本頁說明如何自動將 Security Command Center 發現項目、資產和安全來源傳送至 Cortex XSOAR。此外,也說明如何管理匯出的資料。Cortex XSOAR 是一個安全調度管理、自動化與應變 (SOAR) 平台,可從一或多個來源擷取安全資料,並讓安全團隊管理事件的回應。您可以使用 Cortex XSOAR 查看 Security Command Center 發現項目和資產,並在問題解決後更新發現項目。
在本指南中,您將確保已正確設定必要的 Security Command Center 和 Google Cloud服務,並允許 Cortex XSOAR 存取 Security Command Center 環境中的發現項目和資產。本頁面上的部分操作說明,是從 GitHub 上的 Cortex XSOAR 整合指南彙整而來。
事前準備
本指南假設您已安裝可正常運作的 Cortex XSOAR 版本。如要開始使用 Cortex XSOAR,請註冊。
設定驗證和授權
如要將 Security Command Center 連線至 Cortex XSOAR,您必須在每個 Google Cloud 機構中建立身分與存取權管理 (IAM) 服務帳戶,並授予該帳戶 Cortex XSOAR 需要的機構層級和專案層級 IAM 角色。
建立服務帳戶並授予 IAM 角色
下列步驟使用 Google Cloud 控制台。如要瞭解其他方法,請參閱本節結尾的連結。
針對要匯入 Security Command Center 資料的每個 Google Cloud 機構,完成下列步驟。
- 在您建立 Pub/Sub 主題的專案中,使用 Google Cloud 控制台的「Service Accounts」(服務帳戶)頁面建立服務帳戶。如需操作說明,請參閱「建立及管理服務帳戶」。
將下列角色授予服務帳戶:
- Pub/Sub 編輯者 (
roles/pubsub.editor)
- Pub/Sub 編輯者 (
複製您剛建立的服務帳戶名稱。
使用 Google Cloud 控制台中的專案選取器,切換至機構層級。
開啟機構的「IAM」IAM頁面:
在「IAM」頁面中,按一下「授予存取權」。「授予存取權」面板隨即開啟。
在「授予存取權」面板中,完成下列步驟:
- 在「新增主體」欄位的「新增主體」部分中,貼上服務帳戶名稱。
在「指派角色」部分,使用「角色」欄位將下列 IAM 角色授予服務帳戶:
- 安全中心管理員編輯者 (
roles/securitycenter.adminEditor) - 安全中心通知設定編輯者
(
roles/securitycenter.notificationConfigEditor) - 機構檢視者 (
roles/resourcemanager.organizationViewer) - Cloud Asset Viewer (
roles/cloudasset.viewer) 按一下 [儲存]。服務帳戶會顯示在「依主體查看」下「IAM」頁面的「權限」分頁中。
透過繼承,服務帳戶也會成為機構所有子專案中的主體。適用於專案層級的角色會列為已繼承的角色。
如要進一步瞭解如何建立服務帳戶及授予角色,請參閱下列主題:
將憑證提供給 Cortex XSOAR
視 Cortex XSOAR 的代管位置而定,提供 IAM 憑證給 Cortex XSOAR 的方式也會有所不同。
如果您在 Google Cloud中代管 Cortex XSOAR,請注意下列事項:
您建立的服務帳戶和授予的機構層級角色,會自動從上層機構繼承。如果您使用多個 Google Cloud 機構,請將這個服務帳戶新增至其他機構,並授予「建立服務帳戶並授予 IAM 角色」一文步驟 5 至 7 中所述的 IAM 角色。
如果您在服務範圍內部署 Cortex XSOAR,請建立 Ingress 和 Egress 規則。如需操作說明,請參閱「在 VPC Service Controls 中授予範圍存取權」。
如果您是在地端環境中代管 Cortex XSOAR,且身分識別提供者支援工作負載身分聯盟,請設定工作負載身分聯盟,並下載憑證設定檔。否則,請以 JSON 格式為每個 Google Cloud 機構建立服務帳戶金鑰。
如果您在 Microsoft Azure 或 Amazon Web Services 中代管 Cortex XSOAR,請設定 Workload Identity 聯盟,並下載憑證設定檔。如果您使用多個 Google Cloud 機構,請將這個服務帳戶新增至其他機構,並授予「建立服務帳戶並授予 IAM 角色」一文步驟 5 至 7 中所述的 IAM 角色。
設定通知
針對要匯入 Security Command Center 資料的每個 Google Cloud 機構,完成下列步驟。
按照下列步驟設定尋找通知:
- 啟用 Security Command Center API。
- 建立篩選器來匯出調查結果。
- 為調查結果建立 Pub/Sub 主題。
NotificationConfig必須使用您為發現項目建立的 Pub/Sub 主題。
為您的專案啟用 Cloud Asset API。
您需要本工作中的機構 ID、專案 ID 和 Pub/Sub 訂閱 ID,才能設定 Cortex XSOAR。如要擷取機構 ID 和專案 ID,請分別參閱「擷取機構 ID」和「識別專案」。
設定 Cortex XSOAR
獲得存取權後,Cortex XSOAR 就會即時收到調查結果和資產更新。
如要搭配 Cortex XSOAR 使用 Security Command Center,請按照下列步驟操作:
從 Cortex XSOAR Marketplace 安裝 Google Cloud SCC 內容套件。
內容套件是由 Security Command Center 維護的模組,可自動排定 Security Command Center API 呼叫,並定期擷取 Security Command Center 資料,供 Cortext XSOAR 使用。
在 Cortex XSOAR 應用程式選單中,前往「設定」,然後按一下「整合」。
在「整合」下方,選取「伺服器與服務」。
搜尋並選取「GoogleCloudSCC」GoogleCloudSCC。
如要建立及設定新的整合執行個體,請按一下「新增執行個體」。
視需要填寫下列欄位:
參數 說明 必要 服務帳戶設定 如「事前準備」一節所述,請準備下列其中一項: - 服務帳戶 JSON 檔案的內容 (如果您已建立服務帳戶金鑰)
- 如果您使用 Workload Identity 聯盟,請提供憑證設定檔的內容
