Integrar o Security Command Center ao Google SecOps
Neste documento, explicamos como integrar o Security Command Center ao Google Security Operations (Google SecOps).
Versão da integração: 13.0
Antes de começar
Para usar a integração, você precisa de um papel personalizado do Identity and Access Management (IAM) e uma Google Cloud conta de serviço. É possível usar uma conta de serviço atual ou criar uma nova.
Criar e configurar um papel do IAM
Para criar e configurar um papel personalizado do IAM para a integração, siga estas etapas:
No console do Google Cloud , acesse a página Papéis do IAM.
Clique em Criar papel para criar um papel personalizado com as permissões necessárias para a integração.
Para uma nova função personalizada, insira um Título, uma Descrição e um ID exclusivo.
Defina o Estágio de lançamento do papel como Disponibilidade geral.
Adicione as seguintes permissões ao papel criado:
securitycenter.assets.listsecuritycenter.findings.listsecuritycenter.findings.setMutesecuritycenter.findings.setState
Criar e configurar uma chave de API
Para criar a chave de API, siga estas etapas:
No console Google Cloud , acesse APIs e serviços > Credenciais > Criar credenciais.
Selecione Chave de API. Uma caixa de diálogo vai aparecer com uma chave de API gerada. Copie e armazene a chave de API com segurança.
Para configurar a restrição de API para a chave de API, siga estas etapas:
Clique em Restringir chave > Restrições de API > Restringir chave.
Selecione API Security Command Center na lista de APIs, configure as restrições aplicáveis e clique em Salvar.
Conceder acesso à chave de API
Para conceder ao Security Command Center acesso à sua chave de API, siga estas etapas:
No console Google Cloud , acesse IAM e administrador > Contas de serviço.
Selecione a conta de serviço que você usa na integração do Security Command Center.
Clique no endereço de e-mail da conta de serviço.
Selecione Conceder acesso.
No campo Novos membros, insira o endereço de e-mail da conta de serviço.
Em Central de segurança, selecione a função
Security Center Findings Editore clique em Salvar.
Parâmetros de integração
A integração com o Security Command Center exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Root |
Obrigatório. A raiz da API da instância do Security Command Center. |
Organization ID |
Opcional. O ID da organização a ser usado na integração do Security Command Center. |
Project ID |
Opcional. O ID do projeto da instância do Security Command Center. |
Quota Project ID |
Opcional. O ID do projeto Google Cloud que você usa para
APIs Google Cloud e faturamento. Para usar esse parâmetro, conceda o papel
Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud . |
User's Service Account |
Obrigatório. O conteúdo do arquivo JSON da chave da conta de serviço. É possível configurar esse parâmetro ou o Para configurar esse parâmetro, forneça o conteúdo completo do arquivo JSON da chave da conta de serviço que você baixou ao criar uma conta de serviço. |
Workload Identity Email |
Opcional. O endereço de e-mail do cliente da sua conta de serviço. É possível configurar esse parâmetro ou o Se você definir esse parâmetro, configure
o parâmetro Para representar contas de serviço com a federação de identidade da carga de trabalho,
conceda o papel |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Security Command Center. Essa opção é selecionada por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Receber detalhes da descoberta
Use a ação Receber detalhes da descoberta para recuperar detalhes sobre uma descoberta no Security Command Center.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Get Finding Details exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Finding Name |
Obrigatório. Encontrando nomes para retornar detalhes. Esse parâmetro aceita vários valores como uma lista separada por vírgulas. O exemplo para encontrar nomes é o seguinte: organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Saídas de ação
A ação Receber detalhes da descoberta fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
A ação Receber detalhes da descoberta pode retornar a seguinte tabela:
Título da tabela: Detalhes da descoberta
Colunas da tabela:
- Categoria
- Estado
- Gravidade
- Tipo
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber detalhes da descoberta:
{
{
"finding_name": "organizations/ORGANIZATION_ID/sources/2678067631293752869/findings/hvX6WwbvFyBGqPbEs9WH9m",
"finding": {
"name": "organizations/ORGANIZATION_ID/sources/2678067631293752869/findings/hvX6WwbvFyBGqPbEs9WH9m",
"parent": "organizations/ORGANIZATION_ID/sources/2678067631293752869",
"resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"state": "ACTIVE",
