27.448Z",
        "createTime": "2021-06-03T00:08:31.074Z",
        "severity": "LOW",
        "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
        "mute": "UNDEFINED",
        "findingClass": "THREAT",
        "mitreAttack": {
          "primaryTactic": "DISCOVERY",
          "primaryTechniques": [
            "PERMISSION_GROUPS_DISCOVERY",
            "CLOUD_GROUPS"
          ]
        }
      },
      "resource": {
        "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
        "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
        "projectDisplayName": "PROJECT_ID",
        "parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
        "parentDisplayName": "example.net",
        "type": "google.cloud.resourcemanager.Project",
        "displayName": "PROJECT_ID"
      }
    }
}
Pesan output

Tindakan Get Finding Details dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully returned details about the following findings in Security Command Center: FINDING_NAMES.

Action wasn't able to find the following findings in Security Command Center: FINDING_NAMES.

None of the provided findings were found in Security Command Center.

 Tindakan berhasil.
Error executing action "Get Finding Details". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Finding Details:

Nama hasil skrip Nilai
is_success True atau False

Mencantumkan Kerentanan Aset

Gunakan tindakan List Asset Vulnerabilities untuk mencantumkan kerentanan yang terkait dengan entitas di Security Command Center.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan List Asset Vulnerabilities memerlukan parameter berikut:

Parameter Deskripsi
Asset Resource Names

Wajib.

Nama resource untuk aset yang akan menampilkan data. Parameter ini menerima beberapa nilai sebagai daftar yang dipisahkan koma.
Timeframe

Opsional.

Periode untuk menelusuri kerentanan atau kesalahan konfigurasi.

Kemungkinan nilainya adalah sebagai berikut:

  • Last Week
  • Last Month
  • Last Year
  • All Time

Nilai defaultnya adalah All Time.
Record Types

Opsional.

Jenis data yang akan ditampilkan.

Kemungkinan nilainya adalah sebagai berikut:

  • Vulnerabilities Misconfigurations
  • Vulnerabilities + Misconfigurations

Nilai defaultnya adalah Vulnerabilities + Misconfigurations.

Output Type

Opsional.

Jenis output yang akan ditampilkan dalam hasil JSON untuk setiap aset.

Kemungkinan nilainya adalah sebagai berikut:

  • Statistics
  • Data
  • Statistics + Data

Nilai defaultnya adalah Statistics.
Max Records To Return

Opsional.

Jumlah maksimum data yang akan ditampilkan untuk setiap jenis data.

Nilai defaultnya adalah 100.

Output tindakan

Tindakan List Asset Vulnerabilities memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Tabel repositori kasus

Tindakan List Asset Vulnerabilities dapat menampilkan tabel berikut:

Judul tabel: ASSET_ID Kerentanan

Kolom tabel:

  • Kategori
  • Deskripsi
  • Keparahan
  • Waktu Peristiwa
  • CVE

Judul tabel: ASSET_ID Kesalahan Konfigurasi

Kolom tabel:

  • Kategori
  • Deskripsi
  • Keparahan
  • Waktu Peristiwa
  • Rekomendasi
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan List Asset Vulnerabilities:

{
   ."siemplify_asset_display_name":[1] [2]  ""
"vulnerabilities": {
        "statistics": {
            "critical": 1,
            "high": 1,
            "medium": 1,
            "low": 1,
            "undefined": 1
        },
        "data": [
            {
                "category": "CATEGORY"
                "description": "DESCRIPTION"
                "cve_id": "CVE_ID"
                "event_time": "EVENT_TIME"
                "related_references": "RELATED_REFERENCES"
                "severity": "SEVERITY"
            }
        ]
    },
    "misconfigurations": {
        "statistics": {
            "critical": 1,
            "high": 1,
            "medium": 1,
            "low": 1,
            "undefined": 1
        },
        "data": [
            {
                "category": "CATEGORY"
                "description": "DESCRIPTION"
                "recommendation": "RECOMMENDATION"
                "event_time": "EVENT_TIME"
                "severity": "SEVERITY"
            }
        ]
    },
}
Pesan output

Tindakan List Asset Vulnerabilities dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully returned related vulnerabilities and misconfigurations to the following entities in Security Command Center: ASSET_IDS.

No vulnerabilities and misconfigurations were found to the following entities in Security Command Center: ASSET_IDS.

No vulnerabilities and misconfigurations were found for the provided assets in Security Command Center.

 Tindakan berhasil.
Error executing action "List Asset Vulnerabilities". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan List Asset Vulnerabilities:

Nama hasil skrip Nilai
is_success True atau False

Ping

Gunakan tindakan Ping untuk menguji konektivitas ke Security Command Center.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Ping memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Pesan output

Tindakan Ping dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan
Successfully connected to the Security Command Center server with the provided connection parameters! Tindakan berhasil.
Failed to connect to the Security Command Center server! Error is ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Nama hasil skrip Nilai
is_success True atau False

Memperbarui temuan

Gunakan tindakan Perbarui temuan untuk memperbarui temuan di Security Command Center.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Perbarui temuan memerlukan parameter berikut:

Parameter Deskripsi
Finding Name

Wajib.

Menemukan nama yang akan diperbarui. Parameter ini menerima beberapa nilai sebagai daftar yang dipisahkan koma.

