Esta página explica como enviar automaticamente resultados do Security Command Center, recursos, registos de auditoria e origens de segurança para o IBM QRadar. Também descreve como gerir os dados exportados. O QRadar é uma plataforma de informações de segurança e gestão de eventos (SIEM) que introduz dados de segurança de uma ou mais fontes e permite que as equipas de segurança geram respostas a incidentes e realizem estatísticas em tempo real.
Neste guia, garante que os serviços do Security Command Center necessários estão configurados corretamente e permite que o QRadar aceda a resultados, registos de auditoria e recursos no seu ambiente do Security Command Center. Google Cloud
Antes de começar
Este guia pressupõe que está a usar o QRadar (v7.4.1 Fix Pack 2 ou posterior). Para começar a usar o QRadar, consulte o artigo Inscreva-se no QRadar.
Configure a autenticação e a autorização
Antes de se ligar ao QRadar, tem de criar uma conta de serviço de gestão de identidades e acessos (IAM) em cada Google Cloud organização que quer ligar e conceder à conta as funções de IAM ao nível da organização e do projeto de que a app Google SCC para QRadar precisa.
Crie uma conta de serviço e conceda funções da IAM
Os passos seguintes usam a Google Cloud consola. Para outros métodos, consulte os links no final desta secção.
Conclua estes passos para cada Google Cloud organização a partir da qual quer importar dados do Centro de comandos de segurança.
- No mesmo projeto em que cria os tópicos do Pub/Sub, use a página Contas de serviço na Google Cloud consola para criar uma conta de serviço. Para obter instruções, consulte o artigo Criar e gerir contas de serviço.
Conceda à conta de serviço a seguinte função:
- Editor do Pub/Sub (
roles/pubsub.editor)
- Editor do Pub/Sub (
Copie o nome da conta de serviço que acabou de criar.
Use o seletor de projetos na Google Cloud consola para mudar para o nível da organização.
Abra a página IAM da organização:
Na página do IAM, clique em Conceder acesso. É aberto o painel Conceder acesso.
No painel Conceder acesso, conclua os seguintes passos:
- Na secção Adicionar membros, no campo Novos membros, cole o nome da conta de serviço.
Na secção Atribuir funções, use o campo Função para conceder as seguintes funções do IAM à conta de serviço:
- Editor de administração do centro de segurança (
roles/securitycenter.adminEditor) - Editor de configurações de notificações do centro de segurança
(
roles/securitycenter.notificationConfigEditor) - Visualizador da organização (
roles/resourcemanager.organizationViewer) - Cloud Asset Viewer (
roles/cloudasset.viewer) Clique em Guardar. A conta de serviço aparece no separador Autorizações da página IAM em Ver por responsáveis.
Por herança, a conta de serviço também se torna um principal em todos os projetos subordinados da organização. As funções aplicáveis ao nível do projeto são apresentadas como funções herdadas.
Para mais informações sobre como criar contas de serviço e conceder funções, consulte os seguintes tópicos:
Faculte as credenciais ao QRadar
A forma como faculta as credenciais da IAM ao QRadar varia consoante o local onde está a alojar o QRadar.
Se estiver a alojar a implementação do QRadar em Google Cloud>, considere o seguinte:
A conta de serviço que criou e as funções ao nível da organização que lhe concedeu estão disponíveis automaticamente por herança da organização principal. Se estiver a usar várias Google Cloud organizações, adicione esta conta de serviço às outras organizações e conceda-lhe as funções de IAM descritas nos passos 5 a 7 do artigo Crie uma conta de serviço e conceda funções de IAM.
Se implementar o QRadar num perímetro de serviço, crie as regras de entrada e saída. Para ver instruções, consulte o artigo Conceder acesso ao perímetro nos VPC Service Controls.
Se estiver a alojar o QRadar no seu ambiente no local ou no IBM Cloud, crie uma chave de conta de serviço para cada Google Cloud organização. Precisa das chaves da conta de serviço no formato JSON para concluir este guia.
