שליחת נתונים מ-Security Command Center אל Google Security Operations SOAR

בדף הזה מוסבר איך לשלוח באופן אוטומטי ממצאים, נכסים, יומני ביקורת ומקורות אבטחה מ-Security Command Center אל Google Security Operations SOAR. בנוסף, מוסבר בה איך לנהל את הנתונים המיוצאים.

לפני שמתחילים, חשוב לוודא שהשירותים הנדרשים של Security Command Center ושל Google Cloud מוגדרים כראוי, ושהם מאפשרים ל-Google SecOps SOAR לגשת לממצאים, ליומני ביקורת ולנכסים בסביבת Security Command Center. מידע נוסף על השילוב של Security Command Center עם Google SecOps SOAR זמין במאמר Security Command Center במסמכי Google Security Operations.

הגדרת אימות והרשאה

לפני שמתחברים ל-Google SecOps SOAR, צריך ליצור חשבון שירות לניהול זהויות והרשאות גישה (IAM) ולהעניק לו תפקידי IAM ברמת הארגון וברמת הפרויקט.

יצירה של חשבון שירות והקצאת תפקידי IAM

במסמך הזה, חשבון השירות הזה נקרא גם חשבון שירות של משתמש. השלבים הבאים מתייחסים לשימוש במסוף Google Cloud . שיטות אחרות מפורטות בקישורים בסוף הקטע הזה.

צריך לבצע את השלבים האלה לכל Google Cloud ארגון שרוצים לייבא ממנו נתונים של Security Command Center.

1. באותו פרויקט שבו יוצרים את נושאי Pub/Sub, משתמשים בדף Service Accounts במסוף Google Cloud כדי ליצור חשבון שירות. הוראות מפורטות זמינות במאמר יצירה וניהול של חשבונות שירות.

2. מקצים לחשבון השירות את התפקיד הבא:

   • Pub/Sub Editor (roles/pubsub.editor)

3. מעתיקים את השם של חשבון השירות שיצרתם.

4. משתמשים בכלי לבחירת פרויקטים במסוף Google Cloud כדי לעבור לרמת הארגון.

5. פותחים את הדף IAM של הארגון:

   כניסה לדף IAM

6. בדף IAM, לוחצים על Grant access (מתן גישה). תיפתח החלונית למתן גישה.

7. בחלונית Grant access (הענקת גישה), מבצעים את הפעולות הבאות:

   1. בקטע Add principals, בשדה New principals, מדביקים את השם של חשבון השירות.

   2. בקטע Assign roles, משתמשים בשדה Role כדי להעניק לחשבון השירות את התפקידים הבאים ב-IAM:

      • צפייה באדמין ב-Security Center (roles/securitycenter.adminViewer)
      • הכלי לעריכת הגדרות ההתראות במרכז האבטחה (roles/securitycenter.notificationConfigEditor)
      • צפייה בארגון (roles/resourcemanager.organizationViewer)
      • Cloud Asset Viewer (roles/cloudasset.viewer)

   3. לוחצים על Save. חשבון השירות מופיע בכרטיסייה הרשאות בדף IAM בקטע תצוגה לפי חשבונות משתמשים.

      באמצעות ירושה, חשבון השירות הופך גם לחשבון משתמש בכל פרויקטי הצאצא של הארגון. התפקידים שרלוונטיים ברמת הפרויקט מופיעים כ'תפקידים שעברו בירושה'.

מידע נוסף על יצירת חשבונות שירות והענקת תפקידים זמין במאמרים הבאים:

• יצירה וניהול של חשבונות שירות
• הענקה, שינוי וביטול גישה למשאבים

יצירת חשבון שירות להתחזות

במסמך הזה, חשבון השירות הזה נקרא גם חשבון השירות של SOAR. יוצרים חשבון שירות כדי להתחזות לחשבון השירות של המשתמש ולהרשאות שלו.

1. במסוף Google SecOps SOAR, עוברים אל Response (תגובה) ולוחצים על Integrations setup (הגדרת שילובים).

2. בדף Integrations setup (הגדרת שילובים), לוחצים על Create a new instance (יצירת מופע חדש). תיבת הדו-שיח הוספת מופע נפתחת.

3. ברשימה Integrations (שילובים), בוחרים באפשרות Google Security Command Center ולוחצים על Save (שמירה). נפתחת תיבת הדו-שיח Google Security Command Center - Configure Instance (מרכז הבקרה של Google Security – הגדרת מופע).

4. בשדה Workload Identity Email, מציינים את מזהה האימייל של חשבון השירות.

5. לוחצים על Save.

