שליחת נתונים מ-Security Command Center אל Splunk

בדף הזה מוסבר איך לשלוח באופן אוטומטי ממצאי אבטחה, נכסים, יומני ביקורת ומקורות אבטחה מ-Security Command Center אל Splunk. בנוסף, מוסבר בה איך לנהל את הנתונים המיוצאים. ‫Splunk היא פלטפורמה לניהול אירועים ומידע אבטחה (SIEM) שמקבלת נתוני אבטחה ממקור אחד או יותר, ומאפשרת לצוותי אבטחה לנהל תגובות לאירועים ולבצע ניתוחים בזמן אמת.

במדריך הזה תלמדו איך לוודא שהשירותים הנדרשים של Security Command Center ושל Google Cloud שירותים אחרים מוגדרים בצורה נכונה, ואיך לאפשר ל-Splunk לגשת לממצאים, ליומני ביקורת ולמידע על נכסים בסביבת Security Command Center.

לפני שמתחילים

במדריך הזה אנחנו יוצאים מנקודת הנחה שאתם משתמשים באחד מהמוצרים הבאים:

הגדרת אימות והרשאה

לפני שמתחברים ל-Splunk, צריך ליצור חשבון שירות לניהול זהויות והרשאות גישה (IAM) בכל ארגון שרוצים להתחבר אליו, ולהעניק לחשבון את תפקידי ה-IAM ברמת הארגון וברמת הפרויקט שנדרשים לתוסף Google SCC ל-Splunk. Google Cloud

יצירה של חשבון שירות והקצאת תפקידי IAM

השלבים הבאים מתייחסים לשימוש במסוף Google Cloud . שיטות אחרות מפורטות בקישורים בסוף הקטע הזה.

צריך לבצע את השלבים האלה לכל Google Cloud ארגון שרוצים לייבא ממנו נתונים של Security Command Center.

  1. באותו פרויקט שבו יוצרים את נושאי Pub/Sub, משתמשים בדף Service Accounts במסוף Google Cloud כדי ליצור חשבון שירות. הוראות מפורטות זמינות במאמר יצירה וניהול של חשבונות שירות.

  2. מקצים לחשבון השירות את התפקיד הבא:

    • Pub/Sub Editor (roles/pubsub.editor)

  3. מעתיקים את השם של חשבון השירות שיצרתם.

  4. משתמשים בכלי לבחירת פרויקטים במסוף Google Cloud כדי לעבור לרמת הארגון.

  5. פותחים את הדף IAM של הארגון:

    כניסה לדף IAM

  6. בדף IAM, לוחצים על Grant access (מתן גישה). תיפתח החלונית למתן גישה.

  7. בחלונית Grant access (הענקת גישה), מבצעים את הפעולות הבאות:

    1. בקטע Add principals, בשדה New principals, מדביקים את השם של חשבון השירות.

    2. בקטע Assign roles, משתמשים בשדה Role כדי להעניק לחשבון השירות את התפקידים הבאים ב-IAM:

    3. עריכה של אדמין ב-Security Center (roles/securitycenter.adminEditor)
    4. הכלי לעריכת הגדרות ההתראות במרכז האבטחה (roles/securitycenter.notificationConfigEditor)
    5. צפייה בארגון (roles/resourcemanager.organizationViewer)
    6. Cloud Asset Viewer (roles/cloudasset.viewer)

    7. לוחצים על Save. חשבון השירות מופיע בכרטיסייה הרשאות בדף IAM בקטע תצוגה לפי חשבונות משתמשים.

      באמצעות ירושה, חשבון השירות הופך גם לחשבון משתמש בכל פרויקטי הצאצא של הארגון. התפקידים שרלוונטיים ברמת הפרויקט מופיעים כ'תפקידים שעברו בירושה'.

מידע נוסף על יצירת חשבונות שירות והענקת תפקידים זמין במאמרים הבאים:

העברת פרטי הכניסה ל-Splunk

הדרך שבה מספקים ל-Splunk את פרטי הכניסה של IAM משתנה בהתאם למקום שבו מתבצע אירוח Splunk.

