Inviare i dati di Security Command Center a Cortex XSOAR

Questa pagina spiega come inviare automaticamente risultati, asset e origini di sicurezza di Security Command Center a Cortex XSOAR. Descrive inoltre come gestire i dati esportati. Cortex XSOAR è una piattaforma SOAR (orchestrazione, automazione e risposta per la sicurezza) che importa i dati di sicurezza da una o più origini e consente ai team di sicurezza di gestire le risposte agli incidenti. Puoi utilizzare Cortex XSOAR per visualizzare gli asset e i risultati di Security Command Center e per aggiornare i risultati quando i problemi vengono risolti.

In questa guida, ti assicurerai che i servizi Security Command Center e Google Cloud richiesti siano configurati correttamente e abiliterai Cortex XSOAR ad accedere ai risultati e alle risorse nel tuo ambiente Security Command Center. Alcune delle istruzioni riportate in questa pagina sono tratte dalla guida alle integrazioni di Cortex XSOAR su GitHub.

Prima di iniziare

Questa guida presuppone che tu abbia una versione funzionante di Cortex XSOAR. Per iniziare a utilizzare Cortex XSOAR, registrati.

Configurare l'autenticazione e l'autorizzazione

Prima di collegare Security Command Center a Cortex XSOAR, devi creare un account di servizio Identity and Access Management (IAM) in ogni organizzazione Google Cloud e concedere a questo account i ruoli IAM sia a livello di organizzazione sia a livello di progetto di cui ha bisogno Cortex XSOAR.

Creare un account di servizio e concedere i ruoli IAM

I passaggi che seguono utilizzano la console Google Cloud. Per altri metodi, consulta i link alla fine di questa sezione.

Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.

  1. Nello stesso progetto in cui crei gli argomenti Pub/Sub, utilizza la pagina Account di servizio nella console Google Cloud per creare un account di servizio. Per le istruzioni, vedi Creazione e gestione degli account di servizio.
  2. Concedi all'account di servizio il seguente ruolo:

    • Editor Pub/Sub (roles/pubsub.editor)
  3. Copia il nome dell'account di servizio appena creato.

  4. Utilizza il selettore dei progetti nella console Google Cloud per passare al livello dell'organizzazione.

  5. Apri la pagina IAM dell'organizzazione:

    Vai a IAM

  6. Nella pagina IAM, fai clic su Concedi l'accesso. Viene visualizzato il riquadro Concedi accesso.

  7. Nel riquadro Concedi l'accesso, completa i seguenti passaggi:

    1. Nella sezione Aggiungi entità del campo Nuove entità, incolla il nome dell'account di servizio.
    2. Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere all'account di servizio i seguenti ruoli IAM:

    3. Editor amministratore Centro sicurezza (roles/securitycenter.adminEditor)
    4. Editor configurazioni notifiche Centro sicurezza (roles/securitycenter.notificationConfigEditor)
    5. Organization Viewer (roles/resourcemanager.organizationViewer)
    6. Cloud Asset Viewer (roles/cloudasset.viewer)
    7. Fai clic su Salva. L'account di servizio viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.

      Per eredità, l'account di servizio diventa un principale anche in tutti i progetti secondari dell'organizzazione. I ruoli applicabili a livello di progetto sono elencati come ruoli ereditati.

Per ulteriori informazioni sulla creazione di account di servizio e sulla concessione di ruoli, consulta i seguenti argomenti:

Fornisci le credenziali a Cortex XSOAR

A seconda di dove ospiti Cortex XSOAR, la modalità di impostazione delle credenziali IAM in Cortex XSOAR è diversa.

Configura le notifiche

Completa questi passaggi per ogni organizzazione Google Cloud da cui vuoi importare i dati di Security Command Center.

  1. Configura le notifiche dei risultati come segue:

    1. Abilita l'API Security Command Center.
    2. Crea un filtro per esportare i risultati.
    3. Crea un argomento Pub/Sub per i risultati. NotificationConfig deve utilizzare l'argomento Pub/Sub che hai creato per i risultati.
  2. Abilita l'API Cloud Asset per il tuo progetto.

