将 Security Command Center 数据发送到 IBM QRadar

本页面介绍如何自动将 Security Command Center 发现结果、资产、审核日志和安全来源发送到 IBM QRadar。还介绍了如何管理导出的数据。QRadar 是一个安全信息和事件管理 (SIEM) 平台,可从一个或多个来源注入安全数据,并使安全团队能够管理对突发事件的响应并执行实时分析。

在本指南中,您需要确保正确配置所需的 Security Command Center 和 Google Cloud 服务,并使 QRadar 能够访问 Security Command Center 环境中的发现结果、审核日志和资产。

准备工作

本指南假定您使用的是 QRadar(v7.4.1 补丁包 2 或更高版本)。如需开始使用 QRadar,请参阅注册 QRadar

配置身份验证和授权

在连接到 QRadar 之前,您需要在每个要连接的 Google Cloud 组织中创建一个 Identity and Access Management (IAM) 服务账号,并向账号授予 Google SCC App for QRadar 所需的组织级和项目级 IAM 角色。

创建服务账号并授予 IAM 角色

以下步骤使用 Google Cloud 控制台。对于其他方法,请参阅本部分末尾的链接。

对您要从中导入 Security Command Center 数据的每个 Google Cloud 组织完成以下步骤。

  1. 在创建 Pub/Sub 主题的同一项目中,使用 Google Cloud 控制台的服务账号页面创建一个服务账号。如需查看相关说明,请参阅创建和管理服务账号
  2. 授予该服务账号以下角色:

    • Pub/Sub Editor (roles/pubsub.editor)
  3. 复制您刚刚创建的服务账号的名称。

  4. 使用 Google Cloud 控制台中的项目选择器切换到组织级层。

  5. 打开组织的 IAM 页面:

    转到 IAM

  6. 在 IAM 页面上,点击授予访问权限。此时将打开授予访问权限面板。

  7. 授予访问权限面板中,完成以下步骤:

    1. 新的主账号字段的添加主账号部分,粘贴服务账号的名称。
    2. 分配角色部分中,使用角色字段向服务账号授予以下 IAM 角色:

    3. Security Center Admin Editor (roles/securitycenter.adminEditor)
    4. Security Center Notification Configurations Editor (roles/securitycenter.notificationConfigEditor)
    5. Organization Viewer (roles/resourcemanager.organizationViewer)
    6. Cloud Asset Viewer (roles/cloudasset.viewer)
    7. 点击保存。该服务账号会显示在 IAM 页面的权限标签页上的按主账号查看下方。

      通过继承,该服务账号也会成为组织的所有子项目中的主账号。适用于项目级层的角色会列为继承的角色。

如需详细了解如何创建服务账号并授予角色,请参阅以下主题:

向 QRadar 提供凭据

向 QRadar 提供 IAM 凭据的方式有所不同,具体取决于您托管 QRadar 的位置。

配置通知

对您要从中导入 Security Command Center 数据的每个 Google Cloud 组织完成以下步骤。

  1. 设置发现结果通知,如下所示:
    1. 启用 Security Command Center API。
    2. 创建过滤条件以导出所需的发现结果和资产。
    3. 创建三个 Pub/Sub 主题:发现结果、审核日志和资源各一个。NotificationConfig 必须使用您为发现结果创建的 Pub/Sub 主题。
  2. 为审核日志创建接收器,如整理组织级日志并将其路由到支持的目标位置中所述。接收器必须使用您为审核日志创建的 Pub/Sub 主题。例如:

    gcloud logging sinks create SINK_NAME SINK_DESTINATION \
      --include-children \
      --organization=ORGANIZATION_ID \
      --log-filter=FILTER
    

    请替换以下内容:

    • SINK_NAME 替换为审核日志接收器的名称。

    • SINK_DESTINATION - pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

    • ORGANIZATION_ID 替换为您的组织 ID。

    • FILTER 替换为 logName:activitylogName:data_accesslogName:system_eventlogName:policy