העברת פרטי הכניסה אל Google SecOps SOAR

הדרך שבה מעבירים את פרטי הכניסה של IAM ל-Google SecOps SOAR משתנה בהתאם למיקום שבו מתארח Google SecOps SOAR.

• אם אתם מארחים את Google SecOps SOAR ב- Google Cloud, חשבון השירות של המשתמש שיצרתם והתפקידים ברמת הארגון שהקציתם לו זמינים באופן אוטומטי בירושה מהארגון הראשי.
• אם אתם מארחים את Google SecOps SOAR בסביבה המקומית שלכם, אתם צריכים ליצור מפתח לחשבון שירות המשתמש שיצרתם. כדי להשלים את המשימה הזו, צריך את קובץ ה-JSON של מפתח חשבון השירות. כדי לקרוא על שיטות מומלצות לאחסון מאובטח של מפתחות לחשבונות שירות, אפשר לעיין במאמר שיטות מומלצות לניהול מפתחות לחשבונות שירות.

הגדרת התראות

מבצעים את השלבים האלה לכל Google Cloud ארגון שרוצים לייבא ממנו נתונים של Security Command Center.

1. כדי להגדיר התראות על מציאת מכשיר:

   1. מפעילים את Security Command Center API.
   2. יוצרים נושא Pub/Sub לממצאים.
   3. יוצרים אובייקט NotificationConfig שמכיל את המסנן של הממצאים שרוצים לייצא. ה-NotificationConfig צריך להשתמש בנושא Pub/Sub שיצרתם לממצאים.

2. מפעילים את Cloud Asset API בפרויקט.

כדי להגדיר את Google SecOps SOAR, צריך את מזהה הארגון, מזהה הפרויקט ומזהה המינוי ל-Pub/Sub מהמשימה הזו. כדי לאחזר את מזהה הארגון ומזהה הפרויקט, אפשר לעיין במאמרים איך מאחזרים את מזהה הארגון וזיהוי פרויקטים.

הגדרה של Google SecOps SOAR

‫Google SecOps SOAR מאפשר לארגונים ולספקי שירותי אבטחה מנוהלים (MSSP) לאסוף נתונים והתראות אבטחה ממקורות שונים באמצעות שילוב של תזמור ואוטומציה, מודיעין איומי סייבר ותגובה לאירועים.

כדי להשתמש ב-Security Command Center עם Google SecOps SOAR, פועלים לפי השלבים הבאים:

1. במסוף Google SecOps SOAR, עוברים אל Marketplace (המרקטפלייס) ואז לוחצים על Integrations (שילובים).

2. מחפשים את Google Security Command Center ומתקינים את השילוב של Security Command Center שמופיע בתוצאות החיפוש.

3. בשילוב Google Security Command Center, לוחצים על הגדרה. נפתח הדו-שיח Google Google Security Command Center - Configure Instance.

4. אופציונלי: כדי ליצור סביבה חדשה או לערוך את הגדרות הסביבה, לוחצים על מסך ההגדרות. הדף Environments (סביבות) ייפתח בכרטיסייה חדשה.

5. בדף Environments, בוחרים את הסביבה שרוצים להגדיר עבורה את מופע השילוב.

6. בסביבה שנבחרה, לוחצים על יצירת מופע חדש. תיבת הדו-שיח הוספת מופע נפתחת.

7. ברשימה Integrations (שילובים), בוחרים באפשרות Google Security Command Center ולוחצים על Save (שמירה). נפתחת תיבת הדו-שיח Google Security Command Center - Configure Instance (מרכז הבקרה של Google Security – הגדרת מופע).

8. מציינים את פרמטרי ההגדרה ולוחצים על שמירה.

   פרמטר	תיאור	חובה
   API Root	נתיב הבסיס של ה-API של מופע Security Command Center. לדוגמה, securitycenter.googleapis.com.	כן
   מספר הארגון	המזהה של הארגון שרוצים לייצא את הממצאים שלו.	לא
   מזהה פרויקט	מזהה הפרויקט שישמש בשילוב עם Security Command Center.	לא
   מזהה פרויקט מכסה	מזהה Google Cloud הפרויקט לשימוש ב-API ולחיוב. Google Cloud	לא
   מזהה מיקום	המזהה של המיקום שבו רוצים להשתמש בשילוב עם Security Command Center. מזהה ברירת המחדל של המיקום הוא גלובלי.	לא
   חשבון השירות של המשתמש	חשבון שירות שיצרתם לפי ההוראות במאמר יצירת חשבון שירות והקצאת תפקידים ב-IAM. אם אתם מארחים את Google SecOps SOAR בסביבה המקומית שלכם, עליכם לספק את מזהה המפתח של חשבון השירות ואת כל התוכן של קובץ ה-JSON של חשבון השירות.	כן
   אימייל של Workload Identity	כתובת האימייל שיצרתם במאמר יצירת חשבון שירות לצורך התחזות. זוהי כתובת אימייל של לקוח בחשבון שירות, שמחליפה את השימוש בחשבון השירות של המשתמש שאפשר להשתמש בו להתחזות. צריך להקצות לחשבון השירות של SOAR את התפקיד Service Account Token Creator ב-IAM בחשבון השירות של המשתמש.	כן
   אימות SSL	ההגדרה הזו מאפשרת לוודא שאישור ה-SSL שמשמש לחיבור לשרת Security Command Center תקף.	כן

