Questa pagina spiega come inviare automaticamente risultati, asset e sicurezza di Security Command Center da Cortex XSOAR. Descrive inoltre come gestire i dati esportati. Cortex XSOAR è una soluzione SOAR (Security Orchestration, Automation and Response) che importa i dati di sicurezza da una o più fonti e consente alle i team gestiscono le risposte agli incidenti. Puoi utilizzare Cortex XSOAR per visualizzare Risultati e asset di Security Command Center, nonché per aggiornare i risultati in caso di problemi. risolto.
In questa guida, ti assicuri che siano obbligatori in Security Command Center e Google Cloud che i servizi siano configurati correttamente e consentire a Cortex XSOAR di accedere ai risultati nel tuo ambiente Security Command Center. Alcune delle istruzioni in merito compilate da Cortex XSOAR guida alle integrazioni su GitHub.
Prima di iniziare
Questa guida presuppone che tu abbia una versione funzionante di Cortex XSOAR. Come iniziare con Cortex XSOAR, registrati.
Configura autenticazione e autorizzazione
Prima di connetterti a Security Command Center a Cortex XSOAR, devi: creare un account di servizio Identity and Access Management (IAM) in ogni organizzazione Google Cloud e concedere quell'account sia a livello di organizzazione che di progetto Ruoli IAM di cui Cortex XSOAR ha bisogno.
Creare un account di servizio e concedere ruoli IAM
I passaggi seguenti utilizzano la console Google Cloud. Per altri metodi, consulta i link alla fine di questa sezione.
Completa questi passaggi per ogni organizzazione Google Cloud in cui vuoi importare Security Command Center da cui proviene.
- Nello stesso progetto in cui crei i tuoi argomenti Pub/Sub, utilizza il Account di servizio della console Google Cloud per per creare un account di servizio. Per istruzioni, vedi Creazione e gestione degli account di servizio.
Concedi all'account di servizio il ruolo seguente:
- Editor Pub/Sub (
roles/pubsub.editor
)
- Editor Pub/Sub (
Copia il nome dell'account di servizio che hai appena creato.
Utilizza il selettore progetti nella console Google Cloud per effettuare il passaggio a livello di organizzazione.
Apri la pagina IAM per l'organizzazione:
Nella pagina IAM, fai clic su Concedi l'accesso. La concessione si apre il riquadro di accesso.
Nel riquadro Concedi l'accesso, completa i seguenti passaggi:
- Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.
Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere i seguenti ruoli IAM all'account di servizio:
- Editor amministratore Centro sicurezza (
roles/securitycenter.adminEditor
) - Editor configurazioni notifiche Centro sicurezza
(
roles/securitycenter.notificationConfigEditor
) - Visualizzatore organizzazione (
roles/resourcemanager.organizationViewer
) - Cloud Asset Viewer (
roles/cloudasset.viewer
)
- Editor amministratore Centro sicurezza (
Fai clic su Salva. L'account di sicurezza viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.
Per ereditarietà, l'account di servizio diventa anche un'entità in i progetti figlio dell'organizzazione e i ruoli applicabili sono elencati come ruoli ereditati.
Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione dei ruoli, consulta i seguenti argomenti:
- Creazione e gestione degli account di servizio
- Concessione, modifica e revoca dell'accesso alle risorse
Fornisci le credenziali a Cortex XSOAR
A seconda di dove ospiti Cortex XSOAR, come fornisci i Le credenziali IAM rispetto a Cortex XSOAR sono diverse.
Se ospiti Cortex XSOAR in Google Cloud, considera quanto segue:
L'account di servizio che hai creato e i ruoli a livello di organizzazione che hai concesso sono disponibili automaticamente per via dell'ereditarietà dall'account principale dell'organizzazione. Se utilizzi più organizzazioni Google Cloud, aggiungi questo alle altre organizzazioni e assegnargli i ruoli IAM descritti nei passaggi da 5 a 7 di Creare un account di servizio e e concedere ruoli IAM.
Se esegui il deployment di Cortex XSOAR in un perimetro di servizio, crea in uscita. Per le istruzioni, consulta Concessione dell'accesso al perimetro in Controlli di servizio VPC.
Se ospiti Cortex XSOAR nel tuo ambiente on-premise e il provider di identità supporta la federazione delle identità per i carichi di lavoro, configurare la federazione delle identità per i carichi di lavoro scaricare i file di configurazione delle credenziali. Altrimenti, crea una chiave dell'account di servizio per ogni organizzazione Google Cloud in formato JSON.
