שליחת נתונים מ-Security Command Center אל Elastic Stack באמצעות Docker

בדף הזה מוסבר איך להשתמש בקונטיינר Docker כדי לארח את ההתקנה של Elastic Stack, ולשלוח אוטומטית את הממצאים, הנכסים, יומני הביקורת ומקורות האבטחה של Security Command Center אל Elastic Stack. בנוסף, מוסבר איך לנהל את הנתונים המיוצאים.

‫Docker היא פלטפורמה לניהול אפליקציות בקונטיינרים. ‫Elastic Stack היא פלטפורמה לניהול אבטחת מידע ואירועים (SIEM) שמקבלת נתונים ממקור אחד או יותר ומאפשרת לצוותי אבטחה לנהל תגובות לאירועים ולבצע ניתוח בזמן אמת. ההגדרה של Elastic Stack שמתוארת במדריך הזה כוללת ארבעה רכיבים:

  • Filebeat: סוכן קל משקל שמותקן במארחים של קצה הרשת, כמו מכונות וירטואליות (VM), שאפשר להגדיר אותו לאיסוף נתונים ולהעברתם
  • Logstash: שירות טרנספורמציה שמקבל נתונים, ממפה אותם לשדות הנדרשים ומעביר את התוצאות ל-Elasticsearch
  • Elasticsearch: המנוע של מסד הנתונים לחיפוש שמאחסן נתונים
  • Kibana: מפעיל לוחות בקרה שמאפשרים להמחיש ולנתח נתונים

במדריך הזה מוגדר Docker, מוודאים שהשירותים הנדרשים של Security Command Center ו-Google Cloud מוגדרים בצורה תקינה, ומשתמשים במודול בהתאמה אישית כדי לשלוח ממצאים, נכסים, יומני ביקורת ומקורות אבטחה אל Elastic Stack.

באיור הבא מוצג נתיב הנתונים כשמשתמשים ב-Elastic Stack עם Security Command Center.

שילוב של Security Command Center ו-Elastic Stack (אפשר ללחוץ להגדלה)
שילוב של Security Command Center ו-Elastic Stack (לחצו כדי להגדיל)

הגדרת אימות והרשאה

לפני שמתחברים ל-Elastic Stack, צריך ליצור חשבון שירות לניהול זהויות והרשאות גישה (IAM) בכל ארגון שרוצים להתחבר אליו, ולהעניק לחשבון את תפקידי ה-IAM ברמת הארגון וברמת הפרויקט שנדרשים ל-Elastic Stack. Google Cloud

יצירה של חשבון שירות והקצאת תפקידי IAM

השלבים הבאים מתייחסים למסוף Google Cloud . שיטות אחרות מפורטות בקישורים בסוף הקטע הזה.

צריך לבצע את השלבים האלה לכל Google Cloud ארגון שרוצים לייבא ממנו נתונים של Security Command Center.

  1. באותו פרויקט שבו אתם יוצרים את נושאי Pub/Sub, משתמשים בדף Service Accounts במסוף Google Cloud כדי ליצור חשבון שירות. הוראות מפורטות זמינות במאמר יצירה וניהול של חשבונות שירות.
  2. מקצים לחשבון השירות את התפקידים הבאים:

    • אדמין Pub/Sub (roles/pubsub.admin)
    • בעלים של נכס בענן (roles/cloudasset.owner)
  3. מעתיקים את השם של חשבון השירות שיצרתם.

  4. משתמשים בכלי לבחירת פרויקטים במסוף Google Cloud כדי לעבור לרמת הארגון.

  5. פותחים את הדף IAM של הארגון:

    כניסה לדף IAM

  6. בדף IAM, לוחצים על Grant access (מתן גישה). תיפתח החלונית למתן גישה.

