Halaman ini menjelaskan cara mengirimkan temuan, aset, log audit, dan sumber keamanan Security Command Center secara otomatis ke SOAR Google Security Operations. Dokumen ini juga menjelaskan cara mengelola data yang diekspor.
Sebelum memulai, pastikan Security Command Center dan Google Cloud layanan yang diperlukan telah dikonfigurasi dengan benar dan izinkan Google SecOps SOAR mengakses temuan, log audit, dan aset di lingkungan Security Command Center Anda. Untuk mengetahui informasi selengkapnya tentang integrasi Security Command Center untuk Google SecOps SOAR, lihat Security Command Center dalam dokumentasi Google Security Operations.
Mengonfigurasi autentikasi dan otorisasi
Sebelum terhubung ke Google SecOps SOAR, Anda harus membuat akun layanan Identity and Access Management dan memberikan peran IAM kepadanya di tingkat organisasi dan project.
Buat akun layanan dan berikan peran IAM
Dalam dokumen ini, akun layanan ini juga disebut akun layanan pengguna. Langkah-langkah berikut menggunakan konsol Google Cloud . Untuk metode lainnya, lihat link di bagian akhir bagian ini.
Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud yang datanya dari Security Command Center ingin Anda impor.
- Di project yang sama tempat Anda membuat topik Pub/Sub, gunakan halaman Service Accounts di konsol Google Cloud untuk membuat akun layanan. Untuk mengetahui petunjuknya, lihat Membuat dan mengelola akun layanan.
Berikan peran berikut kepada akun layanan:
- Pub/Sub Editor (
roles/pubsub.editor)
- Pub/Sub Editor (
Salin nama akun layanan yang baru saja Anda buat.
Gunakan pemilih project di konsol Google Cloud untuk beralih ke tingkat organisasi.
Buka halaman IAM untuk organisasi:
Pada halaman IAM, klik Berikan akses. Panel beri akses akan terbuka.
Di panel Izinkan akses, selesaikan langkah-langkah berikut:
- Di bagian Add principals di kolom New principals, tempel nama akun layanan.
Di bagian Assign roles, gunakan kolom Role untuk memberikan peran IAM berikut ke akun layanan:
- Security Center Admin Viewer (
roles/securitycenter.adminViewer) - Security Center Notification Configurations Editor
(
roles/securitycenter.notificationConfigEditor) - Organization Viewer (
roles/resourcemanager.organizationViewer) - Cloud Asset Viewer (
roles/cloudasset.viewer)
- Security Center Admin Viewer (
Klik Simpan. Akun layanan akan muncul di tab Permissions di halaman IAM di bagian View by principals.
Dengan pewarisan, akun layanan juga menjadi akun utama di semua project turunan organisasi. Peran yang berlaku di level project dicantumkan sebagai peran yang diwarisi.
Untuk mengetahui informasi selengkapnya tentang cara membuat akun layanan dan memberikan peran, lihat topik berikut:
Membuat akun layanan untuk peniruan identitas
Dalam dokumen ini, akun layanan ini juga disebut akun layanan SOAR. Buat akun layanan untuk meniru identitas akun layanan pengguna dan izinnya.
Di konsol Google SecOps SOAR, buka Response, lalu klik Integrations setup.
Di halaman Penyiapan integrasi, klik Buat instance baru. Dialog Add instance akan terbuka.
Di daftar Integrasi, pilih Google Security Command Center, lalu klik Simpan. Dialog Google Security Command Center - Configure Instance akan terbuka.
Di kolom Workload Identity Email, tentukan ID email akun layanan.
Klik Simpan.
Berikan kredensial ke Google SecOps SOAR
Bergantung pada tempat Anda menghosting Google SecOps SOAR, cara Anda memberikan kredensial IAM ke Google SecOps SOAR berbeda.
- Jika Anda menghosting Google SecOps SOAR di Google Cloud, akun layanan pengguna yang Anda buat dan peran tingkat organisasi yang Anda berikan kepadanya akan tersedia secara otomatis melalui pewarisan dari organisasi induk.
- Jika Anda menghosting Google SecOps SOAR di lingkungan lokal, buat kunci untuk akun layanan pengguna yang Anda buat. Anda memerlukan file JSON kunci akun layanan untuk menyelesaikan tugas ini. Untuk mempelajari praktik terbaik dalam menyimpan kunci akun layanan Anda secara aman, lihat Praktik terbaik untuk mengelola kunci akun layanan.
Mengonfigurasi notifikasi
Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud yang ingin Anda impor data Security Command Center-nya.
Siapkan notifikasi temuan sebagai berikut:
- Aktifkan Security Command Center API.
- Buat topik Pub/Sub untuk temuan.
- Buat objek
NotificationConfigyang berisi filter untuk temuan yang ingin Anda ekspor.NotificationConfigharus menggunakan topik Pub/Sub yang Anda buat untuk temuan.
Aktifkan Cloud Asset API untuk project Anda.