Per configurare Cortex XSOAR, avrai bisogno dell'ID organizzazione, dell'ID progetto e dell'ID abbonamento Pub/Sub di questa attività. Per recuperare l'ID organizzazione e l'ID progetto, consulta rispettivamente Recupero dell'ID organizzazione e Identificazione dei progetti.

Configura Cortex XSOAR

Una volta concesso l'accesso, Cortex XSOAR riceverà aggiornamenti su asset e risultati in tempo reale.

Per utilizzare Security Command Center con Cortex XSOAR, svolgi i seguenti passaggi:

  1. Installa il pacchetto di contenuti Google Cloud SCC dal marketplace di Cortex XSOAR.

    Il pacchetto di contenuti è un modulo gestito da Security Command Center che automatizza il processo di pianificazione delle chiamate all'API Security Command Center e recupera regolarmente i dati di Security Command Center per utilizzarli in Cortext XSOAR.

  2. Nel menu dell'applicazione Cortex XSOAR, vai a Impostazioni, quindi fai clic su Integrazioni.

  3. In Integrations (Integrazioni), seleziona Servers & Services (Server e servizi).

  4. Cerca e seleziona GoogleCloudSCC.

  5. Per creare e configurare una nuova istanza di integrazione, fai clic su Aggiungi istanza.

  6. Inserisci le informazioni nei seguenti campi, se necessario:

    Parametro Descrizione Obbligatorio
    Configurazione dell'account di servizio Uno dei seguenti, come descritto in Prima di iniziare:
    • I contenuti del file JSON dell'account di servizio, se hai creato una chiave dell'account di servizio
    • I contenuti del file di configurazione delle credenziali, se utilizzi la federazione delle identità per i carichi di lavoro
    Vero
    ID organizzazione L'ID della tua organizzazione Vero
    Recupera gli incidenti Consente di recuperare l'incidente Falso
    ID progetto L'ID del progetto da utilizzare per recuperare gli incidenti. Se vuoto, viene utilizzato l'ID del progetto contenuto nel file JSON fornito Falso
    ID abbonamento L'ID della sottoscrizione Pub/Sub Vero
    Incidenti massimi Il numero massimo di incidenti da recuperare durante ogni recupero Falso
    Tipo di incidente Il tipo di incidente Falso
    Attendi qualsiasi certificato (non sicuro) Consente di considerare attendibili tutti i certificati Falso
    Utilizza le impostazioni del proxy di sistema Attiva le impostazioni del proxy di sistema Falso
    Intervallo di recupero degli incidenti Tempo tra i recuperi delle informazioni aggiornate sugli incidenti Falso
    Livello di log Il livello di log per il pacchetto di contenuti Falso

  7. Fai clic su Test.

    Se la configurazione è valida, viene visualizzato il messaggio "Completato". Se non è valido, viene visualizzato un messaggio di errore.

  8. Fai clic su Salva ed esci.

  9. Ripeti i passaggi da 5 a 8 per ogni organizzazione.

Cortex XSOAR mappa automaticamente i campi dei risultati di Security Command Center ai campi di Cortex XSOAR appropriati. Per eseguire l'override delle selezioni o scoprire di più su Cortex XSOAR, leggi la documentazione del prodotto.

La configurazione di Cortex XSOAR è stata completata. La sezione Gestire risultati e asset spiega come visualizzare e gestire i dati di Security Command Center nel servizio.

Esegui l'upgrade del pacchetto di contenuti di Google Cloud SCC

Questa sezione descrive come eseguire l'upgrade da una versione precedente.

  1. Accedi alla versione più recente del pacchetto di contenuti Google Cloud SCC dal marketplace Cortex XSOAR.

  2. Fai clic su Scarica con dipendenze.

  3. Fai clic su Installa.

  4. Fai clic su Aggiorna contenuti.

L'upgrade mantiene le informazioni di configurazione precedenti. Per utilizzare la federazione delle identità per i carichi di lavoro, aggiungi il file di configurazione, come descritto in Configurare Cortex XSOAR.