הגדרת התראות

מבצעים את השלבים האלה לכל Google Cloud ארגון שרוצים לייבא ממנו נתונים של Security Command Center.

כדי להגדיר את Splunk, תצטרכו את מזהי הארגון, את שמות הנושאים ב-Pub/Sub ואת שמות המינויים ב-Pub/Sub שמופיעים במשימה הזו.

  1. הפעלת התראות על ממצאים ב-Pub/Sub, כולל השלבים הבאים:

    1. מפעילים את Security Command Center API.

    2. יוצרים שלושה נושאים של Pub/Sub:

      • נושא לממצאים
      • נושא לנכסים
      • נושא ליומני ביקורת

    3. יוצרים notificationConfig לממצאים ב-Security Command Center. הכלי notificationConfig מייצא את הממצאים של Security Command Center ל-Pub/Sub על סמך מסננים שאתם מציינים.

  2. מפעילים את Cloud Asset API בפרויקט.

  3. יצירת פידים של נכסים צריך ליצור שני פידים באותו נושא ב-Pub/Sub: אחד למשאבים ואחד למדיניות של ניהול זהויות והרשאות גישה (IAM).

    • נושא ה-Pub/Sub של הנכסים צריך להיות שונה מזה שמשמש לממצאים.

    • כדי לסנן את הפיד של המשאבים, משתמשים במסנן הבא:

      content-type=resource

    • כדי להציג את הפיד של מדיניות IAM, משתמשים בפילטר הבא:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. יוצרים מאגר יעד ליומני הביקורת. השילוב הזה משתמש בנושא Pub/Sub כיעד.

התקנה של Google SCC App for Splunk ו-Google SCC Add-on for Splunk

בקטע הזה מתקינים את אפליקציית Google SCC ל-Splunk ואת Google SCC Add-on ל-Splunk. האפליקציות האלה, שמתוחזקות על ידי Security Command Center, מבצעות אוטומציה של תהליך התזמון של קריאות ל-API של Security Command Center, מאחזרות באופן קבוע נתונים של Security Command Center לשימוש ב-Splunk ומגדירות את לוחות הבקרה שמאפשרים לכם להציג נתונים של Security Command Center ב-Splunk.

כדי להתקין את האפליקציה, צריך גישה לממשק האינטרנט של Splunk.

אם יש לכם פריסת Splunk מבוזרת, אתם צריכים להתקין את האפליקציות באופן הבא:

  • מתקינים את אפליקציית Google SCC for Splunk ב-Splunk heavy forwarder וב-Splunk search heads.
  • מתקינים את התוסף Google SCC ל-Splunk בראשי החיפוש של Splunk.

כדי להשלים את ההתקנה:

  1. בממשק האינטרנט של Splunk, לוחצים על סמל גלגל השיניים Apps (אפליקציות).

  2. בוחרים באפשרות ניהול אפליקציות > עיון באפליקציות נוספות.

  3. מחפשים ומתקינים את האפליקציות הבאות:

    • Google SCC Add-on for Splunk
    • Google SCC App for Splunk

שתי האפליקציות יופיעו ברשימת האפליקציות. כדי להגדיר את האפליקציות, ממשיכים אל קישור Splunk אל Google Cloud.

שדרוג של Google SCC App for Splunk ו-Google SCC Add-on for Splunk

  1. השבתת כל אמצעי הקלט הקיימים:

    1. בממשק האינטרנט של Splunk, לוחצים על Apps > Google SCC Add-on for Splunk (אפליקציות > תוסף Google SCC ל-Splunk).

    2. בוחרים בכרטיסייה קלט.

    3. לכל קלט, לוחצים על פעולה > השבתה.

  2. הסרת הנתונים שעברו אינדוקס ב-Security Command Center. אפשר להשתמש בפקודת הניקוי של Splunk CLI כדי להסיר נתונים שעברו אינדוקס מאפליקציה לפני מחיקת האפליקציה.

  3. מבצעים את השדרוג:

    1. בממשק האינטרנט של Splunk, לוחצים על סמל גלגל השיניים Apps (אפליקציות).