Se estiver a alojar o QRadar no Microsoft Azure ou nos Amazon Web Services, configure a federação de identidades da carga de trabalho e transfira os ficheiros de configuração das credenciais. Se estiver a usar várias Google Cloud organizações, adicione esta conta de serviço às outras organizações e conceda-lhe as funções de IAM descritas nos passos 5 a 7 do artigo Crie uma conta de serviço e conceda funções de IAM.
Configure as notificações
Conclua estes passos para cada Google Cloud organização a partir da qual quer importar dados do Centro de comandos de segurança.
- Configure as notificações de localização da seguinte forma:
- Ative a API Security Command Center.
- Crie um filtro para exportar os resultados e os recursos desejados.
- Crie três tópicos do Pub/Sub: um para cada uma das descobertas, registos de auditoria e recursos. O
NotificationConfigtem de usar o tópico Pub/Sub que criar para as descobertas.
Crie um destino para os registos de auditoria, conforme descrito no artigo Recolha e encaminhe registos ao nível da organização para destinos suportados. O destino tem de usar o tópico do Pub/Sub que criou para os registos de auditoria. Por exemplo:
gcloud logging sinks create SINK_NAME SINK_DESTINATION \ --include-children \ --organization=ORGANIZATION_ID \ --log-filter=FILTERSubstitua o seguinte:
SINK_NAME com o nome do destino do registo de auditoria.
SINK_DESTINATION com
pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_IDORGANIZATION_ID com o ID da sua organização.
FILTER com
logName:activity,logName:data_access,logName:system_eventoulogName:policy.
Conceda a função de publicador do Pub/Sub (
roles/pubsub.publisher) à conta de serviço do destino.Ative a API Cloud Asset para o seu projeto.
Crie feeds para os seus recursos. Tem de criar dois feeds no mesmo tópico do Pub/Sub, um para os seus recursos e outro para as suas políticas de gestão de identidade e de acesso (IAM).
- O tópico Pub/Sub para recursos tem de ser diferente do usado para as descobertas.
- Para o feed dos seus recursos, use o seguinte filtro:
content-type=resource. - Para o feed de políticas de IAM, tem de usar o seguinte filtro:
content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project".
Precisa dos IDs da organização e dos nomes das subscrições do Pub/Sub para configurar o QRadar.
Instale a app Google SCC para QRadar – QRadar v7.4.1FP2 ou superior
Nesta secção, instala a app Google SCC para QRadar – QRadar v7.4.1FP2+ (v3.0.0). A app, que é mantida pelo Security Command Center, automatiza o processo de agendamento de chamadas da API Security Command Center e obtém regularmente dados do Security Command Center para utilização no QRadar.
A instalação da app requer acesso à máquina da consola do QRadar através de uma interface Web.
Para concluir a instalação, faça o seguinte:
- Transfira a app Google SCC para o QRadar a partir do IBM App Exchange.
- Inicie sessão na consola do QRadar em https://QRadar_Console_IP.
- No menu da consola, clique em Administração e, de seguida, selecione Gestão de extensões.
- Para selecionar o ficheiro ZIP transferido, clique em Adicionar. Siga as instruções à medida que a instalação é preparada.
- Selecione Iniciar uma instância predefinida para cada app.
- Clique em Instalar. Após a conclusão bem-sucedida da instalação, é apresentada uma lista de componentes da aplicação.
- Clique no separador Admin e, de seguida, em Implementar alterações.
- Limpe a cache do navegador e atualize a janela do navegador.
- Navegue para Gestão de extensões. Deve ver Google SCC App For QRadar com o estado Instalada.
Configure a app Google SCC
Nesta secção, configura a app Google SCC. Para concluir a configuração, faça o seguinte:
- Navegue para o separador Admin no QRadar.
- Clique em Definições da app Google SCC.
- Clique em Adicionar organização da SCC da Google.
Introduza as seguintes variáveis, conforme necessário:
JSON da conta de serviço: o ficheiro JSON que inclui a chave da conta de serviço
Se estiver a alojar a implementação do QRadar no Google Cloud, este campo não está disponível. Certifique-se de que fornece à conta de serviço associada à VM as autorizações do IAM para cada Google Cloud organização. Para mais informações, consulte o artigo Forneça as credenciais ao QRadar.