  7. בחלונית Grant access (הענקת גישה), מבצעים את הפעולות הבאות:

    1. בקטע Add principals, בשדה New principals, מדביקים את השם של חשבון השירות.
    2. בקטע Assign roles, משתמשים בשדה Role כדי להעניק לחשבון השירות את התפקידים הבאים ב-IAM:

    3. עריכה של אדמין ב-Security Center (roles/securitycenter.adminEditor)
    4. Security Center Notification Configurations Editor (roles/securitycenter.notificationConfigEditor)
    5. צפייה בארגון (roles/resourcemanager.organizationViewer)
    6. צפייה במאגר משאבי הענן (roles/cloudasset.viewer)
    7. Logs Configuration Writer (roles/logging.configWriter)
    8. לוחצים על Save. חשבון השירות מופיע בכרטיסייה הרשאות בדף IAM בקטע תצוגה לפי חשבונות משתמשים.

      באמצעות ירושה, חשבון השירות הופך גם לחשבון משתמש בכל פרויקטי הצאצא של הארגון. התפקידים שרלוונטיים ברמת הפרויקט מופיעים כ'תפקידים שעברו בירושה'.

מידע נוסף על יצירת חשבונות שירות והענקת תפקידים זמין במאמרים הבאים:

העברת פרטי הכניסה אל Elastic Stack

הדרך שבה מספקים את פרטי הכניסה של IAM ל-Elastic Stack משתנה בהתאם למקום שבו מתבצע האירוח של Elastic Stack.

הגדרת התראות

צריך לבצע את השלבים האלה לכל Google Cloud ארגון שרוצים לייבא ממנו נתונים של Security Command Center.

  1. כדי להגדיר התראות על מציאת מכשיר:

    1. מפעילים את Security Command Center API.
    2. יוצרים מסנן כדי לייצא ממצאים ונכסים.
    3. יוצרים ארבעה נושאים ב-Pub/Sub: אחד לכל אחד מהממצאים, המשאבים, יומני הביקורת והנכסים. NotificationConfig צריך להשתמש בנושא Pub/Sub שיוצרים בשביל הממצאים.

    כדי להגדיר את Elastic Stack, תצטרכו את מזהה הארגון, מזהה הפרויקט ושמות הנושאים ב-Pub/Sub.

  2. מפעילים את Cloud Asset API בפרויקט.

התקנת הרכיבים Docker ו-Elasticsearch

כדי להתקין את רכיבי Docker ו-Elasticsearch בסביבה שלכם, פועלים לפי השלבים הבאים.

התקנה של Docker Engine ו-Docker Compose

אפשר להתקין את Docker לשימוש בסביבה מקומית או אצל ספק שירותי ענן. כדי להתחיל, כדאי לעיין במדריכים הבאים במסמכי התיעוד של מוצר Docker:

התקנה של Elasticsearch ו-Kibana

קובץ אימג' של Docker שהתקנתם בקטע התקנת Docker כולל את Logstash ואת Filebeat. אם עדיין לא התקנתם את Elasticsearch ו-Kibana, תוכלו להיעזר במדריכים הבאים כדי להתקין את האפליקציות:

כדי להשלים את המדריך הזה, תצטרכו את הפרטים הבאים מהמשימות האלה:

  • Elastic Stack: מארח, יציאה, אישור, שם משתמש וסיסמה
  • ‫Kibana: מארח, יציאה, אישור, שם משתמש וסיסמה

הורדת מודול GoApp

בקטע הזה מוסבר איך להוריד את מודול GoApp. המודול מבצע אוטומציה של תהליך התזמון של קריאות ל-Security Command Center API, ומאחזר באופן קבוע נתונים מ-Security Command Center לשימוש ב-Elastic Stack.

כדי להתקין את GoApp:

  1. בחלון המסוף, מתקינים את wget, כלי תוכנה חינמי שמשמש לאחזור תוכן משרתי אינטרנט.

