Questa pagina spiega come inviare automaticamente risultati, asset, log di controllo e origini di sicurezza di Security Command Center a Google Security Operations SOAR. Descrive inoltre come gestire i dati esportati.
Prima di iniziare, assicurati che i servizi Security Command Center e Google Cloud richiesti siano configurati correttamente e consenti a Google SecOps SOAR di accedere a risultati, log di controllo e asset nel tuo ambiente Security Command Center. Per saperne di più sull'integrazione di Security Command Center per Google SecOps SOAR, consulta Security Command Center nella documentazione di Google Security Operations.
Configura l'autenticazione e l'autorizzazione
Prima di connetterti a Google SecOps SOAR, devi creare un account di servizio Identity and Access Management e concedergli i ruoli IAM a livello di organizzazione e progetto.
Crea un account di servizio e concedi ruoli IAM
In questo documento, questo account di servizio è chiamato anche service account utente. I seguenti passaggi utilizzano la console Google Cloud . Per altri metodi, consulta i link alla fine di questa sezione.
Completa questi passaggi per ogni Google Cloud organizzazione da cui vuoi importare i dati di Security Command Center.
- Nello stesso progetto in cui crei gli argomenti Pub/Sub, utilizza la pagina Service account nella console Google Cloud per creare un account di servizio. Per le istruzioni, vedi Creazione e gestione dei service account.
Concedi al account di servizio il seguente ruolo:
- Editor Pub/Sub (
roles/pubsub.editor)
- Editor Pub/Sub (
Copia il nome del account di servizio che hai appena creato.
Utilizza il selettore di progetti nella console Google Cloud per passare al livello dell'organizzazione.
Apri la pagina IAM per l'organizzazione:
Nella pagina IAM, fai clic su Concedi accesso. Viene visualizzato il riquadro Concedi accesso.
Nel riquadro Concedi l'accesso, completa i seguenti passaggi:
- Nella sezione Aggiungi entità, incolla il nome del account di servizio nel campo Nuove entità.
Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere i seguenti ruoli IAM al account di servizio:
- Visualizzatore amministratore di Security Center (
roles/securitycenter.adminViewer) - Editor configurazioni notifiche Centro sicurezza
(
roles/securitycenter.notificationConfigEditor) - Organization Viewer (
roles/resourcemanager.organizationViewer) - Visualizzatore Cloud Asset (
roles/cloudasset.viewer)
- Visualizzatore amministratore di Security Center (
Fai clic su Salva. Il account di servizio viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.
Per ereditarietà, il account di servizio diventa anche un principal in tutti i progetti secondari dell'organizzazione. I ruoli applicabili a livello di progetto sono elencati come ruoli ereditati.
Per ulteriori informazioni sulla creazione di service account e sulla concessione di ruoli, consulta i seguenti argomenti:
- Creazione e gestione degli account di servizio
- Concessione, modifica e revoca dell'accesso alle risorse
Creare un account di servizio per l'impersonificazione
In questo documento, questo account di servizio è chiamato anche service account SOAR. Crea un account di servizio per rappresentare il account di servizio utente e le relative autorizzazioni.
Nella console Google SecOps SOAR, vai a Risposta, quindi fai clic su Configurazione integrazioni.
Nella pagina Configurazione delle integrazioni, fai clic su Crea una nuova istanza. Si apre la finestra di dialogo Aggiungi istanza.
Nell'elenco Integrazioni, seleziona Google Security Command Center e fai clic su Salva. Si apre la finestra di dialogo Google Security Command Center - Configure Instance (Google Security Command Center - Configura istanza).
Nel campo Email Workload Identity, specifica l'ID email del account di servizio.
Fai clic su Salva.
Fornisci le credenziali a Google SecOps SOAR
A seconda di dove ospiti Google SecOps SOAR, la modalità di fornitura delle credenziali IAM a Google SecOps SOAR varia.
- Se ospiti Google SecOps SOAR in Google Cloud, il account di servizio utente che hai creato e i ruoli a livello di organizzazione che gli hai concesso sono disponibili automaticamente per ereditarietà dall'organizzazione principale.
- Se ospiti Google SecOps SOAR nel tuo ambiente on-premise, crea una chiave per l'account di servizio utente che hai creato. Per completare questa attività, devi avere il file JSON della chiave dell'account di servizio. Per scoprire le best practice per archiviare in modo sicuro le chiavi del service account, consulta Best practice per la gestione delle chiavi degli account di servizio.
Configura le notifiche
Completa questi passaggi per ogni Google Cloud organizzazione da cui vuoi importare i dati di Security Command Center.
