Nesta página, explicamos como enviar automaticamente descobertas, recursos, registros de auditoria e fontes de segurança do Security Command Center para o SOAR do Google Security Operations. Também descreve como gerenciar os dados exportados.
Antes de começar, verifique se os serviços necessários do Security Command Center e do Google Cloud estão configurados corretamente e permita que o Google SecOps SOAR acesse descobertas, registros de auditoria e recursos no seu ambiente do Security Command Center. Para mais informações sobre a integração do Security Command Center com o Google SecOps SOAR, consulte Security Command Center na documentação do Google Security Operations.
Configurar autenticação e autorização
Antes de se conectar ao Google SecOps SOAR, crie uma conta de serviço do Identity and Access Management e conceda a ela papéis do IAM nos níveis da organização e do projeto.
Criar uma conta de serviço e conceder papéis do IAM
Neste documento, essa conta de serviço também é chamada de conta de serviço do usuário. As etapas a seguir usam o console Google Cloud . Para ver outros métodos, consulte os links no final desta seção.
Conclua estas etapas para cada organização do Google Cloud de que você quer importar dados do Security Command Center.
- No mesmo projeto em que você cria os tópicos do Pub/Sub, use a página Contas de serviço no console Google Cloud para criar uma conta de serviço. Para instruções, consulte Criar e gerenciar contas de serviço.
Conceda à conta de serviço a este papel:
- Editor do Pub/Sub (
roles/pubsub.editor)
- Editor do Pub/Sub (
Copie o nome da conta de serviço que você acabou de criar.
Use o seletor de projetos no console do Google Cloud para mudar para o nível da organização.
Abra a página IAM da organização:
Na página do IAM, clique em Conceder acesso. O painel de concessão de acesso é aberto.
No painel Conceder acesso, conclua as seguintes etapas:
- Na seção Adicionar principais no campo Novos principais, cole o nome da conta de serviço.
Na seção Atribuir papéis, use o campo Papel para conceder os seguintes papéis do IAM à conta de serviço:
- Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer) - Editor de configurações de notificação da Central de segurança
(
roles/securitycenter.notificationConfigEditor) - Leitor da organização (
roles/resourcemanager.organizationViewer) - Leitor de recursos do Cloud (
roles/cloudasset.viewer)
- Leitor administrador da Central de segurança (
Clique em Salvar. A conta de serviço aparece na guia Permissões da página IAM em Ver pelos principais.
Por herança, a conta de serviço também se torna uma conta principal em todos os projetos filhos da organização. Os papéis aplicáveis no nível do projeto são listados como papéis herdados.
Para mais informações sobre como criar contas de serviço e conceder papéis, consulte estes tópicos:
Criar uma conta de serviço para representação
Neste documento, essa conta de serviço também é chamada de conta de serviço SOAR. Crie uma conta de serviço para representar a conta de serviço do usuário e as permissões dela.
No console do Google SecOps SOAR, acesse Resposta e clique em Configuração de integrações.
Na página Configuração de integrações, clique em Criar uma nova instância. A caixa de diálogo Adicionar instância é aberta.
Na lista Integrações, selecione Google Security Command Center e clique em Salvar. A caixa de diálogo Google Security Command Center - Configure Instance é aberta.
No campo E-mail da Identidade da carga de trabalho, especifique o ID do e-mail da conta de serviço.
Clique em Salvar.
Forneça as credenciais para a SOAR do Google SecOps
Dependendo de onde você está hospedando o Google SecOps SOAR, a forma de fornecer as credenciais do IAM ao Google SecOps SOAR muda.
- Se você estiver hospedando o Google SecOps SOAR em Google Cloud, a conta de serviço do usuário que você criou e os papéis no nível da organização que você concedeu a ela estarão disponíveis automaticamente por herança da organização mãe.
- Se você estiver hospedando o Google SecOps SOAR no seu ambiente local, crie uma chave para a conta de serviço do usuário que você criou. Você precisa do arquivo JSON da chave da conta de serviço para concluir esta tarefa. Para saber mais sobre as práticas recomendadas para armazenar as chaves da conta de serviço com segurança, consulte Práticas recomendadas para gerenciar chaves de conta de serviço.
Configurar notificações
Conclua estas etapas para cada organização do Google Cloud de que você quer importar dados do Security Command Center.
Configure as notificações de descoberta da seguinte forma:
- Ative a API Security Command Center.