    במהדורות של Ubuntu ו-Debian, מריצים את הפקודה הבאה:

    apt-get install wget
    

    לגרסאות RHEL,‏ CentOS ו-Fedora, מריצים את הפקודה הבאה:

    yum install wget
    
  2. מתקינים את unzip, כלי תוכנה חינמי שמשמש לחילוץ התוכן מקובצי ZIP.

    במהדורות של Ubuntu ו-Debian, מריצים את הפקודה הבאה:

    apt-get install unzip
    

    לגרסאות RHEL,‏ CentOS ו-Fedora, מריצים את הפקודה הבאה:

    yum install unzip
    
  3. יוצרים ספרייה לחבילת ההתקנה של GoogleSCCElasticIntegration:

    mkdir GoogleSCCElasticIntegration
    
  4. מורידים את חבילת ההתקנה של GoogleSCCElasticIntegration:

    wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip
    
  5. מחלקים את התוכן של חבילת ההתקנה GoogleSCCElasticIntegration לתיקייה:GoogleSCCElasticIntegration

    unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration
    
  6. יוצרים ספריית עבודה לאחסון ולהרצה של רכיבי המודול GoApp:

    mkdir WORKING_DIRECTORY
    

    מחליפים את WORKING_DIRECTORY בשם הספרייה.

  7. עוברים לספריית ההתקנה GoogleSCCElasticIntegration:

    cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/
    

    מחליפים את ROOT_DIRECTORY בנתיב לספרייה שמכילה את הספרייה GoogleSCCElasticIntegration.

  8. מעבירים את install, config.yml, dashboards.ndjson ואת התיקייה templates (עם הקבצים filebeat.tmpl, logstash.tmpl ו-docker.tmpl) אל ספריית העבודה.

    mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY
    

    מחליפים את WORKING_DIRECTORY בנתיב לספריית העבודה.

התקנת מאגר Docker

כדי להגדיר את קונטיינר Docker, מורידים ומתקינים תמונה בפורמט מוגדר מראש Google Cloud שכוללת את Logstash ו-Filebeat. מידע על קובץ אימג' של Docker זמין במאגר Artifact Registry במסוף Google Cloud .

כניסה ל-Artifact Registry

במהלך ההתקנה, מגדירים את המודול GoApp באמצעות פרטי הכניסה של Security Command Center ו-Elastic Stack.

  1. מנווטים לספריית העבודה:

    cd /WORKING_DIRECTORY
    

    מחליפים את WORKING_DIRECTORY בנתיב לספריית העבודה.

  2. מוודאים שהקבצים הבאים מופיעים בספריית העבודה:

      ├── config.yml
      ├── install
      ├── dashboards.ndjson
      ├── templates
          ├── filebeat.tmpl
          ├── docker.tmpl
          ├── logstash.tmpl
    
  3. פותחים את הקובץ config.yml בעורך טקסט ומוסיפים את המשתנים הנדרשים. אם משתנה מסוים לא נדרש, אפשר להשאיר אותו ריק.