Se ospiti Cortex XSOAR in Microsoft Azure o Amazon Web Services, configurare la federazione delle identità per i carichi di lavoro e scaricare i file di configurazione delle credenziali. Se utilizzi più organizzazioni Google Cloud, aggiungi questo account di servizio alle altre organizzazioni e assegnarle i ruoli IAM descritti in passaggi da 5 a 7 di Crea un account di servizio e concedi i ruoli IAM.
Configura le notifiche
Completa questi passaggi per ogni organizzazione Google Cloud in cui vuoi importare Security Command Center da cui proviene.
Configura le notifiche sui risultati nel seguente modo:
- Abilita l'API Security Command Center.
- Crea un filtro per esportare i risultati.
- Crea un argomento Pub/Sub per i risultati.
NotificationConfig
deve utilizzare l'argomento Pub/Sub che hai creare per i risultati.
Abilita l'API Cloud Asset per il tuo progetto.
Ti serviranno l'ID organizzazione, l'ID progetto e Pub/Sub di questa attività per configurare Cortex XSOAR. Per recuperare il tuo ID organizzazione e ID progetto, consulta Recupero dell'ID organizzazione e sull'identificazione dei progetti, rispettivamente.
Configura Cortex XSOAR
Una volta concesso l'accesso, Cortex XSOAR riceverà gli aggiornamenti dei risultati e delle risorse in in tempo reale.
Per utilizzare Security Command Center con Cortex XSOAR, segui questi passaggi:
Installa la SCC di Google Cloud pacchetto di contenuti da Cortex XSOAR Marketplace.
Il pacchetto di contenuti è un modulo gestito da Security Command Center che automatizza processo di pianificazione delle chiamate API di Security Command Center e recupero regolare Dati di Security Command Center da utilizzare in Cortext XSOAR.
Nel menu dell'applicazione Cortex XSOAR, vai a Settings (Impostazioni) e quindi fai clic su Integrations (Integrazioni).
In Integrations (Integrazioni), seleziona Servers & (Server e server) Servizi.
Cerca e seleziona GoogleCloudSCC.
Per creare e configurare una nuova istanza di integrazione, fai clic su Aggiungi istanza.
Inserisci le informazioni necessarie nei seguenti campi:
Parametro Descrizione Obbligatorio Configurazione dell'account di servizio Uno dei seguenti, come descritto in Prima di iniziare: - I contenuti del file JSON dell'account di servizio, se hai creato un servizio chiave dell'account
- Contenuti del file di configurazione delle credenziali, se utilizzi la federazione delle identità per i carichi di lavoro
Vero ID organizzazione L'ID della tua organizzazione Vero Recupero incidenti Abilita l'incidente di recupero Falso ID progetto L'ID del progetto da utilizzare per recuperare gli incidenti. se vuoto, l'ID del progetto contenuto nel file JSON fornito, viene utilizzato Falso ID abbonamento L'ID della tua sottoscrizione Pub/Sub. Vero Numero massimo di incidenti Il numero massimo di incidenti da recuperare durante ogni recupero Falso Tipo di incidente Il tipo di incidente Falso Considera attendibile qualsiasi certificato (non sicuro) Abilita l'attendibilità su tutti i certificati Falso Utilizza le impostazioni del proxy di sistema Attiva le impostazioni del proxy di sistema Falso Intervallo di recupero incidenti Tempo tra i recuperi per le informazioni aggiornate sugli incidenti Falso Livello di log Livello log del pacchetto di contenuti Falso Fai clic su Test.
Se la configurazione è valida, viene visualizzato un messaggio "riuscito" . Se non è valida, ricevi un messaggio di errore.
Fai clic su Salva ed esci.
Ripeti i passaggi da 5 a 8 per ogni organizzazione.
Cortex XSOAR mappa automaticamente i campi dai risultati di Security Command Center a campi Cortex XSOAR appropriati. Per eseguire l'override delle selezioni o scoprire di più Cortex XSOAR, leggi la documentazione del prodotto.
La configurazione di Cortex XSOAR è completa. La sezione Gestire risultati e asset spiega come visualizzare e gestire i dati di Security Command Center nel servizio.
Esegui l'upgrade del pacchetto di contenuti Google Cloud SCC
Questa sezione descrive come eseguire l'upgrade da una versione precedente.
Accedi all'ultima versione di Google Cloud SCC pacchetto di contenuti da Cortex XSOAR Marketplace.
Fai clic su Scarica con dipendenze.