Anda memerlukan ID organisasi, ID project, dan ID langganan Pub/Sub dari tugas ini untuk mengonfigurasi SOAR Google SecOps. Untuk mengambil ID organisasi dan project ID Anda, lihat Mengambil ID organisasi Anda dan Mengidentifikasi project, masing-masing.
Mengonfigurasi Google SecOps SOAR
Google SecOps SOAR memungkinkan perusahaan dan penyedia layanan keamanan terkelola (MSSP) mengumpulkan data dan pemberitahuan keamanan dari berbagai sumber dengan menggabungkan orkestrasi dan otomatisasi, kecerdasan ancaman, serta respons insiden.
Untuk menggunakan Security Command Center dengan Google SecOps SOAR, selesaikan langkah-langkah berikut:
Di konsol Google SecOps SOAR, buka Marketplace, lalu klik Integrations.
Telusuri
Google Security Command Center, lalu instal integrasi Security Command Center yang muncul di hasil penelusuran.Pada integrasi Google Security Command Center, klik Konfigurasi. Dialog Google Google Security Command Center - Configure Instance akan terbuka.
Opsional: Untuk membuat lingkungan baru atau mengedit konfigurasi lingkungan, klik Layar setelan. Halaman Environments akan terbuka di tab baru.
Di halaman Environments, pilih lingkungan yang ingin Anda konfigurasi instance integrasinya.
Di lingkungan yang dipilih, klik Buat instance baru. Dialog Add instance akan terbuka.
Di daftar Integrasi, pilih Google Security Command Center, lalu klik Simpan. Dialog Google Security Command Center - Configure Instance akan terbuka.
Tentukan parameter konfigurasi, lalu klik Simpan.
Parameter Deskripsi Wajib Root API Root API instance Security Command Center. Misalnya, securitycenter.googleapis.com.Ya Organization ID ID organisasi yang temuannya ingin Anda ekspor. Tidak ID Project ID project yang akan digunakan dalam integrasi Security Command Center. Tidak ID Project Kuota ID Google Cloud project Anda untuk Google Cloud penggunaan dan penagihan API. Tidak ID Lokasi ID lokasi yang akan digunakan dalam integrasi Security Command Center. ID lokasi default adalah global. Tidak Akun Layanan Pengguna Akun layanan yang Anda buat di Membuat akun layanan dan memberikan peran IAM. Jika Anda menghosting Google SecOps SOAR di lingkungan lokal, maka berikan ID kunci akun layanan dan semua konten file JSON akun layanan. Ya Email Workload Identity Email yang Anda buat di Membuat akun layanan untuk peniruan identitas. Ini adalah email klien akun layanan untuk menggantikan penggunaan akun layanan pengguna yang dapat digunakan untuk peniruan identitas. Akun layanan SOAR harus diberi peran IAM Service Account Token Creatordi akun layanan pengguna.Ya Verifikasi SSL Aktifkan untuk memverifikasi bahwa sertifikat SSL yang digunakan untuk koneksi ke server Security Command Center valid. Ya Untuk memverifikasi bahwa integrasi dikonfigurasi dengan benar, klik Uji.
Setelah verifikasi berhasil, klik Simpan.
Mengupgrade integrasi Google Security Command Center
Untuk mengupgrade integrasi Google Security Command Center, selesaikan langkah-langkah berikut:
Di konsol Google SecOps SOAR, buka Marketplace, lalu klik Integrations.
Telusuri integrasi Google Security Command Center, lalu klik Upgrade ke VERSION_NUMBER.
Menggunakan temuan dan aset
SOAR Google SecOps menggunakan konektor untuk menyerap pemberitahuan dari berbagai sumber data ke dalam platform.
Mengambil pemberitahuan Security Command Center untuk dianalisis di SOAR Google SecOps
Anda perlu mengonfigurasi konektor untuk menarik informasi tentang temuan dari Security Command Center. Untuk mengonfigurasi konektor, lihat Menyerap data Anda (konektor).
Tetapkan parameter berikut di Google SecOps SOAR untuk mengonfigurasi konektor Google Security Command Center - Temuan.
