Envoyer des données de Security Command Center à Cortex XSOAR

Cette page explique comment envoyer automatiquement les résultats, les éléments et les sources de sécurité de Security Command Center à Cortex XSOAR. Elle décrit également comment gérer les données exportées. Cortex XSOAR est une plate-forme d'orchestration de la sécurité, d'automatisation et de réponse (SOAR, security orchestration, automation, and response) qui ingère des données de sécurité provenant d'une ou de plusieurs sources, et permet aux équipes de sécurité de gérer les réponses aux incidents. Vous pouvez utiliser Cortex XSOAR pour afficher vos résultats et éléments de Security Command Center, et mettre à jour les résultats lorsque des problèmes sont résolus.

Dans ce guide, vous allez vérifier que les services Security Command Center et Google Cloud requis sont correctement configurés, et autoriser Cortex XSOAR à accéder aux résultats et aux éléments de votre environnement Security Command Center. Certaines instructions de cette page sont compilées à partir du guide d'intégration de Cortex XSOAR sur GitHub.

Avant de commencer

Dans ce guide, nous partons du principe que vous disposez d'une version fonctionnelle de Cortex XSOAR. Pour commencer à utiliser Cortex XSOAR, inscrivez-vous.

Configurer l'authentification et l'autorisation

Avant de connecter Security Command Center à Cortex XSOAR, vous devez créer un compte de service IAM (Identity and Access Management) dans chaque organisation Google Cloud et attribuer à ce compte à la fois les rôles IAM au niveau de l'organisation et du projet dont Cortex XSOAR a besoin.

Créer un compte de service et accorder des rôles IAM

Les étapes suivantes utilisent la console Google Cloud. Pour découvrir d'autres méthodes, consultez les liens à la fin de cette section.

Suivez ces étapes pour chaque organisation Google Cloud à partir de laquelle vous souhaitez importer des données Security Command Center.

  1. Dans le projet dans lequel vous créez vos sujets Pub/Sub, utilisez la page Comptes de service de la console Google Cloud pour créer un compte de service. Pour obtenir des instructions, consultez la page Créer et gérer des comptes de service.
  2. Attribuez le rôle suivant au compte de service :

    • Éditeur Pub/Sub (roles/pubsub.editor)
  3. Copiez le nom du compte de service que vous venez de créer.

  4. Utilisez le sélecteur de projet dans la console Google Cloud pour passer au niveau de l'organisation.

  5. Ouvrez la page IAM de l'organisation :

    Accéder à IAM

  6. Sur la page IAM, cliquez sur Accorder l'accès. Le panneau "Accorder l'accès" s'affiche.

  7. Dans le panneau Accorder l'accès, procédez comme suit :

    1. Dans la section Ajouter des comptes principaux du champ Nouveaux comptes principaux, collez le nom du compte de service.
    2. Dans la section Attribuer des rôles, utilisez le champ Rôle pour attribuer les rôles IAM suivants au compte de service :

    3. Éditeur administrateur du centre de sécurité (roles/securitycenter.adminEditor)
    4. Éditeur de configuration des notifications du centre de sécurité (roles/securitycenter.notificationConfigEditor)
    5. Lecteur d'organisation (roles/resourcemanager.organizationViewer)
    6. Lecteur d'éléments Cloud (roles/cloudasset.viewer)
    7. Cliquez sur Enregistrer. Le compte de service s'affiche dans l'onglet Autorisations de la page IAM sous Afficher par compte principal.

      Par héritage, le compte de service devient également un principal dans tous les projets enfants de l'organisation. Les rôles applicables au niveau du projet sont listés comme des rôles hérités.

Pour plus d'informations sur la création de comptes de service et l'attribution de rôles, consultez les rubriques suivantes :

Fournir les identifiants à Cortex XSOAR

La procédure à suivre varie selon l'emplacement où vous hébergez Cortex XSOAR.

Configurer les notifications

Suivez ces étapes pour chaque organisation Google Cloud à partir de laquelle vous souhaitez importer des données Security Command Center.

