Cette page explique comment envoyer automatiquement les résultats, les éléments et les sources de sécurité de Security Command Center à Cortex XSOAR. Elle décrit également comment gérer les données exportées. Cortex XSOAR est une plate-forme d'orchestration de la sécurité, d'automatisation et de réponse (SOAR, security orchestration, automation, and response) qui ingère des données de sécurité provenant d'une ou de plusieurs sources, et permet aux équipes de sécurité de gérer les réponses aux incidents. Vous pouvez utiliser Cortex XSOAR pour afficher vos résultats et éléments de Security Command Center, et mettre à jour les résultats lorsque des problèmes sont résolus.
Dans ce guide, vous allez vérifier que les services Security Command Center et Google Cloud requis sont correctement configurés, et autoriser Cortex XSOAR à accéder aux résultats et aux éléments de votre environnement Security Command Center. Certaines instructions de cette page sont compilées à partir du guide d'intégration de Cortex XSOAR sur GitHub.
Avant de commencer
Dans ce guide, nous partons du principe que vous disposez d'une version fonctionnelle de Cortex XSOAR. Pour commencer à utiliser Cortex XSOAR, inscrivez-vous.
Configurer l'authentification et l'autorisation
Avant de connecter Security Command Center à Cortex XSOAR, vous devez créer un compte de service IAM (Identity and Access Management) dans chaque organisation Google Cloud et attribuer à ce compte à la fois les rôles IAM au niveau de l'organisation et du projet dont Cortex XSOAR a besoin.
Créer un compte de service et accorder des rôles IAM
Les étapes suivantes utilisent la console Google Cloud. Pour découvrir d'autres méthodes, consultez les liens à la fin de cette section.
Suivez ces étapes pour chaque organisation Google Cloud à partir de laquelle vous souhaitez importer des données Security Command Center.
- Dans le projet dans lequel vous créez vos sujets Pub/Sub, utilisez la page Comptes de service de la console Google Cloud pour créer un compte de service. Pour obtenir des instructions, consultez la page Créer et gérer des comptes de service.
Attribuez le rôle suivant au compte de service :
- Éditeur Pub/Sub (
roles/pubsub.editor
)
- Éditeur Pub/Sub (
Copiez le nom du compte de service que vous venez de créer.
Utilisez le sélecteur de projet dans la console Google Cloud pour passer au niveau de l'organisation.
Ouvrez la page IAM de l'organisation :
Sur la page IAM, cliquez sur Accorder l'accès. Le panneau "Accorder l'accès" s'affiche.
Dans le panneau Accorder l'accès, procédez comme suit :
- Dans la section Ajouter des comptes principaux du champ Nouveaux comptes principaux, collez le nom du compte de service.
Dans la section Attribuer des rôles, utilisez le champ Rôle pour attribuer les rôles IAM suivants au compte de service :
- Éditeur administrateur du centre de sécurité (
roles/securitycenter.adminEditor
) - Éditeur de configuration des notifications du centre de sécurité
(
roles/securitycenter.notificationConfigEditor
) - Lecteur d'organisation (
roles/resourcemanager.organizationViewer
) - Lecteur d'éléments Cloud (
roles/cloudasset.viewer
) Cliquez sur Enregistrer. Le compte de service s'affiche dans l'onglet Autorisations de la page IAM sous Afficher par compte principal.
Par héritage, le compte de service devient également un principal dans tous les projets enfants de l'organisation. Les rôles applicables au niveau du projet sont listés comme des rôles hérités.
Pour plus d'informations sur la création de comptes de service et l'attribution de rôles, consultez les rubriques suivantes :
Fournir les identifiants à Cortex XSOAR
La procédure à suivre varie selon l'emplacement où vous hébergez Cortex XSOAR.
Si vous hébergez Cortex XSOAR dans Google Cloud, tenez compte des points suivants:
Le compte de service que vous avez créé et les rôles au niveau de l'organisation que vous lui avez attribués sont automatiquement disponibles en héritant de l'organisation parente. Si vous utilisez plusieurs organisations Google Cloud, ajoutez ce compte de service aux autres organisations et attribuez-lui les rôles IAM décrits aux étapes 5 à 7 de Créer un compte de service et attribuer des rôles IAM.
Si vous déployez Cortex XSOAR dans un périmètre de service, créez les règles d'entrée et de sortie. Pour obtenir des instructions, consultez la section Accorder l'accès à un périmètre dans VPC Service Controls.
Si vous hébergez Cortex XSOAR dans votre environnement sur site et que votre fournisseur d'identité est compatible avec la fédération d'identité de charge de travail, configurez la fédération d'identité de charge de travail et téléchargez les fichiers de configuration des identifiants. Dans le cas contraire, créez une clé de compte de service au format JSON pour chaque organisation Google Cloud.