    משתנה תיאור חובה
    elasticsearch הקטע של הגדרת Elasticsearch. חובה
    host כתובת ה-IP של המארח של Elastic Stack. חובה
    password הסיסמה שלכם ב-Elasticsearch. אופציונלי
    port היציאה של המארח ב-Elastic Stack. חובה
    username שם המשתמש שלכם ב-Elasticsearch. אופציונלי
    cacert האישור של שרת Elasticsearch (לדוגמה, path/to/cacert/elasticsearch.cer). אופציונלי
    http_proxy קישור עם שם המשתמש, הסיסמה, כתובת ה-IP והיציאה של שרת ה-proxy (לדוגמה, http://USER:PASSWORD@PROXY_IP:PROXY_PORT). אופציונלי
    kibana הקטע של הגדרת Kibana. חובה
    host כתובת ה-IP או שם המארח שאליהם יתבצע הקישור של שרת Kibana. חובה
    password הסיסמה שלכם ל-Kibana. אופציונלי
    port היציאה של שרת Kibana. חובה
    username שם המשתמש שלכם ב-Kibana. אופציונלי
    cacert האישור של שרת Kibana (לדוגמה, path/to/cacert/kibana.cer). אופציונלי
    cron הקטע של הגדרת ה-cron. אופציונלי
    asset הקטע של הגדרת ה-cron של הנכס (לדוגמה, 0 */45 * * * *). אופציונלי
    source הקטע של הגדרת ה-cron של המקור (לדוגמה, 0 */45 * * * *). מידע נוסף זמין במאמר בנושא מחולל ביטויי Cron. אופציונלי
    organizations הקטע של הגדרות הארגון Google Cloud . כדי להוסיף כמה Google Cloud ארגונים, מעתיקים את כל מה שבין - id: ל-subscription_name בקטע resource. חובה
    id מזהה הארגון. חובה
    client_credential_path אחת מהאפשרויות:
    • הנתיב לקובץ ה-JSON, אם אתם משתמשים במפתחות של חשבונות שירות.
    • קובץ תצורה של פרטי הכניסה, אם משתמשים באיחוד זהויות של עומסי עבודה.
    • אל תציינו שום דבר אם זה Google Cloud הארגון שבו אתם מתקינים את מאגר Docker.
    אופציונלי, בהתאם לסביבה
    update אם אתם משדרגים מגרסה קודמת, הזינו n אם לא או y אם כן אופציונלי
    project הקטע של מזהה הפרויקט. חובה
    id המזהה של הפרויקט שמכיל את נושא ה-Pub/Sub. חובה
    auditlog הקטע של הנושא והמינוי ב-Pub/Sub ליומני ביקורת. אופציונלי
    topic_name השם של נושא Pub/Sub ליומני ביקורת אופציונלי
    subscription_name השם של המינוי ל-Pub/Sub עבור יומני ביקורת אופציונלי
    findings הקטע של הנושא והמינוי ב-Pub/Sub לממצאים. אופציונלי
    topic_name השם של נושא ה-Pub/Sub לממצאים. אופציונלי
    start_date תאריך אופציונלי להתחלת העברת הממצאים, לדוגמה: 2021-04-01T12:00:00+05:30 אופציונלי
    subscription_name השם של המינוי ל-Pub/Sub לקבלת ממצאים. אופציונלי
    asset הקטע להגדרת הנכס. אופציונלי
    iampolicy הקטע של נושא Pub/Sub והמינוי למדיניות IAM. אופציונלי
    topic_name השם של נושא Pub/Sub למדיניות IAM. אופציונלי
    subscription_name השם של המינוי ל-Pub/Sub בשביל מדיניות IAM. אופציונלי
    resource הקטע של הנושא והמינוי ב-Pub/Sub למשאבים. אופציונלי
    topic_name השם של נושא Pub/Sub למשאבים. אופציונלי
    subscription_name השם של המינוי ל-Pub/Sub עבור משאבים. אופציונלי

    קובץ config.yml לדוגמה

    בדוגמה הבאה מוצג קובץ config.yml שכולל שני Google Cloud ארגונים.

    elasticsearch:
      host: 127.0.0.1
      password: changeme
      port: 9200
      username: elastic
      cacert: path/to/cacert/elasticsearch.cer
    http_proxy: http://user:password@proxyip:proxyport
    kibana:
      host: 127.0.0.1
      password: changeme
      port: 5601
      username: elastic
      cacert: path/to/cacert/kibana.cer
    cron:
      asset: 0 */45 * * * *
      source: 0 */45 * * * *
    organizations:
      – id: 12345678910
        client_credential_path:
        update:
        project:
          id: project-id-12345
        auditlog:
          topic_name: auditlog.topic_name
          subscription_name: auditlog.subscription_name
        findings:
          topic_name: findings.topic_name
          start_date: 2021-05-01T12:00:00+05:30
          subscription_name: findings.subscription_name
        asset:
          iampolicy:
            topic_name: iampolicy.topic_name
            subscription_name: iampolicy.subscription_name
          resource:
            topic_name: resource.topic_name
            subscription_name: resource.subscription_name
      – id: 12345678911
        client_credential_path:
        update:
        project:
          id: project-id-12346
        auditlog:
          topic_name: auditlog2.topic_name
          subscription_name: auditlog2.subscription_name
        findings:
          topic_name: findings2.topic_name
          start_date: 2021-05-01T12:00:00+05:30
          subscription_name: findings1.subscription_name
        asset:
          iampolicy:
            topic_name: iampolicy2.topic_name
            subscription_name: iampolicy2.subscription_name
          resource:
            topic_name: resource2.topic_name
            subscription_name: resource2.subscription_name
    
