將 Security Command Center 資料傳送至 IBM QRadar

本頁說明如何自動將 Security Command Center 發現項目、資產、稽核記錄和安全來源傳送至 IBM QRadar。同時也會說明如何管理匯出的資料。QRadar 是一種安全資訊與事件管理 (SIEM) 平台,可從一或多個來源擷取安全資料,並讓安全團隊管理事件回應及執行即時分析。

在本指南中,您會確保必要的 Security Command Center 和 Google Cloud 服務 已正確設定,並允許 QRadar 存取 Security Command Center 環境中的發現項目、稽核記錄和資產。

事前準備

本指南假設您使用 QRadar (7.4.1 版修正套件 2 以上版本)。如要開始使用 QRadar,請參閱註冊 QRadar

設定驗證和授權

如要連線至 QRadar,您必須在每個要連線的 Google Cloud 機構中建立 Identity and Access Management (IAM) 服務帳戶,並授予該帳戶 Google SCC App for QRadar 需要的機構層級和專案層級 IAM 角色。

建立服務帳戶並授予 IAM 角色

下列步驟使用 Google Cloud 控制台。如要瞭解其他方法,請參閱本節結尾的連結。

針對要匯入 Security Command Center 資料的每個 Google Cloud 機構,完成下列步驟。

  1. 在您建立 Pub/Sub 主題的專案中,使用 Google Cloud 控制台的「Service Accounts」(服務帳戶)頁面建立服務帳戶。如需操作說明,請參閱「建立及管理服務帳戶」。

  2. 將下列角色授予服務帳戶:

    • Pub/Sub 編輯者 (roles/pubsub.editor)

  3. 複製您剛建立的服務帳戶名稱。

  4. 使用 Google Cloud 控制台中的專案選取器,切換至機構層級。

  5. 開啟機構的「IAM」IAM頁面:

    前往身分與存取權管理頁面

  6. 在「IAM」頁面中,按一下「授予存取權」。「授予存取權」面板隨即開啟。

  7. 在「授予存取權」面板中,完成下列步驟:

    1. 在「新增主體」欄位的「新增主體」部分中,貼上服務帳戶名稱。

    2. 在「指派角色」部分,使用「角色」欄位將下列 IAM 角色授予服務帳戶:

    3. 安全中心管理員編輯者 (roles/securitycenter.adminEditor)
    4. 安全中心通知設定編輯者 (roles/securitycenter.notificationConfigEditor)
    5. 機構檢視者 (roles/resourcemanager.organizationViewer)
    6. Cloud Asset Viewer (roles/cloudasset.viewer)

    7. 按一下 [儲存]。服務帳戶會顯示在「依主體查看」下「IAM」頁面的「權限」分頁中

      透過繼承,服務帳戶也會成為機構所有子專案中的主體。適用於專案層級的角色會列為已繼承的角色。

如要進一步瞭解如何建立服務帳戶及授予角色,請參閱下列主題:

向 QRadar 提供憑證

提供 IAM 憑證給 QRadar 的方式,取決於您代管 QRadar 的位置。

  • 如果您在 Google Cloud中代管 QRadar 部署作業,請考量下列事項:

    • 您建立的服務帳戶和授予的機構層級角色,會自動從上層機構繼承。如果您使用多個 Google Cloud 機構,請將這個服務帳戶新增至其他機構,並授予「建立服務帳戶並授予 IAM 角色」一文步驟 5 至 7 中所述的 IAM 角色。

    • 如果您在服務範圍內部署 QRadar,請建立 Ingress 和 Egress 規則。如需操作說明,請參閱「在 VPC Service Controls 中授予範圍存取權」。

  • 如果您是在地端環境或 IBM Cloud 中代管 QRadar,請為每個 Google Cloud 機構建立服務帳戶金鑰。您需要 JSON 格式的服務帳戶金鑰,才能完成本指南。

