Auf dieser Seite wird erläutert, wie Ergebnisse, Assets, Audit-Logs und Sicherheitsquellen von Security Command Center automatisch an Google Security Operations SOAR gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten.
Prüfen Sie vorab, ob die erforderlichen Security Command Center- und Google Cloud -Dienste ordnungsgemäß konfiguriert sind, und aktivieren Sie Google SecOps SOAR, um auf Ergebnisse, Audit-Logs und Assets in Ihrer Security Command Center-Umgebung zuzugreifen. Weitere Informationen zur Security Command Center-Integration für Google SecOps SOAR finden Sie in der Google Security Operations-Dokumentation unter Security Command Center.
Authentifizierung und Autorisierung konfigurieren
Bevor Sie eine Verbindung zu Google SecOps SOAR herstellen, müssen Sie ein IAM-Dienstkonto (Identity and Access Management) erstellen und ihm IAM-Rollen auf Organisations- und Projektebene zuweisen.
Dienstkonto erstellen und IAM-Rollen zuweisen
In diesem Dokument wird dieses Dienstkonto auch als Nutzerdienstkonto bezeichnet. In den folgenden Schritten wird die Google Cloud Console verwendet. Informationen zu anderen Methoden finden Sie unter den Links am Ende dieses Abschnitts.
Führen Sie diese Schritte für jede Google Cloud Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.
- Verwenden Sie im selben Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, die Seite Dienstkonten in der Google Cloud Console, um ein Dienstkonto zu erstellen. Eine Anleitung dazu finden Sie unter Dienstkonten erstellen und verwalten.
Weisen Sie dem Dienstkonto die folgende Rolle zu:
- Pub/Sub-Bearbeiter (
roles/pubsub.editor)
- Pub/Sub-Bearbeiter (
Kopieren Sie den Namen des Dienstkontos, das Sie gerade erstellt haben.
Verwenden Sie die Projektauswahl in der Google Cloud Console, um zur Organisationsebene zu wechseln.
Öffnen Sie die Seite IAM für die Organisation:
Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Feld „Zugriff gewähren“ wird geöffnet.
Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:
- Fügen Sie im Abschnitt Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.
Weisen Sie dem Dienstkonto im Bereich Rollen zuweisen mit dem Feld Rolle die folgenden IAM-Rollen zu:
- Sicherheitscenter-Admin-Betrachter (
roles/securitycenter.adminViewer) - Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters (
roles/securitycenter.notificationConfigEditor) - Organisationsbetrachter (
roles/resourcemanager.organizationViewer) - Cloud-Asset-Betrachter (
roles/cloudasset.viewer)
- Sicherheitscenter-Admin-Betrachter (
Klicken Sie auf Speichern. Das Dienstkonto wird auf der Seite IAM auf dem Tab Berechtigungen unter Nach Hauptkonten ansehen angezeigt.
Durch die Übernahme wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation. Die Rollen, die auf Projektebene anwendbar sind, werden als übernommene Rollen aufgeführt.
Weitere Informationen zum Erstellen von Dienstkonten und Zuweisen von Rollen finden Sie in den folgenden Themen:
Dienstkonto für die Identitätsübernahme erstellen
In diesem Dokument wird dieses Dienstkonto auch als SOAR-Dienstkonto bezeichnet. Erstellen Sie ein Dienstkonto, um die Identität des Nutzerdienstkontos und seiner Berechtigungen zu übernehmen.
Rufen Sie in der Google SecOps SOAR-Konsole Response (Reaktion) auf und klicken Sie dann auf Integrations setup (Integrationen einrichten).
Klicken Sie auf der Seite Integrationseinrichtung auf Neue Instanz erstellen. Das Dialogfeld Instanz hinzufügen wird geöffnet.
Wählen Sie in der Liste Integrationen die Option Google Security Command Center aus und klicken Sie auf Speichern. Das Dialogfeld Google Security Command Center – Instanz konfigurieren wird geöffnet.
Geben Sie im Feld Workload Identity-E-Mail-Adresse die E-Mail-ID des Dienstkontos an.
Klicken Sie auf Speichern.
Anmeldedaten für Google SecOps SOAR bereitstellen
Je nachdem, wo Sie Google SecOps SOAR hosten, unterscheidet sich die Art und Weise, wie Sie die IAM-Anmeldedaten für Google SecOps SOAR angeben.