  4. מריצים את הפקודות הבאות כדי להתקין את קובץ האימג' של Docker ולהגדיר את המודול GoApp.

    chmod +x install
    ./install
    

    מודול GoApp מוריד את קובץ האימג' של Docker, מתקין את קובץ האימג' ומגדיר את הקונטיינר.

  5. בסיום התהליך, מעתיקים את כתובת האימייל של חשבון השירות WriterIdentity מהפלט של ההתקנה.

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Sink_}}HashId{{
    

    ספריית העבודה צריכה להיות במבנה הבא:

      ├── config.yml
      ├── dashboards.ndjson
      ├── docker-compose.yml
      ├── install
      ├── templates
          ├── filebeat.tmpl
          ├── logstash.tmpl
          ├── docker.tmpl
      └── main
          ├── client_secret.json
          ├── filebeat
          │          └── config
          │                   └── filebeat.yml
          ├── GoApp
          │       └── .env
          └── logstash
                     └── pipeline
                                └── logstash.conf
    

עדכון ההרשאות ליומני ביקורת

כדי לעדכן את ההרשאות כך שיומני הביקורת יוכלו לזרום אל מערכת ה-SIEM:

  1. עוברים לדף הנושאים של Pub/Sub.

    מעבר אל Pub/Sub

  2. בוחרים את הפרויקט שכולל את נושאי ה-Pub/Sub.

  3. בוחרים את נושא ה-Pub/Sub שיצרתם ליומני הביקורת.

  4. בקטע Permissions, מוסיפים את חשבון השירות WriterIdentity (שהעתקתם בשלב 4 של תהליך ההתקנה) כחשבון משתמש חדש ומקצים לו את התפקיד Pub/Sub Publisher. מדיניות יומן הביקורת מתעדכנת.

ההגדרות של Docker ו-Elastic Stack הושלמו. עכשיו אפשר להגדיר את Kibana.

צפייה ביומני Docker

  1. פותחים טרמינל ומריצים את הפקודה הבאה כדי לראות את פרטי הקונטיינר, כולל מזהי הקונטיינר. חשוב לציין את המזהה של מאגר התגים שבו מותקן Elastic Stack.

    docker container ls
    
  2. כדי להפעיל קונטיינר ולראות את היומנים שלו, מריצים את הפקודות הבאות:

    docker exec -it CONTAINER_ID /bin/bash
    cat go.log
    

    מחליפים את CONTAINER_ID במזהה של הקונטיינר שבו מותקן Elastic Stack.

הגדרת Kibana

צריך לבצע את השלבים האלה כשמתקינים את מאגר Docker בפעם הראשונה.

  1. פותחים את kibana.yml בכלי לעריכת טקסט.

    sudo vim KIBANA_DIRECTORY/config/kibana.yml
    

    מחליפים את KIBANA_DIRECTORY בנתיב לתיקיית ההתקנה של Kibana.