Configuração de credenciais: o ficheiro de configuração de credenciais que transferiu quando configurou a federação de identidades da carga de trabalho
ID da organização: o ID da sua organização
Nome da subscrição de resultados: nome da subscrição do Pub/Sub para as notificações de resultados
Nome da subscrição de recursos: nome da subscrição do Pub/Sub para o feed de recursos
Ativar recolha de registos de auditoria: selecione esta opção para enviar registos de auditoria para a sua instância do QRadar
- Nome da subscrição dos registos de auditoria: nome da subscrição do Pub/Sub para o seu destino de registos de auditoria
Intervalo: o número de segundos entre chamadas do Pub/Sub durante a recolha de dados em tempo real
Token de autorização do QRadar: o token para a sua instância do QRadar. Para obter um token, faça o seguinte:
- Navegue para o separador Admin no QRadar.
- Em Gestão de utilizadores, clique em Serviço autorizado.
- Copie o seu token de autorização com Administrador como função de utilizador e Administrador como perfil de segurança. Se não tiver um token, crie um clicando em Adicionar serviço autorizado.
- Clique em Implementar alterações e, de seguida, atualize a janela do navegador.
Para introduzir detalhes de configuração de proxy opcionais, clique no botão Ativar/desativar proxy e, em seguida, introduza as definições de proxy:
- IP/Nome de anfitrião: o endereço IP ou o nome de anfitrião do seu servidor proxy (não inclua o prefixo HTTP/HTTPS)
- Porta: a porta do seu servidor proxy
- Nome de utilizador: o nome de utilizador usado para o proxy de autenticação
- Palavra-passe: a palavra-passe usada para o proxy de autenticação
Clique em Guardar.
Repita estes passos para cada Google Cloud organização que quer integrar.
A configuração da app é armazenada e as suas organizações são adicionadas à página de configuração da app. As secções seguintes explicam como ver e gerir os dados do Security Command Center no serviço.
Atualize a app Google SCC
Nesta secção, atualiza uma app Google SCC existente para o QRadar para a versão mais recente.
Para concluir a atualização, faça o seguinte:
- Transfira a versão mais recente da app Google SCC a partir do IBM App Exchange.
- Inicie sessão na consola do QRadar em https://QRadar_Console_IP.
- No menu da consola, clique em Administração e, de seguida, selecione Gestão de extensões.
- Para selecionar o ficheiro ZIP transferido, clique em Adicionar. Siga as instruções enquanto a atualização é preparada.
- Selecione Substituir itens existentes e Iniciar uma instância predefinida para cada app.
- Clique em Instalar. Depois de o processo de atualização ser concluído com êxito, é apresentada uma lista de componentes da aplicação.
- Clique no separador Admin e, de seguida, em Implementar alterações.
- Limpe a cache do navegador e atualize a janela do navegador.
- Navegue para Gestão de extensões. Deve ver Google SCC App For QRadar com o estado Instalada.
Remova os registos de aplicações de utilizadores que acedem à aplicação a partir do QRadar através de SSH:
Transfira a versão mais recente da app Reference Data Management a partir do IBM App Exchange.
Inicie sessão na consola do QRadar em https://QRadar_Console_IP.
No menu da consola, clique em Administração e, de seguida, selecione Gestão de extensões.
Para selecionar o ficheiro ZIP transferido, clique em Adicionar. Siga as instruções para instalar a aplicação.
Na consola, navegue para o painel de controlo Gestão de dados de referência.
Clique em Mapa de referência.
Selecione asset_owners e clique em Limpar dados.
Veja os dados exportados no QRadar
Esta secção descreve a funcionalidade relevante disponível no QRadar, incluindo a pesquisa de resultados, registos de auditoria e recursos, a visualização de políticas IAM e a visualização de painéis de controlo personalizados.
Pesquise dados
Para pesquisar dados do Security Command Center no QRadar, use o painel Log Activity. Pode ver as conclusões carregadas, os recursos, os registos de auditoria e as origens de segurança, bem como aplicar filtros de estilo SQL para refinar os dados.
Veja dados da Política IAM
Para ver os dados da Política IAM dos seus recursos, faça o seguinte:
- Transfira e instale a aplicação Reference Data Management a partir do IBM App Exchange Portal.
