Esta página foi traduzida pela API Cloud Translation.

Envie dados do Security Command Center para o Splunk

Esta página explica como enviar automaticamente conclusões, recursos, registos de auditoria e origens de segurança do Security Command Center para o Splunk. Também descreve como gerir os dados exportados. O Splunk é uma plataforma de informações de segurança e gestão de eventos (SIEM) que introduz dados de segurança de uma ou mais fontes e permite que as equipas de segurança geram respostas a incidentes e realizem análises em tempo real.

Neste guia, garante que o Security Command Center e os Google Cloud serviços necessários estão configurados corretamente e permite que o Splunk aceda aos resultados, aos registos de auditoria e às informações de recursos no seu ambiente do Security Command Center.

Antes de começar

Este guia pressupõe que está a usar uma das seguintes opções:

Splunk Enterprise versão 8.1, 8.2 ou 9.0
Splunk Cloud
Alojamento do Splunk no Google Cloud, Amazon Web Services ou Microsoft Azure

Configure a autenticação e a autorização

Antes de estabelecer ligação ao Splunk, tem de criar uma conta de serviço de gestão de identidade e acesso (IAM) em cada organização que quer associar e conceder à conta os papéis de IAM ao nível da organização e do projeto de que o suplemento do Google SCC para Splunk precisa. Google Cloud

Crie uma conta de serviço e conceda funções da IAM

Os passos seguintes usam a Google Cloud consola. Para outros métodos, consulte os links no final desta secção.

Conclua estes passos para cada Google Cloud organização a partir da qual quer importar dados do Centro de comandos de segurança.

No mesmo projeto em que cria os tópicos do Pub/Sub, use a página Contas de serviço na Google Cloud consola para criar uma conta de serviço. Para obter instruções, consulte o artigo Criar e gerir contas de serviço.
Conceda à conta de serviço a seguinte função:
- Editor do Pub/Sub (roles/pubsub.editor)
Copie o nome da conta de serviço que acabou de criar.
Use o seletor de projetos na Google Cloud consola para mudar para o nível da organização.
Abra a página IAM da organização:

Aceda ao IAM
Na página do IAM, clique em Conceder acesso. É aberto o painel Conceder acesso.
No painel Conceder acesso, conclua os seguintes passos:
1. Na secção Adicionar membros, no campo Novos membros, cole o nome da conta de serviço.
2. Na secção Atribuir funções, use o campo Função para conceder as seguintes funções do IAM à conta de serviço:
3. Editor de administração do centro de segurança (roles/securitycenter.adminEditor)
4. Editor de configurações de notificações do centro de segurança (roles/securitycenter.notificationConfigEditor)
5. Visualizador da organização (roles/resourcemanager.organizationViewer)
6. Cloud Asset Viewer (roles/cloudasset.viewer)
7. Clique em Guardar. A conta de serviço aparece no separador Autorizações da página IAM em Ver por responsáveis.
  
  Por herança, a conta de serviço também se torna um principal em todos os projetos subordinados da organização. As funções aplicáveis ao nível do projeto são apresentadas como funções herdadas.

Para mais informações sobre como criar contas de serviço e conceder funções, consulte os seguintes tópicos:

Faculte as credenciais ao Splunk

A forma como faculta as credenciais do IAM ao Splunk varia consoante o local onde está a alojar o Splunk.

Se estiver a alojar o Splunk in Google Cloud, considere o seguinte:
- A conta de serviço que criou e as funções ao nível da organização que lhe concedeu estão disponíveis automaticamente por herança da organização principal. Se estiver a usar várias Google Cloud organizações, adicione esta conta de serviço às outras organizações e conceda-lhe as funções de IAM descritas nos passos 5 a 7 do artigo Crie uma conta de serviço e conceda funções de IAM.
- Se implementar o Splunk num perímetro de serviço, crie as regras de entrada e saída. Para ver instruções, consulte o artigo Conceder acesso ao perímetro nos VPC Service Controls.
Se estiver a alojar o Splunk Enterprise no seu ambiente no local, crie uma chave de conta de serviço para cada Google Cloud organização. Precisa das chaves da conta de serviço no formato JSON para concluir este guia.