Fai clic su Installa.
Fai clic su Aggiorna contenuti.
L'upgrade conserva le informazioni di configurazione precedenti. A utilizza la federazione delle identità per i carichi di lavoro, aggiungi il file di configurazione descritto in Configurare Cortex XSOAR.
Gestisci risultati e asset
È possibile visualizzare e aggiornare asset e risultati utilizzando la riga di comando di Cortex XSOAR a riga di comando (CLI). Puoi eseguire comandi nell'ambito di una valutazione automatizzata o in un playbook.
Per nomi e descrizioni di tutti i metodi e gli argomenti supportati per Cortex l'interfaccia a riga di comando di XSOAR e gli esempi di output, consulta Comandi.
I risultati vengono compilati dalla piattaforma integrata di Security Command Center Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection – e qualsiasi soluzione integrata che attivi automaticamente.
Elencare gli asset
Per elencare le risorse della tua organizzazione, utilizza Cortex XSOAR
google-cloud-scc-asset-list
. Ad esempio, il seguente comando elenca
asset dove lifecycleState
è Attivo e limita la risposta a tre
asset:
!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE
Il simbolo esclamativo (!
) negli esempi di codice è obbligatorio per iniziare
in Cortex XSOAR. Non rappresenta una negazione o NOT.
Visualizza risorse asset
Per elencare le risorse contenute nelle risorse padre, ad esempio i progetti, utilizza Cortex
Comando google-cloud-scc-asset-resource-list
di XSOAR. Ad esempio,
Il seguente comando elenca gli asset con assetType
compute.googleapis.com/Disk
e limita la risposta a due risorse:
!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2
Sono supportati i caratteri jolly e le espressioni regolari. Ad esempio:
assetType=".*Instance"
elenca gli asset il cui tipo termina con "instance".
Visualizza risultati
Per elencare i risultati per la tua organizzazione o una fonte di sicurezza, utilizza la libreria
Comando google-cloud-scc-finding-list
. Ad esempio, il seguente comando
elenca i risultati attivi con gravità critica per tutte le fonti e limita i
risposta a tre risultati:
!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"
Puoi anche filtrare i risultati. Il comando seguente elenca tutti i risultati classificati come minacce:
!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""
Aggiorna risultati
Puoi aggiornare un risultato utilizzando Cortex XSOAR
Comando google-cloud-scc-finding-update
. Devi fornire il name
, oppure
relativo, del risultato, utilizzando il seguente formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID
.
Ad esempio, il seguente comando aggiorna la gravità di un risultato:
!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"
Sostituisci quanto segue:
<var>ORGANIZATION_ID</var>
con l'ID della tua organizzazione. Per recuperare il tuo ID organizzazione e ID progetto, consulta Recupero dell'ID organizzazione.<var>SOURCE_ID</var>
con l'ID dell'origine di sicurezza. Per trovare un ID origine, consulta Recupero dell'ID origine.<var>FINDING_ID</var>
con l'ID risultato incluso nei dettagli del risultato.
Aggiorna stato dei risultati
Puoi aggiornare lo stato di un risultato utilizzando Cortex XSOAR
Comando google-cloud-scc-finding-status-update
. Devi fornire il name
, oppure
relativo, del risultato, utilizzando il seguente formato:
organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
.
Ad esempio, il seguente comando imposta lo stato del risultato su Attivo:
!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"
Sostituisci quanto segue:
<var>ORGANIZATION_ID</var>
con l'ID della tua organizzazione. Per recuperare il tuo ID organizzazione e ID progetto, consulta Recupero dell'ID organizzazione.<var>SOURCE_ID</var>
con l'ID dell'origine di sicurezza. Per trovare un ID origine, consulta Recupero dell'ID origine.<var>FINDING_ID</var>
con l'ID risultato incluso nei dettagli del risultato.
Recupera i proprietari della risorsa
Per elencare i proprietari di una risorsa, utilizza lo strumento
Comando google-cloud-scc-asset-owner-get
. Devi fornire il nome del progetto in
sotto forma di projects/PROJECT_NUMBER
. Per
Ad esempio, il comando seguente elenca il proprietario del progetto fornito.
!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"
Per aggiungere più progetti al comando, utilizza una virgola come separatore, ad esempio:
projectName="projects/123456789, projects/987654321"
Passaggi successivi
Scopri di più sulla configurazione della ricerca delle notifiche in Security Command Center.
Scopri di più sul filtro delle notifiche sui risultati in Security Command Center.