9. כדי לוודא שהשילוב מוגדר בצורה נכונה, לוחצים על בדיקה.

10. אחרי האימות המוצלח, לוחצים על שמירה.

שדרוג השילוב עם Google Security Command Center

כדי לשדרג את השילוב של Google Security Command Center, מבצעים את השלבים הבאים:

1. במסוף Google SecOps SOAR, עוברים אל Marketplace (המרקטפלייס) ואז לוחצים על Integrations (שילובים).

2. מחפשים את השילוב Google Security Command Center ולוחצים על שדרוג ל-VERSION_NUMBER.

עבודה עם ממצאים ונכסים

‫Google SecOps SOAR משתמש במחברים כדי להטמיע התראות ממגוון מקורות נתונים בפלטפורמה.

אחזור התראות מ-Security Command Center לצורך ניתוח ב-Google SecOps SOAR

צריך להגדיר מחבר כדי לשלוף מידע על ממצאים מ-Security Command Center. הוראות להגדרת המחבר מופיעות במאמר העברת נתונים (מחברים).

מגדירים את הפרמטרים הבאים ב-Google SecOps SOAR כדי להגדיר את המחבר Google Security Command Center - Findings.

פרמטר	סוג	ערך ברירת המחדל	חובה	תיאור
שם שדה המוצר	String	שם המוצר	כן	שם שדה המקור לאחזור שם שדה המוצר.
שם שדה האירוע	String	סוג	כן	שם שדה המקור לאחזור שם שדה האירוע.
שם השדה בסביבה	String	ריק	לא	שם השדה שבו מאוחסן שם הסביבה. אם לא מציינים את שם שדה הסביבה, נבחרת סבירת ברירת המחדל.
תבנית ביטוי רגולרי (regex) של סביבה	String	.*	לא	תבנית של ביטוי רגולרי להפעלה על הערך שנמצא בשדה שם שדה הסביבה. ברירת המחדל היא ‎ .* ‎ כדי לתפוס את כל הערכים ולהחזיר את הערך ללא שינוי. הפרמטר הזה משמש כדי לאפשר למשתמשים לשנות את שדה הסביבה באמצעות לוגיקה של ביטוי רגולרי. אם תבנית הביטוי הרגיל היא null או ריקה, או אם ערך הסביבה הוא null, הסביבה שמוגדרת כברירת מחדל נבחרת.
זמן קצוב לסקריפט (בשניות)	מספר שלם	180	כן	מגבלת הזמן הקצוב לתהליך Python שמריץ את הסקריפט הנוכחי.
API Root	String		כן	נתיב הבסיס של ה-API של מופע Security Command Center. לדוגמה, securitycenter.googleapis.com.
מספר הארגון	String		לא	המזהה של הארגון שבו צריך להשתמש בשילוב עם Google Security Command Center.
חשבון השירות של המשתמש	סיסמה		כן	חשבון שירות שיצרתם לפי ההוראות במאמר יצירת חשבון שירות והקצאת תפקידים ב-IAM. אם אתם מארחים את Google SecOps SOAR בסביבה המקומית שלכם, עליכם לספק את מזהה המפתח של חשבון השירות ואת כל התוכן של קובץ ה-JSON של חשבון השירות.
איפה נמצא מסנן הכיתות	CSV	איום, נקודת חולשה, הגדרה שגויה, שגיאת SCC, תצפית	לא	חיפוש כיתות שצריך להעביר. הערכים שאפשר לבחור הם: איום נקודת חולשה הגדרה שגויה SCC_Error אבחנה אם לא מספקים כלום, הממצאים מכל הסיווגים מוזנים.
רמת החומרה הנמוכה ביותר לאחזור	String	גבוהה	לא	רמת החומרה הכי נמוכה שמשמשת לאחזור ממצאים. הערכים האפשריים הם: נמוכה בינונית גבוהה קריטית הערה: אם מתבצעת המרה של ממצא עם חומרה לא מוגדרת, החומרה שלו היא בינונית. אם לא מספקים כלום, הממצאים עם כל רמות החומרה מוזנים למערכת.
מספר השעות המקסימלי אחורה	מספר שלם	1	לא	מספר השעות שממנו יאוחזרו הממצאים. המגבלה המקסימלית היא 24.
מספר הממצאים המקסימלי לאחזור	מספר שלם	100	לא	מספר הממצאים לעיבוד בכל איטרציה של המחבר. המגבלה המקסימלית היא 1,000.
שימוש ברשימה דינמית כרשימת החרגות	תיבת סימון	מושבת	כן	מפעילים את הרשימה הדינמית כרשימת החרגות.
אימות SSL	תיבת סימון	מושבת	כן	הפעלת ההגדרה מאפשרת לוודא שאישור ה-SSL של החיבור לשרת Security Command Center תקף.
כתובת שרת ה-Proxy	String		לא	הכתובת של שרת ה-Proxy שבו רוצים להשתמש.
שם משתמש לשרת proxy	String		לא	שם המשתמש של ה-proxy לאימות.
סיסמת שרת Proxy	סיסמה		לא	סיסמת ה-proxy לאימות.