  2. מעדכנים את המשתנים הבאים:

    • server.port: היציאה שבה יש להשתמש לשרת הקצה העורפי של Kibana. ברירת המחדל היא 5601.
    • server.host: כתובת ה-IP או שם המארח שאליהם שרת Kibana יקשר
    • elasticsearch.hosts: כתובת ה-IP והיציאה של מופע Elasticsearch לשימוש בשאילתות
    • server.maxPayloadBytes: הגודל המקסימלי של מטען ייעודי (payload) בבייטים לבקשות שרת נכנסות. ברירת המחדל היא 1,048,576
    • url_drilldown.enabled: ערך בוליאני שקובע אם אפשר לנווט מלוח הבקרה של Kibana לכתובות URL פנימיות או חיצוניות. ברירת המחדל היא true

    ההגדרה המלאה נראית כך:

      server.port: PORT
      server.host: "HOST"
      elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
      server.maxPayloadBytes: 5242880
      url_drilldown.enabled: true
    

ייבוא מרכזי בקרה של Kibana

  1. פותחים את אפליקציית Kibana.
  2. בתפריט הניווט, עוברים אל Stack Management (ניהול ה-Stack) ואז לוחצים על Saved Objects (אובייקטים שמורים).
  3. לוחצים על ייבוא, עוברים לספריית העבודה ובוחרים באפשרות dashboards.ndjson. לוחות הבקרה מיובאים ונוצרים דפוסי אינדקס.

שדרוג קונטיינר Docker

אם פרסתם גרסה קודמת של מודול GoApp, אתם יכולים לשדרג לגרסה חדשה יותר. כשמשדרגים את מאגר Docker לגרסה חדשה יותר, אפשר לשמור את ההגדרה הקיימת של חשבון השירות, את הנושאים של Pub/Sub ואת רכיבי Elasticsearch.

אם אתם משדרגים משילוב שלא השתמש במאגר Docker, כדאי לעיין במאמר בנושא שדרוג לגרסה העדכנית.

דרישות מוקדמות וניקוי המערכת

לפני שמגדירים את מאגר Docker החדש, צריך לוודא שיש לכם הרשאות, להכין את הנושאים ב-Pub/Sub ולהסיר את המאגר ולוחות הבקרה הקיימים:

  1. אם אתם משדרגים מגרסה 1, עליכם לבצע את הפעולות הבאות:

    1. מוסיפים לחשבון השירות את התפקיד Logs Configuration Writer (roles/logging.configWriter).

    2. יוצרים נושא Pub/Sub ליומני הביקורת.

  2. אם מתקינים את קונטיינר ה-Docker בענן אחר, צריך להגדיר את איחוד הזהויות של עומסי עבודה ולהוריד את קובץ התצורה של פרטי הכניסה.

  3. אופציונלי: כדי למנוע בעיות בייבוא של לוחות הבקרה החדשים, מסירים את לוחות הבקרה הקיימים מ-Kibana:

    1. פותחים את אפליקציית Kibana.
    2. בתפריט הניווט, עוברים אל Stack Management (ניהול ה-Stack) ואז לוחצים על Saved Objects (אובייקטים שמורים).
    3. מחפשים את Google SCC.
    4. בוחרים את כל מרכזי הבקרה שרוצים להסיר.
    5. לוחצים על Delete.
  4. מסירים את קונטיינר Docker הקיים:

    1. פותחים טרמינל ועוצרים את הקונטיינר:

      docker stop CONTAINER_ID
      

      מחליפים את CONTAINER_ID במזהה של הקונטיינר שבו מותקן Elastic Stack.

    2. מסירים את קונטיינר Docker:

      docker rm CONTAINER_ID
      

      אם צריך, מוסיפים -f לפני מזהה מאגר התגים כדי להסיר את מאגר התגים בכוח.

הגדרת מקור הנתונים של Elastic וקונטיינר Docker

  1. פועלים לפי שלבים 1 עד 7 בקטע הורדת מודול GoApp.

  2. מעבירים את הקובץ הקיים config.env מההתקנה הקודמת לספרייה \update.

