שליחת נתונים מ-Security Command Center אל Elastic Stack

בדף הזה מוסבר איך לשלוח באופן אוטומטי ממצאי Security Command Center, נכסים ומקורות אבטחה אל Elastic Stack בלי להשתמש בקונטיינר Docker. בנוסף, מוסבר איך לנהל את הנתונים המיוצאים. ‫Elastic Stack היא פלטפורמה לניהול אבטחת מידע ואירועים (SIEM) שמקבלת נתונים ממקור אחד או יותר ומאפשרת לצוותי אבטחה לנהל תגובות לאירועים ולבצע ניתוח בזמן אמת. ההגדרה של Elastic Stack שמתוארת במדריך הזה כוללת ארבעה רכיבים:

  • Filebeat: סוכן קל משקל שמותקן במארחים של קצה הרשת, כמו מכונות וירטואליות (VM), שאפשר להגדיר אותו לאיסוף נתונים ולהעברתם
  • Logstash: שירות טרנספורמציה שמקבל נתונים, ממפה אותם לשדות הנדרשים ומעביר את התוצאות ל-Elasticsearch
  • Elasticsearch: המנוע של מסד הנתונים לחיפוש שמאחסן נתונים
  • Kibana: מפעיל לוחות בקרה שמאפשרים להמחיש ולנתח נתונים

שדרוג לגרסה העדכנית ביותר

כדי לשדרג לגרסה האחרונה, צריך לפרוס קובץ אימג' של קונטיינר Docker שכולל את מודול GoApp. מידע נוסף זמין במאמר בנושא ייצוא נכסים וממצאים באמצעות Docker ו-Elastic Stack.

דרישות מוקדמות וניקוי המערכת

לפני שמתקינים את מאגר Docker החדש, צריך לנקות את השילוב הקודם וליצור את ההרשאות הנדרשות ואת נושאי Pub/Sub:

  1. צריך למחוק את הקבצים והספריות הבאים:
    • /etc/systemd/system/go_script.service
    • הספרייה GoApp
    • הגדרות Logstash
    • logstash2.service
    • filebeat.service
  2. אופציונלי: כדי למנוע בעיות בייבוא של מרכזי הבקרה החדשים, מסירים את מרכזי הבקרה הקיימים מ-Kibana:
    1. פותחים את אפליקציית Kibana.
    2. בתפריט הניווט, עוברים אל Stack Management (ניהול ה-Stack) ואז לוחצים על Saved Objects (אובייקטים שמורים).
    3. מחפשים את Google SCC.
    4. בוחרים את כל מרכזי הבקרה שרוצים להסיר.
    5. לוחצים על Delete.
  3. מוסיפים לחשבון השירות את התפקיד Logs Configuration Writer (roles/logging.configWriter).
  4. יוצרים נושא Pub/Sub ליומני הביקורת.
  5. אם מתקינים את קובץ ה-Docker Container בענן אחר, אפשר להגדיר איחוד שירותי אימות הזהות של עומסי עבודה במקום להשתמש במפתחות של חשבונות שירות. צריך ליצור פרטי כניסה לטווח קצר לחשבון שירות ולהוריד את קובץ התצורה של פרטי הכניסה.

הגדרת מקור הנתונים של Elastic וקונטיינר Docker

  1. פועלים לפי השלבים במאמר הורדה של מודול GoApp.
  2. פועלים לפי ההוראות שבמאמר התקנת קונטיינר Docker.
  3. מבצעים את השלבים שמפורטים במאמר בנושא עדכון הרשאות ליומני ביקורת.

הגדרה של תרשימים להמחשה ולוחות בקרה

  1. מייבאים את כל מרכזי הבקרה, כמו שמתואר במאמר בנושא ייבוא מרכזי בקרה של Kibana.

כדי לנהל את השילוב של SIEM, פועלים לפי ההוראות במאמר ייצוא נכסים וממצאים באמצעות Docker ו-Elastic Stack.

ניהול שירותים ויומנים

בקטע הזה מוסבר איך לצפות בGoAppיומני המודולים ולבצע שינויים בהגדרות המודול.

הסעיף הזה רלוונטי רק לGoApp המודול שהתקנתם מחבילת ההתקנה GoogleSCCElasticIntegration שהייתה זמינה בפברואר 2022. מידע עדכני זמין במאמר בנושא שדרוג לגרסה העדכנית.

  1. בודקים את הסטטוס של השירות:

      systemctl | grep go_script
    
  2. בודקים את יומני העבודה הנוכחיים, שמכילים מידע על כשלים בהרצה ומידע אחר על השירות:

     sudo journalctl -f -u go_script.service
    
  3. בודקים את יומני העבודה ההיסטוריים והנוכחיים:

      sudo journalctl -u go_script.service
    
  4. כדי לפתור בעיות או לבדוק את היומנים של go_script.service:

      cat go.log
    

הגדרת אפליקציות של Elastic Stack

בקטע הזה מוסבר איך להגדיר אפליקציות של Elastic Stack כדי להטמיע נתונים מ-Security Command Center. ההוראות מניחות שהתקנתם והפעלתם את Elastic Stack בצורה תקינה, ושיש לכם הרשאות root בסביבת האפליקציה.

הסעיף הזה רלוונטי רק לGoApp המודול שהתקנתם מחבילת ההתקנה GoogleSCCElasticIntegration שהייתה זמינה בפברואר 2022. מידע עדכני זמין במאמר בנושא שדרוג לגרסה העדכנית.