Nota: As chaves de contas de serviço representam um risco de segurança se não forem geridas corretamente. Deve escolher uma alternativa mais segura às chaves de contas de serviço sempre que possível. Se tiver de fazer a autenticação com uma chave de conta de serviço, é responsável pela segurança da chave privada e por outras operações descritas nas Práticas recomendadas de gestão de chaves de contas de serviço. Se não conseguir criar uma chave de conta de serviço, a criação de chaves de contas de serviço pode estar desativada para a sua organização. Para mais informações, consulte o artigo Gerir recursos da organização seguros por predefinição.
Se adquiriu a chave da conta de serviço a partir de uma fonte externa, tem de a validar antes de a usar. Para mais informações, consulte os Requisitos de segurança para credenciais de origem externa.
Se estiver a alojar o Splunk noutra nuvem, configure a federação de identidades da carga de trabalho e transfira os ficheiros de configuração das credenciais. Se estiver a usar várias Google Cloud organizações, adicione esta conta de serviço às outras organizações e conceda-lhe as funções de IAM descritas nos passos 5 a 7 do artigo Crie uma conta de serviço e conceda funções de IAM.

Configure as notificações

Conclua estes passos para cada Google Cloud organização a partir da qual quer importar dados do Security Command Center.

Precisa dos IDs da organização, dos nomes dos tópicos do Pub/Sub e dos nomes das subscrições do Pub/Sub desta tarefa para configurar o Splunk.

Ative a localização de notificações para o Pub/Sub, que inclui os seguintes passos:
1. Ative a API Security Command Center.
2. Crie três tópicos do Pub/Sub:
  - um tópico para as conclusões
  - um tópico para recursos
  - um tópico para registos de auditoria
3. Crie um notificationConfig para as conclusões no Security Command Center. A notificationConfig exporta as conclusões do Security Command Center para o Pub/Sub com base nos filtros que especificar.
Ative a API Cloud Asset para o seu projeto.
Crie feeds para os seus recursos. Tem de criar dois feeds no mesmo tópico do Pub/Sub: um para os seus recursos e outro para as suas políticas de gestão de identidade e de acesso (IAM).
- O tópico Pub/Sub para recursos tem de ser diferente do usado para as descobertas.
- Para o feed dos seus recursos, use o seguinte filtro:
  
  content-type=resource
- Para o feed de políticas de IAM, use o seguinte filtro:
  
  content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
Crie um destino de registo para os registos de auditoria. Esta integração usa um tópico do Pub/Sub como destino.

Instale a app Google SCC para Splunk e o suplemento Google SCC para Splunk

Nesta secção, instala a app Google SCC para Splunk e o suplemento Google SCC para Splunk. Estas apps, que são mantidas pelo Security Command Center, automatizam o processo de agendamento de chamadas da API Security Command Center, obtêm regularmente dados do Security Command Center para utilização no Splunk e configuram os painéis de controlo que lhe permitem ver os dados do Security Command Center no Splunk.

A instalação da app requer acesso à interface Web do Splunk.

Se tiver uma implementação do Splunk distribuída, instale as apps da seguinte forma:

Instale a app Google SCC para Splunk no encaminhador pesado do Splunk e nos cabeçalhos de pesquisa do Splunk.
Instale o suplemento do SCC da Google para Splunk nos cabeçalhos de pesquisa do Splunk.

Para concluir a instalação, faça o seguinte:

Na interface Web do Splunk, aceda ao ícone de engrenagem Apps.
Selecione Gerir apps > Procurar mais apps.
Pesquise e instale as seguintes apps:
- Suplemento do Google SCC para Splunk
- App Google SCC para Splunk

Ambas as apps aparecem na sua lista de apps. Continue para Associar o Splunk ao Google Cloud para configurar as apps.

Atualize a app Google SCC para Splunk e o suplemento Google SCC para Splunk

Desative todas as entradas existentes:
1. Na interface Web do Splunk, clique em Apps > Google SCC Add-on for Splunk.
2. Selecione o separador Entradas.
3. Para cada entrada, clique em Ação > Desativar.
Remova os dados indexados do Security Command Center. Pode usar o comando clean da CLI do Splunk para remover dados indexados de uma app antes de a eliminar.
Faça a atualização:
1. Na interface Web do Splunk, aceda ao ícone de engrenagem Apps.
2. Selecione Gerir apps > Procurar mais apps.
3. Pesquise e atualize as seguintes apps:
  - Suplemento do Google SCC para Splunk
  - App Google SCC para Splunk
4. Se lhe for pedido, reinicie o Splunk.
Para cada nova Google Cloud organização, conclua a secção Associar o Splunk a Google Cloud.
Crie as novas entradas, conforme descrito em Adicione as entradas de dados do Security Command Center.

Associe o Splunk ao Google Cloud

Tem de ter a capacidade de admin_all_objects no Splunk para concluir esta tarefa.