Configura le notifiche dei risultati come segue:
- Abilita l'API Security Command Center.
- Crea un argomento Pub/Sub per i risultati.
- Crea un oggetto
NotificationConfigche contenga il filtro per i risultati che vuoi esportare.NotificationConfigdeve utilizzare l'argomento Pub/Sub che hai creato per i risultati.
Abilita l'API Cloud Asset per il tuo progetto.
Per configurare Google SecOps SOAR, devi disporre dell'ID organizzazione, dell'ID progetto e dell'ID abbonamento Pub/Sub di questa attività. Per recuperare l'ID organizzazione e l'ID progetto, consulta Recuperare l'ID organizzazione e Identificare i progetti, rispettivamente.
Configura Google SecOps SOAR
Google SecOps SOAR consente alle aziende e ai fornitori di servizi di sicurezza gestiti (MSSP) di raccogliere dati e avvisi di sicurezza da diverse fonti combinando orchestrazione e automazione, threat intelligence e risposta agli incidenti.
Per utilizzare Security Command Center con Google SecOps SOAR, completa i seguenti passaggi:
Nella console Google SecOps SOAR, vai a Marketplace e poi fai clic su Integrazioni.
Cerca
Google Security Command Centere installa l'integrazione di Security Command Center che viene visualizzata nei risultati di ricerca.Nell'integrazione Google Security Command Center, fai clic su Configura. Si apre la finestra di dialogo Google Security Command Center - Configure Instance.
(Facoltativo) Per creare un nuovo ambiente o modificare la configurazione dell'ambiente, fai clic su Schermata Impostazioni. La pagina Ambienti si apre in una nuova scheda.
Nella pagina Ambienti, seleziona l'ambiente per cui vuoi configurare l'istanza di integrazione.
Nell'ambiente selezionato, fai clic su Crea una nuova istanza. Si apre la finestra di dialogo Aggiungi istanza.
Nell'elenco Integrazioni, seleziona Google Security Command Center e fai clic su Salva. Si apre la finestra di dialogo Google Security Command Center - Configure Instance (Google Security Command Center - Configura istanza).
Specifica i parametri di configurazione e fai clic su Salva.
Parametro Descrizione Obbligatorio Root API Radice API dell'istanza di Security Command Center. Ad esempio, securitycenter.googleapis.com.Sì ID organizzazione L'ID dell'organizzazione di cui vuoi esportare i risultati. No ID progetto ID del progetto da utilizzare nell'integrazione di Security Command Center. No ID progetto quota ID del tuo progetto Google Cloud per l'utilizzo e la fatturazione dell'API. Google Cloud No ID località ID della località da utilizzare nell'integrazione di Security Command Center. L'ID località predefinito è globale. No Service account dell'utente Service account creato in Creare un account di servizio e concedere ruoli IAM. Se ospiti Google SecOps SOAR nel tuo ambiente on-premise, fornisci l'ID chiave dell'account di servizio e tutto il contenuto del file JSON dell'account di servizio. Sì Email di Workload Identity Email che hai creato in Creare un account di servizio per la simulazione dell'identità. Si tratta di un'email del client del account di servizio per sostituire l'utilizzo del account di servizio utente che può essere utilizzato per la rappresentazione. Al account di servizio SOAR deve essere concesso il ruolo IAM Service Account Token Creatornel account di servizio utente.Sì Verifica SSL Attiva questa opzione per verificare che il certificato SSL utilizzato per la connessione al server Security Command Center sia valido. Sì Per verificare che l'integrazione sia configurata correttamente, fai clic su Test.
Una volta completata la verifica, fai clic su Salva.
Esegui l'upgrade dell'integrazione di Google Security Command Center
Per eseguire l'upgrade dell'integrazione di Google Security Command Center, completa i seguenti passaggi:
Nella console Google SecOps SOAR, vai a Marketplace e poi fai clic su Integrazioni.
Cerca l'integrazione Google Security Command Center e fai clic su Esegui l'upgrade a VERSION_NUMBER.
Lavorare con risultati e asset
Google SecOps SOAR utilizza i connettori per importare gli avvisi da una varietà di origini dati nella piattaforma.
Recupera gli avvisi di Security Command Center per l'analisi in Google SecOps SOAR
Devi configurare un connettore per estrarre le informazioni sui risultati da Security Command Center. Per configurare il connettore, vedi Importare i dati (connettori).