Si vous hébergez Cortex XSOAR dans Microsoft Azure ou Amazon Web Services, configurez la fédération d'identité de charge de travail et téléchargez les fichiers de configuration des identifiants. Si vous utilisez plusieurs organisations Google Cloud, ajoutez ce compte de service aux autres organisations et attribuez-lui les rôles IAM décrits aux étapes 5 à 7 de la section Créer un compte de service et attribuer des rôles IAM.
Configurer les notifications
Suivez ces étapes pour chaque organisation Google Cloud à partir de laquelle vous souhaitez importer des données Security Command Center.
Configurez les notifications de résultats comme suit:
- Activez l'API Security Command Center.
- Créez un filtre pour exporter les résultats.
- Créez un sujet Pub/Sub pour les résultats.
La configuration
NotificationConfig
doit utiliser le sujet Pub/Sub que vous créez pour les résultats.
Activez l'API Cloud Asset pour votre projet.
Vous aurez besoin de l'ID de votre organisation, de l'ID de projet et de l'ID d'abonnement Pub/Sub fournis dans cette tâche afin de configurer Cortex XSOAR. Pour récupérer votre ID d'organisation et votre ID de projet, consultez les sections Récupérer votre ID d'organisation et Identifier des projets, respectivement.
Configurer Cortex XSOAR
Lorsqu'un accès est accordé, Cortex XSOAR reçoit des résultats et des mises à jour d'éléments en temps réel.
Pour utiliser Security Command Center avec Cortex XSOAR, procédez comme suit :
Installez le pack de contenu Google Cloud SCC à partir de Cortex XSOAR Marketplace.
Le pack de contenu est un module géré par Security Command Center qui automatise le processus de planification des appels d'API Security Command Center et récupère régulièrement les données Security Command Center à utiliser dans Cortext XSOAR.
Dans le menu de l'application Cortex XSOAR, accédez à Settings (Paramètres), puis cliquez sur Integrations (Intégrations).
Sous Intégrations (Intégrations), sélectionnez Servers & Services (Serveurs et services).
Recherchez et sélectionnez GoogleCloudSCC.
Pour créer et configurer une instance d'intégration, cliquez sur Add instance (Ajouter une instance).
Saisissez les informations dans les champs suivants si nécessaire :
Paramètre Description Obligatoire Configuration du compte de service L'une des options suivantes, comme décrit dans la section Avant de commencer : - Le contenu du fichier JSON du compte de service, si vous avez créé une clé de compte de service.
- Le contenu du fichier de configuration des identifiants, si vous utilisez la fédération d'identité de charge de travail.
Vrai ID de l'organisation ID de votre organisation Vrai Extraire les incidents Permet d'extraire les incidents Faux ID du projet ID du projet à utiliser pour extraire les incidents. Si ce champ est vide, l'ID du projet contenu dans le fichier JSON fourni est utilisé. Faux ID d'abonnement ID de votre abonnement Pub/Sub Vrai Nombre maximal d'incidents Nombre maximal d'incidents à extraire lors de chaque récupération Faux Type d'incident Type d'incident Faux Approuver tous les certificats (non sécurisé) Permet d'approuver tous les certificats Faux Utiliser les paramètres de proxy du système Active les paramètres de proxy du système. Faux Intervalle de récupération des incidents Intervalle entre les récupérations d'informations sur les incidents mises à jour Faux Niveau de journalisation Niveau de journalisation du pack de contenu Faux Cliquez sur Test.
Si la configuration est valide, un message de réussite s'affiche. Sinon, vous recevez un message d'erreur.
Cliquez sur Enregistrer et quitter.
Répétez les étapes 5 à 8 pour chaque organisation.
Cortex XSOAR mappe automatiquement les champs des résultats de Security Command Center aux champs Cortex XSOAR appropriés. Pour remplacer des sélections ou en savoir plus sur Cortex XSOAR, consultez la documentation du produit.
La configuration de Cortex XSOAR est terminée. La section Gérer les résultats et les éléments explique comment afficher et gérer les données de Security Command Center dans le service.
Mettre à jour le pack de contenu Google Cloud SCC
Cette section explique comment effectuer une mise à niveau à partir d'une version antérieure.
Accédez à la dernière version de Google Cloud SCC à partir de la Marketplace Cortex XSOAR.
Cliquez sur Download with Dependencies (Télécharger avec des dépendances).
Cliquez sur Installer.
Cliquez sur Refresh content (Actualiser le contenu).