  • 如果您在 Microsoft Azure 或 Amazon Web Services 中代管 QRadar,請設定 Workload Identity 聯盟,並下載憑證設定檔。如果您使用多個 Google Cloud 機構,請將這個服務帳戶新增至其他機構,並授予「建立服務帳戶並授予 IAM 角色」一文步驟 5 至 7 中所述的 IAM 角色。

設定通知

針對要匯入 Security Command Center 資料的每個 Google Cloud 機構,完成下列步驟。

  1. 請按照下列步驟設定尋找通知
    1. 啟用 Security Command Center API。
    2. 建立篩選器,匯出所需發現項目和資產。
    3. 建立三個 Pub/Sub 主題:分別用於發現項目、稽核記錄和資產。NotificationConfig 必須使用您為發現項目建立的 Pub/Sub 主題。

  2. 如要建立稽核記錄的接收器,請參閱「彙整機構層級記錄並轉送至支援的目的地」。接收器必須使用您為稽核記錄建立的 Pub/Sub 主題。例如:

    gcloud logging sinks create SINK_NAME SINK_DESTINATION \
  --include-children \
  --organization=ORGANIZATION_ID \
  --log-filter=FILTER

    更改下列內容:

    • SINK_NAME 替換為稽核記錄接收器的名稱。

    • SINK_DESTINATIONpubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

    • ORGANIZATION_ID 替換為貴機構的 ID。

    • FILTER 搭配 logName:activitylogName:data_accesslogName:system_eventlogName:policy

  3. 將 Pub/Sub 發布者 (roles/pubsub.publisher) 角色授予接收器的服務帳戶。

  4. 為專案啟用 Cloud Asset API

  5. 為資產建立動態饋給。您必須在同一個 Pub/Sub 主題中建立兩個動態消息,一個用於資源,另一個用於身分與存取權管理 (IAM) 政策。

    • 資產的 Pub/Sub 主題必須與用於調查結果的主題不同。
    • 如要取得資源的動態饋給,請使用下列篩選器: content-type=resource
    • 如要使用 IAM 政策動態消息,請務必使用下列篩選條件: content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

如要設定 QRadar,您需要機構 ID 和 Pub/Sub 訂閱項目名稱。

安裝適用於 QRadar 的 Google SCC 應用程式 - QRadar v7.4.1FP2 以上版本

在本節中,您將安裝適用於 QRadar 的 Google SCC 應用程式 - QRadar v7.4.1FP2+ (v3.0.0)。這個應用程式由 Security Command Center 維護,可自動排定 Security Command Center API 呼叫作業,並定期擷取 Security Command Center 資料,供 QRadar 使用。

如要安裝應用程式,必須透過網頁介面存取 QRadar 控制台電腦。

如要完成安裝,請按照下列步驟操作:

  1. IBM App Exchange 下載 QRadar 適用的 Google SCC 應用程式。
  2. 前往 https://QRadar_Console_IP 登入 QRadar 控制台。
  3. 在控制台選單中,按一下「管理」,然後選取「擴充功能管理」
  4. 如要選取下載的 ZIP 檔案,請按一下「新增」。按照提示操作,準備安裝程序。
  5. 選取「為每個應用程式啟動預設執行個體」
  6. 按一下「安裝」。安裝完成後,您會看到應用程式元件清單。
  7. 按一下「管理」分頁,然後點選「部署變更」
  8. 清除瀏覽器快取,然後重新整理瀏覽器視窗。
  9. 前往「擴充功能管理」。畫面上應會顯示「Google SCC App For QRadar」,狀態為「已安裝」。

設定 Google SCC 應用程式

在本節中,您將設定 Google SCC 應用程式。如要完成設定,請執行下列操作:

  1. 前往 QRadar 的「管理」分頁。
  2. 按一下「Google SCC 應用程式設定」
  3. 按一下「新增 Google SCC 機構」

  4. 視需要輸入下列變數:

    • 服務帳戶 JSON:包含服務帳戶金鑰的 JSON 檔案

      如果您在 Google Cloud中代管 QRadar 部署作業,則無法使用這個欄位。請務必提供連結至 VM 的服務帳戶,並為每個 Google Cloud 機構授予 IAM 權限。詳情請參閱「向 QRadar 提供憑證」。

