Integrar o Security Command Center ao Google SecOps
Neste documento, explicamos como integrar o Security Command Center ao Google Security Operations (Google SecOps).
Versão da integração: 13.0
Antes de começar
Para usar a integração, você precisa de um papel personalizado do Identity and Access Management (IAM) e uma Google Cloud conta de serviço. É possível usar uma conta de serviço atual ou criar uma nova.
Criar e configurar um papel do IAM
Para criar e configurar um papel personalizado do IAM para a integração, siga estas etapas:
No console do Google Cloud , acesse a página Papéis do IAM.
Clique em Criar papel para criar um papel personalizado com as permissões necessárias para a integração.
Para uma nova função personalizada, insira um Título, uma Descrição e um ID exclusivo.
Defina o Estágio de lançamento da função como Disponibilidade geral.
Adicione as seguintes permissões ao papel criado:
securitycenter.assets.listsecuritycenter.findings.listsecuritycenter.findings.setMutesecuritycenter.findings.setState
Criar e configurar uma chave de API
Para criar a chave de API, siga estas etapas:
No console Google Cloud , acesse APIs e serviços > Credenciais > Criar credenciais.
Selecione Chave de API. Uma caixa de diálogo vai aparecer com uma chave de API gerada. Copie e armazene a chave de API com segurança.
Para configurar a restrição de API para a chave de API, siga estas etapas:
Clique em Restringir chave > Restrições de API > Restringir chave.
Selecione API Security Command Center na lista de APIs, configure as restrições aplicáveis e clique em Salvar.
Conceder acesso à chave de API
Para conceder acesso do Security Command Center à sua chave de API, siga estas etapas:
No console Google Cloud , acesse IAM e administrador > Contas de serviço.
Selecione a conta de serviço que você usa na integração do Security Command Center.
Clique no endereço de e-mail da conta de serviço.
Selecione Conceder acesso.
No campo Novos membros, insira o endereço de e-mail da conta de serviço.
Em Central de segurança, selecione a função
Security Center Findings Editore clique em Salvar.
Parâmetros de integração
A integração com o Security Command Center exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Root |
Obrigatório. A raiz da API da instância do Security Command Center. |
Organization ID |
Opcional. O ID da organização a ser usado na integração do Security Command Center. |
Project ID |
Opcional. O ID do projeto da instância do Security Command Center. |
Quota Project ID |
Opcional. O ID do projeto Google Cloud que você usa para
APIs Google Cloud e faturamento. Para usar esse parâmetro, conceda o papel
Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud . |
User's Service Account |
Obrigatório. O conteúdo do arquivo JSON da chave da conta de serviço. É possível configurar esse parâmetro ou o Para configurar esse parâmetro, forneça o conteúdo completo do arquivo JSON da chave da conta de serviço que você baixou ao criar uma conta de serviço. |
Workload Identity Email |
Opcional. O endereço de e-mail do cliente da sua conta de serviço. É possível configurar esse parâmetro ou o Se você definir esse parâmetro, configure
o parâmetro Para representar contas de serviço com a federação de identidade da carga de trabalho,
conceda o papel |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Security Command Center. Essa opção é selecionada por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Receber detalhes da descoberta
Use a ação Receber detalhes da descoberta para recuperar detalhes sobre uma descoberta no Security Command Center.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Get Finding Details exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Finding Name |
Obrigatório. Encontrando nomes para retornar detalhes. Esse parâmetro aceita vários valores como uma lista separada por vírgulas. O exemplo para encontrar nomes é o seguinte: organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Saídas de ação
A ação Receber detalhes da descoberta fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
A ação Receber detalhes da descoberta pode retornar a seguinte tabela:
Título da tabela: Detalhes da descoberta
Colunas da tabela:
- Categoria
- Estado
- Gravidade
- Tipo
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber detalhes da descoberta:
{
{
"finding_name": "organizations/ORGANIZATION_ID/sources/2678067631293752869/findings/hvX6WwbvFyBGqPbEs9WH9m",
"finding": {
"name": "organizations/ORGANIZATION_ID/sources/2678067631293752869/findings/hvX6WwbvFyBGqPbEs9WH9m",
"parent": "organizations/ORGANIZATION_ID/sources/2678067631293752869",
"resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"state": "ACTIVE",
"category": "Discovery: Service Account Self-Investigation",
"sourceProperties": {
"sourceId": {
"projectNumber": "PROJECT_ID",
"customerOrganizationNumber": "ORGANIZATION_ID"
},
"detectionCategory": {
"technique": "discovery",
"indicator": "audit_log",
"ruleName": "iam_anomalous_behavior",
"subRuleName": "service_account_gets_own_iam_policy"
},
"detectionPriority": "LOW",
"affectedResources": [
{
"gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID"
}
],
"evidence": [
{
"sourceLogId": {
"projectId": "PROJECT_ID",
"resourceContainer": "projects/PROJECT_ID",
"timestamp": {
"seconds": "1622678907",
"nanos": 448368000
},
"insertId": "ID"
}
}
],
"properties": {
"serviceAccountGetsOwnIamPolicy": {
"principalEmail": "prisma-cloud-serv@PROJECT_ID.iam.gserviceaccount.com",
"projectId": "PROJECT_ID",
"callerIp": "192.0.2.41",
"callerUserAgent": "Redlock/GC-MDC/resource-manager/PROJECT_ID Google-API-Java-Client HTTP-Java-Client/1.34.0 (gzip),gzip(gfe)",
"rawUserAgent": "Redlock/GC-MDC/resource-manager/PROJECT_ID Google-API-Java-Client HTTP-Java-Client/1.34.0 (gzip),gzip(gfe)"
}
},
"contextUris": {
"mitreUri": {
"displayName": "Permission Groups Discovery: Cloud Groups",
"url": "https://attack.mitre.org/techniques/ID/003/"
},
"cloudLoggingQueryUri": [
{
"displayName": "Cloud Logging Query Link",
"url": "https://console.cloud.google.com/logs/query;query=timestamp%3D%222021-06-03T00:08:27.448368Z%22%0AinsertId%3D%22ID%22%0Aresource.labels.project_id%3D%22PROJECT_ID%22?project=PROJECT_ID"
}
]
}
},
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"eventTime": "2021-06-03T00:08:27.448Z",
"createTime": "2021-06-03T00:08:31.074Z",
"severity": "LOW",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"mute": "UNDEFINED",
"findingClass": "THREAT",
"mitreAttack": {
"primaryTactic": "DISCOVERY",
"primaryTechniques": [
"PERMISSION_GROUPS_DISCOVERY",
"CLOUD_GROUPS"
]
}
},
"resource": {
"name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"projectDisplayName": "PROJECT_ID",
"parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
"parentDisplayName": "example.net",
"type": "google.cloud.resourcemanager.Project",
"displayName": "PROJECT_ID"
}
}
}
Mensagens de saída
A ação Receber detalhes da descoberta pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Finding Details". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes da descoberta:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Listar vulnerabilidades de recursos
Use a ação Listar vulnerabilidades de recursos para listar vulnerabilidades relacionadas a entidades no Security Command Center.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação List Asset Vulnerabilities exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Asset Resource Names |
Obrigatório. Nomes de recursos dos recursos para retornar dados. Esse parâmetro aceita vários valores como uma lista separada por vírgulas. |
Timeframe |
Opcional. Um período para pesquisar vulnerabilidades ou configurações incorretas. Os valores possíveis são:
O valor padrão é |
Record Types |
Opcional. O tipo de registro a ser retornado. Os valores possíveis são:
O valor padrão é |
Output Type |
Opcional. O tipo de saída a ser retornada no resultado JSON para cada recurso. Os valores possíveis são:
O valor padrão é |
Max Records To Return |
Opcional. O número máximo de registros a serem retornados para cada tipo de registro. O valor padrão é |
Saídas de ação
A ação List Asset Vulnerabilities fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
A ação List Asset Vulnerabilities pode retornar as seguintes tabelas:
Título da tabela: Vulnerabilidades de ASSET_ID
Colunas da tabela:
- Categoria
- Descrição
- Gravidade
- Horário do evento
- CVE
Título da tabela: ASSET_ID Configurações incorretas
Colunas da tabela:
- Categoria
- Descrição
- Gravidade
- Horário do evento
- Recomendação
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação List Asset Vulnerabilities:
{
."siemplify_asset_display_name":[1] [2] ""
"vulnerabilities": {
"statistics": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"undefined": 1
},
"data": [
{
"category": "CATEGORY"
"description": "DESCRIPTION"
"cve_id": "CVE_ID"
"event_time": "EVENT_TIME"
"related_references": "RELATED_REFERENCES"
"severity": "SEVERITY"
}
]
},
"misconfigurations": {
"statistics": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"undefined": 1
},
"data": [
{
"category": "CATEGORY"
"description": "DESCRIPTION"
"recommendation": "RECOMMENDATION"