צפייה ביומני השירות של Logstash

כדי להציג את היומנים הנוכחיים, מריצים את הפקודה הבאה:

    sudo journalctl -f -u logstash2.service

כדי לראות יומנים היסטוריים, מריצים את הפקודה הבאה:

    sudo journalctl -u logstash2.service

הגדרה של Filebeat

הסעיף הזה רלוונטי רק לGoApp המודול שהתקנתם מחבילת ההתקנה GoogleSCCElasticIntegration שהייתה זמינה בפברואר 2022. מידע עדכני זמין במאמר בנושא שדרוג לגרסה העדכנית.

צפייה ביומני השירות של Filebeat

כדי להציג את היומנים הנוכחיים, מריצים את הפקודה הבאה:

    sudo journalctl -f -u filebeat.service

כדי לראות יומנים היסטוריים, מריצים את הפקודה הבאה:

    sudo journalctl -u filebeat.service

צפייה במרכזי בקרה של Kibana

אתם יכולים להשתמש במרכזי בקרה בהתאמה אישית ב-Elastic Stack כדי להציג באופן חזותי ולנתח את הממצאים, הנכסים ומקורות האבטחה. מרכזי הבקרה מציגים ממצאים קריטיים ועוזרים לצוות האבטחה לתעדף את התיקונים.

הסעיף הזה רלוונטי רק לGoApp המודול שהתקנתם מחבילת ההתקנה GoogleSCCElasticIntegration שהייתה זמינה בפברואר 2022. מידע עדכני זמין במאמר בנושא שדרוג לגרסה העדכנית.

סקירה כללית

לוח הבקרה סקירה כללית מכיל סדרה של תרשימים שמציגים את המספר הכולל של הממצאים בארגון לפי רמת חומרה, קטגוריה ומצב. הממצאים נאספים משירותים מובנים של Security Command Center –‏ Security Health Analytics,‏ Web Security Scanner,‏ Event Threat Detection ו-זיהוי איומים בקונטיינר – ומכל שירות משולב שאתם מפעילים.

בתרשימים נוספים אפשר לראות אילו קטגוריות, פרויקטים ונכסים מניבים את הכי הרבה ממצאים.

נכסים

בלוח הבקרה נכסים מוצגות טבלאות עם Google Cloud הנכסים שלכם. בטבלאות מוצגים בעלי הנכסים, מספר הנכסים לפי סוג המשאב והפרויקטים, והנכסים שהוספתם ועדכנתם לאחרונה.

אתם יכולים לסנן את נתוני הנכסים לפי טווח זמן, שם המשאב, סוג המשאב, הבעלים והפרויקט, ולעבור במהירות לפרטי הממצאים לגבי נכסים ספציפיים. אם לוחצים על שם של נכס, מועברים לדף Assets במסוף Google Cloud של Security Command Center ומוצגים פרטים על הנכס שנבחר.

ממצאים

לוח הבקרה Findings כולל טבלה שבה מוצגות התוצאות האחרונות. אפשר לסנן את הנתונים לפי שם המשאב, הקטגוריה והחומרה.

העמודות בטבלה כוללות את שם הממצא בפורמט organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>, קטגוריה, שם משאב, זמן האירוע, זמן היצירה, שם ההורה, URI של ההורה וסימוני אבטחה. הפורמט של ה-URI של ההורה תואם לשם של הממצא. אם לוחצים על שם הממצא, מועברים לדף Findings במסוף Google Cloud ב-Security Command Center ומוצגים פרטים על הממצא שנבחר.

מקורות

במרכז הבקרה מקורות מוצג המספר הכולל של הממצאים ומקורות האבטחה, מספר הממצאים לפי שם המקור וטבלה של כל מקורות האבטחה. העמודות בטבלה כוללות את השם, השם לתצוגה והתיאור.

עריכת מרכזי בקרה

כדי להתאים אישית את הנתונים שמוצגים בלוחות הבקרה של Kibana, אתם יכולים להוסיף או להסיר עמודות.

הוספת עמודות

  1. עוברים למרכז בקרה.
  2. לוחצים על עריכה ואז על עריכת התרשים.
  3. בקטע הוספת דלי משנה, בוחרים באפשרות פיצול שורות.
  4. ברשימה, בוחרים באפשרות צבירה.
  5. בתפריט הנפתח יורד, בוחרים באפשרות 'עולה' או 'יורד'. בשדה גודל, מזינים את המספר המקסימלי של שורות בטבלה.
  6. בוחרים את העמודה שרוצים להוסיף.
  7. שומרים את השינויים.

הסרת עמודות

  1. עוברים אל מרכז הבקרה.
  2. לוחצים על Edit.
  3. כדי להסתיר עמודה, לוחצים על סמל החשיפה (העין) לצד שם העמודה.
  4. כדי להסיר עמודה, לוחצים על הסמל X או על סמל המחיקה שליד שם העמודה.

הסרת הרכיב

אם אתם לא רוצים יותר לאחזר נתונים מ-Security Command Center עבור Elastic Stack, אתם יכולים להסיר את מודול GoApp ואת אפליקציות Elastic Stack.

הסעיף הזה רלוונטי רק לGoApp המודול שהתקנתם מחבילת ההתקנה GoogleSCCElasticIntegration שהייתה זמינה בפברואר 2022. מידע עדכני זמין במאמר בנושא שדרוג לגרסה העדכנית.

הסרת המודול GoApp

  1. מחיקת go_script.service מהחשבון /etc/systemd/system/.
  2. הסרת פידים של נכסים ומדיניות IAM.
  3. הסרת Pub/Sub מנכסים, ממדיניות IAM ומממצאים.
  4. מוחקים את ספריית העבודה.

הסרת Logstash

  1. מחיקת הגדרות של Logstash.
  2. מוחקים את logstash2.service.

הסרת Filebeat

  1. מחיקת ההגדרות של Filebeat.
  2. מוחקים את filebeat.service.

המאמרים הבאים