"category": "Discovery: Service Account Self-Investigation",
"sourceProperties": {
"sourceId": {
"projectNumber": "PROJECT_ID",
"customerOrganizationNumber": "ORGANIZATION_ID"
},
"detectionCategory": {
"technique": "discovery",
"indicator": "audit_log",
"ruleName": "iam_anomalous_behavior",
"subRuleName": "service_account_gets_own_iam_policy"
},
"detectionPriority": "LOW",
"affectedResources": [
{
"gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID"
}
],
"evidence": [
{
"sourceLogId": {
"projectId": "PROJECT_ID",
"resourceContainer": "projects/PROJECT_ID",
"timestamp": {
"seconds": "1622678907",
"nanos": 448368000
},
"insertId": "ID"
}
}
],
"properties": {
"serviceAccountGetsOwnIamPolicy": {
"principalEmail": "prisma-cloud-serv@PROJECT_ID.iam.gserviceaccount.com",
"projectId": "PROJECT_ID",
"callerIp": "192.0.2.41",
"callerUserAgent": "Redlock/GC-MDC/resource-manager/PROJECT_ID Google-API-Java-Client HTTP-Java-Client/1.34.0 (gzip),gzip(gfe)",
"rawUserAgent": "Redlock/GC-MDC/resource-manager/PROJECT_ID Google-API-Java-Client HTTP-Java-Client/1.34.0 (gzip),gzip(gfe)"
}
},
"contextUris": {
"mitreUri": {
"displayName": "Permission Groups Discovery: Cloud Groups",
"url": "https://attack.mitre.org/techniques/ID/003/"
},
"cloudLoggingQueryUri": [
{
"displayName": "Cloud Logging Query Link",
"url": "https://console.cloud.google.com/logs/query;query=timestamp%3D%222021-06-03T00:08:27.448368Z%22%0AinsertId%3D%22ID%22%0Aresource.labels.project_id%3D%22PROJECT_ID%22?project=PROJECT_ID"
}
]
}
},
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"eventTime": "2021-06-03T00:08:27.448Z",
"createTime": "2021-06-03T00:08:31.074Z",
"severity": "LOW",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"mute": "UNDEFINED",
"findingClass": "THREAT",
"mitreAttack": {
"primaryTactic": "DISCOVERY",
"primaryTechniques": [
"PERMISSION_GROUPS_DISCOVERY",
"CLOUD_GROUPS"
]
}
},
"resource": {
"name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"projectDisplayName": "PROJECT_ID",
"parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
"parentDisplayName": "example.net",
"type": "google.cloud.resourcemanager.Project",
"displayName": "PROJECT_ID"
}
}
}
Mensagens de saída
A ação Receber detalhes da descoberta pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Finding Details". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes da descoberta:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Listar vulnerabilidades de recursos
Use a ação Listar vulnerabilidades de recursos para listar vulnerabilidades relacionadas a entidades no Security Command Center.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação List Asset Vulnerabilities exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Asset Resource Names |
Obrigatório. Nomes de recursos dos recursos para retornar dados. Esse parâmetro aceita vários valores como uma lista separada por vírgulas. |
Timeframe |
Opcional. Um período para pesquisar vulnerabilidades ou configurações incorretas. Os valores possíveis são:
O valor padrão é |
Record Types |
Opcional. O tipo de registro a ser retornado. Os valores possíveis são:
O valor padrão é |
Output Type |
Opcional. O tipo de saída a ser retornada no resultado JSON para cada recurso. Os valores possíveis são:
O valor padrão é |
Max Records To Return |
Opcional. O número máximo de registros a serem retornados para cada tipo de registro. O valor padrão é |
Saídas de ação
A ação List Asset Vulnerabilities fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
A ação List Asset Vulnerabilities pode retornar as seguintes tabelas:
Título da tabela: Vulnerabilidades de ASSET_ID
Colunas da tabela:
- Categoria
- Descrição
- Gravidade
- Horário do evento
- CVE
Título da tabela: ASSET_ID Configurações incorretas
Colunas da tabela:
- Categoria
- Descrição
- Gravidade
- Horário do evento
- Recomendação
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação List Asset Vulnerabilities:
{
."siemplify_asset_display_name":[1] [2] ""
"vulnerabilities": {
"statistics": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"undefined": 1
},
"data": [
{
"category": "CATEGORY"
"description": "DESCRIPTION"
"cve_id": "CVE_ID"
"event_time": "EVENT_TIME"
"related_references": "RELATED_REFERENCES"
"severity": "SEVERITY"
}
]
},
"misconfigurations": {
"statistics": {
"critical": 1,
"high": 1,
"medium": 1,
"low": 1,
"undefined": 1
},
"data": [
{
"category": "CATEGORY"
"description": "DESCRIPTION"
"recommendation": "RECOMMENDATION"
"event_time": "EVENT_TIME"
"severity": "SEVERITY"
}
]
},
}
Mensagens de saída
A ação List Asset Vulnerabilities pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "List Asset Vulnerabilities". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação List Asset Vulnerabilities:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Ping