- Wenn Sie Google SecOps SOAR in Google Cloudhosten, sind das von Ihnen erstellte Nutzerdienstkonto und die Rollen auf Organisationsebene, die Sie ihm zugewiesen haben, automatisch durch Vererbung von der übergeordneten Organisation verfügbar.
- Wenn Sie Google SecOps SOAR in Ihrer lokalen Umgebung hosten, erstellen Sie einen Schlüssel für das von Ihnen erstellte Nutzerdienstkonto. Sie benötigen die JSON-Datei mit dem Dienstkontoschlüssel, um diese Aufgabe auszuführen. Informationen zu Best Practices für die sichere Speicherung von Dienstkontoschlüsseln finden Sie unter Best Practices für die Verwaltung von Dienstkontoschlüsseln.
Benachrichtigungen konfigurieren
Führen Sie diese Schritte für jede Google Cloud Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.
So richten Sie Ergebnisbenachrichtigungen ein:
- Aktivieren Sie die Security Command Center API.
- Erstellen Sie ein Pub/Sub-Thema für Ergebnisse.
- Erstellen Sie ein
NotificationConfig-Objekt, das den Filter für die Ergebnisse enthält, die Sie exportieren möchten.NotificationConfigmuss das Pub/Sub-Thema verwenden, das Sie für Ergebnisse erstellt haben.
Aktivieren Sie die Cloud Asset API für Ihr Projekt.
Sie benötigen Ihre Organisations-ID, Ihre Projekt-ID und Ihre Pub/Sub-Abo-ID aus dieser Aufgabe, um Google SecOps SOAR zu konfigurieren. Informationen zum Abrufen Ihrer Organisations-ID und Projekt-ID finden Sie unter Organisations-ID abrufen bzw. Projekte identifizieren.
Google SecOps SOAR konfigurieren
Mit Google SecOps SOAR können Unternehmen und Managed Security Service Providers (MSSPs) Daten und Sicherheitswarnungen aus verschiedenen Quellen erfassen, indem sie Orchestrierung und Automatisierung, Bedrohungsdaten und Incident Response kombinieren.
Führen Sie die folgenden Schritte aus, um Security Command Center mit Google SecOps SOAR zu verwenden:
Rufen Sie in der Google SecOps SOAR Console Marketplace auf und klicken Sie dann auf Integrationen.
Suchen Sie nach
Google Security Command Centerund installieren Sie die Security Command Center-Integration, die in den Suchergebnissen angezeigt wird.Klicken Sie bei der Integration Google Security Command Center auf Konfigurieren. Das Dialogfeld Google Security Command Center – Instanz konfigurieren wird geöffnet.
Optional: Wenn Sie eine neue Umgebung erstellen oder die Umgebungskonfiguration bearbeiten möchten, klicken Sie auf Einstellungen. Die Seite Environments wird in einem neuen Tab geöffnet.
Wählen Sie auf der Seite Umgebungen die Umgebung aus, für die Sie die Integrationsinstanz konfigurieren möchten.
Klicken Sie in der ausgewählten Umgebung auf Neue Instanz erstellen. Das Dialogfeld Instanz hinzufügen wird geöffnet.
Wählen Sie in der Liste Integrationen die Option Google Security Command Center aus und klicken Sie auf Speichern. Das Dialogfeld Google Security Command Center – Instanz konfigurieren wird geöffnet.
Geben Sie die Konfigurationsparameter an und klicken Sie auf Speichern.
Parameter Beschreibung Erforderlich API-Stamm API-Stamm der Security Command Center-Instanz. Zum Beispiel securitycenter.googleapis.com.Ja Organisations-ID ID der Organisation, deren Ergebnisse Sie exportieren möchten. Nein Projekt-ID ID des Projekts, das in die Security Command Center-Integration aufgenommen werden soll. Nein Projekt-ID für Kontingente Die ID Ihres Google Cloud Projekts für die Google Cloud API-Nutzung und ‑Abrechnung. Nein Standort-ID ID des Standorts, der in die Security Command Center-Integration aufgenommen werden soll. Die Standard-Standort-ID ist „global“. Nein Dienstkonto des Nutzers Dienstkonto, das Sie unter Dienstkonto erstellen und IAM-Rollen zuweisen erstellt haben. Wenn Sie Google SecOps SOAR in Ihrer lokalen Umgebung hosten, geben Sie die Dienstkontoschlüssel-ID und den gesamten Inhalt der JSON-Datei des Dienstkontos an. Ja E-Mail-Adresse der Arbeitslastidentität E-Mail-Adresse, die Sie in Dienstkonto für die Identitätsübernahme erstellen erstellt haben. Es handelt sich um die E-Mail-Adresse des Dienstkontos, die anstelle des Nutzerdienstkontos verwendet werden kann, um die Identität eines Nutzers anzunehmen. Dem SOAR-Dienstkonto muss die IAM-Rolle Service Account Token Creatorfür das Nutzerdienstkonto zugewiesen werden.Ja SSL überprüfen Aktivieren Sie diese Option, um zu prüfen, ob das für die Verbindung zum Security Command Center-Server verwendete SSL-Zertifikat gültig ist. Ja Klicken Sie auf Testen, um zu prüfen, ob die Integration richtig konfiguriert ist.