    2. בוחרים באפשרות ניהול אפליקציות > עיון באפליקציות נוספות.

    3. מחפשים את האפליקציות הבאות ומשדרגים אותן:

      • Google SCC Add-on for Splunk
      • Google SCC App for Splunk

    4. אם תתבקשו, תצטרכו להפעיל מחדש את Splunk.

  4. לכל Google Cloud ארגון חדש, משלימים את השלבים בקטע חיבור Splunk אל Google Cloud.

  5. יוצרים את אמצעי הקלט החדשים, כמו שמתואר במאמר הוספת אמצעי קלט של נתונים מ-Security Command Center.

קישור Splunk אל Google Cloud

כדי להשלים את המשימה הזו, צריך שתהיה לכם היכולת admin_all_objects ב-Splunk.

  1. אם התקנתם את Splunk ב-Amazon Web Services או ב-Microsoft Azure, אתם צריכים לבצע את הפעולות הבאות:

    1. פותחים חלון טרמינל.

    2. עוברים לספרייה Google SCC App for Splunk:

      cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/

    3. פותחים את ta_googlescc_settings.conf בכלי לעריכת טקסט:

      sudo vim ta_googlescc_settings.conf

    4. מוסיפים את השורות הבאות לסוף הקובץ:

      [additional_parameters]
scheme = http

    5. שומרים את הקובץ וסוגרים אותו.

    6. מפעילים מחדש את פלטפורמת Splunk.

  2. בממשק האינטרנט של Splunk, לוחצים על Apps > Google SCC Add-on for Splunk > Configuration > Google SCC Account (אפליקציות > תוסף Google SCC ל-Splunk > הגדרה > חשבון Google SCC).

  3. בוחרים את הכרטיסייה Configuration.

  4. לוחצים על הוספה.

  5. מבצעים אחת מהפעולות הבאות, בהתאם לשדה שמופיע:

    • אם מוצג השדה Service Account JSON, מעיינים בקובץ ה-JSON שכולל את המפתח של חשבון השירות.

    • אם השדה Credential Configuration מוצג, מעיינים בקובץ התצורה של פרטי הכניסה שהורדתם כשקבעתם את איחוד הזהויות של עומסי עבודה.

    אם פרסתם את Splunk ב- Google Cloud או השלמתם את שלב 1, המערכת מזהה אוטומטית את ההגדרה של חשבון השירות.

  6. בשדה Organization (ארגון), מוסיפים את Google Cloud מזהה הארגון.

  7. אם אתם משתמשים בשרת proxy כדי לחבר את Splunk אל Google Cloud, אתם צריכים לבצע את הפעולות הבאות:

    1. לוחצים על הכרטיסייה Proxy (שרת proxy).
    2. לוחצים על הפעלה.
    3. בוחרים את סוג ה-Proxy (HTTPS,‏ SOCKS4 או SOCKS5).
    4. מוסיפים את שם המארח של ה-proxy, היציאה, ובאופן אופציונלי, את שם המשתמש והסיסמה.

  8. בכרטיסייה Logging (רישום ביומן), בוחרים את רמת הרישום ביומן עבור התוסף.

  9. לוחצים על Save.

  10. משלימים את שלבים 2-9 לכל Google Cloud ארגון שרוצים לשלב.

יוצרים מקורות נתונים עבור Google Cloud הארגונים, כמו שמתואר במאמר הוספת מקורות נתונים של Security Command Center.

הוספת מקורות נתונים ל-Security Command Center

  1. בממשק האינטרנט של Splunk, לוחצים על Apps > Google SCC Add-on for Splunk (אפליקציות > תוסף Google SCC ל-Splunk).

  2. בוחרים בכרטיסייה קלט.

  3. לוחצים על יצירת קלט חדש.

  4. בוחרים אחת מהאפשרויות:

    • קלט המקור
    • קלט הממצאים
    • קלט נכס
    • קלט של יומני ביקורת

  5. לוחצים על סמל העריכה.