    • 憑證設定:設定 workload identity federation 時下載的憑證設定檔

    • 機構 ID:機構的 ID

    • 發現項目訂閱項目名稱:發現項目通知的 Pub/Sub 訂閱項目名稱

    • 資產訂閱項目名稱:資產動態饋給的 Pub/Sub 訂閱項目名稱

    • 啟用稽核記錄收集功能:選取這個選項,將稽核記錄傳送至 QRadar 執行個體

      • 稽核記錄訂閱項目名稱:稽核記錄接收器的 Pub/Sub 訂閱項目名稱

    • 間隔:即時資料收集期間,Pub/Sub 呼叫之間的時間間隔 (以秒為單位)

    • QRadar 授權權杖:QRadar 執行個體的權杖。如要擷取權杖,請按照下列步驟操作:

      1. 前往 QRadar 的「管理」分頁。
      2. 在「使用者管理」下方,按一下「授權服務」
      3. 以「管理員」做為使用者角色,並以「管理員」做為安全設定檔,複製授權權杖。如果沒有權杖,請按一下「新增授權服務」建立權杖。
      4. 按一下「Deploy changes」(部署變更),然後重新整理瀏覽器視窗。

  5. 如要輸入選用的 Proxy 設定詳細資料,請按一下「啟用/停用 Proxy」切換鈕,然後輸入 Proxy 設定:

    • IP/主機名稱:Proxy 伺服器的 IP 位址或主機名稱 (請勿加入 HTTP/HTTPS 前置字元)
    • 通訊埠:Proxy 伺服器的通訊埠
    • 使用者名稱:用於驗證 Proxy 的使用者名稱
    • 「Password」(密碼):用於驗證 Proxy 的密碼

  6. 按一下 [儲存]

  7. 針對要整合的每個機構重複執行這些步驟。 Google Cloud

系統會儲存應用程式設定,並將您的機構新增至應用程式設定頁面。下列各節說明如何在服務中查看及管理 Security Command Center 資料。

升級 Google SCC 應用程式

在本節中,您將現有的 Google SCC App for QRadar 升級至最新版本。

如要完成升級,請按照下列步驟操作:

  1. IBM App Exchange 下載最新版的 Google SCC 應用程式。
  2. 前往 https://QRadar_Console_IP 登入 QRadar 控制台。
  3. 在控制台選單中,按一下「管理」,然後選取「擴充功能管理」
  4. 如要選取下載的 ZIP 檔案,請按一下「新增」。按照提示操作,準備升級。
  5. 選取「取代現有項目」和「為每個應用程式啟動預設執行個體」
  6. 按一下「安裝」。升級程序順利完成後,您會看到應用程式元件清單。
  7. 按一下「管理」分頁,然後點選「部署變更」
  8. 清除瀏覽器快取,然後重新整理瀏覽器視窗。
  9. 前往「擴充功能管理」。畫面上應會顯示「Google SCC App For QRadar」,狀態為「已安裝」。

  10. 從透過 SSH 從 QRadar 存取應用程式的使用者中移除應用程式記錄:

    1. IBM App Exchange 下載最新版的 Reference Data Management 應用程式。

    2. 前往 https://QRadar_Console_IP 登入 QRadar 控制台。

    3. 在控制台選單中,按一下「管理」,然後選取「擴充功能管理」

    4. 如要選取下載的 ZIP 檔案,請按一下「新增」。按照提示安裝應用程式。

    5. 在主控台中,前往「Reference Data Management」資訊主頁。

    6. 按一下「參考地圖」

    7. 選取「asset_owners」,然後按一下「清除資料」

在 QRadar 中查看匯出的資料

本節說明 QRadar 中可用的相關功能,包括搜尋調查結果、稽核記錄和資產、查看 IAM 政策,以及查看自訂資訊主頁。

搜尋資料

如要在 QRadar 中搜尋 Security Command Center 資料,請使用「記錄活動」面板。 您可以查看擷取的發現項目、資產、稽核記錄和安全性來源,並套用 SQL 樣式的篩選器來精簡資料。