Klicken Sie nach erfolgreicher Bestätigung auf Speichern.
Google Security Command Center-Integration upgraden
Führen Sie die folgenden Schritte aus, um die Google Security Command Center-Integration zu aktualisieren:
Rufen Sie in der Google SecOps SOAR Console Marketplace auf und klicken Sie dann auf Integrationen.
Suchen Sie nach der Integration von Google Security Command Center und klicken Sie auf Auf VERSION_NUMBER upgraden.
Mit Ergebnissen und Assets arbeiten
Google SecOps SOAR verwendet Connectors, um Benachrichtigungen aus verschiedenen Datenquellen in die Plattform aufzunehmen.
Security Command Center-Benachrichtigungen zur Analyse in Google SecOps SOAR abrufen
Sie müssen einen Connector konfigurieren, um Informationen zu Ergebnissen aus Security Command Center abzurufen. Informationen zum Konfigurieren des Connectors finden Sie unter Daten aufnehmen (Connectors).
Legen Sie die folgenden Parameter in Google SecOps SOAR fest, um den Connector „Google Security Command Center – Findings“ zu konfigurieren.
| Parameter | Typ | Standardwert | Verbindlich | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Name des Quellfelds zum Abrufen des Produktfeldnamens. |
| Name des Ereignisfelds | String | Typ | Ja | Name des Quellfelds zum Abrufen des Ereignisfeldnamens. |
| Name des Umgebungsfelds | String | Leer | Nein | Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn der Feldname der Umgebung nicht angegeben ist, wird die Standardumgebung ausgewählt. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein Muster für einen regulären Ausdruck, der für den Wert im Feld Name des Umgebungsfelds ausgeführt werden soll. Der Standardwert ist „.*“, um alle Werte zu erfassen und den Wert unverändert zurückzugeben. Mit diesem Parameter kann der Nutzer das Feld „environment“ mithilfe von Logik für reguläre Ausdrücke bearbeiten. Wenn das Muster für reguläre Ausdrücke null oder leer ist oder der Umgebungswert null ist, wird die Standardumgebung ausgewählt. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | Ja | API-Stamm der Security Command Center-Instanz. Beispiel: securitycenter.googleapis.com. |
|
| Organisations-ID | String | Nein | ID der Organisation, die in die Google Security Command Center-Integration aufgenommen werden soll. | |
| Dienstkonto des Nutzers | Passwort | Ja | Dienstkonto, das Sie unter Dienstkonto erstellen und IAM-Rollen zuweisen erstellt haben. Wenn Sie Google SecOps SOAR in Ihrer lokalen Umgebung hosten, geben Sie die Dienstkontoschlüssel-ID und den gesamten Inhalt der JSON-Datei des Dienstkontos an. | |
| Filter für Ergebnisklasse | CSV | Bedrohung, Sicherheitslücke, Fehlkonfiguration, SCC_Error, Beobachtung | Nein |
Kurse finden, die aufgenommen werden sollen. Folgende Werte sind möglich:
Wenn nichts angegeben ist, werden Ergebnisse aus allen Klassen aufgenommen. |
| Niedrigster Schweregrad zum Abrufen | String | Hoch | Nein |
Der niedrigste Schweregrad, der zum Abrufen von Ergebnissen verwendet wird. Mögliche Werte:
Hinweis: Wenn ein Ergebnis mit undefiniertem Schweregrad aufgenommen wird, hat es den mittleren Schweregrad. Wenn nichts angegeben ist, werden Ergebnisse mit allen Schweregraden aufgenommen. |
| Maximale Stunden zurück | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Ergebnisse abgerufen werden sollen. Die maximale Anzahl ist 24. |
| Maximale Anzahl abzurufender Ergebnisse | Ganzzahl | 100 | Nein | Anzahl der Ergebnisse, die pro Connector-Iteration verarbeitet werden sollen. Die Höchstzahl liegt bei 1.000. |
| Dynamische Liste als Ausschlussliste verwenden | Kästchen | Deaktiviert | Ja | Aktivieren Sie die dynamische Liste als Ausschlussliste. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Aktivieren Sie diese Option, um zu prüfen, ob das SSL-Zertifikat für die Verbindung zum Security Command Center-Server gültig ist. |
| Proxyserveradresse | String | Nein | Die Adresse des zu verwendenden Proxyservers. | |
| Proxy-Nutzername | String | Nein | Der Proxy-Nutzername für die Authentifizierung. | |
| Proxy-Passwort | Passwort | Nein | Das Proxy-Passwort für die Authentifizierung. |
Assets anreichern
Um eine Sicherheitsprüfung zu ermöglichen, werden in Google Security Operations Kontextdaten aus verschiedenen Quellen aufgenommen, die Daten analysiert und zusätzlicher Kontext zu Artefakten in der Umgebung eines Kunden bereitgestellt.