  3. אם צריך, נותנים הרשאת הפעלה כדי להריץ את ./update:

    chmod +x ./update
    ./update
    
  4. מריצים את הפקודה ./update כדי להמיר את config.env ל-config.yml.

  5. מוודאים שהקובץ config.yml כולל את ההגדרה הקיימת. אם לא, מריצים מחדש את הפקודה ./update.

  6. כדי לתמוך בכמה Google Cloud ארגונים, מוסיפים עוד הגדרת ארגון לקובץ config.yml.

  7. מעבירים את הקובץ config.yml לספריית העבודה, שבה נמצא הקובץ install.

  8. פועלים לפי ההוראות שבמאמר התקנת Docker.

  9. מבצעים את השלבים שמפורטים במאמר עדכון הרשאות ליומני ביקורת.

הגדרת ההצגה החזותית

מייבאים את מרכזי הבקרה החדשים, כמו שמתואר במאמר ייבוא מרכזי בקרה של Kibana. השלב הזה מחליף את לוחות הבקרה הקיימים שלכם ב-Kibana.

הצגה ועריכה של לוחות בקרה ב-Kibana

אתם יכולים להשתמש במרכזי בקרה בהתאמה אישית ב-Elastic Stack כדי להציג באופן חזותי ולנתח את הממצאים, הנכסים ומקורות האבטחה. מרכזי הבקרה מציגים ממצאים קריטיים ועוזרים לצוות האבטחה לתעדף את התיקונים.

לוח הבקרה של הסקירה הכללית

לוח הבקרה סקירה כללית מכיל סדרה של תרשימים שבהם מוצג המספר הכולל של הממצאים בארגונים שלכם, לפי רמת חומרה, קטגוריה ומצב. Google Cloud הממצאים נאספים משירותים מובנים של Security Command Center, כמו Security Health Analytics,‏ Web Security Scanner,‏ Event Threat Detection ו-זיהוי איומים בקונטיינר, וגם משירותים משולבים שאתם מפעילים.

כדי לסנן תוכן לפי קריטריונים כמו טעויות בהגדרות או נקודות חולשה, אפשר לבחור באפשרות Finding class (סיווג הממצאים).

בתרשימים נוספים אפשר לראות אילו קטגוריות, פרויקטים ונכסים מניבים את הכי הרבה ממצאים.

לוח הבקרה של הנכסים

בלוח הבקרה נכסים מוצגות טבלאות עם הנכסים שלכם. Google Cloud בטבלאות מוצגים בעלי הנכסים, מספר הנכסים לפי סוג המשאב והפרויקטים, והנכסים שהוספתם ועדכנתם לאחרונה.

אתם יכולים לסנן את נתוני הנכסים לפי ארגון, שם הנכס, סוג הנכס והנכסים הראשיים, ולעבור במהירות לפרטי הממצאים לגבי נכסים ספציפיים. אם לוחצים על שם של נכס, מועברים לדף Assets במסוף Google Cloud של Security Command Center ומוצגים פרטים על הנכס שנבחר.

לוח הבקרה של יומני הביקורת

בלוח הבקרה יומני ביקורת מוצגים סדרה של תרשימים וטבלאות עם מידע מיומני הביקורת. יומני הביקורת שכלולים בלוח הבקרה הם יומני הביקורת של פעילות האדמין, גישה לנתונים, אירועים במערכת ודחיית מדיניות. הטבלה כוללת את השעה, רמת החומרה, סוג היומן, שם היומן, שם השירות, שם המשאב וסוג המשאב.

אפשר לסנן את הנתונים לפי ארגון, מקור (כמו פרויקט), חומרה, סוג יומן וסוג משאב.

מרכז הממצאים

לוח הבקרה ממצאים כולל תרשימים שמציגים את הממצאים האחרונים. התרשימים מספקים מידע על מספר הממצאים, החומרה, הקטגוריה והמצב שלהם. אפשר גם לראות את הממצאים הפעילים לאורך זמן, ואילו פרויקטים או משאבים כוללים הכי הרבה ממצאים.