Contoh untuk menemukan nama adalah sebagai berikut: organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID
Mute Status

Opsional.

Status nonaktif untuk temuan.

Kemungkinan nilainya adalah sebagai berikut:

  • Select One
  • Mute
  • Unmute
State Status

Opsional.

Status temuan.

Kemungkinan nilainya adalah sebagai berikut:

  • Select One
  • Active
  • Inactive

Output tindakan

Tindakan Update finding memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Pesan output

Tindakan Perbarui temuan dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully updated the following findings in Security Command Center: FINDING_NAMES

Action wasn't able to find the following findings in Security Command Center: FINDING_NAMES

None of the provided findings were found in Security Command Center.

 Tindakan berhasil.
Error executing action "Update finding". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perbarui temuan:

Nama hasil skrip Nilai
is_success True atau False

Konektor

Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).

Google Security Command Center - Konektor Temuan

Gunakan Google Security Command Center - Findings Connector untuk mengambil informasi tentang temuan dari Security Command Center.

Filter daftar dinamis berfungsi dengan kategori.

Input konektor

Google Security Command Center - Findings Connector memerlukan parameter berikut:

Parameter Deskripsi
Product Field Name

Wajib.

Nama kolom tempat nama produk disimpan.

Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default.

Nilai defaultnya adalah Product Name.
Event Field Name

Wajib.

Nama kolom yang menentukan nama peristiwa (subjenis).

Nilai defaultnya adalah category.
Environment Field Name

Opsional.

Nama kolom tempat nama lingkungan disimpan.

Jika kolom environment tidak ada, konektor akan menggunakan nilai default.
Environment Regex Pattern

Opsional.

Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom Environment Field Name. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler.

Gunakan nilai default .* untuk mengambil nilai Environment Field Name mentah yang diperlukan.

Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Script Timeout (Seconds)

Wajib.

Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini.

Nilai defaultnya adalah 180.
API Root

Wajib.

Root API instance Security Command Center.

Nilai defaultnya adalah https://securitycenter.googleapis.com.

Organization ID

Opsional.

ID organisasi yang akan digunakan dalam integrasi Security Command Center.
Project ID

Opsional.

Project ID instance Security Command Center.
Quota Project ID

Opsional.

Google Cloud Project ID yang Anda gunakan untuk Google Cloud API dan penagihan. Parameter ini mengharuskan Anda memberikan peran Service Usage Consumer ke akun layanan Anda.

Jika Anda tidak menetapkan nilai untuk parameter ini, integrasi akan mengambil project ID dari akun layanan Google Cloud Anda.
User's Service Account

Wajib.

Konten file JSON kunci akun layanan.

Anda dapat mengonfigurasi parameter ini atau parameter Workload Identity Email.

Untuk mengonfigurasi parameter ini, berikan konten lengkap file JSON kunci akun layanan yang telah Anda download saat Anda membuat akun layanan.
Workload Identity Email

Opsional.

Alamat email klien akun layanan Anda.

Anda dapat mengonfigurasi parameter ini atau parameter User's Service Account.

Jika Anda menetapkan parameter ini, konfigurasi parameter Quota Project ID.

Untuk meniru identitas akun layanan dengan Workload Identity Federation, berikan peran Service Account Token Creator ke akun layanan Anda. Untuk mengetahui detail selengkapnya tentang identitas beban kerja dan cara menggunakannya, lihat Identitas untuk beban kerja.
Finding Class Filter

Opsional.

Kelas temuan untuk di-ingest oleh konektor.

Kemungkinan nilainya adalah sebagai berikut:

  • Threat
  • Vulnerability
  • Misconfiguration
  • SCC_Error
  • Observation

Jika Anda tidak menyetel nilai, konektor akan menyerap temuan dari semua kelas.

Nilai defaultnya adalah Threat,Vulnerability,Misconfiguration,SCC_Error,Observation.
Lowest Severity To Fetch

Opsional.

Tingkat keparahan terendah dari pemberitahuan yang akan diambil.

Jika Anda tidak mengonfigurasi parameter ini, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan.

Konektor memperlakukan pemberitahuan dengan tingkat keparahan yang tidak ditentukan sebagai pemberitahuan dengan tingkat keparahan Medium.

Kemungkinan nilainya adalah sebagai berikut:

  • Low
  • Medium
  • High
  • Critical

Nilai defaultnya adalah High.
Max Hours Backwards

Opsional.

Jumlah jam sebelum saat ini untuk mengambil temuan.

Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya, atau nilai penggantian untuk stempel waktu konektor yang telah berakhir.

Nilai maksimum adalah 24.

Nilai defaultnya adalah 1.
Max Findings To Fetch

Opsional.

Jumlah temuan yang akan diproses dalam setiap iterasi konektor.

Nilai maksimum adalah 1000.

Nilai defaultnya adalah 100.
Use dynamic list as a blacklist

Wajib.

Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir.

Tidak dipilih secara default.
Verify SSL

Wajib.

Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Security Command Center.

Tidak dipilih secara default.
Proxy Server Address

Opsional.

Alamat server proxy yang akan digunakan.
Proxy Username

Opsional.

Nama pengguna proxy untuk melakukan autentikasi.
Proxy Password

Opsional.

Sandi proxy untuk mengautentikasi.

Aturan konektor

Google Security Command Center - Findings Connector mendukung proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.