  6. הזן את פריטי המידע הבאים:

    שדה תיאור
    שם הקלט שם ברירת המחדל של קלט הנתונים
    מרווח הזמן (בשניות) להמתנה בין קריאות לנתונים
    אינדקס האינדקס של Splunk שאליו מועברים הנתונים של Security Command Center
    מזהה המינוי לנכסים רק לקלטים של נכסים: השם של המינוי ל-Pub/Sub למשאבים
    מזהה המינוי של יומני הביקורת לנתוני קלט של יומני ביקורת בלבד, השם של מינוי Pub/Sub ליומני ביקורת
    מזהה המינוי של הממצאים רק לקלט של ממצאים: השם של המינוי ב-Pub/Sub לממצאים
    אחזור מקסימלי המספר המקסימלי של נכסים לאחזור בקריאה אחת

  7. לוחצים על עדכון.

  8. חוזרים על שלבים 3 עד 7 לכל קלט שרוצים להוסיף.

  9. חוזרים על שלבים 3 עד 8 לכל Google Cloud ארגון שרוצים לשלב.

  10. בשורה Status, מפעילים את מקורות הנתונים שרוצים להעביר ל-Splunk.

עדכון האינדקס של Splunk

צריך לבצע את המשימה הזו אם לא משתמשים באינדקס הראשי של Splunk:

  1. בממשק האינטרנט של Splunk, לוחצים על Settings > Advanced Search > Search macros (הגדרות > חיפוש מתקדם > פקודות מאקרו לחיפוש).
  2. בוחרים באפשרות Google SCC App for Splunk.
  3. בוחרים באפשרות googlescc_index.
  4. צריך לעדכן את index=main כדי להשתמש באינדקס.
  5. לוחצים על Save.

הצגת נתונים של Security Command Center ב-Splunk

  1. בממשק האינטרנט של Splunk, לוחצים על Apps > Google SCC Add-on for Splunk (אפליקציות > תוסף Google SCC ל-Splunk).

  2. בוחרים בכרטיסייה חיפוש.

  3. מגדירים את שאילתת החיפוש, לדוגמה index="main".

  4. בוחרים את טווח הזמן.

  5. לוחצים על סמל החיפוש.

  6. מסננים את הנתונים לפי סוג המקור (אחד מהמקורות, הנכסים, יומני הביקורת, נכסי IAM או הממצאים), לפי הצורך.

הצגת מרכזי הבקרה

אפליקציית Google SCC ל-Splunk מאפשרת לכם להציג את הנתונים מ-Security Command Center. הוא כולל חמישה מרכזי בקרה: סקירה כללית, מקורות, ממצאים, נכסים, יומני ביקורת וחיפוש.

אפשר לגשת ללוחות הבקרה האלה בממשק האינטרנט של Splunk, מהדף Apps > Google SCC Apps for Splunk.

לוח הבקרה של הסקירה הכללית

לוח הבקרה סקירה כללית מכיל סדרה של תרשימים שמציגים את המספר הכולל של הממצאים בארגון לפי רמת חומרה, קטגוריה ומצב. הממצאים נאספים מהשירותים המובנים של Security Command Center, כמו Security Health Analytics,‏ Web Security Scanner,‏ Event Threat Detection ו-זיהוי איומים בקונטיינר, וגם מכל שירות משולב שאתם מפעילים.

כדי לסנן תוכן, אפשר להגדיר את טווח הזמן ואת מזהה הארגון.

בתרשימים נוספים אפשר לראות אילו קטגוריות, פרויקטים ונכסים מניבים את הכי הרבה ממצאים.

לוח הבקרה של הנכסים

במרכז הבקרה נכסים מוצגת טבלה עם 1,000 הנכסים שנוצרו או שונו לאחרונה Google Cloud. בטבלה מוצגים שם הנכס, סוג הנכס, בעלי המשאב והשעה של העדכון האחרון.

אפשר לסנן את נתוני הנכסים לפי טווח זמן, מזהה ארגון וסוג נכס. אם לוחצים על הצגה בעמודה הפניה אוטומטית אל SCC, מופנים אל הדף נכסים ב-Security Command Center במסוף Google Cloud ומוצגים פרטים על הנכס שנבחר.