Wenn Sie Assets mit Informationen aus Security Command Center anreichern möchten, fügen Sie einem Playbook in Google SecOps SOAR die Aktion „Assets anreichern“ hinzu und führen Sie das Playbook aus. Weitere Informationen finden Sie unter Aktion hinzufügen.
Legen Sie die folgenden Parameter fest, um diese Aktion zu konfigurieren:
| Parameter | Typ | Standardwert | Verbindlich | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
Sicherheitslücken für Benachrichtigungen auflisten
Wenn Sie Sicherheitslücken im Zusammenhang mit den Entitäten in Security Command Center auflisten möchten, fügen Sie einem Playbook in Google Security Operations SOAR die Aktion „Sicherheitslücken für Assets auflisten“ hinzu und führen Sie das Playbook aus. Weitere Informationen finden Sie unter Aktion hinzufügen.
Legen Sie die folgenden Parameter fest, um diese Aktion zu konfigurieren:
| Parameter | Typ | Standardwert | Verbindlich | Beschreibung |
|---|---|---|---|---|
| Asset-Ressourcennamen | CSV | Ja | Geben Sie eine durch Kommas getrennte Liste der Ressourcennamen der Assets an, für die Sie Daten zurückgeben möchten. | |
| Zeitraum | DDL | Gesamte Zeit | Nein |
Geben Sie den Zeitraum für die Suche nach Sicherheitslücken oder Fehlkonfigurationen an. Folgende Werte sind möglich:
|
| Eintragstypen | DDL | Sicherheitslücken + Fehlkonfigurationen | Nein |
Geben Sie den Typ des Datensatzes an, der zurückgegeben werden soll. Mögliche Werte:
|
| Ausgabetyp | DDL | Statistiken | Nein |
Geben Sie den Typ der Ausgabe an, die im JSON-Ergebnis für das Asset zurückgegeben werden soll. Folgende Werte sind möglich:
|
| Maximale Anzahl zurückzugebender Datensätze | String | 100 | Nein | Geben Sie die Anzahl der Datensätze an, die pro Datensatztyp und Asset zurückgegeben werden sollen. |
Ergebnisse aktualisieren
Wenn Sie Ergebnisse in Security Command Center aktualisieren möchten, fügen Sie einem Playbook in Google SecOps SOAR die Aktion „Ergebnisse aktualisieren“ hinzu und führen Sie das Playbook aus. Weitere Informationen finden Sie unter Aktion hinzufügen.
Legen Sie die folgenden Parameter fest, um diese Aktion zu konfigurieren:
| Parameter | Typ | Standardwert | Verbindlich | Beschreibung |
|---|---|---|---|---|
| Name des Ergebnisses | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Ja | Geben Sie eine durch Kommas getrennte Liste der Namen der Ergebnisse an, die Sie aktualisieren möchten. |
| Stummschaltung | DDL | Nein |
Geben Sie den Ausblendungsstatus für das Ergebnis an. Folgende Werte sind möglich:
|
|
| Status | DDL | Nein |
Geben Sie den Status für das Ergebnis an. Folgende Werte sind möglich:
|