- Clique no painel de controlo Reference Data Management no QRadar.
- No painel de navegação, clique em Mapa de referência.
- Selecione asset_owners. O painel de controlo é preenchido com os dados da sua política de IAM.
Painéis de controlo personalizados
Pode usar painéis de controlo personalizados no QRadar para visualizar e analisar as suas conclusões, recursos e origens de segurança.
Vista geral
O painel de controlo Vista geral apresenta o número total de resultados, ameaças e vulnerabilidades nas suas organizações. Google Cloud As conclusões são compiladas a partir dos serviços incorporados do Security Command Center, como o Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection e quaisquer serviços integrados que ativar.
Pode filtrar dados para atualizar visualizações, especificar a Google Cloud organização e obter novos dados a pedido.
Recursos
O separador Recursos apresenta uma tabela dos seus Google Cloud recursos. Os dados da tabela incluem o nome do recurso, o tipo de recurso, os proprietários dos recursos, a hora da última atualização e links para a página Recursos do Security Command Center na consola Google Cloud .
Pode pesquisar e filtrar dados de recursos por organização, intervalo de tempo e tipo de recurso, e analisar detalhadamente as conclusões de recursos específicos.
Fontes
O separador Fontes apresenta uma tabela das suas fontes de segurança, incluindo o nome da fonte, o nome a apresentar da fonte e a descrição. Se clicar no nome de uma origem, pode ver as conclusões dessa origem.
Conclusões
O separador Resultados apresenta uma tabela dos resultados da sua organização. Pode pesquisar na tabela e filtrar a lista por intervalo de tempo, categoria, gravidade, fonte de segurança, recurso e nome do projeto.
As colunas da tabela incluem o nome da descoberta, a categoria, o nome do recurso, o nome da origem de segurança, as marcas de segurança, a gravidade, o nome do projeto, a hora do evento, a hora do evento, a classe de descoberta e o estado de atualização. Se clicar no nome de uma descoberta, é redirecionado para a página Descobertas do Security Command Center na Google Cloud consola e são apresentados detalhes da descoberta selecionada.
Na coluna Estado da atualização, pode atualizar o estado de uma descoberta. Para indicar que está a rever ativamente uma descoberta, clique em Marcar como ATIVA. Se não estiver a rever ativamente uma descoberta, clique em Marcar como INATIVO.
Registos de auditoria
O painel de controlo Registos de auditoria apresenta uma série de gráficos e tabelas que mostram informações dos registos de auditoria. Os registos de auditoria incluídos no painel de controlo são os registos de auditoria da atividade do administrador, de acesso aos dados, de eventos do sistema e de políticas recusadas. A tabela inclui a hora, o nome do registo, a gravidade, o nome do serviço, o nome do recurso e o tipo de recurso.
Verifique os registos da aplicação
- Inicie sessão no QRadar através de SSH.
Liste todas as aplicações instaladas e os respetivos valores
App-ID:/opt/qradar/support/recon psO resultado é semelhante ao seguinte. Tome nota do
App-IDda appGoogle SCC.App-ID Name Managed Host ID Workload ID Service Name AB Container Name CDEGH Port IJKL 1101 QRadar Log Source Management 53 apps qapp-1101 ++ qapp-1101 +++++ 5000 ++++ 1104 QRadar Assistant 53 apps qapp-1104 ++ qapp-1104 +++++ 5000 ++++ 1105 QRadar Use Case Manager 53 apps qapp-1105 ++ qapp-1105 +++++ 5000 ++++ 1163 IBM QRadar Pre-Validation App Service 53 apps qapp-1163 ++ qapp-1163 +++++ 5000 ++++ 1164 IBM QRadar Pre-Validation App UI 53 apps qapp-1164 ++ qapp-1164 +++++ 5000 ++++ 1170 Google SCC 53 apps qapp-1170 ++ qapp-1170 +++++ 5000 ++++
Estabeleça ligação ao contentor da app
Google SCC:/opt/qradar/support/recon connect APP_IDSubstitua APP_ID pelo
App-IDda appGoogle SCC.Aceda ao diretório de registos:
cd /opt/app-root/store/logListar todos os ficheiros no diretório:
lsVer o conteúdo de um ficheiro:
cat FILENAMESubstitua FILENAME pelo nome do ficheiro.