- Crie um tópico do Pub/Sub para descobertas.
- Crie um objeto
NotificationConfigque contenha o filtro para as descobertas que você quer exportar. ONotificationConfigprecisa usar o tópico do Pub/Sub criado para as descobertas.
Ative a API Cloud Asset no projeto.
Você precisará do ID da organização, do ID do projeto e do ID da assinatura do Pub/Sub desta tarefa para configurar o Google SecOps SOAR. Para recuperar esses IDs, consulte Como recuperar o ID da organização e Como identificar projetos, respectivamente.
Configurar o Google SecOps SOAR
O SOAR do Google SecOps permite que empresas e provedores de serviços de segurança gerenciados (MSSPs) coletem dados e alertas de segurança de diferentes fontes combinando orquestração e automação, inteligência contra ameaças e resposta a incidentes.
Para usar o Security Command Center com o SOAR do Google SecOps, siga estas etapas:
No console do Google SecOps SOAR, acesse Marketplace e clique em Integrações.
Pesquise
Google Security Command Centere instale a integração do Security Command Center que aparece nos resultados da pesquisa.Na integração do Google Security Command Center, clique em Configurar. A caixa de diálogo Google Security Command Center - Configurar instância é aberta.
Opcional: para criar um ambiente ou editar a configuração dele, clique em Tela de configurações. A página Ambientes é aberta em uma nova guia.
Na página Ambientes, selecione o ambiente em que você quer configurar a instância de integração.
No ambiente selecionado, clique em Criar uma nova instância. A caixa de diálogo Adicionar instância é aberta.
Na lista Integrações, selecione Google Security Command Center e clique em Salvar. A caixa de diálogo Google Security Command Center - Configure Instance é aberta.
Especifique os parâmetros de configuração e clique em Salvar.
Parâmetro Descrição Obrigatório Raiz da API Raiz da API da instância do Security Command Center. Exemplo: securitycenter.googleapis.com.Sim ID da organização ID da organização cujos resultados você quer exportar. Não ID do projeto ID do projeto a ser usado na integração do Security Command Center. Não ID do projeto de cota ID do seu projeto Google Cloud para uso e faturamento da API Google Cloud . Não ID do local ID do local a ser usado na integração do Security Command Center. O ID de local padrão é global. Não Conta de serviço do usuário Conta de serviço que você criou em Criar uma conta de serviço e conceder papéis do IAM. Se você hospeda o Google SecOps SOAR no seu ambiente local, forneça o ID da chave da conta de serviço e todo o conteúdo do arquivo JSON da conta de serviço. Sim E-mail da identidade da carga de trabalho E-mail que você criou em Criar uma conta de serviço para representação. É um e-mail do cliente da conta de serviço para substituir o uso da conta de serviço do usuário que pode ser usada para personificação. A conta de serviço do SOAR precisa receber o papel Service Account Token Creatordo IAM na conta de serviço do usuário.Sim Verificar SSL Ative para verificar se o certificado SSL usado para a conexão com o servidor do Security Command Center é válido. Sim Para verificar se a integração está configurada corretamente, clique em Testar.
Depois da verificação, clique em Salvar.
Fazer upgrade da integração do Google Security Command Center
Para fazer upgrade da integração do Google Security Command Center, siga estas etapas:
No console do Google SecOps SOAR, acesse Marketplace e clique em Integrações.
Pesquise a integração do Google Security Command Center e clique em Fazer upgrade para VERSION_NUMBER.
Trabalhar com descobertas e recursos
O SOAR do Google SecOps usa conectores para ingerir alertas de várias fontes de dados na plataforma.
Extrair alertas do Security Command Center para análise na SOAR do Google SecOps
Você precisa configurar um conector para extrair informações sobre descobertas do Security Command Center. Para configurar o conector, consulte Ingerir seus dados (conectores).