Se instalou o Splunk no Amazon Web Services ou no Microsoft Azure, faça o seguinte:
1. Abra uma janela de terminal.
2. Navegue para o diretório da app SCC da Google para o Splunk:
```
cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
```
3. Abra ta_googlescc_settings.conf num editor de texto:
```
sudo vim ta_googlescc_settings.conf
```
4. Adicione as seguintes linhas ao final do ficheiro:
```
[additional_parameters]
scheme = http
```
5. Guarde e feche o ficheiro.
6. Reinicie a plataforma Splunk.
Na interface Web do Splunk, clique em Apps > Google SCC Add-on for Splunk > Configuration > Google SCC Account.
Selecione o separador Configuração.
Clique em Adicionar.
Faça uma das seguintes ações, consoante o campo apresentado:
- Se o campo JSON da conta de serviço for apresentado, procure o ficheiro JSON que inclui a chave da conta de serviço.
- Se o campo Configuração de credenciais for apresentado, procure o ficheiro de configuração de credenciais que transferiu quando configurou a federação de identidade da carga de trabalho.
Se implementou o Splunk em Google Cloud ou concluiu o passo 1, a configuração da conta de serviço é detetada automaticamente.
No campo Organização, adicione o Google Cloud ID da organização.
Se estiver a usar um servidor proxy para associar o Splunk ao Google Cloud, faça o seguinte:
1. Clique no separador Proxy.
2. Selecione Ativar.
3. Selecione o tipo de proxy (HTTPS, SOCKS4 ou SOCKS5).
4. Adicione o nome do anfitrião do proxy, a porta e, opcionalmente, o nome de utilizador e a palavra-passe.
No separador Registo, selecione o nível de registo do suplemento.
Clique em Guardar.
Conclua os passos 2 a 9 para cada Google Cloud organização que quer integrar.

Crie entradas de dados para as suas Google Cloud organizações, conforme descrito em Adicione as entradas de dados do Security Command Center.

Adicione as entradas de dados do Security Command Center

Na interface Web do Splunk, clique em Apps > Google SCC Add-on for Splunk.
Selecione o separador Entradas.
Clique em Criar nova entrada.
Selecione uma das entradas:
- Entrada de origem
- Introdução de resultados
- Entrada de recursos
- Entrada de registos de auditoria
Clique no ícone Editar.

Introduza as seguintes informações:

Campo	Descrição
Nome da entrada	O nome predefinido da entrada de dados
Intervalo	O tempo (em segundos) de espera entre chamadas de dados
Índice	O índice do Splunk para o qual os dados do Security Command Center são enviados
ID da subscrição de recursos	Apenas para entradas de recursos, o nome da subscrição do Pub/Sub para recursos
ID da subscrição dos registos de auditoria	Apenas para entrada de registos de auditoria, o nome da subscrição do Pub/Sub para registos de auditoria
ID da subscrição de resultados	Apenas para a entrada de resultados, o nome da subscrição do Pub/Sub para resultados
Obtenção máxima	O número máximo de recursos a obter numa chamada

Clique em Atualizar.
Repita os passos 3 a 7 para cada entrada que quer adicionar.
Repita os passos 3 a 8 para cada Google Cloud organização que quer integrar.
Na linha Estado, ative as entradas de dados que quer encaminhar para o Splunk.

Atualize o índice do Splunk

Conclua esta tarefa se não usar o índice principal do Splunk:

Na interface Web do Splunk, clique em Settings > Advanced Search > Search macros.
Selecione Google SCC App for Splunk.
Selecione googlescc_index.
Atualize o index=main para usar o seu índice.
Clique em Guardar.

Veja os dados do Security Command Center no Splunk

Na interface Web do Splunk, clique em Apps > Google SCC Add-on for Splunk.
Selecione o separador Pesquisar.
Defina a sua consulta de pesquisa, por exemplo, index="main".
Selecione o intervalo de tempo.
Clique no ícone Pesquisar.
Filtre os dados por tipo de origem (uma das origens, recursos, registos de auditoria, recursos de IAM ou resultados), conforme necessário.

Veja os painéis de controlo

A app Google SCC para Splunk permite-lhe visualizar os dados do Security Command Center. Inclui cinco painéis de controlo: Vista geral, Fontes, Resultados, Recursos, Registos de auditoria e Pesquisa.

Pode aceder a estes painéis de controlo na interface Web do Splunk, na página Apps > Google SCC Apps for Splunk.