查看 IAM 政策資料

如要查看資產的身分與存取權管理政策資料,請按照下列步驟操作:

  1. IBM App Exchange Portal 下載並安裝「Reference Data Management」應用程式。
  2. 在 QRadar 中按一下「Reference Data Management」(參考資料管理) 資訊主頁。
  3. 在導覽面板中,按一下「參考地圖」
  4. 選取「asset_owners」asset_owners。資訊主頁會填入您的 IAM 政策資料。

自訂資訊主頁

您可以在 QRadar 中使用自訂資訊主頁,以視覺化方式呈現及分析發現項目、資產和安全性來源。

總覽

「總覽」資訊主頁會顯示 Google Cloud 機構中的發現項目、威脅和安全漏洞總數。發現結果是從 Security Command Center 的內建服務 (例如安全狀態分析Web Security ScannerEvent Threat DetectionContainer Threat Detection) 彙整而來,以及您啟用的任何整合式服務。

您可以篩選資料來更新視覺化效果、指定 Google Cloud 機構,以及視需要擷取新資料。

資產

「資產」分頁會顯示資產表格。 Google Cloud 表格資料包括資產名稱、資產類型、資源擁有者、上次更新時間,以及在 Google Cloud 控制台中連結至 Security Command Center「資產」頁面的連結。

您可以依機構、時間範圍和資產類型搜尋及篩選資產資料,並深入瞭解特定資產的調查結果。

來源

「來源」分頁會顯示安全來源的表格,包括來源名稱、來源顯示名稱和說明。按一下來源名稱,即可查看該來源的調查結果。

發現項目

「Findings」(發現項目) 分頁會顯示貴機構的發現項目表格。您可以搜尋資料表,並依時間範圍、類別、嚴重性、安全性來源、資產和專案名稱篩選清單。

表格欄包括發現項目名稱、類別、資產名稱、安全來源名稱、安全標記、嚴重程度、專案名稱、事件時間、發現項目類別和更新狀態。按一下發現項目名稱,系統會將您重新導向至Google Cloud 控制台的 Security Command Center「發現項目」頁面,並顯示所選發現項目的詳細資料。

您可以在「更新狀態」欄中更新發現項目的狀態。如要指出您正在積極審查發現項目,請按一下「標示為有效」。如果您目前未主動審查發現項目,請按一下「標示為非使用中」

稽核記錄

「稽核記錄」資訊主頁會顯示一系列圖表和表格,說明稽核記錄資訊。資訊主頁中包含的稽核記錄有:管理員活動、資料存取、系統事件和政策遭拒的稽核記錄。表格會顯示時間、記錄檔名稱、嚴重程度、服務名稱、資源名稱和資源類型。

檢查應用程式記錄

  1. 透過 SSH 登入 QRadar。

  2. 列出所有已安裝的應用程式及其 App-ID 值:

    /opt/qradar/support/recon ps

    輸出結果大致如下。請記下 App-ID 應用程式的 Google SCC

    App-ID  Name                                    Managed Host ID Workload ID             Service Name    AB       Container Name          CDEGH          Port          IJKL
1101    QRadar Log Source Management            53              apps                    qapp-1101       ++           qapp-1101           +++++          5000          ++++
1104    QRadar Assistant                        53              apps                    qapp-1104       ++           qapp-1104           +++++          5000          ++++
1105    QRadar Use Case Manager                 53              apps                    qapp-1105       ++           qapp-1105           +++++          5000          ++++
1163    IBM QRadar Pre-Validation App Service   53              apps                    qapp-1163       ++           qapp-1163           +++++          5000          ++++
1164    IBM QRadar Pre-Validation App UI        53              apps                    qapp-1164       ++           qapp-1164           +++++          5000          ++++
1170    Google SCC                              53              apps                    qapp-1170       ++           qapp-1170           +++++          5000          ++++

  3. 連線至 Google SCC 應用程式容器:

    /opt/qradar/support/recon connect APP_ID

    APP_ID 替換為 Google SCC 應用程式的 App-ID

  4. 前往記錄目錄:

    cd /opt/app-root/store/log

  5. 列出目錄中的所有檔案:

    ls

  6. 查看檔案內容:

    cat FILENAME

    FILENAME 換成檔案名稱。

解除安裝 Google SCC 應用程式

如要解除安裝 Google SCC 應用程式,請按照下列步驟操作:

  1. 前往「管理」分頁。
  2. 選取「擴充功能管理」
  3. 選取「Google SCC App For QRadar - QRadar v7.4.1FP2+」
  4. 按一下「解除安裝」

如果解除安裝應用程式,Google SCC 應用程式提供的自訂事件屬性、參照地圖、資訊主頁和記錄來源就會移除。

已知問題

本節列出 Google SCC 應用程式和 QRadar 資訊主頁的已知問題。

1.0.0 版

  • 在「總覽」資訊主頁中,如果「依嚴重程度顯示一段時間內的結果」面板的資料超過 25 萬筆結果,就會顯示技術錯誤,且後端會重新啟動負責填入資訊主頁的 Flask 程序。如要避免這個問題,請為資訊主頁選取較小的時間範圍。

    這個問題已在 2.0.0 版中解決。

  • 由於 GROUP BY AQL 函式發生非預期行為,已刪除的資產可能會顯示在「資產」資訊主頁上。

v2.0.0

  • 由於 GROUP BY AQL 函式發生非預期行為,已刪除的資產可能會顯示在「資產」資訊主頁上。
  • 更新 Google SCC 應用程式後,「發現」資訊主頁可能不會顯示最新的發現資料,因為 GROUP BY AQL 函式發生非預期行為。

v3.0.0

  • 如果有多個事件使用相同的專屬鍵,由於 GROUP BY AQL 函式發生非預期行為,資訊主頁可能不會顯示最新事件。
  • 如果資料已使用第 2 版擷取,則不適用「機構 ID」篩選器。如要查看資料,請在「機構 ID」篩選器中選取「全部」值。

疑難排解

本節說明一些常見問題的解決方法。

Google SCC 事件會顯示為 Google SCC 訊息

問題:Security Command Center 事件會顯示為 Security Command Center 訊息,而非正確的 QRadar 類別。當使用者從 Google Cloud 記錄來源搜尋事件時,QRadar 的「記錄活動」分頁會顯示訊息。

如果原始記錄事件缺少必要欄位,或是事件酬載大小超過預設的 4,096 位元組,就可能發生這個問題,導致事件遭到截斷。

解決方法:如果酬載遭到截斷,請按照下列步驟增加酬載大小上限:

  1. 前往「管理」分頁,然後選取「系統設定」
  2. 在「切換至」下方,按一下「進階」
  3. 在設定清單中,執行下列操作:
    1. 選取「Max TCP Syslog Payload Length」並增加其值;建議值為 32,000。
    2. 選取「Max UDP Syslog Payload Length」(UDP Syslog 酬載長度上限),然後增加其值;建議值為 32,000。
  4. 按一下「Deploy changes」(部署變更),然後使用「Full Deploy」(完整部署) 選項。

Google SCC 事件顯示為不明事件

問題:Security Command Center 事件列為「Unknown」(不明)。如果 QRadar 未對應酬載中的事件 ID 和類別,就會發生這個問題。

解決方法:請按照下列步驟修正這個問題:

  1. 前往「記錄活動」,然後按一下「新增篩選器」
  2. 選取「Parameter」(參數),然後選取「Log Source Type (Indexed)」(記錄來源類型 (已建立索引))
  3. 選取「運算子」,然後選取「等於」
  4. 選取「記錄來源類型」,然後選取「Google SCC」
  5. 在「資料檢視」篩選器下拉式選單中,選取「過去 7 天」
  6. 如果事件顯示為「不明」,請按照下列步驟操作:
    1. 在事件上按一下滑鼠右鍵,然後選取「在 DSM 編輯器中查看」
    2. 在「記錄活動預覽」下方,檢查「活動 ID」和「活動類別」的值。
    3. 如果值不明,請與 Cloud 支援團隊聯絡。

