Integre o Security Command Center com o SecOps da Google
Este documento explica como integrar o Security Command Center com o Google Security Operations (Google SecOps).
Versão de integração: 13.0
Antes de começar
Para usar a integração, precisa de uma função de gestão de identidade e de acesso (IAM) personalizada e de uma Google Cloud conta de serviço. Pode usar uma conta de serviço existente ou criar uma nova.
Crie e configure uma função de IAM
Para criar e configurar uma função do IAM personalizada para a integração, conclua os seguintes passos:
Na Google Cloud consola, aceda à página Funções do IAM.
Clique em Criar função para criar uma função personalizada com as autorizações necessárias para a integração.
Para uma nova função personalizada, introduza um título, uma descrição e um ID exclusivo.
Defina o Role Launch Stage como General Availability.
Adicione as seguintes autorizações à função criada:
securitycenter.assets.listsecuritycenter.findings.listsecuritycenter.findings.setMutesecuritycenter.findings.setState
Crie e configure uma chave da API
Para criar a chave da API, conclua os seguintes passos:
Na Google Cloud consola, aceda a APIs e serviços > Credenciais > Criar credenciais.
Selecione Chave da API. É apresentada uma caixa de diálogo com uma chave da API gerada. Copie a chave da API e armazene-a de forma segura.
Para configurar a restrição da API para a chave da API, conclua os seguintes passos:
Clique em Restringir chave > Restrições de API > Restringir chave.
Selecione API Security Command Center na lista de APIs, configure as restrições aplicáveis e clique em Guardar.
Conceda acesso à chave da API
Para conceder acesso do Security Command Center à sua chave da API, conclua os seguintes passos:
Na Google Cloud consola, aceda a IAM e administrador > Contas de serviço.
Selecione a conta de serviço que usa na integração do Security Command Center.
Clique no endereço de email da conta de serviço.
Selecione Conceder acesso.
No campo Novos membros, introduza o endereço de email da conta de serviço.
Em Centro de segurança, selecione a função
Security Center Findings Editore clique em Guardar.
Parâmetros de integração
A integração do Security Command Center requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Root |
Obrigatório. A raiz da API da instância do Security Command Center. |
Organization ID |
Opcional. O ID da organização a usar na integração do Security Command Center. |
Project ID |
Opcional. O ID do projeto da instância do Security Command Center. |
Quota Project ID |
Opcional. O Google Cloud ID do projeto que usa para
Google Cloud APIs e faturação. Este parâmetro requer que conceda a função
Se não definir um valor para este parâmetro, a integração obtém o ID do projeto a partir da sua Google Cloud conta de serviço. |
User's Service Account |
Obrigatório. O conteúdo do ficheiro JSON da chave da conta de serviço. Pode configurar este parâmetro ou o parâmetro Para configurar este parâmetro, forneça o conteúdo completo do ficheiro JSON da chave da conta de serviço que transferiu quando criou uma conta de serviço. |
Workload Identity Email |
Opcional. O endereço de email do cliente da sua conta de serviço. Pode configurar este parâmetro ou o parâmetro Se definir este parâmetro, configure o parâmetro Para usar a identidade de contas de serviço com a federação de identidades da carga de trabalho,
conceda a função |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL quando se liga ao servidor do Security Command Center. Selecionado por predefinição. |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.