Desinstale a app Google SCC
Para desinstalar a app SCC da Google, faça o seguinte:
- Aceda ao separador Administração.
- Selecione Gestão de extensões.
- Selecione Google SCC App For QRadar - QRadar v7.4.1FP2+.
- Clique em Desinstalar.
Se desinstalar a aplicação, as propriedades de eventos personalizados, os mapas de referência, os painéis de controlo e as origens de registos fornecidos pela app Google SCC são removidos.
Problemas conhecidos
Esta secção apresenta uma lista de problemas conhecidos com a app Google SCC e os painéis de controlo do QRadar.
v1.0.0
No painel de controlo Vista geral, o painel Resultados por gravidade ao longo do tempo apresenta um erro técnico para dados com mais de 250 000 resultados e o processo flask, que preenche os painéis de controlo, é reiniciado no back-end. Para evitar este problema, selecione um intervalo de tempo mais pequeno para o painel de controlo.
Este problema foi resolvido na versão 2.0.0.
Os recursos eliminados podem aparecer no painel de controlo Recursos devido a um comportamento inesperado da função
GROUP BYAQL.
v2.0.0
- Os recursos eliminados podem aparecer no painel de controlo Recursos devido a um comportamento inesperado da função
GROUP BYAQL. - O painel de controlo Resultados pode não apresentar os dados de resultados mais recentes após a atualização da app Google SCC devido a um comportamento inesperado da função
GROUP BYAQL.
v3.0.0
- O painel de controlo pode não apresentar os eventos mais recentes quando estão disponíveis vários eventos com a mesma chave única devido a um comportamento inesperado da função
GROUP BYAQL. - Para os dados já carregados através da v2, o filtro ID da organização não é aplicável. Pode ver os dados selecionando o valor Tudo no filtro ID da organização.
Resolver problemas
Esta secção descreve soluções para alguns problemas comuns.
Os eventos do SCC da Google são apresentados como mensagens do SCC da Google
Problema: os eventos do Security Command Center são apresentados como mensagens do Security Command Center, em vez de serem identificados como a categoria correta do QRadar. As mensagens são apresentadas no separador Registar atividade no QRadar quando um utilizador pesquisa um evento a partir de uma Google Cloud origem do registo.
Este problema ocorre quando um campo obrigatório não está presente num evento de registo não processado ou se o tamanho do payload do evento for superior aos 4096 bytes predefinidos, o que pode fazer com que os eventos sejam truncados.
Solução: se os payloads estiverem truncados, siga os passos seguintes para aumentar o tamanho máximo do payload:
- Navegue para o separador Administração e selecione Definições do sistema.
- Em Mudar para, clique em Avançadas.
- Na lista de definições, faça o seguinte:
- Selecione Comprimento máximo da carga útil do Syslog TCP e aumente o respetivo valor. O valor recomendado é 32 000.
- Selecione Comprimento máximo da carga útil do Syslog UDP e aumente o respetivo valor. O valor recomendado é 32 000.
- Clique em Implementar alterações e use a opção Implementação completa.
Eventos do SCC da Google apresentados como eventos desconhecidos
Problema: os eventos do Security Command Center são apresentados como Desconhecido. Este problema ocorre quando o ID do evento e a categoria do payload não estão mapeados no QRadar.
Solução: execute os seguintes passos para corrigir este problema:
- Navegue para Registar atividade e, de seguida, clique em Adicionar filtro.
- Selecione Parâmetro e, de seguida, Tipo de origem do registo (indexado).
- Selecione Operador e, de seguida, É igual a.
- Selecione Tipo de origem do registo e, de seguida, selecione Google SCC.
- No menu pendente do filtro Visualizações, selecione Últimos 7 dias.
- Se os eventos forem apresentados como Desconhecido, siga estes passos:
- Clique com o botão direito do rato no evento e selecione Ver no editor do DSM.
- Em Pré-visualização da atividade de registo, verifique os valores de ID do evento e Categoria do evento.
