שליחת נתונים מ-Security Command Center אל Elastic Stack

בדף הזה מוסבר איך לשלוח באופן אוטומטי ממצאים, נכסים ומקורות אבטחה של Security Command Center אל Elastic Stack בלי להשתמש במאגר Docker. בנוסף, מוסבר איך לנהל את הנתונים המיוצאים. ‫Elastic Stack היא פלטפורמה לניהול אבטחה של מידע ואירועים (SIEM) שמקבלת נתונים ממקור אחד או יותר ומאפשרת לצוותי אבטחה לנהל תגובות לאירועים ולבצע ניתוח בזמן אמת. ההגדרה של Elastic Stack שמתוארת במדריך הזה כוללת ארבעה רכיבים:

• ‫Filebeat: סוכן קל משקל שמותקן במארחים של קצה הרשת, כמו מכונות וירטואליות (VM), שאפשר להגדיר אותו לאיסוף נתונים ולהעברתם
• ‫Logstash: שירות טרנספורמציה שמקבל נתונים, ממפה אותם לשדות הנדרשים ומעביר את התוצאות ל-Elasticsearch
• ‫Elasticsearch: המנוע של מסד הנתונים לחיפוש שמאחסן נתונים
• ‫Kibana: מפעיל לוחות בקרה שמאפשרים להמחיש ולנתח נתונים

שדרוג לגרסה העדכנית ביותר

כדי לשדרג לגרסה האחרונה, צריך לפרוס קובץ אימג' של קונטיינר Docker שכולל את מודול GoApp. מידע נוסף זמין במאמר בנושא ייצוא נכסים וממצאים באמצעות Docker ו-Elastic Stack.

כדי לשדרג לגרסה האחרונה:

1. מחיקת go_script.service מ-//etc/systemd/system/.
2. מוחקים את התיקייה GoApp.
3. מחיקת הגדרות של Logstash.
4. מוחקים את logstash2.service.
5. מחיקה filebeat.service.
6. אופציונלי: כדי למנוע בעיות בייבוא של מרכזי הבקרה החדשים, מסירים את מרכזי הבקרה הקיימים מ-Kibana:
   1. פותחים את אפליקציית Kibana.
   2. בתפריט הניווט, עוברים אל Stack Management (ניהול ה-Stack) ואז לוחצים על Saved Objects (אובייקטים שמורים).
   3. מחפשים את Google SCC.
   4. בוחרים את כל מרכזי הבקרה שרוצים להסיר.
   5. לוחצים על Delete.
7. מוסיפים לחשבון השירות את התפקיד Logs Configuration Writer (roles/logging.configWriter).
8. יוצרים נושא Pub/Sub ליומני הביקורת.
9. אם מתקינים את קובץ ה-Docker Container בענן אחר, אפשר להגדיר איחוד שירותי אימות הזהות של עומסי עבודה במקום להשתמש במפתחות של חשבונות שירות. צריך ליצור פרטי כניסה לטווח קצר לחשבון שירות ולהוריד את קובץ התצורה של פרטי הכניסה.
10. פועלים לפי השלבים במאמר הורדה של מודול GoApp.
11. פועלים לפי ההוראות שבמאמר התקנת קונטיינר Docker.
12. מבצעים את השלבים שמפורטים במאמר בנושא עדכון הרשאות ליומני ביקורת.
13. מייבאים את כל מרכזי הבקרה, כמו שמתואר במאמר בנושא ייבוא מרכזי בקרה של Kibana.

כדי לנהל את השילוב של SIEM, פועלים לפי ההוראות במאמר ייצוא נכסים וממצאים באמצעות Docker ו-Elastic Stack.

ניהול שירותים ויומנים

בקטע הזה מוסבר איך לצפות בGoApp יומני מודולים ולבצע שינויים בהגדרות של המודול.

הקטע הזה רלוונטי רק למודול GoApp שהתקנתם מחבילת ההתקנה GoogleSCCElasticIntegration שהייתה זמינה בפברואר 2022. מידע עדכני זמין במאמר בנושא שדרוג לגרסה העדכנית.

1. בודקים את הסטטוס של השירות:

     systemctl | grep go_script
   

2. בודקים את יומני העבודה הנוכחיים, שמכילים מידע על כשלים בהרצה ומידע נוסף על השירות:

     sudo journalctl -f -u go_script.service
   

3. בודקים את יומני העבודה ההיסטוריים והנוכחיים:

     sudo journalctl -u go_script.service
   

4. כדי לפתור בעיות או לבדוק את היומנים של go_script.service:

     cat go.log
   

הסרת המודול GoApp

אם לא רוצים יותר לאחזר נתונים מ-Security Command Center עבור Elastic Stack, צריך להסיר את המודול GoApp.

הקטע הזה רלוונטי רק למודול GoApp שהתקנתם מחבילת ההתקנה GoogleSCCElasticIntegration שהייתה זמינה בפברואר 2022. מידע עדכני זמין במאמר בנושא שדרוג לגרסה העדכנית.

1. מחיקת go_script.service מ-//etc/systemd/system/.
2. הסרת פידים של נכסים ומדיניות IAM.
3. הסרת Pub/Sub מנכסים, ממדיניות IAM ומממצאים.
4. מוחקים את ספריית העבודה.

הגדרת אפליקציות של Elastic Stack

בקטע הזה מוסבר איך להגדיר אפליקציות של Elastic Stack כדי להטמיע נתונים של Security Command Center. ההוראות מניחות שהתקנתם והפעלתם את Elastic Stack בצורה תקינה, ושיש לכם הרשאות root בסביבת האפליקציה.