La mise à niveau conserve vos informations de configuration précédentes. Pour utiliser la fédération d'identité de charge de travail, ajoutez le fichier de configuration, comme décrit dans la section Configurer Cortex XSOAR.
Gérer les résultats et les éléments
Vous pouvez afficher et mettre à jour les éléments et les résultats à l'aide de l'interface de ligne de commande (CLI) de Cortex XSOAR. Vous pouvez exécuter des commandes lors du tri et de la résolution automatisés, ou dans un playbook.
Pour obtenir le nom et la description de l'ensemble des méthodes et arguments acceptés par la CLI Cortex XSOAR, ainsi que des exemples de résultats, consultez la page Commandes.
Les résultats sont compilés à partir des services intégrés de Security Command Center (Security Health Analytics, Web Security Scanner, Event Threat Detection et Container Threat Detection) et de tous les services intégrés que vous activez.
Répertorier les éléments
Pour répertorier les éléments de votre organisation, utilisez la méthode google-cloud-scc-asset-list
de Cortex XSOAR. Par exemple, la commande suivante répertorie les éléments dont la valeur lifecycleState
est Active (Actif) et limite la réponse à trois éléments :
!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE
Le point d'exclamation (!
) dans les exemples de code est un symbole obligatoire pour démarrer des commandes dans Cortex XSOAR. Il ne représente pas une négation ou NOT.
Afficher les ressources des éléments
Pour répertorier les éléments contenus dans les ressources parentes, telles que les projets, exécutez la commande google-cloud-scc-asset-resource-list
de Cortex XSOAR. Par exemple, la commande suivante répertorie les éléments dont la valeur assetType
est définie sur compute.googleapis.com/Disk
et limite la réponse à deux éléments :
!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2
Les caractères génériques et les expressions régulières sont acceptés. Par exemple, assetType=".*Instance"
répertorie les éléments dont le type se termine par "instance".
Afficher les résultats
Pour répertorier les résultats de votre organisation ou d'une source de sécurité, exécutez la commande google-cloud-scc-finding-list
de Cortex XSOAR. Par exemple, la commande suivante répertorie les résultats actifs comportant un niveau de gravité critique pour toutes les sources et limite la réponse à trois résultats :
!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"
Vous pouvez également filtrer vos résultats. La commande suivante liste tous les résultats classés comme des menaces :
!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""
Mettre à jour les résultats
Vous pouvez mettre à jour un résultat à l'aide de la commande google-cloud-scc-finding-update
de Cortex XSOAR. Vous devez fournir le nom name
(nom de ressource relatif) du résultat, en utilisant le format suivant : organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID
.
Par exemple, la commande suivante met à jour le niveau de gravité d'un résultat :
!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"
Remplacez les éléments suivants :
<var>ORGANIZATION_ID</var>
par votre ID d'organisation Pour récupérer votre ID d'organisation et votre ID de projet, consultez la section Récupérer l'ID de votre organisation.<var>SOURCE_ID</var>
par l'ID de la source de sécurité. Pour trouver l'ID d'une source, consultez la page Obtenir l'ID d'une source.<var>FINDING_ID</var>
par l'ID du résultat inclus dans les détails du résultat
Mettre à jour l'état des résultats
Vous pouvez mettre à jour l'état d'un résultat à l'aide de la commande Cortex XSOAR google-cloud-scc-finding-status-update
. Vous devez fournir le nom name
(nom de ressource relatif) du résultat, en utilisant le format suivant : organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID
.
Par exemple, la commande suivante définit l'état des résultats sur "Actif" :
!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"
Remplacez les éléments suivants :
<var>ORGANIZATION_ID</var>
par votre ID d'organisation Pour récupérer votre ID d'organisation et votre ID de projet, consultez la section Récupérer l'ID de votre organisation.<var>SOURCE_ID</var>
par l'ID de la source de sécurité. Pour trouver l'ID d'une source, consultez la page Obtenir l'ID d'une source.<var>FINDING_ID</var>
par l'ID du résultat inclus dans les détails du résultat
Obtenir les propriétaires des éléments
Pour répertorier les propriétaires d'un élément, exécutez la commande google-cloud-scc-asset-owner-get
de Cortex XSOAR. Vous devez indiquer le nom du projet au format projects/PROJECT_NUMBER
. Par exemple, la commande suivante répertorie le propriétaire du projet fourni.
!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"
Pour ajouter plusieurs projets à la commande, utilisez une virgule comme séparateur, par exemple projectName="projects/123456789, projects/987654321"
.
Étape suivante
Découvrez comment configurer des notifications de recherche dans Security Command Center.
Découvrez comment filtrer les notifications de résultats dans Security Command Center.