  1. Configurez les notifications de résultats comme suit:

    1. Activez l'API Security Command Center.
    2. Créez un filtre pour exporter les résultats.
    3. Créez un sujet Pub/Sub pour les résultats. La configuration NotificationConfig doit utiliser le sujet Pub/Sub que vous créez pour les résultats.
  2. Activez l'API Cloud Asset pour votre projet.

Vous aurez besoin de l'ID de votre organisation, de l'ID de projet et de l'ID d'abonnement Pub/Sub fournis dans cette tâche afin de configurer Cortex XSOAR. Pour récupérer votre ID d'organisation et votre ID de projet, consultez les sections Récupérer votre ID d'organisation et Identifier des projets, respectivement.

Configurer Cortex XSOAR

Lorsqu'un accès est accordé, Cortex XSOAR reçoit des résultats et des mises à jour d'éléments en temps réel.

Pour utiliser Security Command Center avec Cortex XSOAR, procédez comme suit :

  1. Installez le pack de contenu Google Cloud SCC à partir de Cortex XSOAR Marketplace.

    Le pack de contenu est un module géré par Security Command Center qui automatise le processus de planification des appels d'API Security Command Center et récupère régulièrement les données Security Command Center à utiliser dans Cortext XSOAR.

  2. Dans le menu de l'application Cortex XSOAR, accédez à Settings (Paramètres), puis cliquez sur Integrations (Intégrations).

  3. Sous Intégrations (Intégrations), sélectionnez Servers & Services (Serveurs et services).

  4. Recherchez et sélectionnez GoogleCloudSCC.

  5. Pour créer et configurer une instance d'intégration, cliquez sur Add instance (Ajouter une instance).

  6. Saisissez les informations dans les champs suivants si nécessaire :

    Paramètre Description Obligatoire
    Configuration du compte de service L'une des options suivantes, comme décrit dans la section Avant de commencer :
    • Le contenu du fichier JSON du compte de service, si vous avez créé une clé de compte de service.
    • Le contenu du fichier de configuration des identifiants, si vous utilisez la fédération d'identité de charge de travail.
    Vrai
    ID de l'organisation ID de votre organisation Vrai
    Extraire les incidents Permet d'extraire les incidents Faux
    ID du projet ID du projet à utiliser pour extraire les incidents. Si ce champ est vide, l'ID du projet contenu dans le fichier JSON fourni est utilisé. Faux
    ID d'abonnement ID de votre abonnement Pub/Sub Vrai
    Nombre maximal d'incidents Nombre maximal d'incidents à extraire lors de chaque récupération Faux
    Type d'incident Type d'incident Faux
    Approuver tous les certificats (non sécurisé) Permet d'approuver tous les certificats Faux
    Utiliser les paramètres de proxy du système Active les paramètres de proxy du système. Faux
    Intervalle de récupération des incidents Intervalle entre les récupérations d'informations sur les incidents mises à jour Faux
    Niveau de journalisation Niveau de journalisation du pack de contenu Faux

  7. Cliquez sur Test.

    Si la configuration est valide, un message de réussite s'affiche. Sinon, vous recevez un message d'erreur.

  8. Cliquez sur Enregistrer et quitter.

  9. Répétez les étapes 5 à 8 pour chaque organisation.

Cortex XSOAR mappe automatiquement les champs des résultats de Security Command Center aux champs Cortex XSOAR appropriés. Pour remplacer des sélections ou en savoir plus sur Cortex XSOAR, consultez la documentation du produit.

La configuration de Cortex XSOAR est terminée. La section Gérer les résultats et les éléments explique comment afficher et gérer les données de Security Command Center dans le service.

Mettre à jour le pack de contenu Google Cloud SCC

Cette section explique comment effectuer une mise à niveau à partir d'une version antérieure.

  1. Accédez à la dernière version de Google Cloud SCC à partir de la Marketplace Cortex XSOAR.

  2. Cliquez sur Download with Dependencies (Télécharger avec des dépendances).

  3. Cliquez sur Installer.

  4. Cliquez sur Refresh content (Actualiser le contenu).

La mise à niveau conserve vos informations de configuration précédentes. Pour utiliser la fédération d'identité de charge de travail, ajoutez le fichier de configuration, comme décrit dans la section Configurer Cortex XSOAR.