Defina os seguintes parâmetros no SOAR do Google SecOps para configurar o conector do Google Security Command Center - Descobertas.
| Parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | tipo | Sim | Nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | Vazio | Não | Nome do campo em que o nome do ambiente é armazenado. Se o nome do campo de ambiente não for especificado, o ambiente padrão será selecionado. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de expressão regular a ser executado no valor encontrado no campo Nome do campo de ambiente. O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Esse parâmetro é usado para permitir que o usuário manipule o campo de ambiente usando a lógica de expressão regular. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o ambiente padrão será selecionado. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | Sim | Raiz da API da instância do Security Command Center. Por exemplo,
securitycenter.googleapis.com. |
|
| ID da organização | String | Não | ID da organização que será usada na integração do Google Security Command Center. | |
| Conta de serviço do usuário | Senha | Sim | Conta de serviço criada em Criar uma conta de serviço e conceder papéis do IAM. Se você hospeda o Google SecOps SOAR no seu ambiente local, forneça o ID da chave da conta de serviço e todo o conteúdo do arquivo JSON da conta de serviço. | |
| Filtro de classe de descoberta | CSV | Ameaça, vulnerabilidade, configuração incorreta, SCC_Error, observação | Não |
Encontrar classes que precisam ser ingeridas. Os valores possíveis são:
Se nada for fornecido, as descobertas de todas as classes serão ingeridas. |
| Gravidade mínima a ser buscada | String | Alta | Não |
A gravidade mais baixa usada para buscar descobertas. Os valores possíveis são:
Observação: se uma descoberta com gravidade indefinida for ingerida, ela terá gravidade média. Se nada for fornecido, as descobertas de todas as gravidades serão ingeridas. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas desde onde buscar descobertas. O limite máximo é 24. |
| Número máximo de descobertas a serem buscadas | Número inteiro | 100 | Não | Número de descobertas a serem processadas por iteração de conector. O limite máximo é 1.000. |
| Usar lista dinâmica como lista de exclusão | Caixa de seleção | Desativado | Sim | Ative a lista dinâmica como uma lista de exclusão. |
| Verificar SSL | Caixa de seleção | Desativado | Sim | Ative para verificar se o certificado SSL da conexão com o servidor do Security Command Center é válido. |
| Endereço do servidor proxy | String | Não | O endereço do servidor proxy a ser usado. | |
| Nome de usuário do proxy | String | Não | O nome de usuário do proxy para autenticação. | |
| Senha do proxy | Senha | Não | A senha do proxy para autenticação. |
Enriquecer recursos
Para ativar uma investigação de segurança, o Google Security Operations ingere dados contextuais de diferentes fontes, realiza análises e fornece mais contexto sobre artefatos em um ambiente do cliente.
Para enriquecer recursos usando informações do Security Command Center, adicione a ação "Enriquecer recursos" a um playbook no Google SecOps SOAR e execute-o. Para mais informações, consulte Adicionar uma ação.
Para configurar essa ação, defina os seguintes parâmetros:
| Parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
Listar vulnerabilidades de alerta
Para listar as vulnerabilidades relacionadas às entidades no Security Command Center, adicione a ação "Listar vulnerabilidades de recursos" a um playbook no Google Security Operations SOAR e execute o playbook. Para mais informações, consulte Adicionar uma ação.
Para configurar essa ação, defina os seguintes parâmetros:
| Parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Nomes de recursos de recursos | CSV | Sim | Especifique uma lista separada por vírgulas de nomes de recursos dos ativos para os quais você quer retornar dados. | |
| Período | DDL | Todo o período | Não |
Especifique o período da pesquisa de vulnerabilidades ou configurações incorretas. Os valores possíveis são:
|
| Tipos de registros | DDL | Vulnerabilidades e configurações incorretas | Não |
Especifique o tipo de registro que deve ser retornado. Os valores possíveis são:
|
| Tipo de saída | DDL | Estatísticas | Não |
Especifique o tipo de saída que precisa ser retornada no resultado JSON do recurso. Os valores possíveis são:
|
| Número máximo de registros a serem retornados | String | 100 | Não | Especifique o número de registros a serem retornados por tipo de registro por recursos. |
Atualizar descobertas
Para atualizar as descobertas no Security Command Center, adicione a ação de atualização a um playbook no Google SecOps SOAR e execute-o. Para mais informações, consulte Adicionar uma ação.
Para configurar essa ação, defina os seguintes parâmetros:
| Parâmetro | Tipo | Valor padrão | Obrigatório | Descrição |
|---|---|---|---|---|
| Nome da descoberta | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
Sim | Especifique uma lista separada por vírgulas de nomes de descobertas que você quer atualizar. |
| Som desativado | DDL | Não |
Especifique o status de silêncio para a descoberta. Os valores possíveis são:
|
|
| Status do estado | DDL | Não |
Especifique o status do estado para a descoberta. Os valores possíveis são:
|