Auf dieser Seite wird erläutert, wie Ergebnisse, Assets, Audit-Logs und Sicherheitsquellen von Security Command Center automatisch an Splunk gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten. Splunk ist eine Plattform des Sicherheits- und Ereignismanagements (SIEM), die Sicherheitsdaten aus einer oder mehreren Quellen aufnimmt und es Sicherheitsteams ermöglicht, Antworten auf Vorfälle zu verwalten und Echtzeitanalysen durchzuführen.
In dieser Anleitung sorgen Sie dafür, dass die erforderlichen Security Command Center- und Google Cloud-Dienste ordnungsgemäß konfiguriert sind. Aktivieren Sie Splunk, um auf Ergebnisse, Audit-Logs und Assetinformationen in Ihrer Security Command Center-Umgebung zuzugreifen.
Hinweise
In diesem Leitfaden wird davon ausgegangen, dass Sie einen der folgenden Geräte verwenden:
Splunk Enterprise Version 8.1, 8.2 oder 9.0
Splunk in Google Cloud, Amazon Web Services oder Microsoft Azure hosten
Authentifizierung und Autorisierung konfigurieren
Bevor Sie eine Verbindung zu Splunk herstellen können, müssen Sie in jeder Google Cloud-Organisation, mit der Sie eine Verbindung herstellen möchten, ein IAM-Dienstkonto (Identity and Access Management) erstellen und dem Konto die IAM-Rollen auf Organisations- und Projektebene zuweisen, die das SCC-Add-on von Google für Splunk benötigt.
Dienstkonto erstellen und IAM-Rollen gewähren
In den folgenden Schritten wird die Google Cloud Console verwendet. Weitere Methoden finden Sie in den Links am Ende dieses Abschnitts.
Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.
- Erstellen Sie in demselben Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, in der Google Cloud Console auf der Seite Dienstkonten ein Dienstkonto. Eine Anleitung dazu finden Sie unter Dienstkonten erstellen und verwalten.
Weisen Sie dem Dienstkonto die folgende Rolle zu:
- Pub/Sub-Bearbeiter (
roles/pubsub.editor
)
- Pub/Sub-Bearbeiter (
Kopieren Sie den Namen des soeben erstellten Dienstkontos.
Verwenden Sie die Projektauswahl in der Google Cloud Console, um zur Organisationsebene zu wechseln.
Öffnen Sie die Seite IAM für die Organisation:
Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Steuerfeld „Zugriff gewähren“ wird geöffnet.
Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:
- Fügen Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.
Weisen Sie im Bereich Rollen zuweisen dem Dienstkonto im Feld Rolle die folgenden IAM-Rollen zu:
- Sicherheitscenter-Administratorbearbeiter (
roles/securitycenter.adminEditor
) - Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters (
roles/securitycenter.notificationConfigEditor
) - Organisationsbetrachter (
roles/resourcemanager.organizationViewer
) - Cloud-Asset-Betrachter (
roles/cloudasset.viewer
) Klicken Sie auf Speichern. Das Dienstkonto wird auf der Seite IAM auf dem Tab Berechtigungen unter Nach Hauptkonten filtern angezeigt.
Durch Vererbung wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation. Die auf Projektebene anwendbaren Rollen werden als übernommene Rollen aufgeführt.
Weitere Informationen zum Erstellen von Dienstkonten und zum Zuweisen von Rollen finden Sie unter den folgenden Links:
Anmeldedaten für Splunk angeben
Je nachdem, wo Sie Splunk hosten, unterscheiden sich die IAM-Anmeldedaten, die Sie für Splunk angeben.
Wenn Sie Splunk in Google Cloud hosten, beachten Sie Folgendes:
Das von Ihnen erstellte Dienstkonto und die zugewiesenen Rollen auf Organisationsebene sind automatisch durch Übernahme von der übergeordneten Organisation verfügbar. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und weisen Sie ihm die IAM-Rollen zu, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen zuweisen beschrieben sind.