"event_time": "EVENT_TIME"
"severity": "SEVERITY"
}
]
},
}
Mensagens de saída
A ação List Asset Vulnerabilities pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "List Asset Vulnerabilities". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação List Asset Vulnerabilities:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Ping
Use a ação Ping para testar a conectividade com o Security Command Center.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully connected to the Security Command Center server
with the provided connection parameters! |
A ação foi concluída. |
Failed to connect to the Security Command Center server! Error
is ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar descoberta
Use a ação Atualizar descoberta para atualizar a descoberta no Security Command Center.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Atualizar descoberta exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Finding Name |
Obrigatório. Encontrando nomes para atualizar. Esse parâmetro aceita vários valores como uma lista separada por vírgulas. O exemplo para encontrar nomes é o seguinte: |
Mute Status |
Opcional. O status de silenciamento da descoberta. Os valores possíveis são:
|
State Status |
Opcional. O estado da descoberta. Os valores possíveis são os seguintes:
|
Saídas de ação
A ação Atualizar descoberta fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Atualizar descoberta pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Update finding". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar descoberta:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conectores
Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Conector de descobertas do Google Security Command Center
Use o Conector de descobertas do Google Security Command Center para recuperar informações sobre descobertas do Security Command Center.
O filtro de lista dinâmica funciona com categorias.
Entradas do conector
O Conector de descobertas do Google Security Command Center exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor padrão é |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório. A raiz da API da instância do Security Command Center. O valor padrão é |
Organization ID |
Opcional. O ID de uma organização a ser usada na integração do Security Command Center. |
Project ID |
Opcional. O ID do projeto da instância do Security Command Center. |
Quota Project ID |
Opcional. O ID do projeto Google Cloud que você usa para
APIs Google Cloud e faturamento. Para usar esse parâmetro, conceda o papel
Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud . |
User's Service Account |
Obrigatório. O conteúdo do arquivo JSON da chave da conta de serviço. É possível configurar esse parâmetro ou o Para configurar esse parâmetro, forneça o conteúdo completo do arquivo JSON da chave da conta de serviço que você baixou ao criar uma conta de serviço. |
Workload Identity Email |
Opcional. O endereço de e-mail do cliente da sua conta de serviço. É possível configurar esse parâmetro ou o Se você definir esse parâmetro, configure
o parâmetro Para representar contas de serviço com a federação de identidade da carga de trabalho,
conceda o papel |
Finding Class Filter
|
Opcional. As classes de descoberta para o conector ingerir. Os valores possíveis são:
Se você não definir um valor, o conector vai ingerir descobertas de todas as classes. O valor padrão é |
Lowest Severity To Fetch |
Opcional. A menor gravidade dos alertas a serem recuperados. Se você não configurar esse parâmetro, o conector vai ingerir alertas com todos os níveis de gravidade. O conector trata alertas com gravidade indefinida como aqueles com gravidade Os valores possíveis são:
O valor padrão é |
Max Hours Backwards |
Opcional. O número de horas antes de agora para recuperar descobertas. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. O valor máximo é O valor padrão é |
Max Findings To Fetch
|
Opcional. O número de descobertas a serem processadas em cada iteração do conector. O valor máximo é O valor padrão é |
Use dynamic list as a blacklist |
Obrigatório. Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Não selecionada por padrão. |
Verify SSL
|
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Security Command Center. Não selecionada por padrão. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário do proxy para autenticação. |
Proxy Password |
Opcional. A senha do proxy para autenticação. |
Regras do conector
O conector de descobertas do Google Security Command Center é compatível com proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.