לוח הבקרה של יומני הביקורת

במרכז הבקרה יומני ביקורת מוצגים סדרה של תרשימים וטבלאות עם מידע מיומני הביקורת. יומני הביקורת שכלולים בלוח הבקרה הם יומני הביקורת של פעילות האדמין, גישה לנתונים, אירועים במערכת ודחיית מדיניות. הטבלה כוללת את השעה, שם היומן, רמת החומרה, שם השירות, שם המשאב וסוג המשאב.

אפשר לסנן את הנתונים לפי טווח זמן, מזהה ארגון ושם יומן.

מרכז הממצאים

לוח הבקרה Findings כולל טבלה עם 1,000 הממצאים האחרונים. עמודת הטבלה כוללת פריטים כמו קטגוריה, שם הנכס, שם המקור, סימני אבטחה, סיווג הממצא וחומרת הממצא.

אפשר לסנן את הנתונים לפי טווח זמן, מזהה הארגון, קטגוריה, חומרה, שם המקור, שם הנכס, שם הפרויקט או סיווג הממצא. בנוסף, בעמודה סטטוס העדכון אפשר לעדכן את המצב של הממצא. כדי לציין שאתם בודקים באופן פעיל ממצא מסוים, לוחצים על סימון כפעיל. אם לא בודקים באופן פעיל ממצא מסוים, לוחצים על סימון כלא פעיל.

אם לוחצים על שם הממצא, מועברים לדף Findings במסוף Google Cloud של Security Command Center ומוצגים פרטים על הממצא שנבחר.

מרכז הבקרה של המקורות

בלוח הבקרה מקורות מוצגת טבלה של כל מקורות האבטחה. העמודות בטבלה כוללות את השם, השם לתצוגה והתיאור.

כדי לסנן תוכן, אפשר להגדיר את טווח הזמן.

הסרת ההתקנה של האפליקציות

מסירים את האפליקציות כשלא רוצים יותר לאחזר נתונים של Security Command Center עבור Splunk.

  1. בממשק האינטרנט של Splunk, עוברים אל Apps > Manage Apps.

  2. חיפוש של Google SCC App for Splunk.

  3. בעמודה סטטוס, לוחצים על השבתה.

  4. חיפוש של Google SCC Add-on for Splunk.

  5. בעמודה סטטוס, לוחצים על השבתה.

  6. אפשר גם להסיר את הנתונים שעברו אינדוקס ב-Security Command Center. אפשר להשתמש בפקודת הניקוי של Splunk CLI כדי להסיר נתונים שעברו אינדוקס מאפליקציה לפני מחיקת האפליקציה.

  7. בסביבה עצמאית של Splunk, מבצעים את הפעולות הבאות:

    1. פותחים טרמינל ומתחברים ל-Splunk.

    2. מוחקים את האפליקציות ואת הספריות שלהן ב-$SPLUNK_HOME/etc/apps/APPNAME:

      ./splunk remove app APPNAME -auth USERNAME:PASSWORD

      מחליפים את APPNAME ב-GoogleSCCAppforSplunk או ב-TA_GoogleSCC.

    3. חוזרים על שלב ב' לגבי האפליקציה השנייה.

    4. אפשר גם להסיר את הספריות הספציפיות למשתמש על ידי מחיקת הקבצים שנמצאים ב-$SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk וב-$SPLUNK_HOME/etc/users/*/TA_GoogleSCC.

    5. מפעילים מחדש את פלטפורמת Splunk.

  8. בסביבת Splunk מבוזרת:

    1. מתחברים אל deployer manager.

    2. מוחקים את האפליקציות ואת הספריות שלהן ב-$SPLUNK_HOME/etc/apps/APPNAME:

      ./splunk remove app APPNAME -auth USERNAME:PASSWORD

      מחליפים את APPNAME ב-GoogleSCCAppforSplunk או ב-TA_GoogleSCC.

    3. חוזרים על שלב ב' לגבי האפליקציה השנייה.

    4. מריצים את הפקודה splunk apply shcluster-bundle:

      splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD

המאמרים הבאים