  3. 向接收器的服务账号授予 Pub/Sub Publisher (roles/pubsub.publisher) 角色。

  4. 为您的项目启用 Cloud Asset API

  5. 为您的资产创建 Feed。您必须在同一 Pub/Sub 主题中创建两个 Feed,一个用于资源,另一个用于 Identity and Access Management (IAM) 政策。

    • 资产的 Pub/Sub 主题必须与用于发现结果的主题不同。
    • 对于资源的 Feed,请使用以下过滤条件:content-type=resource
    • 对于 IAM 政策 Feed,您必须使用以下过滤条件:content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

您将需要您的组织 ID 和 Pub/Sub 订阅名称来配置 QRadar。

安装适用于 QRadar 的 Google SCC 应用 - QRadar v7.4.1FP2+

在本部分中,您将安装适用于 QRadar 的 Google SCC 应用 - QRadar v7.4.1FP2+ (v3.0.0)。此应用由 Security Command Center 进行维护,可自动安排 Security Command Center API 调用,并定期检索 Security Command Center 数据以在 QRadar 中使用。

应用安装要求通过网页界面访问 QRadar 控制台机器。

如需完成安装,请执行以下操作:

  1. IBM App Exchange 下载 Google SCC App for QRadar。
  2. 登录到 QRadar 控制台 (https://QRadar_Console_IP)。
  3. 在控制台菜单中,点击管理,然后选择扩展程序管理
  4. 要选择下载 zip 文件,请点击添加。准备安装时,请按照提示操作。
  5. 选择为每个应用启动默认实例
  6. 点击 Install(安装)。成功完成安装后,您会看到应用组件列表。
  7. 点击管理标签页,然后点击部署更改
  8. 清除浏览器的缓存并刷新浏览器窗口。
  9. 导航到扩展程序管理。您应该会看到适用于 QRadar 的 Google SCC 应用,其状态为已安装

配置 Google SCC 应用

在本部分中,您将配置 Google SCC 应用。如需完成配置,请执行以下操作:

  1. 导航到 QRadar 中的管理标签页。
  2. 点击 Google SCC 应用设置
  3. 点击添加 Google SCC 组织
  4. 根据需要输入以下变量:

    • Service Account JSON:包含服务账号密钥的 JSON 文件

      如果您在 Google Cloud 中托管 QRadar 部署,则此字段不可用。确保为与虚拟机关联的服务账号提供每个 Google Cloud 组织的 IAM 权限。如需了解详情,请参阅向 QRadar 提供凭据

    • 凭据配置:您在设置工作负载身份联合时下载的凭据配置文件

    • 组织 ID:您的组织的 ID

    • 发现结果订阅名称:用于发现结果通知的 Pub/Sub 订阅名称

    • 资产订阅名称:资产 Feed 的 Pub/Sub 订阅名称

    • 启用审核日志收集:选择以将审核日志发送到您的 QRadar 实例

      • 审核日志订阅名称:审核日志接收器的 Pub/Sub 订阅名称
    • 间隔:实时数据收集期间两次 Pub/Sub 调用之间的秒数

    • QRadar 授权令牌:QRadar 实例的令牌。如需检索令牌,请执行以下操作:

      1. 导航到 QRadar 中的管理标签页。
      2. 用户管理下,点击已获授权的服务
      3. 复制授权令牌,将 Admin 用作用户角色,将 Admin 用作安全配置文件。如果您没有令牌,请点击添加已获授权的服务进行创建。
      4. 点击部署更改,然后刷新浏览器窗口。
  5. 要输入可选代理配置详细信息,请点击启用/停用代理切换开关,然后输入代理设置:

    • IP/主机名:代理服务器的 IP 地址或主机名(请勿包含 HTTP/HTTPS 前缀)
    • 端口:代理服务器的端口
    • 用户名:用于身份验证代理的用户名
    • 密码:用于身份验证代理的密码
  6. 点击保存

  7. 对要集成的每个 Google Cloud 组织重复执行上述步骤。

系统会存储应用配置,并将您的组织添加到应用配置页面。以下部分介绍了如何查看和管理服务中的 Security Command Center 数据。

升级 Google SCC 应用

在本部分中,您需要将现有的适用于 QRadar 的 Google SCC 应用升级到最新版本。

如需完成升级,请执行以下操作:

  1. IBM App Exchange 下载最新版本的 Google SCC 应用。
  2. 登录到 QRadar 控制台 (https://QRadar_Console_IP)。
  3. 在控制台菜单中,点击管理,然后选择扩展程序管理
  4. 要选择下载 zip 文件,请点击添加。准备升级时,请按照提示操作。
  5. 选择 Replace Existing Items(替换现有项)以及 Start a default instance for each app(为每个应用启动默认实例)。
  6. 点击 Install(安装)。成功完成升级后,您会看到应用组件列表。
  7. 点击管理标签页,然后点击部署更改
  8. 清除浏览器的缓存并刷新浏览器窗口。
  9. 导航到扩展程序管理。您应该会看到适用于 QRadar 的 Google SCC 应用,其状态为已安装
  10. 从使用 SSH 从 QRadar 访问应用的用户中移除应用日志:

    1. IBM App Exchange 下载最新版本的 Reference Data Management 应用。

    2. 登录到 QRadar 控制台 (https://QRadar_Console_IP)。

    3. 在控制台菜单中,点击管理,然后选择扩展程序管理

    4. 要选择下载 ZIP 文件,请点击添加。按照提示安装应用。

    5. 在控制台中,前往参考数据管理信息中心。

    6. 点击参考地图

    7. 选择 asset_owners,然后点击清除数据

在 QRadar 中查看导出的数据

本部分介绍 QRadar 中提供的相关功能,包括搜索发现结果、审核日志和资产、查看 IAM 政策,以及查看自定义信息中心。

搜索数据

如需在 QRadar 中搜索 Security Command Center 数据,请使用日志活动面板。您可以查看注入的发现结果、资产、审核日志和安全来源,并应用 SQL 样式的过滤条件来优化数据。

查看 IAM 政策数据

要查看资产的 IAM 政策数据,请执行以下操作:

  1. IBM App Exchange 门户下载并安装 Reference Data Management 应用。
  2. 点击 QRadar 中的参考数据管理信息中心。
  3. 在导航面板中,点击参考地图
  4. 选择 asset_owners。您的 IAM 政策数据将填充到信息中心。

自定义信息中心

您可以使用 QRadar 中的自定义信息中心直观呈现和分析您的发现结果、资产和安全来源。

概览

概览信息中心会显示 Google Cloud 组织中的发现结果、威胁和漏洞的总数。发现结果是根据 Security Command Center 的内置服务(例如 Security Health AnalyticsWeb Security ScannerEvent Threat DetectionContainer Threat Detection)以及您启用的任何集成服务进行编译的。

您可以过滤数据来更新可视化效果、指定 Google Cloud 组织,以及按需提取新数据。

资产

资产标签页显示一个包含您的 Google Cloud 资产的表。表数据包括资产名称、资产类型、资源所有者、上次更新时间,以及指向 Google Cloud Console 中的 Security Command Center 资产页面的链接。

您可以按组织、时间范围和资产类型搜索和过滤资产数据,并深入了解特定资产的结果。

来源

来源标签页会显示一个包含安全来源的表,包括来源名称、来源显示名称和说明。通过点击来源名称,您可以查看该来源的发现结果。

发现结果

发现结果标签页会显示一个包含您的组织的发现结果的表。您可以搜索该表,并按时间范围、类别、严重程度、安全来源、资产和项目名称对列表进行过滤。

表列包括发现结果名称、类别、资产名称、安全来源名称、安全标记、严重程度、项目名称、事件时间、发现结果类和更新状态。如果您点击发现结果名称,系统会将您重定向到 Google Cloud Console 中的 Security Command Center 的发现结果页面,并显示所选发现结果的详细信息。

Update Status(更新状态)列中,您可以更新发现结果的状态。要表明您正在查看发现结果,请点击 Mark as ACTIVE(标记为有效)。如果您没有在查看发现结果,请点击 Mark as INACTIVE(标记为无效)。

审核日志

审核日志信息中心显示一系列图表和表格,其中显示审核日志信息。信息中心中包含的审核日志包括管理员活动、数据访问、系统事件和政策拒绝审核日志。表格包括时间、日志名称、严重程度、服务名称、资源名称和资源类型。

