Security Command Center-Daten an Elastic Stack senden

Auf dieser Seite wird erläutert, wie Ergebnisse, Assets und Sicherheitsquellen von Security Command Center automatisch ohne einen Docker-Container an Elastic Stack gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten. Elastic Stack ist eine Plattform für die Informations- und Ereignisverwaltung (SIEM, Security Information and Event Management), die Daten aus einer oder mehreren Quellen aufnimmt und es Sicherheitsteams ermöglicht, Antworten auf Vorfälle zu verwalten und Echtzeitanalysen durchzuführen. Die in dieser Anleitung beschriebene Elastic Stack-Konfiguration umfasst vier Komponenten:

  • Filebeat: ein einfacher Agent, der auf Edge-Hosts wie virtuellen Maschinen (VMs) installiert ist, die zum Erfassen und Weiterleiten von Daten konfiguriert werden können
  • Logstash: Ein Transformationsdienst, der Daten aufnimmt, sie in erforderliche Felder ordnet und die Ergebnisse an Elasticsearch weiterleitet
  • Elasticsearch: Eine Suchdatenbank-Engine, die Daten speichert
  • Kibana: unterstützt Dashboards, mit denen Sie Daten visualisieren und analysieren können

Upgrade auf die neueste Version durchführen

Zum Aktualisieren auf die neueste Version müssen Sie ein Docker-Container-Image bereitstellen, das das Modul GoApp enthält. Weitere Informationen finden Sie unter Assets und Ergebnisse mit Docker und Elastic Stack exportieren.

Führen Sie Folgendes aus, um ein Upgrade auf die neueste Version durchzuführen:

  1. Löschen Sie go_script.service aus //etc/systemd/system/.
  2. Löschen Sie den Ordner GoApp.
  3. Logstash-Konfigurationen löschen
  4. logstash2.service löschen.
  5. Löschen Sie filebeat.service.
  6. Um Probleme beim Importieren der neuen Dashboards zu vermeiden, entfernen Sie optional die vorhandenen Dashboards aus Kibana:
    1. Öffnen Sie die Kibana-Anwendung.
    2. Gehen Sie im Navigationsmenü zu Stack Management und klicken Sie dann auf Gespeicherte Objekte.
    3. Suchen Sie nach Google SCC.
    4. Wählen Sie alle Dashboards aus, die Sie entfernen möchten.
    5. Klicken Sie auf Löschen.
  7. Fügen Sie dem Dienstkonto die Rolle Autor von Logkonfigurationen (roles/logging.configWriter) hinzu.
  8. Erstellen Sie ein Pub/Sub-Thema für Ihre Audit-Logs.
  9. Wenn Sie den Docker-Container in einer anderen Cloud installieren, konfigurieren Sie optional die Workload Identity-Föderation anstelle der Verwendung von Dienstkontenschlüsseln. Sie müssen kurzlebige Anmeldedaten für das Dienstkonto erstellen und die Konfigurationsdatei für die Anmeldedaten herunterladen.
  10. Führen Sie die Schritte unter GoApp-Modul herunterladen aus.
  11. Führen Sie die Schritte unter Docker-Container installieren aus.
  12. Führen Sie die Schritte unter Berechtigungen für Audit-Logs aktualisieren aus.
  13. Importieren Sie alle Dashboards, wie unter Kibana-Dashboards importieren beschrieben.

Folgen Sie der Anleitung unter Assets und Ergebnisse mit Docker und Elastic Stack exportieren, um Ihre SIEM-Integration zu verwalten.

Dienst und Logs verwalten

In diesem Abschnitt wird erläutert, wie Sie GoApp-Modullogs aufrufen und Änderungen an der Modulkonfiguration vornehmen.

Dieser Abschnitt gilt nur für das Modul GoApp, das Sie aus dem Installationspaket GoogleSCCElasticIntegration installiert haben, das im Februar 2022 verfügbar gemacht wurde. Aktuelle Informationen finden Sie unter Upgrade auf die neueste Version durchführen.

  1. Prüfen Sie den Status des Dienstes:

      systemctl | grep go_script
    
  2. Prüfen Sie die aktuellen Arbeitslogs, die Informationen zu Ausführungsfehlern und andere Dienstinformationen enthalten:

      sudo journalctl -f -u go_script.service
    
  3. Prüfen Sie die bisherigen und aktuellen Arbeitslogs:

      sudo journalctl -u go_script.service
    
  4. So beheben Sie Fehler oder prüfen die Logs von go_script.service:

      cat go.log
    

GoApp-Modul deinstallieren

Deinstallieren Sie das Modul GoApp, wenn Sie keine Security Command Center-Daten für Elastic Stack abrufen möchten.

Dieser Abschnitt gilt nur für das Modul GoApp, das Sie aus dem Installationspaket GoogleSCCElasticIntegration installiert haben, das im Februar 2022 verfügbar gemacht wurde. Aktuelle Informationen finden Sie unter Upgrade auf die neueste Version durchführen.

  1. Löschen Sie go_script.service aus //etc/systemd/system/.
  2. Entfernen Sie Feeds für Assets und IAM-Richtlinien.
  3. Entfernen Sie Pub/Sub für Assets, IAM-Richtlinien und Ergebnisse.
  4. Löschen Sie das Arbeitsverzeichnis.

Elastic-Stack-Anwendungen konfigurieren

In diesem Abschnitt wird erläutert, wie Elastic Stack-Anwendungen so konfiguriert werden, dass sie Security Command Center-Daten aufnehmen. In der Anleitung wird davon ausgegangen, dass Elastic Stack ordnungsgemäß installiert und aktiviert ist und Sie in der Anwendungsumgebung Root-Berechtigungen haben.