Use a ação Ping para testar a conectividade com o Security Command Center.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully connected to the Security Command Center server
with the provided connection parameters! |
A ação foi concluída. |
Failed to connect to the Security Command Center server! Error
is ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Atualizar descoberta
Use a ação Atualizar descoberta para atualizar a descoberta no Security Command Center.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Atualizar descoberta exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Finding Name |
Obrigatório. Encontrando nomes para atualizar. Esse parâmetro aceita vários valores como uma lista separada por vírgulas. O exemplo para encontrar nomes é o seguinte: |
Mute Status |
Opcional. O status de silenciamento da descoberta. Os valores possíveis são:
|
State Status |
Opcional. O estado da descoberta. Os valores possíveis são os seguintes:
|
Saídas de ação
A ação Atualizar descoberta fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Atualizar descoberta pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Update finding". Reason: ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Atualizar descoberta:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conectores
Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Conector de descobertas do Google Security Command Center
Use o Conector de descobertas do Google Security Command Center para recuperar informações sobre descobertas do Security Command Center.
O filtro de lista dinâmica funciona com categorias.
Entradas do conector
O Conector de descobertas do Google Security Command Center exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor padrão é |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório. A raiz da API da instância do Security Command Center. O valor padrão é |
Organization ID |
Opcional. O ID de uma organização a ser usada na integração do Security Command Center. |
Project ID |
Opcional. O ID do projeto da instância do Security Command Center. |
Quota Project ID |
Opcional. O ID do projeto Google Cloud que você usa para
APIs Google Cloud e faturamento. Para usar esse parâmetro, conceda o papel
Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud . |
User's Service Account |
Obrigatório. O conteúdo do arquivo JSON da chave da conta de serviço. É possível configurar esse parâmetro ou o Para configurar esse parâmetro, forneça o conteúdo completo do arquivo JSON da chave da conta de serviço que você baixou ao criar uma conta de serviço. |
Finding Class Filter |
Opcional. Uma lista separada por vírgulas dos tipos de descobertas de segurança a serem incluídos ao ingerir dados da fonte. Os valores possíveis são:
Se nenhum valor for fornecido, as descobertas de todas as classes serão ingeridas. |
Workload Identity Email |
Opcional. O endereço de e-mail do cliente da sua conta de serviço. É possível configurar esse parâmetro ou o Se você definir esse parâmetro, configure
o parâmetro Para representar contas de serviço com a federação de identidade da carga de trabalho,
conceda o papel |
Lowest Severity To Fetch |
Opcional. A menor gravidade dos alertas a serem recuperados. Se você não configurar esse parâmetro, o conector vai ingerir alertas com todos os níveis de gravidade. Os valores possíveis são:
Se uma descoberta com gravidade indefinida receber o nível Se esse parâmetro estiver vazio, todos os tipos de gravidade serão ingeridos. |
Fallback Severity |
Opcional. O nível de gravidade a ser atribuído a qualquer descoberta de segurança ingerida que não tenha uma classificação de gravidade definida ou reconhecível da fonte. Os valores possíveis são:
O valor padrão é |
Max Hours Backwards |
Opcional. O número de horas antes de agora para recuperar descobertas. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. O valor máximo é O valor padrão é |
Max Findings To Fetch
|
Opcional. O número de descobertas a serem processadas em cada iteração do conector. O valor máximo é O valor padrão é |
Use dynamic list as a blacklist |
Obrigatório. Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Não selecionada por padrão. |
Verify SSL
|
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Security Command Center. Não selecionada por padrão. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário do proxy para autenticação. |
Proxy Password |
Opcional. A senha do proxy para autenticação. |
Regras do conector
O conector de descobertas do Google Security Command Center é compatível com proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.