Wenn Sie Splunk in einem Dienstperimeter bereitstellen, erstellen Sie die Regeln für eingehenden und ausgehenden Traffic. Eine Anleitung finden Sie unter Perimeterzugriff in VPC Service Controls gewähren.
Wenn Sie Splunk Enterprise in Ihrer lokalen Umgebung hosten, erstellen Sie für jede Google Cloud-Organisation einen Dienstkontoschlüssel. Sie benötigen die Dienstkontoschlüssel im JSON-Format, um diese Anleitung abzuschließen.
Wenn Sie Splunk in einer anderen Cloud hosten, konfigurieren Sie die Workload Identity-Föderation und laden Sie die Konfigurationsdateien für Anmeldedaten herunter. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und gewähren Sie ihm die IAM-Rollen, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen gewähren beschrieben sind.
Benachrichtigungen konfigurieren
Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.
Sie benötigen Ihre Organisations-IDs, die Pub/Sub-Themennamen und die Pub/Sub-Abonamen aus dieser Aufgabe, um Splunk zu konfigurieren.
Ergebnisbenachrichtigungen für Pub/Sub aktivieren:
- Aktivieren Sie die Security Command Center API.
Erstellen Sie drei Pub/Sub-Themen:
- ein Thema für Ergebnisse
- ein Thema für Assets
- ein Thema für Audit-Logs
Erstellen Sie eine
notificationConfig
für die Ergebnisse im Security Command Center. DienotificationConfig
exportiert die Security Command Center-Ergebnisse basierend auf den von Ihnen angegebenen Filtern nach Pub/Sub.
Aktivieren Sie die Cloud Asset API für Ihr Projekt.
Erstellen Sie Feeds für Ihre Assets. Sie müssen zwei Feeds im selben Pub/Sub-Thema erstellen: einen für Ihre Ressourcen und einen für Ihre IAM-Richtlinien (Identity and Access Management).
- Das Pub/Sub-Thema für Assets muss sich von dem unterscheiden, das für Ergebnisse verwendet wird.
Verwenden Sie für den Feed für Ihre Ressourcen den folgenden Filter:
content-type=resource
Verwenden Sie für den IAM-Richtlinienfeed den folgenden Filter:
content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
Erstellen Sie einen Ziel-Sink für die Audit-Logs. Bei dieser Integration wird ein Pub/Sub-Thema als Ziel verwendet.
Google SCC App for Splunk und Google SCC Add-on for Splunk installieren
In diesem Abschnitt installieren Sie die Google SCC App for Splunk und das Google SCC Add-on for Splunk. Diese Apps, die vom Security Command Center verwaltet werden, automatisieren den Prozess der Planung von Security Command Center API-Aufrufen, rufen regelmäßig Security Command Center-Daten zur Verwendung in Splunk ab und richten die Dashboards ein, mit denen Sie Security Command Center-Daten in Splunk anzeigen können.
Die Installation der App erfordert Zugriff auf die Splunk-Weboberfläche.
Wenn Sie ein verteiltes Splunk-Deployment haben, installieren Sie die Apps so:
- Installieren Sie die Google SCC App for Splunk auf dem Heavy-Forwarder von Splunk und in den Suchheadern von Splunk.
- Installieren Sie das Google SCC Add-on for Splunk auf den Splunk-Suchheadern.
So schließen Sie die Installation ab:
Wechseln Sie in der Splunk-Weboberfläche zum Zahnradsymbol für Apps.
Wählen Sie Apps verwalten > Weitere Apps suchen aus.
Suchen und installieren Sie die folgenden Apps:
- Google SCC Add-on for Splunk
- Google SCC App for Splunk
Beide Apps werden in der Liste der Apps angezeigt. Fahren Sie mit Splunk mit Google Cloud verbinden fort, um die Apps zu konfigurieren.
Google SCC App for Splunk und Google SCC Add-on for Splunk aktualisieren
Deaktivieren Sie alle vorhandenen Eingaben:
Klicken Sie in der Splunk-Weboberfläche auf Apps > Google SCC Add-on for Splunk.
Wählen Sie den Tab Eingaben aus.