检查应用日志

  1. 通过 SSH 登录 QRadar。
  2. 列出所有已安装的应用及其 App-ID 值:

    /opt/qradar/support/recon ps
    

    输出类似于以下内容:记下 Google SCC 应用的 App-ID

    App-ID  Name                                    Managed Host ID Workload ID             Service Name    AB       Container Name          CDEGH          Port          IJKL
    1101    QRadar Log Source Management            53              apps                    qapp-1101       ++           qapp-1101           +++++          5000          ++++
    1104    QRadar Assistant                        53              apps                    qapp-1104       ++           qapp-1104           +++++          5000          ++++
    1105    QRadar Use Case Manager                 53              apps                    qapp-1105       ++           qapp-1105           +++++          5000          ++++
    1163    IBM QRadar Pre-Validation App Service   53              apps                    qapp-1163       ++           qapp-1163           +++++          5000          ++++
    1164    IBM QRadar Pre-Validation App UI        53              apps                    qapp-1164       ++           qapp-1164           +++++          5000          ++++
    1170    Google SCC                              53              apps                    qapp-1170       ++           qapp-1170           +++++          5000          ++++
    
  3. 连接到 Google SCC 应用容器:

    /opt/qradar/support/recon connect APP_ID
    

    APP_ID 替换为 Google SCC 应用的 App-ID

  4. 转到日志目录:

    cd /opt/app-root/store/log
    
  5. 列出目录中的所有文件:

    ls
    
  6. 查看文件的内容:

    cat FILENAME
    

    FILENAME 替换为该文件的名称。

卸载 Google SCC 应用

如需卸载 Google SCC 应用,请执行以下操作:

  1. 转到管理标签页。
  2. 选择扩展程序管理
  3. 选择 适用于 QRadar 的 Google SCC 应用 - QRadar v7.4.1FP2+
  4. 点击卸载

如果您卸载应用,则会移除 Google SCC 应用提供的自定义事件属性、参考地图、信息中心和日志源。

已知问题

本部分列出了 Google SCC 应用和 QRadar 信息中心的已知问题。

v1.0.0

  • 概览信息中心,按严重程度显示一段时间的发现结果面板显示了数据大于 25 万个发现结果的技术错误,并且会在后台重启信息中心的 Flask 进程。为避免此问题,请为信息中心选择较小的时间范围。

    此问题在 v2.0.0 中已得到解决。

  • 由于 GROUP BY AQL 函数的意外行为,已删除的资产可能会显示在资产信息中心上。

v2.0.0

  • 由于 GROUP BY AQL 函数的意外行为,已删除的资产可能会显示在资产信息中心上。
  • 由于 GROUP BY AQL 函数的意外行为,在您更新 Google SCC 应用后,发现结果信息中心可能不会显示最新的发现结果数据。

v3.0.0

  • 由于 GROUP BY AQL 函数的意外行为,当多个事件具有相同的唯一键时,信息中心可能不会显示最新事件。
  • 对于已使用 v2 提取的数据,组织 ID 过滤条件不适用。您可以选择组织 ID 过滤器中的全部值来查看这些数据。

问题排查

本部分介绍了一些常见问题的解决方案。

Google SCC 事件显示为 Google SCC 消息

问题:Security Command Center 事件将显示为 Security Command Center 消息,而不是标识为正确的 QRadar 类别。当用户从 Google Cloud 日志源搜索事件时,QRadar 中的日志活动标签页会显示消息。

如果原始日志事件中不存在必填字段,或者事件载荷大小超过默认的 4096 字节(可能会导致事件被截断),则会出现此问题。

解决方案:如果载荷被截断,请执行以下步骤来增加载荷大小上限:

  1. 转到管理标签页,然后选择系统设置
  2. 切换到下,点击高级
  3. 在设置列表中,执行以下操作:
    1. 选择 TCP Syslog 载荷长度上限 (Max TCP Syslog Payload Length) 并增加其值;建议的值为 32000。
    2. 选择 UDP Syslog 载荷长度上限 (Max UDP Syslog Payload Length) 并增加其值;建议的值为 32000。
  4. 点击部署更改并使用完全部署选项。