Dieser Abschnitt gilt nur für das Modul GoApp, das Sie aus dem Installationspaket GoogleSCCElasticIntegration installiert haben, das im Februar 2022 verfügbar gemacht wurde. Aktuelle Informationen finden Sie unter Upgrade auf die neueste Version durchführen.

Logstash-Dienstlogs ansehen

Führen Sie den folgenden Befehl aus, um aktuelle Logs aufzurufen:

    sudo journalctl -f -u logstash2.service

Führen Sie den folgenden Befehl aus, um Verlaufslogs anzuzeigen:

    sudo journalctl -u logstash2.service

Dienst deinstallieren

  1. Logstash-Konfigurationen löschen
  2. logstash2.service löschen.

Filebeat einrichten

Dieser Abschnitt gilt nur für das Modul GoApp, das Sie aus dem Installationspaket GoogleSCCElasticIntegration installiert haben, das im Februar 2022 verfügbar gemacht wurde. Aktuelle Informationen finden Sie unter Upgrade auf die neueste Version durchführen.

Filebeat-Dienstlogs ansehen

Führen Sie den folgenden Befehl aus, um aktuelle Logs aufzurufen:

    sudo journalctl -f -u filebeat.service

Führen Sie den folgenden Befehl aus, um Verlaufslogs anzuzeigen:

    sudo journalctl -u filebeat.service

Dienst deinstallieren

  1. Logstash-Konfigurationen löschen
  2. filebeat.service löschen.

Kibana-Dashboards ansehen

Sie können benutzerdefinierte Dashboards in Elastic Stack verwenden, um Ihre Ergebnisse, Assets und Sicherheitsquellen zu visualisieren und zu analysieren. Die Dashboards enthalten wichtige Ergebnisse und helfen Ihrem Sicherheitsteam, Priorisierungen vorzunehmen.

Dieser Abschnitt gilt nur für das Modul GoApp, das Sie aus dem Installationspaket GoogleSCCElasticIntegration installiert haben, das im Februar 2022 verfügbar gemacht wurde. Aktuelle Informationen finden Sie unter Upgrade auf die neueste Version durchführen.

Überblick

Das Dashboard Übersicht enthält eine Reihe von Diagrammen, in denen die Gesamtzahl der Ergebnisse in Ihrer Organisation nach Schweregrad, Kategorie und Status angezeigt wird. Die Ergebnisse werden aus den integrierten Diensten von Security Command Center kompiliert: Security Health Analytics, Web Security Scanner, Event Threat Detection und Container Threat Detection sowie alle integrierten Dienste, die Sie aktivieren.

Zusätzliche Diagramme zeigen, welche Kategorien, Projekte und Assets die meisten Ergebnisse generieren.

Assets

Im Dashboard Assets werden Tabellen mit Ihren Google Cloud-Assets angezeigt. In den Tabellen werden die Asset-Inhaber, die Anzahl der Assets nach Ressourcentyp und Projekten sowie die zuletzt hinzugefügten und aktualisierten Assets angezeigt.

Sie können Asset-Daten nach Zeitraum, Ressourcenname, Ressourcentyp, Inhaber und Projekt filtern und schnell nach Ergebnissen für bestimmte Assets aufschlüsseln. Wenn Sie auf einen Asset-Namen klicken, werden Sie in der Google Cloud Console zur Seite Assets des Security Command Center weitergeleitet und sehen Details zum ausgewählten Asset.

Ergebnisse

Das Dashboard Ergebnisse enthält eine Tabelle mit den neuesten Ergebnissen. Sie können die Daten nach Ressourcenname, Kategorie und Schweregrad filtern.

Tabellenspalten umfassen den Namen der Suche im Format organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>, Kategorie, Ressourcenname, Ereigniszeit, Erstellungszeit, übergeordneter Name, übergeordneter URI und Sicherheitsmarkierungen. Das Format des übergeordneten URI entspricht dem Ergebnisnamen. Wenn Sie auf einen Ergebnisnamen klicken, werden Sie in der Google Cloud Console zur Seite Ergebnisse von Security Command Center weitergeleitet und sehen Details zum ausgewählten Ergebnis.

Quellen

Im Dashboard Quellen werden die Gesamtzahl der Ergebnisse und Sicherheitsquellen, die Anzahl der Ergebnisse nach Quellname und eine Tabelle aller Sicherheitsquellen angezeigt. Tabellenspalten enthalten den Namen, den Anzeigenamen und die Beschreibung.

Dashboards bearbeiten

Spalten hinzufügen

  1. Rufen Sie ein Dashboard auf.
  2. Klicken Sie auf Bearbeiten und dann auf Visualisierung bearbeiten.
  3. Wählen Sie unter Sub-Bucket hinzufügen die Option Zeilen aufteilen aus.
  4. Wählen Sie in der Liste die Aggregation aus.
  5. Wählen Sie im Drop-down-Menü Absteigend die Option aufsteigend oder absteigend aus. Geben Sie im Feld Größe die maximale Anzahl von Zeilen für die Tabelle ein.
  6. Wählen Sie die Spalte aus, die Sie hinzufügen möchten.
  7. Speichern Sie die Änderungen.

Spalten entfernen

  1. Gehen Sie zum Dashboard.
  2. Klicken Sie auf Bearbeiten.
  3. Klicken Sie zum Ausblenden von Spalten neben dem Spaltennamen auf das Sichtbarkeits- oder Augensymbol. Klicken Sie zum Entfernen der Spalte neben dem Spaltennamen auf das Symbol X oder "Löschen".

Nächste Schritte