Klicken Sie für jede Eingabe auf Aktion > Deaktivieren.
Entfernen Sie die indexierten Daten aus dem Security Command Center. Sie können den Bereinigungsbefehl für die Splunk-Befehlszeile verwenden, um indexierte Daten aus einer App zu entfernen, bevor Sie die Anwendung löschen.
Führen Sie das Upgrade aus:
Wechseln Sie in der Splunk-Weboberfläche zum Zahnradsymbol für Apps.
Wählen Sie Apps verwalten > Weitere Apps suchen aus.
Suchen und aktualisieren Sie die folgenden Apps:
- Google SCC Add-on for Splunk
- Google SCC App for Splunk
Starten Sie Splunk neu, wenn Sie dazu aufgefordert werden.
Führen Sie für jede neue Google Cloud-Organisation die Schritte im Abschnitt Splunk mit Google Cloud verbinden aus.
Erstellen Sie die neuen Eingaben wie unter Security Command Center-Dateneingaben hinzufügen beschrieben.
Splunk mit Google Cloud verbinden
Sie benötigen die Funktion admin_all_objects
in Splunk, um diese Aufgabe auszuführen.
Wenn Sie Splunk in Amazon Web Services oder Microsoft Azure installiert haben, gehen Sie so vor:
Öffnen Sie ein Terminalfenster.
Wechseln Sie zum Google SCC App for Splunk-Verzeichnis:
cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
Öffnen Sie
ta_googlescc_settings.conf
in einem Texteditor:sudo vim ta_googlescc_settings.conf
Fügen Sie die folgenden Zeilen am Ende der Datei hinzu:
[additional_parameters] scheme = http
Speichern und schließen Sie die Datei.
Starten Sie die Splunk-Plattform neu.
Klicken Sie in der Splunk-Weboberfläche auf Apps > Google SCC Add-on for Splunk > Konfiguration > Google SCC-Konto.
Wählen Sie den Tab Konfiguration aus.
Klicken Sie auf Hinzufügen.
Führen Sie je nach angezeigtem Feld einen der folgenden Schritte aus:
Wenn das Feld Dienstkonto-JSON angezeigt wird, suchen Sie die JSON-Datei, die den Dienstkontoschlüssel enthält.
Wenn das Feld Anmeldedatenkonfiguration angezeigt wird, rufen Sie die Konfigurationsdatei für Anmeldedaten auf, die Sie beim Einrichten der Workload Identity-Föderation heruntergeladen haben.
Wenn Sie Splunk in Google Cloud bereitgestellt oder Schritt 1 abgeschlossen haben, wird die Konfiguration des Dienstkontos automatisch erkannt.
Geben Sie im Feld Organisation Ihre Google Cloud-Organisations-ID ein.
Wenn Sie einen Proxyserver verwenden, um Splunk mit Google Cloud zu verbinden, gehen Sie so vor:
- Klicken Sie auf den Tab Proxy.
- Wählen Sie Aktivieren aus.
- Wählen Sie Ihren Proxytyp aus (HTTPS, SOCKS4 oder SOCKS5).
- Fügen Sie den Proxy-Hostnamen, den Port und optional den Nutzernamen und das Passwort hinzu.
Wählen Sie auf dem Tab Logging die Logging-Ebene für das Add-on aus.
Klicken Sie auf Speichern.
Führen Sie die Schritte 2 bis 9 für jede Google Cloud-Organisation aus, die Sie integrieren möchten.
Erstellen Sie Dateninputs für Ihre Google Cloud-Organisationen, wie unter Security Command Center-Dateneingaben hinzufügen beschrieben.
Security Command Center-Dateneingaben hinzufügen
Klicken Sie in der Splunk-Weboberfläche auf Apps > Google SCC Add-on for Splunk.
Wählen Sie den Tab Eingaben aus.
Klicken Sie auf Neue Eingabe erstellen.
Wählen Sie eine der Eingaben aus:
- Quelleingabe
- Ergebniseingabe
- Asseteingabe
- Audit-Logeingabe
Klicken Sie auf das Symbol Bearbeiten.