Painel de controlo de vista geral

O painel de controlo Vista geral contém uma série de gráficos que apresentam o número total de resultados na sua organização por nível de gravidade, categoria e estado. As conclusões são compiladas a partir dos serviços incorporados do Centro de comando de segurança, como o Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection e quaisquer serviços integrados que ativar.

Para filtrar conteúdo, pode definir o intervalo de tempo e o ID da organização.

Os gráficos adicionais mostram que categorias, projetos e recursos estão a gerar o maior número de resultados.

Painel de controlo de recursos

O painel de controlo Recursos apresenta uma tabela dos 1000 recursos criados ou modificados mais recentemente. Google CloudA tabela mostra o nome do recurso, o tipo de recurso, o proprietário do recurso e a hora da última atualização.

Pode filtrar os dados dos recursos por intervalo de tempo, ID da organização e tipo de recurso. Se clicar em Ver na coluna Redirecionar para SCC, é feito o redirecionamento para a página Recursos do Security Command Center na Google Cloud consola, e são apresentados os detalhes do recurso selecionado.

Painel de controlo dos registos de auditoria

O painel de controlo Registos de auditoria apresenta uma série de gráficos e tabelas que mostram informações dos registos de auditoria. Os registos de auditoria incluídos no painel de controlo são os registos de auditoria da atividade do administrador, de acesso aos dados, de eventos do sistema e de políticas recusadas. A tabela inclui a hora, o nome do registo, a gravidade, o nome do serviço, o nome do recurso e o tipo de recurso.

Pode filtrar os dados por intervalo de tempo, ID da organização e nome do registo.

Painel de controlo de resultados

O painel de controlo Resultados inclui uma tabela dos 1000 resultados mais recentes. A coluna da tabela inclui itens como categoria, nome do recurso, nome da origem, marcas de segurança, classe de deteção e gravidade.

Pode filtrar os dados por intervalo de tempo, ID da organização, categoria, gravidade, nome da origem, nome do recurso, nome do projeto ou classe de deteção. Além disso, na coluna Estado da atualização, pode atualizar o estado de uma descoberta. Para indicar que está a rever ativamente uma descoberta, clique em Marcar como ATIVA. Se não estiver a rever ativamente uma descoberta, clique em Marcar como INATIVO.

Se clicar no nome de uma descoberta, é redirecionado para a página Descobertas do Security Command Center na consola Google Cloud e são apresentados os detalhes da descoberta selecionada.

Painel de controlo de origens

O painel de controlo Fontes mostra uma tabela de todas as suas fontes de segurança. As colunas da tabela incluem o nome, o nome a apresentar e a descrição.

Para filtrar conteúdo, pode definir o intervalo de tempo.

Desinstale as apps

Desinstale as apps quando já não quiser obter dados do Security Command Center para o Splunk.

Na interface Web do Splunk, aceda a Apps > Manage Apps.
Pesquise Google SCC App for Splunk.
Na coluna Estado, clique em Desativar.
Pesquise Google SCC Add-on for Splunk.
Na coluna Estado, clique em Desativar.
Opcionalmente, remova os dados indexados do Security Command Center. Pode usar o comando clean da CLI do Splunk para remover dados indexados de uma app antes de a eliminar.
Num ambiente autónomo do Splunk, faça o seguinte:
1. Abra um terminal e inicie sessão no Splunk.
2. Elimine as apps e os respetivos diretórios em $SPLUNK_HOME/etc/apps/APPNAME:
```
./splunk remove app APPNAME -auth USERNAME:PASSWORD
```
  Substitua APPNAME por GoogleSCCAppforSplunk ou TA_GoogleSCC.
3. Repita o passo b para a outra app.
4. Opcionalmente, remova os diretórios específicos do utilizador eliminando os ficheiros encontrados em $SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk e $SPLUNK_HOME/etc/users/*/TA_GoogleSCC.
5. Reinicie a plataforma Splunk.
Num ambiente Splunk distribuído, faça o seguinte:
1. Inicie sessão no gestor de implementações.
2. Elimine as apps e os respetivos diretórios em $SPLUNK_HOME/etc/apps/APPNAME:
```
./splunk remove app APPNAME -auth USERNAME:PASSWORD
```
  Substitua APPNAME por GoogleSCCAppforSplunk ou TA_GoogleSCC.
3. Repita o passo b para a outra app.
4. Execute o comando splunk apply shcluster-bundle:
```
splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
```

O que se segue?

Saiba como configurar as notificações de deteção no Security Command Center.
Leia acerca da filtragem de notificações de resultados no Security Command Center.