Gérer les résultats et les éléments

Vous pouvez afficher et mettre à jour les éléments et les résultats à l'aide de l'interface de ligne de commande (CLI) de Cortex XSOAR. Vous pouvez exécuter des commandes lors du tri et de la résolution automatisés, ou dans un playbook.

Pour obtenir le nom et la description de l'ensemble des méthodes et arguments acceptés par la CLI Cortex XSOAR, ainsi que des exemples de résultats, consultez la page Commandes.

Les résultats sont compilés à partir des services intégrés de Security Command Center (Security Health Analytics, Web Security Scanner, Event Threat Detection et Container Threat Detection) et de tous les services intégrés que vous activez.

Répertorier les éléments

Pour répertorier les éléments de votre organisation, utilisez la méthode google-cloud-scc-asset-list de Cortex XSOAR. Par exemple, la commande suivante répertorie les éléments dont la valeur lifecycleState est Active (Actif) et limite la réponse à trois éléments :

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

Le point d'exclamation (!) dans les exemples de code est un symbole obligatoire pour démarrer des commandes dans Cortex XSOAR. Il ne représente pas une négation ou NOT.

Afficher les ressources des éléments

Pour répertorier les éléments contenus dans les ressources parentes, telles que les projets, exécutez la commande google-cloud-scc-asset-resource-list de Cortex XSOAR. Par exemple, la commande suivante répertorie les éléments dont la valeur assetType est définie sur compute.googleapis.com/Disk et limite la réponse à deux éléments :

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

Les caractères génériques et les expressions régulières sont acceptés. Par exemple, assetType=".*Instance" répertorie les éléments dont le type se termine par "instance".

Afficher les résultats

Pour répertorier les résultats de votre organisation ou d'une source de sécurité, exécutez la commande google-cloud-scc-finding-list de Cortex XSOAR. Par exemple, la commande suivante répertorie les résultats actifs comportant un niveau de gravité critique pour toutes les sources et limite la réponse à trois résultats :

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

Vous pouvez également filtrer vos résultats. La commande suivante liste tous les résultats classés comme des menaces :

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

Mettre à jour les résultats

Vous pouvez mettre à jour un résultat à l'aide de la commande google-cloud-scc-finding-update de Cortex XSOAR. Vous devez fournir le nom name (nom de ressource relatif) du résultat, en utilisant le format suivant : organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.

Par exemple, la commande suivante met à jour le niveau de gravité d'un résultat :

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

Remplacez les éléments suivants :

  • <var>ORGANIZATION_ID</var> par votre ID d'organisation Pour récupérer votre ID d'organisation et votre ID de projet, consultez la section Récupérer l'ID de votre organisation.
  • <var>SOURCE_ID</var> par l'ID de la source de sécurité. Pour trouver l'ID d'une source, consultez la page Obtenir l'ID d'une source.
  • <var>FINDING_ID</var> par l'ID du résultat inclus dans les détails du résultat

Mettre à jour l'état des résultats

Vous pouvez mettre à jour l'état d'un résultat à l'aide de la commande Cortex XSOAR google-cloud-scc-finding-status-update. Vous devez fournir le nom name (nom de ressource relatif) du résultat, en utilisant le format suivant : organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.

Par exemple, la commande suivante définit l'état des résultats sur "Actif" :

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

Remplacez les éléments suivants :

  • <var>ORGANIZATION_ID</var> par votre ID d'organisation Pour récupérer votre ID d'organisation et votre ID de projet, consultez la section Récupérer l'ID de votre organisation.
  • <var>SOURCE_ID</var> par l'ID de la source de sécurité. Pour trouver l'ID d'une source, consultez la page Obtenir l'ID d'une source.
  • <var>FINDING_ID</var> par l'ID du résultat inclus dans les détails du résultat

Obtenir les propriétaires des éléments

Pour répertorier les propriétaires d'un élément, exécutez la commande google-cloud-scc-asset-owner-get de Cortex XSOAR. Vous devez indiquer le nom du projet au format projects/PROJECT_NUMBER. Par exemple, la commande suivante répertorie le propriétaire du projet fourni.

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

Pour ajouter plusieurs projets à la commande, utilisez une virgule comme séparateur, par exemple projectName="projects/123456789, projects/987654321".

Étape suivante