是 機構 ID 貴機構的 ID 是 擷取事件 啟用擷取事件 否 專案 ID 用於擷取事件的專案 ID;如果為空白,系統會使用所提供 JSON 檔案中包含的專案 ID 否 訂閱 ID Pub/Sub 訂閱項目的 ID 是 事件數量上限 每次擷取時要擷取的事件數量上限 否 事件類型 事件類型 否 信任任何憑證 (不安全) 啟用所有憑證的信任 否 使用系統 Proxy 設定 啟用系統 Proxy 設定 否 事件擷取間隔 擷取更新事件資訊的時間間隔 否 記錄檔層級 內容包的記錄層級 否 按一下「Test」。
如果設定有效,您會看到「成功」訊息。如果無效,系統會顯示錯誤訊息。
按一下「儲存並結束」。
針對每個機構重複執行步驟 5 到 8。
Cortex XSOAR 會自動將 Security Command Center 發現項目的欄位對應至適當的 Cortex XSOAR 欄位。如要覆寫選取項目或進一步瞭解 Cortex XSOAR,請參閱產品說明文件。
Cortex XSOAR 設定完成,「管理發現項目和資產」一節說明如何在服務中查看及管理 Security Command Center 資料。
升級 Google Cloud SCC 內容套件
本節說明如何從舊版升級。
前往 Cortex XSOAR Marketplace,存取最新版的 Google Cloud SCC 內容套件。
按一下「Download with Dependencies」(下載並包含依附元件)。
按一下 [安裝]。
按一下「重新整理內容」。
升級後,系統會保留先前的設定資訊。如要使用 Workload Identity 聯盟,請新增設定檔,詳情請參閱「設定 Cortex XSOAR」。
管理發現項目和資產
您可以使用 Cortex XSOAR 的指令列介面 (CLI) 查看及更新資產和調查結果。您可以執行指令,做為自動分類和補救措施的一部分,也可以在劇本中執行指令。
如要查看 Cortex XSOAR CLI 支援的所有方法和引數名稱與說明,以及輸出範例,請參閱「指令」。
這些發現項目是從 Security Command Center 的內建服務 (安全狀態分析、Web Security Scanner、Event Threat Detection 和 Container Threat Detection) 彙整而來,以及您啟用的任何整合式服務。
列出資產
如要列出貴機構的資產,請使用 Cortex XSOAR 的 google-cloud-scc-asset-list 方法。舉例來說,下列指令會列出 lifecycleState 為「Active」(有效) 的資產,並將回應限制為三項資產:
!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE
程式碼範例中的驚嘆號 (!) 是在 Cortex XSOAR 中啟動指令的必要符號。不代表否定或 NOT。
查看資產資源
如要列出父項資源 (例如專案) 中包含的資產,請使用 Cortex XSOAR 的 google-cloud-scc-asset-resource-list 指令。舉例來說,下列指令會列出 assetType 為 compute.googleapis.com/Disk 的資產,並將回應限制為兩項資產:
!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2
支援萬用字元和規則運算式。舉例來說,assetType=".*Instance" 會列出資產類型結尾為「instance」的資產。
查看發現項目
如要列出貴機構或安全來源的發現項目,請使用 Cortex XSOAR 的 google-cloud-scc-finding-list 指令。舉例來說,下列指令會列出所有來源的重大嚴重程度有效發現項目,並將回應限制為三個發現項目:
!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"
您也可以篩選調查結果。下列指令會列出所有歸類為威脅的調查結果:
!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""
更新發現項目
您可以使用 Cortex XSOAR 的 google-cloud-scc-finding-update 指令更新調查結果。您必須提供發現項目的 name 或相對資源名稱,格式如下:organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID。
舉例來說,下列指令會更新發現項目的嚴重程度:
!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"
更改下列內容:
- 將
<var>ORGANIZATION_ID</var>改成您的機構 ID。如要擷取機構 ID 和專案 ID,請參閱「擷取機構 ID」。 - 將
<var>SOURCE_ID</var>替換為安全來源的 ID。如要找出來源 ID,請參閱「取得來源 ID」。 <var>FINDING_ID</var>,並提供發現項目詳細資料中包含的發現項目 ID。
更新發現項目狀態
您可以使用 Cortex XSOAR 的 google-cloud-scc-finding-status-update 指令更新調查結果的狀態。您必須提供發現項目的 name 或相對資源名稱,格式如下:organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID。
舉例來說,下列指令會將發現項目狀態設為有效:
!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"
更改下列內容:
- 將
<var>ORGANIZATION_ID</var>改成您的機構 ID。如要擷取機構 ID 和專案 ID,請參閱「擷取機構 ID」。 - 將
<var>SOURCE_ID</var>替換為安全來源的 ID。如要找出來源 ID,請參閱「取得來源 ID」。 <var>FINDING_ID</var>,並提供發現項目詳細資料中包含的發現項目 ID。
取得資產擁有者
如要列出資產擁有者,請使用 Cortex XSOAR 的 google-cloud-scc-asset-owner-get 指令。您必須以 projects/PROJECT_NUMBER 的形式提供專案名稱。舉例來說,下列指令會列出所提供專案的擁有者。
!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"
如要在指令中新增多個專案,請使用半形逗號分隔,例如:projectName="projects/123456789, projects/987654321"