Obtenha detalhes da descoberta
Use a ação Get Finding Details para obter detalhes sobre uma descoberta no Security Command Center.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Finding Details requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Finding Name |
Obrigatório. Encontrar nomes para devolver detalhes. Este parâmetro aceita vários valores como uma lista separada por vírgulas. O exemplo para encontrar nomes é o seguinte: organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Resultados da ação
A ação Get Finding Details (Obter detalhes da descoberta) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
A ação Get Finding Details pode devolver a seguinte tabela:
Título da tabela: Detalhes da descoberta
Colunas da tabela:
- Categoria
- Estado
- Gravidade
- Tipo
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Finding Details:
{
{
"finding_name": "organizations/ORGANIZATION_ID/sources/2678067631293752869/findings/hvX6WwbvFyBGqPbEs9WH9m",
"finding": {
"name": "organizations/ORGANIZATION_ID/sources/2678067631293752869/findings/hvX6WwbvFyBGqPbEs9WH9m",
"parent": "organizations/ORGANIZATION_ID/sources/2678067631293752869",
"resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"state": "ACTIVE",
"category": "Discovery: Service Account Self-Investigation",
"sourceProperties": {
"sourceId": {
"projectNumber": "PROJECT_ID",
"customerOrganizationNumber": "ORGANIZATION_ID"
},
"detectionCategory": {
"technique": "discovery",
"indicator": "audit_log",
"ruleName": "iam_anomalous_behavior",
"subRuleName": "service_account_gets_own_iam_policy"
},
"detectionPriority": "LOW",
"affectedResources": [
{
"gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID"
}
],
"evidence": [
{
"sourceLogId": {
"projectId": "PROJECT_ID",
"resourceContainer": "projects/PROJECT_ID",
"timestamp": {
"seconds": "1622678907",
"nanos": 448368000
},
"insertId": "ID"
}
}
],
"properties": {
"serviceAccountGetsOwnIamPolicy": {
"principalEmail": "prisma-cloud-serv@PROJECT_ID.iam.gserviceaccount.com",
"projectId": "PROJECT_ID",
"callerIp": "192.0.2.41",
"callerUserAgent": "Redlock/GC-MDC/resource-manager/PROJECT_ID Google-API-Java-Client HTTP-Java-Client/1.34.0 (gzip),gzip(gfe)",
"rawUserAgent": "Redlock/GC-MDC/resource-manager/PROJECT_ID Google-API-Java-Client HTTP-Java-Client/1.34.0 (gzip),gzip(gfe)"
}
},
"contextUris": {
"mitreUri": {
"displayName": "Permission Groups Discovery: Cloud Groups",
"url": "https://attack.mitre.org/techniques/ID/003/"
},
"cloudLoggingQueryUri": [
{
"displayName": "Cloud Logging Query Link",
"url": "https://console.cloud.google.com/logs/query;query=timestamp%3D%222021-06-03T00:08:27.448368Z%22%0AinsertId%3D%22ID%22%0Aresource.labels.project_id%3D%22PROJECT_ID%22?project=PROJECT_ID"
}
]
}
},
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"eventTime": "2021-06-03T00:08:27.448Z",
"createTime": "2021-06-03T00:08:31.074Z",
"severity": "LOW",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"mute": "UNDEFINED",
"findingClass": "THREAT",
"mitreAttack": {
"primaryTactic": "DISCOVERY",
"primaryTechniques": [
"PERMISSION_GROUPS_DISCOVERY",
"CLOUD_GROUPS"
]
}
},
"resource": {
"name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"projectDisplayName": "PROJECT_ID",
"parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
"parentDisplayName": "example.net",
"type": "google.cloud.resourcemanager.Project",
"displayName": "PROJECT_ID"
}
}
}
Mensagens de saída
A ação Get Finding Details pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Finding Details". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Finding Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Apresentar vulnerabilidades de recursos
Use a ação List Asset Vulnerabilities para listar as vulnerabilidades relacionadas com entidades no Security Command Center.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação List Asset Vulnerabilities requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Asset Resource Names |
Obrigatório. Nomes dos recursos dos recursos para devolver dados. Este parâmetro aceita vários valores como uma lista separada por vírgulas. |
Timeframe |
Opcional. Um período para pesquisar as vulnerabilidades ou as configurações incorretas. Os valores possíveis são os seguintes:
O valor predefinido é |
Record Types |
Opcional. O tipo de registo a devolver. Os valores possíveis são os seguintes:
O valor predefinido é |
Output Type |
Opcional. O tipo de saída a devolver no resultado JSON para cada recurso. Os valores possíveis são os seguintes:
O valor predefinido é |
Max Records To Return |
Opcional. O número máximo de registos a devolver para cada tipo de registo. O valor predefinido é |
Resultados da ação
A ação List Asset Vulnerabilities fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
A ação List Asset Vulnerabilities pode devolver as seguintes tabelas:
Título da tabela: ASSET_ID Vulnerabilidades
Colunas da tabela:
- Categoria
- Descrição
- Gravidade
- Hora do evento
- CVE
Título da tabela: ASSET_ID Configurações incorretas
Colunas da tabela:
- Categoria
- Descrição
- Gravidade
- Hora do evento
- Recomendação
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação List Asset Vulnerabilities:
{
."siemplify_asset_display_name":[1] [2] ""
"vulnerabilities": {
"statistics": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"undefined": 1