- Se os valores forem desconhecidos, contacte o apoio técnico do Google Cloud.
A configuração da app falha com mensagens de erro
Se receber um erro de configuração da app, siga estes passos para corrigir o problema.
| Erro | Descrição | Solução |
|---|---|---|
| "Introduza um JSON de conta de serviço válido." | Este erro ocorre se for fornecido um JSON formatado corretamente, mas a autenticação falhar ao tentar guardar a configuração. | Introduza um JSON válido com as credenciais da conta corretas. |
| "O JSON da conta de serviço deve ser uma string JSON." | Este erro ocorre se for fornecido um JSON com um formato incorreto ou se o ficheiro estiver num formato diferente de JSON. | Introduza um ficheiro JSON válido. |
| "Introduza um ID da organização válido". | Este erro ocorre quando é introduzido um ID da organização incorreto ou incompleto. | Valide o ID da organização e introduza-o novamente. |
| "Introduza um ID do projeto ou um ID de subscrição do Findings válido." | Este erro ocorre quando é introduzido um ID do projeto ou um ID da subscrição incorreto ou inválido. | Valide o ID do projeto e o ID da organização e introduza-os novamente. |
| "Introduza um ID de subscrição do Assets válido." | Este erro ocorre quando é introduzido um ID de subscrição de recurso incorreto ou inválido. | Valide o ID da subscrição do recurso e introduza-o novamente. |
| "Erro ao validar o token de autorização." | Este erro ocorre quando é fornecido um símbolo de autorização do QRadar incorreto ou inválido. | Valide o token de autorização do QRadar e introduza-o novamente. Tem de ter Administrador como função de utilizador e perfil de segurança. O token também não pode ter expirado. |
Erro ao iniciar a ligação de socket com o QRadar
Problema: é observada uma mensagem de erro "Error while initiating socket connection with IBM QRadar" nos ficheiros de registo de recolha de dados. Este problema pode ser observado na framework da app QRadar v2 (< v7.4.2 P2).
Solução: execute os seguintes passos para corrigir este problema:
- Reveja a nota de apoio técnico relativa às alterações de implementação do QRadar.
- Atualize o QRadar.
Problemas de interface
Problema: um painel de controlo ou uma página de configuração mostra erros ou um comportamento não intencional.
Solução: execute os seguintes passos para corrigir este problema:
- Limpe a cache do navegador e atualize a página Web.
- Reduza o intervalo de tempo do filtro. As consultas do QRadar podem expirar se o número de respostas for demasiado grande.
- Se o problema não for resolvido, contacte o apoio técnico do Google Cloud.
Os painéis do painel de controlo não são carregados e o processo do Flask é terminado
Problema: o processo do Flask excede o tempo limite e alguns painéis do painel de controlo não são carregados.
Solução: execute os seguintes passos para corrigir este problema:
- Limpe a cache do navegador e atualize a página Web.
- Reduza o intervalo de tempo do filtro. As consultas do QRadar podem expirar se o número de respostas for demasiado grande.
- Se o problema não for resolvido, contacte o apoio técnico do Google Cloud.
Todos os outros problemas de desempenho
Se o problema não for resolvido seguindo as instruções neste guia, faça o seguinte:
- Navegue para o separador Admin e, de seguida, clique em Gestão de sistemas e licenças.
- Selecione o anfitrião no qual a app Google SCC para QRadar – QRadar v7.4.1FP2+ está instalada.
- Clique em Ação e, de seguida, selecione Recolher ficheiros de registo.
- Na caixa de diálogo, clique em Opções avançadas.
- Selecione as caixas de verificação junto a Incluir registos de depuração, Registos de extensão da aplicação e Registos de configuração (versão atual).
- Selecione dois dias como entrada de dados e, de seguida, clique em Recolher ficheiros de registo.
Selecione Clique aqui para transferir ficheiros.
Os ficheiros de registo são transferidos num ficheiro ZIP. Contacte o apoio técnico para a nuvem e partilhe os ficheiros de registo.
O que se segue?
Saiba como configurar as notificações de deteção no Security Command Center.
Leia acerca da filtragem de notificações de resultados no Security Command Center.