應用程式設定失敗並顯示錯誤訊息

如果收到應用程式設定錯誤訊息,請按照下列步驟修正問題。

錯誤 說明 解決方案
「請輸入有效的服務帳戶 JSON。」 如果提供格式正確的 JSON,但嘗試儲存設定時驗證失敗,就會發生這個錯誤。 請輸入有效的 JSON,並提供正確的帳戶憑證。
「服務帳戶 JSON 應為 JSON 字串。」 如果提供的 JSON 格式不正確,或檔案不是 JSON 格式,就會發生這個錯誤。 請輸入有效的 JSON 檔案。
「請輸入有效的機構 ID」。 如果輸入的機構 ID 有誤或不完整,就會發生這項錯誤。 確認機構 ID,然後重新輸入。
「請輸入有效的專案 ID 或發現項目訂閱 ID。」 如果輸入的專案 ID 或訂閱 ID 不正確或無效,就會發生這項錯誤。 確認專案 ID 和機構 ID,然後重新輸入。
「請輸入有效的資產訂閱 ID。」 如果輸入的資產訂閱 ID 不正確或無效,就會發生這項錯誤。 確認資產訂閱 ID,然後重新輸入。
「Error while validating authorization token.」 如果提供的 QRadar 授權權杖有誤或無效,就會發生這項錯誤。 請確認 QRadar 授權權杖,然後重新輸入。使用者角色和安全性設定檔必須為「管理員」。符記也必須在有效期限內。

與 QRadar 建立 Socket 連線時發生錯誤

問題:資料收集記錄檔中出現錯誤訊息「Error while initiating socket connection with IBM QRadar」。在 QRadar v2 應用程式架構 (低於 v7.4.2 P2) 中,可能會出現這個問題。

解決方法:請按照下列步驟修正這個問題:

  1. 請參閱有關 QRadar 部署變更的支援附註
  2. 升級 QRadar。

介面問題

問題:資訊主頁面板或設定頁面顯示錯誤或非預期行為。

解決方法:請按照下列步驟修正這個問題:

  1. 清除瀏覽器快取,然後重新載入網頁。
  2. 縮短篩選器的時間範圍。如果回應數量過多,QRadar 查詢可能會過期。
  3. 如果問題仍未解決,請與 Cloud 支援團隊聯絡。

無法載入資訊主頁面板,且 Flask 程序遭到終止

問題:Flask 程序逾時,部分資訊主頁面板無法載入。

解決方法:請按照下列步驟修正這個問題:

  1. 清除瀏覽器快取,然後重新載入網頁。
  2. 縮短篩選器的時間範圍。如果回應數量過多,QRadar 查詢可能會過期。
  3. 如果問題仍未解決,請與 Cloud 支援團隊聯絡。

所有其他效能問題

如果按照本指南的指示操作後仍無法解決問題,請採取下列行動:

  1. 前往「管理」分頁,然後按一下「系統和授權管理」
  2. 選取已安裝「Google SCC App For QRadar - QRadar v7.4.1FP2+」的主機。
  3. 按一下「動作」,然後選取「收集記錄檔」
  4. 在對話方塊中,按一下「進階選項」
  5. 勾選「Include Debug Logs」(包含偵錯記錄)、「Application Extension Logs」(應用程式擴充功能記錄) 和「Setup Logs (Current Version)」(設定記錄 (目前版本)) 旁邊的核取方塊。
  6. 選取兩天做為資料輸入,然後按一下「Collect Log Files」(收集記錄檔)

  7. 選取「按這裡下載檔案」

    系統會將記錄檔下載為 ZIP 檔案。請與 Cloud 支援團隊聯絡,並分享記錄檔。

後續步驟

  • 進一步瞭解如何在 Security Command Center 中設定發現項目通知

  • 請參閱這篇文章,瞭解如何在 Security Command Center 中篩選發現項目通知。