Gestire risultati e asset

Puoi visualizzare e aggiornare gli asset e i risultati utilizzando l'interfaccia a riga di comando (CLI) di Cortex XSOAR. Puoi eseguire comandi nell'ambito della valutazione e della correzione automatiche o in un playbook.

Per i nomi e le descrizioni di tutti i metodi e gli argomenti supportati per la CLI di Cortex XSOAR, nonché esempi di output, consulta Comandi.

I risultati vengono compilati dai servizi integrati di Security Command Center (Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection) e da eventuali servizi integrati che attivi.

Elencare gli asset

Per elencare le risorse della tua organizzazione, utilizza il metodo google-cloud-scc-asset-list di Cortex XSOAR. Ad esempio, il seguente comando elenca gli asset in cui lifecycleState è Attivo e limita la risposta a tre asset:

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

Il punto esclamativo (!) negli esempi di codice è un simbolo obbligatorio per avviare i comandi in Cortex XSOAR. Non rappresenta la negazione o il NOT.

Visualizza le risorse degli asset

Per elencare gli asset contenuti nelle risorse principali, come i progetti, utilizza il comando google-cloud-scc-asset-resource-list di Cortex XSOAR. Ad esempio, il seguente comando elenca gli asset con un valore assetType di compute.googleapis.com/Disk e limita la risposta a due asset:

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

Sono supportati i caratteri jolly e le espressioni regolari. Ad esempio, assetType=".*Instance" elenca gli asset il cui tipo termina con "instance".

Visualizza risultati

Per elencare i risultati per la tua organizzazione o un'origine di sicurezza, utilizza il comando google-cloud-scc-finding-list di Cortex XSOAR. Ad esempio, il seguente comando elenca i risultati attivi con gravità critica per tutte le origini e limita la risposta a tre risultati:

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

Puoi anche filtrare i risultati. Il seguente comando elenca tutti i risultati classificati come minacce:

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

Aggiornare i risultati

Puoi aggiornare un rilevamento utilizzando il comando google-cloud-scc-finding-update di Cortex XSOAR. Devi fornire il valore name o il nome della risorsa relativa del rilevamento utilizzando il seguente formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.

Ad esempio, il seguente comando aggiorna la gravità di un rilevamento:

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

Sostituisci quanto segue:

  • <var>ORGANIZATION_ID</var> con l'ID della tua organizzazione. Per recuperare l'ID della tua organizzazione e l'ID progetto, consulta Recupero dell'ID organizzazione.
  • <var>SOURCE_ID</var> con l'ID dell'origine della sicurezza. Per trovare un ID origine, consulta Ottenere l'ID origine.
  • <var>FINDING_ID</var> con l'ID del risultato incluso nei dettagli del risultato.

Aggiornare lo stato del risultato

Puoi aggiornare lo stato di un rilevamento utilizzando il comando google-cloud-scc-finding-status-update di Cortex XSOAR. Devi fornire il valore name o il nome della risorsa relativa del rilevamento utilizzando il seguente formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.

Ad esempio, il seguente comando imposta lo stato del risultato su attivo:

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

Sostituisci quanto segue:

  • <var>ORGANIZATION_ID</var> con l'ID della tua organizzazione. Per recuperare l'ID della tua organizzazione e l'ID progetto, consulta Recupero dell'ID organizzazione.
  • <var>SOURCE_ID</var> con l'ID dell'origine della sicurezza. Per trovare un ID origine, consulta Ottenere l'ID origine.
  • <var>FINDING_ID</var> con l'ID del risultato incluso nei dettagli del risultato.

Recuperare i proprietari delle risorse

Per elencare i proprietari di una risorsa, utilizza il comando google-cloud-scc-asset-owner-get di Cortex XSOAR. Devi fornire il nome del progetto sotto forma di projects/PROJECT_NUMBER. Ad esempio, il seguente comando elenca il proprietario del progetto fornito.

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

Per aggiungere più progetti al comando, utilizza una virgola come separatore, ad esempio: projectName="projects/123456789, projects/987654321"

Passaggi successivi