אפשר לסנן את הנתונים לפי ארגון ולפי כיתה.

אם לוחצים על שם הממצא, מועברים לדף Findings במסוף Google Cloud ב-Security Command Center ומוצגים פרטים על הממצא שנבחר.

לוח הבקרה 'מקורות'

במרכז הבקרה מקורות מוצג המספר הכולל של הממצאים ומקורות האבטחה, מספר הממצאים לפי שם המקור וטבלה של כל מקורות האבטחה. העמודות בטבלה כוללות את השם, השם לתצוגה והתיאור.

הוספת עמודות

  1. עוברים למרכז בקרה.
  2. לוחצים על עריכה ואז על עריכת התרשים.
  3. בקטע הוספת דלי משנה, בוחרים באפשרות פיצול שורות.
  4. ברשימה, בוחרים באפשרות Terms aggregation (צבירת נתונים של תנאים).
  5. בתפריט הנפתח יורד, בוחרים באפשרות 'עולה' או 'יורד'. בשדה גודל, מזינים את המספר המקסימלי של שורות בטבלה.
  6. בוחרים את העמודה שרוצים להוסיף ולוחצים על עדכון.
  7. שומרים את השינויים.

הסתרה או הסרה של עמודות

  1. עוברים אל מרכז הבקרה.
  2. לוחצים על Edit.
  3. כדי להסתיר עמודה, לוחצים על סמל החשיפה (העין) לצד שם העמודה.
  4. כדי להסיר עמודה, לוחצים על הסמל X או על סמל המחיקה שליד שם העמודה.

הסרת השילוב עם Elasticsearch

כדי להסיר את השילוב בין Security Command Center לבין Elasticsearch, צריך לבצע את השלבים שמפורטים בקטעים הבאים.

הסרה של מרכזי בקרה, אינדקסים ודפוסי אינדקסים

מסירים מרכזי בקרה כשרוצים להסיר את הפתרון הזה.

  1. עוברים אל מרכזי הבקרה.

  2. מחפשים את Google SCC ובוחרים את כל מרכזי הבקרה.

  3. לוחצים על מחיקת לוחות הבקרה.

  4. עוברים אל Stack Management > Index Management.

  5. סוגרים את האינדקסים הבאים:

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs
  6. עוברים אל Stack Management > Index Patterns.

  7. סגירת הדפוסים הבאים:

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs

הסרת Docker

  1. מחיקת NotificationConfig ל-Pub/Sub. כדי למצוא את השם של NotificationConfig, מריצים את הפקודה:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat NotificationConf_}}HashId{{
    
  2. הסרה של פידים של Pub/Sub לנכסים, לממצאים, למדיניות IAM וליומני ביקורת. כדי למצוא את השמות של הפידים, מריצים את הפקודה:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Feed_}}HashId{{
    
  3. מסירים את יעד ההעברה של יומני הביקורת. כדי למצוא את השם של יעד הנתונים, מריצים את הפקודה:

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Sink_}}HashId{{
    
  4. כדי לראות את פרטי הקונטיינר, כולל מזהי הקונטיינר, פותחים את הטרמינל ומריצים את הפקודה הבאה:

    docker container ls
    
  5. עוצרים את הקונטיינר:

    docker stop CONTAINER_ID
    

    מחליפים את CONTAINER_ID במזהה של הקונטיינר שבו מותקן Elastic Stack.

  6. מסירים את קונטיינר Docker:

    docker rm CONTAINER_ID
    

    במקרה הצורך, מוסיפים את -f לפני מזהה מאגר התגים כדי להסיר את מאגר התגים בכוח.

  7. מסירים את קובץ האימג' של Docker:

    docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest
    
  8. מוחקים את ספריית העבודה ואת הקובץ docker-compose.yml:

    rm -rf ./main docker-compose.yml
    

המאמרים הבאים