Imposta i seguenti parametri in Google SecOps SOAR per configurare il connettore Google Security Command Center - Findings.
| Parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | tipo | Sì | Nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | Vuoto | No | Nome del campo in cui è memorizzato il nome dell'ambiente. Se il nome del campo dell'ambiente non è specificato, viene selezionato l'ambiente predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern di espressione regolare da eseguire sul valore trovato nel campo Nome campo ambiente. Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Questo parametro viene utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, viene selezionato l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | Sì | Radice API dell'istanza di Security Command Center. Ad esempio,
securitycenter.googleapis.com. |
|
| ID organizzazione | Stringa | No | ID dell'organizzazione da utilizzare nell'integrazione di Google Security Command Center. | |
| Service account dell'utente | Password | Sì | Service account creato in Creare un account di servizio e concedere ruoli IAM. Se ospiti Google SecOps SOAR nel tuo ambiente on-premise, fornisci l'ID chiave dell'account di servizio e tutto il contenuto del file JSON dell'account di servizio. | |
| Filtro Trova classe | CSV | Threat, Vulnerability, Misconfiguration, SCC_Error, Observation | No |
Trovare i corsi da importare. I valori possibili sono:
Se non viene fornito nulla, vengono importati i risultati di tutte le classi. |
| Gravità minima da recuperare | Stringa | Alta | No |
La gravità minima utilizzata per recuperare i risultati. I valori possibili sono:
Nota: se viene inserito un risultato con gravità non definita, la gravità è media. Se non viene fornito alcun valore, vengono importati i risultati con tutte le gravità. |
| Ore massime indietro | Numero intero | 1 | No | Numero di ore da cui recuperare i risultati. Il limite massimo è 24. |
| Numero massimo di risultati da recuperare | Numero intero | 100 | No | Numero di risultati da elaborare per ogni iterazione del connettore. Il limite massimo è 1000. |
| Utilizzare l'elenco dinamico come elenco di esclusione | Casella di controllo | Disabilitato | Sì | Attiva l'elenco dinamico come elenco di esclusione. |
| Verifica SSL | Casella di controllo | Disabilitato | Sì | Attiva questa opzione per verificare che il certificato SSL per la connessione al server Security Command Center sia valido. |
| Indirizzo del server proxy | Stringa | No | L'indirizzo del server proxy da utilizzare. | |
| Nome utente proxy | Stringa | No | Il nome utente del proxy con cui eseguire l'autenticazione. | |
| Password proxy | Password | No | La password del proxy per l'autenticazione. |
Arricchire gli asset
Per attivare un'indagine sulla sicurezza, Google Security Operations acquisisce dati contestuali da diverse origini, esegue l'analisi dei dati e fornisce ulteriore contesto sugli artefatti in un ambiente cliente.
Per arricchire gli asset utilizzando le informazioni di Security Command Center, aggiungi l'azione Arricchisci asset a un playbook in Google SecOps SOAR ed esegui il playbook. Per saperne di più, vedi Aggiungere un'azione.
Per configurare questa azione, imposta i seguenti parametri:
| Parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
Elenca le vulnerabilità degli avvisi
Per elencare le vulnerabilità correlate alle entità in Security Command Center, aggiungi l'azione Elenca vulnerabilità asset a un playbook in Google Security Operations SOAR ed esegui il playbook. Per saperne di più, vedi Aggiungere un'azione.
Per configurare questa azione, imposta i seguenti parametri:
| Parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Nomi delle risorse degli asset | CSV | Sì | Specifica un elenco separato da virgole dei nomi delle risorse degli asset per cui vuoi restituire i dati. | |
| Periodo di tempo | DDL | Sempre | No |
Specifica il periodo di tempo per la ricerca di vulnerabilità o errori di configurazione. I valori possibili sono:
|
| Tipi di record | DDL | Vulnerabilità + configurazioni errate | No |
Specifica il tipo di record da restituire. I valori possibili sono:
|
| Tipo di output | DDL | Statistiche | No |
Specifica il tipo di output da restituire nel risultato JSON per l'asset. I valori possibili sono:
|
| Numero massimo di record da restituire | Stringa | 100 | No | Specifica il numero di record da restituire per tipo di record per asset. |
Aggiorna i risultati
Per aggiornare i risultati in Security Command Center, aggiungi l'azione di aggiornamento dei risultati a un playbook in Google SecOps SOAR ed esegui il playbook. Per ulteriori informazioni, vedi Aggiungere un'azione.
Per configurare questa azione, imposta i seguenti parametri:
| Parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome risultato | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Sì | Specifica un elenco separato da virgole dei nomi dei risultati che vuoi aggiornare. |
| Stato disattivato | DDL | No |
Specifica lo stato di disattivazione dell'esito. I valori possibili sono:
|
|
| Stato | DDL | No |
Specifica lo stato dell'esito. I valori possibili sono:
|