Auf dieser Seite wird erläutert, wie Ergebnisse, Assets und Sicherheitsquellen von Security Command Center automatisch ohne einen Docker-Container an Elastic Stack gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten. Elastic Stack ist eine Plattform für die Informations- und Ereignisverwaltung (SIEM, Security Information and Event Management), die Daten aus einer oder mehreren Quellen aufnimmt und es Sicherheitsteams ermöglicht, Antworten auf Vorfälle zu verwalten und Echtzeitanalysen durchzuführen. Die in dieser Anleitung beschriebene Elastic Stack-Konfiguration umfasst vier Komponenten:
- Filebeat: ein einfacher Agent, der auf Edge-Hosts wie virtuellen Maschinen (VMs) installiert ist, die zum Erfassen und Weiterleiten von Daten konfiguriert werden können
- Logstash: Ein Transformationsdienst, der Daten aufnimmt, sie in erforderliche Felder ordnet und die Ergebnisse an Elasticsearch weiterleitet
- Elasticsearch: Eine Suchdatenbank-Engine, die Daten speichert
- Kibana: unterstützt Dashboards, mit denen Sie Daten visualisieren und analysieren können
Upgrade auf die neueste Version durchführen
Zum Aktualisieren auf die neueste Version müssen Sie ein Docker-Container-Image bereitstellen, das das Modul GoApp
enthält. Weitere Informationen finden Sie unter Assets und Ergebnisse mit Docker und Elastic Stack exportieren.
Führen Sie Folgendes aus, um ein Upgrade auf die neueste Version durchzuführen:
- Löschen Sie
go_script.service
aus//etc/systemd/system/
. - Löschen Sie den Ordner
GoApp
. - Logstash-Konfigurationen löschen
logstash2.service
löschen.- Löschen Sie
filebeat.service
. - Um Probleme beim Importieren der neuen Dashboards zu vermeiden, entfernen Sie optional die vorhandenen Dashboards aus Kibana:
- Öffnen Sie die Kibana-Anwendung.
- Gehen Sie im Navigationsmenü zu Stack Management und klicken Sie dann auf Gespeicherte Objekte.
- Suchen Sie nach Google SCC.
- Wählen Sie alle Dashboards aus, die Sie entfernen möchten.
- Klicken Sie auf Löschen.
- Fügen Sie dem Dienstkonto die Rolle Autor von Logkonfigurationen (
roles/logging.configWriter
) hinzu. - Erstellen Sie ein Pub/Sub-Thema für Ihre Audit-Logs.
- Wenn Sie den Docker-Container in einer anderen Cloud installieren, konfigurieren Sie optional die Workload Identity-Föderation anstelle der Verwendung von Dienstkontenschlüsseln. Sie müssen kurzlebige Anmeldedaten für das Dienstkonto erstellen und die Konfigurationsdatei für die Anmeldedaten herunterladen.
- Führen Sie die Schritte unter GoApp-Modul herunterladen aus.
- Führen Sie die Schritte unter Docker-Container installieren aus.
- Führen Sie die Schritte unter Berechtigungen für Audit-Logs aktualisieren aus.
- Importieren Sie alle Dashboards, wie unter Kibana-Dashboards importieren beschrieben.
Folgen Sie der Anleitung unter Assets und Ergebnisse mit Docker und Elastic Stack exportieren, um Ihre SIEM-Integration zu verwalten.
Dienst und Logs verwalten
In diesem Abschnitt wird erläutert, wie Sie GoApp
-Modullogs aufrufen und Änderungen an der Modulkonfiguration vornehmen.
Dieser Abschnitt gilt nur für das Modul GoApp
, das Sie aus dem Installationspaket GoogleSCCElasticIntegration
installiert haben, das im Februar 2022 verfügbar gemacht wurde. Aktuelle Informationen finden Sie unter Upgrade auf die neueste Version durchführen.
Prüfen Sie den Status des Dienstes:
systemctl | grep go_script
Prüfen Sie die aktuellen Arbeitslogs, die Informationen zu Ausführungsfehlern und andere Dienstinformationen enthalten:
sudo journalctl -f -u go_script.service
Prüfen Sie die bisherigen und aktuellen Arbeitslogs:
sudo journalctl -u go_script.service
So beheben Sie Fehler oder prüfen die Logs von
go_script.service
:cat go.log
GoApp-Modul deinstallieren
Deinstallieren Sie das Modul GoApp
, wenn Sie keine Security Command Center-Daten für Elastic Stack abrufen möchten.
Dieser Abschnitt gilt nur für das Modul GoApp
, das Sie aus dem Installationspaket GoogleSCCElasticIntegration
installiert haben, das im Februar 2022 verfügbar gemacht wurde. Aktuelle Informationen finden Sie unter Upgrade auf die neueste Version durchführen.
- Löschen Sie
go_script.service
aus//etc/systemd/system/
. - Entfernen Sie Feeds für Assets und IAM-Richtlinien.
- Entfernen Sie Pub/Sub für Assets, IAM-Richtlinien und Ergebnisse.
- Löschen Sie das Arbeitsverzeichnis.
Elastic-Stack-Anwendungen konfigurieren
In diesem Abschnitt wird erläutert, wie Elastic Stack-Anwendungen so konfiguriert werden, dass sie Security Command Center-Daten aufnehmen. In der Anleitung wird davon ausgegangen, dass Elastic Stack ordnungsgemäß installiert und aktiviert ist und Sie in der Anwendungsumgebung Root-Berechtigungen haben.
Dieser Abschnitt gilt nur für das Modul GoApp
, das Sie aus dem Installationspaket GoogleSCCElasticIntegration
installiert haben, das im Februar 2022 verfügbar gemacht wurde. Aktuelle Informationen finden Sie unter Upgrade auf die neueste Version durchführen.