הקטע הזה רלוונטי רק למודול GoApp שהתקנתם מחבילת ההתקנה GoogleSCCElasticIntegration שהייתה זמינה בפברואר 2022. מידע עדכני זמין במאמר בנושא שדרוג לגרסה העדכנית.

צפייה ביומני השירות של Logstash

כדי להציג את היומנים הנוכחיים, מריצים את הפקודה הבאה:

    sudo journalctl -f -u logstash2.service

כדי לראות יומנים היסטוריים, מריצים את הפקודה הבאה:

    sudo journalctl -u logstash2.service

הסרת השירות

1. מחיקת הגדרות של Logstash.
2. מוחקים את logstash2.service.

הגדרת Filebeat

הקטע הזה רלוונטי רק למודול GoApp שהתקנתם מחבילת ההתקנה GoogleSCCElasticIntegration שהייתה זמינה בפברואר 2022. מידע עדכני זמין במאמר בנושא שדרוג לגרסה העדכנית.

צפייה ביומני השירות של Filebeat

כדי להציג את היומנים הנוכחיים, מריצים את הפקודה הבאה:

    sudo journalctl -f -u filebeat.service

כדי לראות יומנים היסטוריים, מריצים את הפקודה הבאה:

    sudo journalctl -u filebeat.service

הסרת השירות

1. מחיקת הגדרות של Logstash.
2. מוחקים את filebeat.service.

הצגת מרכזי בקרה של Kibana

אתם יכולים להשתמש במרכזי בקרה בהתאמה אישית ב-Elastic Stack כדי להציג באופן חזותי את הממצאים, הנכסים ומקורות האבטחה שלכם ולנתח אותם. מרכזי הבקרה מציגים ממצאים קריטיים ועוזרים לצוות האבטחה לתעדף את התיקונים.

הקטע הזה רלוונטי רק למודול GoApp שהתקנתם מחבילת ההתקנה GoogleSCCElasticIntegration שהייתה זמינה בפברואר 2022. כדי לקבל מידע עדכני, אפשר לעיין במאמר בנושא שדרוג לגרסה העדכנית.

סקירה כללית

לוח הבקרה סקירה כללית מכיל סדרה של תרשימים שמציגים את המספר הכולל של הממצאים בארגון לפי רמת חומרה, קטגוריה ומצב. הממצאים נאספים משירותים מובנים של Security Command Center –‏ Security Health Analytics,‏ Web Security Scanner,‏ Event Threat Detection ו-זיהוי איומים בקונטיינר – ומכל שירות משולב אחר שתפעילו.

בתרשימים נוספים אפשר לראות אילו קטגוריות, פרויקטים ונכסים מניבים את הכי הרבה ממצאים.

נכסים

בלוח הבקרה נכסים מוצגות טבלאות עם Google Cloud הנכסים שלכם. בטבלאות מוצגים בעלי הנכסים, מספר הנכסים לפי סוג המשאב והפרויקטים, והנכסים שהוספתם ועדכנתם לאחרונה.

אתם יכולים לסנן את נתוני הנכסים לפי טווח זמן, שם משאב, סוג משאב, בעלים ופרויקט, ולעבור במהירות לפרטי הממצאים לגבי נכסים ספציפיים. אם לוחצים על שם של נכס, מועברים לדף נכסים במסוף של Security Command Center Google Cloud ומוצגים פרטים על הנכס שנבחר.

ממצאים

לוח הבקרה Findings כולל טבלה שבה מוצגות התוצאות האחרונות. אפשר לסנן את הנתונים לפי שם המשאב, קטגוריה וחומרה.

העמודות בטבלה כוללות את שם הממצא, בפורמט organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>, קטגוריה, שם משאב, זמן האירוע, זמן היצירה, שם ההורה, URI של ההורה וסימוני אבטחה. הפורמט של ה-URI של ההורה תואם לשם המציאה. אם לוחצים על שם הממצא, מועברים לדף Findings במסוף Google Cloud של Security Command Center ומוצגים פרטים על הממצא שנבחר.

מקורות

במרכז הבקרה מקורות מוצג המספר הכולל של הממצאים ומקורות האבטחה, מספר הממצאים לפי שם המקור וטבלה של כל מקורות האבטחה. העמודות בטבלה כוללות את השם, השם לתצוגה והתיאור.

עריכת מרכזי בקרה

הוספת עמודות

1. עוברים למרכז בקרה.
2. לוחצים על עריכה ואז על עריכת התרשים.
3. בקטע הוספת דלי משנה, בוחרים באפשרות פיצול שורות.
4. ברשימה, בוחרים באפשרות צבירה.
5. בתפריט הנפתח יורד, בוחרים באפשרות 'עולה' או 'יורד'. בשדה גודל, מזינים את המספר המקסימלי של שורות בטבלה.
6. בוחרים את העמודה שרוצים להוסיף.
7. שומרים את השינויים.

הסרת עמודות

1. עוברים אל מרכז הבקרה.
2. לוחצים על Edit.
3. כדי להסתיר עמודות, לוחצים על סמל הנראות (העין) לצד שם העמודה. כדי להסיר את העמודה, לוחצים על הסמל X או על סמל המחיקה שליד שם העמודה.

המאמרים הבאים

• משדרגים לגרסה העדכנית כדי לשלב את Security Command Center עם Elastic Stack.

• מידע נוסף על הגדרת התראות על ממצאים ב-Security Command Center

• מידע נוסף על סינון התראות על ממצאים ב-Security Command Center