העשרת הנכסים

כדי לאפשר חקירת אבטחה, Google Security Operations קולטת נתונים הקשריים ממקורות שונים, מנתחת את הנתונים ומספקת הקשר נוסף לגבי ארטיפקטים בסביבת לקוח.

כדי להעשיר נכסים באמצעות מידע מ-Security Command Center, מוסיפים את הפעולה enrich assets (העשרת נכסים) ל-playbook ב-Google SecOps SOAR ומריצים את ה-playbook. מידע נוסף זמין במאמר בנושא הוספת פעולה.

כדי להגדיר את הפעולה הזו, מגדירים את הפרמטרים הבאים:

פרמטר	סוג	ערך ברירת המחדל	חובה	תיאור
שם שדה המוצר	String	שם המוצר	כן	מזינים את שם שדה המקור כדי לאחזר את שם שדה המוצר.

הצגת רשימה של נקודות חולשה בהתראות

כדי להציג רשימה של נקודות חולשה שקשורות לישויות ב-Security Command Center, מוסיפים את הפעולה list asset vulnerabilities (הצגת רשימה של נקודות חולשה בנכס) ל-playbook ב-Google Security Operations SOAR ומריצים את ה-playbook. מידע נוסף זמין במאמר בנושא הוספת פעולה.

כדי להגדיר את הפעולה הזו, מגדירים את הפרמטרים הבאים:

פרמטר	סוג	ערך ברירת המחדל	חובה	תיאור
שמות המשאבים של הנכסים	CSV		כן	מציינים רשימה מופרדת בפסיקים של שמות משאבים של הנכסים שעבורם רוצים להחזיר נתונים.
מסגרת זמן	DDL	כל הזמן	לא	מציינים את פרק הזמן לחיפוש הפגיעויות או ההגדרות השגויות. הערכים שאפשר לבחור הם: בשבוע שעבר בחודש שעבר שנה שעברה כל הזמן
סוגי רשומות	DDL	נקודות חולשה + הגדרות שגויות	לא	מציינים את סוג הרשומה שצריך להחזיר. הערכים האפשריים הם: נקודות חולשה הגדרות שגויות נקודות חולשה + הגדרות שגויות
סוג הפלט	DDL	נתונים סטטיסטיים	לא	מציינים את סוג הפלט שצריך להחזיר בתוצאת ה-JSON של הנכס. הערכים שאפשר לבחור הם: נתונים סטטיסטיים נתונים נתונים סטטיסטיים + נתונים
מספר הרשומות המקסימלי שיוחזר	String	100	לא	מציינים את מספר הרשומות שיוחזרו לכל סוג רשומה לכל נכס.

עדכון הממצאים

כדי לעדכן את הממצאים ב-Security Command Center, מוסיפים את הפעולה update findings (עדכון ממצאים) ל-playbook ב-Google SecOps SOAR ומריצים את ה-playbook. מידע נוסף זמין במאמר בנושא הוספת פעולה.

כדי להגדיר את הפעולה הזו, מגדירים את הפרמטרים הבאים:

פרמטר	סוג	ערך ברירת המחדל	חובה	תיאור
שם הממצא	CSV	organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID	כן	מציינים רשימה מופרדת בפסיקים של שמות הממצאים שרוצים לעדכן.
סטטוס השתקה	DDL		לא	מציינים את סטטוס ההשתקה של הממצא. הערכים שאפשר לבחור הם: Mute – השתקה Unmute – ביטול ההשתקה
סטטוס המדינה	DDL		לא	מציינים את סטטוס המצב של הממצא. הערכים שאפשר לבחור הם: פעיל לא פעיל