Logstash-Dienstlogs ansehen
Führen Sie den folgenden Befehl aus, um aktuelle Logs aufzurufen:
sudo journalctl -f -u logstash2.service
Führen Sie den folgenden Befehl aus, um Verlaufslogs anzuzeigen:
sudo journalctl -u logstash2.service
Dienst deinstallieren
- Logstash-Konfigurationen löschen
logstash2.service
löschen.
Filebeat einrichten
Dieser Abschnitt gilt nur für das Modul GoApp
, das Sie aus dem Installationspaket GoogleSCCElasticIntegration
installiert haben, das im Februar 2022 verfügbar gemacht wurde. Aktuelle Informationen finden Sie unter Upgrade auf die neueste Version durchführen.
Filebeat-Dienstlogs ansehen
Führen Sie den folgenden Befehl aus, um aktuelle Logs aufzurufen:
sudo journalctl -f -u filebeat.service
Führen Sie den folgenden Befehl aus, um Verlaufslogs anzuzeigen:
sudo journalctl -u filebeat.service
Dienst deinstallieren
- Logstash-Konfigurationen löschen
filebeat.service
löschen.
Kibana-Dashboards ansehen
Sie können benutzerdefinierte Dashboards in Elastic Stack verwenden, um Ihre Ergebnisse, Assets und Sicherheitsquellen zu visualisieren und zu analysieren. Die Dashboards enthalten wichtige Ergebnisse und helfen Ihrem Sicherheitsteam, Priorisierungen vorzunehmen.
Dieser Abschnitt gilt nur für das Modul GoApp
, das Sie aus dem Installationspaket GoogleSCCElasticIntegration
installiert haben, das im Februar 2022 verfügbar gemacht wurde. Aktuelle Informationen finden Sie unter Upgrade auf die neueste Version durchführen.
Überblick
Das Dashboard Übersicht enthält eine Reihe von Diagrammen, in denen die Gesamtzahl der Ergebnisse in Ihrer Organisation nach Schweregrad, Kategorie und Status angezeigt wird. Die Ergebnisse werden aus den integrierten Diensten von Security Command Center kompiliert: Security Health Analytics, Web Security Scanner, Event Threat Detection und Container Threat Detection sowie alle integrierten Dienste, die Sie aktivieren.
Zusätzliche Diagramme zeigen, welche Kategorien, Projekte und Assets die meisten Ergebnisse generieren.
Assets
Im Dashboard Assets werden Tabellen mit Ihren Google Cloud-Assets angezeigt. In den Tabellen werden die Asset-Inhaber, die Anzahl der Assets nach Ressourcentyp und Projekten sowie die zuletzt hinzugefügten und aktualisierten Assets angezeigt.
Sie können Asset-Daten nach Zeitraum, Ressourcenname, Ressourcentyp, Inhaber und Projekt filtern und schnell nach Ergebnissen für bestimmte Assets aufschlüsseln. Wenn Sie auf einen Asset-Namen klicken, werden Sie in der Google Cloud Console zur Seite Assets des Security Command Center weitergeleitet und sehen Details zum ausgewählten Asset.
Ergebnisse
Das Dashboard Ergebnisse enthält eine Tabelle mit den neuesten Ergebnissen. Sie können die Daten nach Ressourcenname, Kategorie und Schweregrad filtern.
Tabellenspalten umfassen den Namen der Suche im Format organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>
, Kategorie, Ressourcenname, Ereigniszeit, Erstellungszeit, übergeordneter Name, übergeordneter URI und Sicherheitsmarkierungen. Das Format des übergeordneten URI entspricht dem Ergebnisnamen. Wenn Sie auf einen Ergebnisnamen klicken, werden Sie in der Google Cloud Console zur Seite Ergebnisse von Security Command Center weitergeleitet und sehen Details zum ausgewählten Ergebnis.
Quellen
Im Dashboard Quellen werden die Gesamtzahl der Ergebnisse und Sicherheitsquellen, die Anzahl der Ergebnisse nach Quellname und eine Tabelle aller Sicherheitsquellen angezeigt. Tabellenspalten enthalten den Namen, den Anzeigenamen und die Beschreibung.
Dashboards bearbeiten
Spalten hinzufügen
- Rufen Sie ein Dashboard auf.
- Klicken Sie auf Bearbeiten und dann auf Visualisierung bearbeiten.
- Wählen Sie unter Sub-Bucket hinzufügen die Option Zeilen aufteilen aus.
- Wählen Sie in der Liste die Aggregation aus.
- Wählen Sie im Drop-down-Menü Absteigend die Option aufsteigend oder absteigend aus. Geben Sie im Feld Größe die maximale Anzahl von Zeilen für die Tabelle ein.
- Wählen Sie die Spalte aus, die Sie hinzufügen möchten.
- Speichern Sie die Änderungen.
Spalten entfernen
- Gehen Sie zum Dashboard.
- Klicken Sie auf Bearbeiten.
- Klicken Sie zum Ausblenden von Spalten neben dem Spaltennamen auf das Sichtbarkeits- oder Augensymbol. Klicken Sie zum Entfernen der Spalte neben dem Spaltennamen auf das Symbol X oder "Löschen".
Nächste Schritte
Führen Sie ein Upgrade auf die neueste Version durch, um Security Command Center in Elastic Stack zu integrieren.
Weitere Informationen zum Einrichten von Ergebnisbenachrichtigungen in Security Command Center.
Weitere Informationen zum Filtern von Ergebnisbenachrichtigungen in Security Command Center.