列为未知事件的 Google SCC 事件

问题:Security Command Center 事件被列为未知。当载荷中的事件 ID 和类别未映射到 QRadar 时,会出现此问题。

解决方案:执行以下步骤来解决此问题:

  1. 转到日志活动,然后点击添加过滤条件
  2. 选择参数,然后选择日志源类型(编入索引)
  3. 选择运算符,然后选择等于
  4. 选择日志源类型,然后选择 Google SCC
  5. 视图过滤条件下拉菜单中,选择过去 7 天
  6. 如果事件显示为未知,请执行以下步骤:
    1. 右键点击事件,然后选择在 ASN 编辑器中查看
    2. 日志活动预览下,查看事件 ID事件类别的值。
    3. 如果值未知,请与 Cloud 支持团队联系。

应用配置失败,并显示错误消息

如果您收到应用配置错误,请按照以下步骤解决问题。

错误 说明 解决方案
“请输入有效的服务账号 JSON。” 如果提供了格式正确的 JSON,但在尝试保存配置时身份验证失败,则会发生此错误。 请输入带有正确账号凭据的有效 JSON。
“服务账号 JSON 应为 JSON 字符串。” 如果提供的 JSON 格式不正确,或者文件的格式不是 JSON,则会发生此错误。 请输入有效的 JSON 文件。
“请输入有效的组织 ID。” 当输入的组织 ID 不正确或不完整时,会发生此错误。 请验证您的组织 ID 并重新输入。
“请输入有效的项目 ID 或发现结果订阅 ID。” 当输入的项目 ID 或订阅 ID 不正确或无效时,会发生此错误。 请验证您的项目 ID 和组织 ID,然后重新输入。
“请输入有效的资产订阅 ID。” 当输入的资产订阅 ID 不正确或无效时,会发生此错误。 请验证您的资产订阅 ID,然后重新输入。
“验证授权令牌时出错。” 如果提供的 QRadar 授权令牌不正确或无效,会发生此错误。 验证您的 QRadar 授权令牌,然后重新输入。它必须具有 Admin(作为用户角色)和安全配置文件。令牌也必须是有效的。

使用 QRadar 启动套接字连接时出错

问题:在数据收集日志文件中观察到错误消息,显示“使用 IBM QRadar 启动套接字连接时出错”。此问题可能会在 QRadar v2 应用框架(< v7.4.2 P2)中发现。

解决方案:执行以下步骤来解决此问题:

  1. 查看有关 QRadar 部署更改的支持说明
  2. 升级 QRadar。

接口问题

问题:信息中心面板或配置页面显示错误或意外行为。

解决方案:执行以下步骤来解决此问题:

  1. 清除浏览器缓存并重新加载网页。
  2. 缩短过滤条件的时间范围。如果响应数量过大,QRadar 查询可能会过期。
  3. 如果问题仍然存在,请与 Cloud 支持团队联系。

信息中心面板无法加载,Flask 进程被终止

问题:Flask 进程超时,某些信息中心面板无法加载。

解决方案:执行以下步骤来解决此问题:

  1. 清除浏览器缓存并重新加载网页。
  2. 缩短过滤条件的时间范围。如果响应数量过大,QRadar 查询可能会过期。
  3. 如果问题仍然存在,请与 Cloud 支持团队联系。

所有其他性能问题

如果您的问题未按照本指南中的说明解决,请执行以下操作:

  1. 转到管理标签页,然后点击系统和许可管理
  2. 选择安装了 适用于 QRadar 的 Google SCC 应用 - QRadar v7.4.1FP2+ 的主机。
  3. 点击操作,然后选择收集日志文件
  4. 在对话框中,点击高级选项
  5. 选中包括调试日志应用扩产程序日志设置日志(当前版本)旁边的复选框。
  6. 选择两天作为数据输入,然后点击收集日志文件
  7. 选择点击此处下载文件

    日志文件将下载为 zip 文件。联系 Cloud 支持团队并共享日志文件。

后续步骤