},
"data": [
{
"category": "CATEGORY"
"description": "DESCRIPTION"
"cve_id": "CVE_ID"
"event_time": "EVENT_TIME"
"related_references": "RELATED_REFERENCES"
"severity": "SEVERITY"
}
]
},
"misconfigurations": {
"statistics": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"undefined": 1
},
"data": [
{
"category": "CATEGORY"
"description": "DESCRIPTION"
"recommendation": "RECOMMENDATION"
"event_time": "EVENT_TIME"
"severity": "SEVERITY"
}
]
},
}
Mensagens de saída
A ação List Asset Vulnerabilities pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "List Asset Vulnerabilities". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação List Asset Vulnerabilities:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Tchim-tchim
Use a ação Ping para testar a conetividade com o Security Command Center.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully connected to the Security Command Center server
with the provided connection parameters! |
A ação foi bem-sucedida. |
Failed to connect to the Security Command Center server! Error
is ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar descoberta
Use a ação Atualizar registo para atualizar o registo no Security Command Center.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Update finding requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Finding Name |
Obrigatório. Encontrar nomes para atualizar. Este parâmetro aceita vários valores como uma lista separada por vírgulas. O exemplo para encontrar nomes é o seguinte: |
Mute Status |
Opcional. O estado de desativação do som da descoberta. Os valores possíveis são os seguintes:
|
State Status |
Opcional. O estado da descoberta. Os valores possíveis são os seguintes:
|
Resultados da ação
A ação Update finding fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Update finding pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Update finding". Reason: ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte apresenta o valor do resultado do script quando usa a ação Update finding:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conetores
Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
Google Security Command Center – Conetor de resultados
Use o Conetor de resultados do Google Security Command Center para obter informações sobre os resultados do Security Command Center.
O filtro de listas dinâmicas funciona com categorias.
Entradas do conetor
O Google Security Command Center - Findings Connector requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor predefinido é
|
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é |
API Root |
Obrigatório. A raiz da API da instância do Security Command Center. O valor predefinido é |
Organization ID |
Opcional. O ID de uma organização a usar na integração do Security Command Center. |
Project ID |
Opcional. O ID do projeto da instância do Security Command Center. |
Quota Project ID |
Opcional. O Google Cloud ID do projeto que usa para
Google Cloud APIs e faturação. Este parâmetro requer que conceda a função
Se não definir um valor para este parâmetro, a integração obtém o ID do projeto a partir da sua Google Cloud conta de serviço. |
User's Service Account |
Obrigatório. O conteúdo do ficheiro JSON da chave da conta de serviço. Pode configurar este parâmetro ou o parâmetro Para configurar este parâmetro, forneça o conteúdo completo do ficheiro JSON da chave da conta de serviço que transferiu quando criou uma conta de serviço. |
Workload Identity Email |
Opcional. O endereço de email do cliente da sua conta de serviço. Pode configurar este parâmetro ou o parâmetro Se definir este parâmetro, configure o parâmetro Para usar a identidade de contas de serviço com a federação de identidades da carga de trabalho,
conceda a função |
Finding Class Filter
|
Opcional. As classes de resultados para o conetor carregar. Os valores possíveis são os seguintes:
Se não definir um valor, o conector carrega as conclusões de todas as classes. O valor predefinido é
|
Lowest Severity To Fetch |
Opcional. A gravidade mais baixa dos alertas a obter. Se não configurar este parâmetro, o conector carrega alertas com todos os níveis de gravidade. O conetor trata os alertas com gravidade indefinida como alertas com gravidade Os valores possíveis são os seguintes:
O valor predefinido é
|
Max Hours Backwards |
Opcional. O número de horas antes do momento atual para obter descobertas. Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada. O valor máximo é O valor predefinido é |
Max Findings To Fetch
|
Opcional. O número de resultados a processar em cada iteração do conetor. O valor máximo é O valor
predefinido é |
Use dynamic list as a blacklist |
Obrigatório. Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. Não selecionado por predefinição. |
Verify SSL
|
Obrigatório. Se selecionada, a integração valida o certificado SSL quando se liga ao servidor do Security Command Center. Não selecionado por predefinição. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a usar. |
Proxy Username |
Opcional. O nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional. A palavra-passe do proxy para autenticação. |
Regras de conector
O conector de resultados do Google Security Command Center suporta proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.