| Parameter | Jenis | Nilai default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya | Nama kolom sumber untuk mengambil nama kolom produk. |
| Nama Kolom Peristiwa | String | jenis | Ya | Nama kolom sumber untuk mengambil nama kolom peristiwa. |
| Nama Kolom Lingkungan | String | Kosong | Tidak | Nama kolom tempat nama lingkungan disimpan. Jika nama kolom lingkungan tidak ditentukan, lingkungan default akan dipilih. |
| Pola Regex Lingkungan | String | .* | Tidak | Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom Nama Kolom Lingkungan. Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Parameter ini digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika ekspresi reguler. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, lingkungan default akan dipilih. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | Ya | Root API instance Security Command Center. Misalnya,
securitycenter.googleapis.com. |
|
| Organization ID | String | Tidak | ID organisasi yang harus digunakan dalam integrasi Google Security Command Center. | |
| Akun Layanan Pengguna | Sandi | Ya | Akun layanan yang Anda buat di Membuat akun layanan dan memberikan peran IAM. Jika Anda menghosting Google SecOps SOAR di lingkungan lokal, maka berikan ID kunci akun layanan dan semua konten file JSON akun layanan. | |
| Filter Kelas Temuan | CSV | Ancaman, Kerentanan, Kesalahan Konfigurasi, SCC_Error, Pengamatan | Tidak |
Menemukan kelas yang harus di-ingest. Nilainya dapat berupa:
Jika tidak ada yang diberikan, temuan dari semua class akan diproses. |
| Tingkat Keparahan Terendah yang Akan Diambil | String | Tinggi | Tidak |
Tingkat keparahan terendah yang digunakan untuk mengambil temuan. Kemungkinan nilainya adalah:
Catatan: Jika temuan dengan tingkat keparahan yang tidak ditentukan dimasukkan, temuan tersebut memiliki tingkat keparahan sedang. Jika tidak ada yang diberikan, temuan dengan semua tingkat keparahan akan diproses. |
| Maks. Jam Mundur | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat pengambilan temuan. Batas maksimum adalah 24. |
| Jumlah Temuan Maksimum yang Akan Diambil | Bilangan bulat | 100 | Tidak | Jumlah temuan yang akan diproses per satu iterasi konektor. Batas maksimum adalah 1.000. |
| Menggunakan daftar dinamis sebagai daftar pengecualian | Kotak centang | Nonaktif | Ya | Aktifkan daftar dinamis sebagai daftar pengecualian. |
| Verifikasi SSL | Kotak centang | Nonaktif | Ya | Aktifkan untuk memverifikasi bahwa sertifikat SSL untuk koneksi ke server Security Command Center valid. |
| Alamat Server Proxy | String | Tidak | Alamat server proxy yang akan digunakan. | |
| Nama Pengguna Proxy | String | Tidak | Nama pengguna proxy untuk melakukan autentikasi. | |
| Sandi Proxy | Sandi | Tidak | Sandi proxy untuk melakukan autentikasi. |
Memperkaya aset
Untuk mengaktifkan penyelidikan keamanan, Google Security Operations menyerap data kontekstual dari berbagai sumber, melakukan analisis terhadap data tersebut, dan memberikan konteks tambahan tentang artefak di lingkungan pelanggan.
Untuk memperkaya aset menggunakan informasi dari Security Command Center, tambahkan tindakan memperkaya aset ke playbook di Google SecOps SOAR dan jalankan playbook. Untuk mengetahui informasi selengkapnya, lihat Menambahkan tindakan.
Untuk mengonfigurasi tindakan ini, tetapkan parameter berikut:
| Parameter | Jenis | Nilai default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama kolom produk. |
Mencantumkan kerentanan pemberitahuan
Untuk mencantumkan kerentanan yang terkait dengan entitas di Security Command Center, tambahkan tindakan mencantumkan kerentanan aset ke playbook di Google Security Operations SOAR dan jalankan playbook. Untuk mengetahui informasi selengkapnya, lihat Menambahkan tindakan.
Untuk mengonfigurasi tindakan ini, tetapkan parameter berikut:
| Parameter | Jenis | Nilai default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Resource Aset | CSV | Ya | Tentukan daftar nama resource aset yang dipisahkan koma yang datanya ingin Anda tampilkan. | |
| Jangka waktu | DDL | Sepanjang Waktu | Tidak |
Tentukan jangka waktu untuk penelusuran kerentanan atau kesalahan konfigurasi. Nilainya dapat berupa:
|
| Jenis Kumpulan Data | DDL | Kerentanan + Kesalahan Konfigurasi | Tidak |
Tentukan jenis data yang harus ditampilkan. Kemungkinan nilainya adalah:
|
| Jenis Output | DDL | Statistik | Tidak |
Tentukan jenis output yang harus ditampilkan dalam hasil JSON untuk aset. Nilainya dapat berupa:
|
| Jumlah Maksimum Data yang Akan Ditampilkan | String | 100 | Tidak | Tentukan jumlah data yang akan ditampilkan per jenis data per aset. |
Memperbarui temuan
Untuk memperbarui temuan di Security Command Center, tambahkan tindakan perbarui temuan ke playbook di Google SecOps SOAR dan jalankan playbook. Untuk mengetahui informasi selengkapnya, lihat Menambahkan tindakan.
Untuk mengonfigurasi tindakan ini, tetapkan parameter berikut:
| Parameter | Jenis | Nilai default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Temuan | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Ya | Tentukan daftar nama temuan yang dipisahkan koma yang ingin Anda perbarui. |
| Jangan Tampilkan Status | DDL | Tidak |
Tentukan status nonaktif untuk temuan. Nilainya dapat berupa:
|
|
| Status Negara Bagian | DDL | Tidak |
Tentukan status untuk temuan. Nilainya dapat berupa:
|