Geben Sie die folgenden Informationen ein:
Feld Beschreibung Eingabename Der Standardname für Ihre Dateneingabe Zeitraum Die Zeit in Sekunden, die zwischen Datenaufrufen gewartet werden soll. Index Der Splunk-Index, an den die Security Command Center-Daten gesendet werden Abo-ID für Assets Nur bei Asset-Eingaben: der Name des Pub/Sub-Abos für Ressourcen. Abo-ID für Audit-Logs Nur für Audit-Logeingaben: der Name des Pub/Sub-Abos für Audit-Logs Abo-ID für Ergebnisse Nur für Ergebniseingaben: der Name des Pub/Sub-Abos für Ergebnisse Maximaler Abruf Die maximale Anzahl von Assets, die in einem Aufruf abgerufen werden sollen Klicken Sie auf Aktualisieren.
Wiederholen Sie die Schritte 3 bis 7 für jede Eingabe, die Sie hinzufügen möchten.
Wiederholen Sie die Schritte 3 bis 8 für jede Google Cloud-Organisation, die Sie integrieren möchten.
Aktivieren Sie in der Zeile Status die Dateneingaben, die Sie an Splunk weiterleiten möchten.
Splunk-Index aktualisieren
Führen Sie diese Aufgabe aus, wenn Sie den Haupt-Splunk-Index nicht verwenden:
- Klicken Sie in der Splunk-Weboberfläche auf Einstellungen > Erweiterte Suche > Makros suchen.
- Wählen Sie Google SCC App for Splunk aus.
- Wählen Sie googlescc_index aus.
- Aktualisieren Sie
index=main
, um Ihren Index zu verwenden. - Klicken Sie auf Speichern.
Security Command Center-Daten in Splunk ansehen
Klicken Sie in der Splunk-Weboberfläche auf Apps > Google SCC Add-on for Splunk.
Wählen Sie den Tab Suchen.
Legen Sie Ihre Suchanfrage fest, z. B.
index="main"
.Wählen Sie den Zeitraum aus.
Klicken Sie auf das Symbol Suchen.
Filtern Sie die Daten je nach Bedarf nach Quellentyp (eine der Quellen, Assets, Audit-Logs, IAM-Assets oder Ergebnisse).
Dashboards aufrufen
Mit der Google SCC App for Splunk können Sie die Daten aus Security Command Center visualisieren. Es enthält fünf Dashboards: Übersicht, Quellen, Ergebnisse, Assets, Audit-Logs und Suche.
Sie können auf diese Dashboards in der Splunk-Weboberfläche von der Seite Apps > Google SCC Apps for Splunk zugreifen.
Übersichts-Dashboard
Das Dashboard Übersicht enthält eine Reihe von Diagrammen, in denen die Gesamtzahl der Ergebnisse in Ihrer Organisation nach Schweregrad, Kategorie und Status angezeigt wird. Die Ergebnisse werden aus den integrierten Diensten von Security Command Center kompiliert, z. B. Security Health Analytics, Web Security Scanner, Event Threat Detection, Container Threat Detection und alle integrierten Dienste, die Sie aktivieren.
Sie können den Zeitraum und die Organisations-ID festlegen, um Inhalte zu filtern.
Zusätzliche Diagramme zeigen, welche Kategorien, Projekte und Assets die meisten Ergebnisse generieren.
Assets-Dashboard
Im Dashboard Assets wird eine Tabelle der 1.000 zuletzt erstellten oder geänderten Google Cloud-Assets angezeigt. Die Tabelle enthält den Namen des Assets, den Asset-Typ, den Ressourceninhaber und den Zeitpunkt der letzten Aktualisierung.
Sie können Asset-Daten nach Zeitraum, Organisations-ID und Asset-Typ filtern. Wenn Sie in der Spalte Zu SCC weiterleiten auf Ansehen klicken, werden Sie auf die Seite Assets des Security Command Centers in der Google Cloud Console umgeleitet und erhalten Informationen zu dem ausgewählten Asset.
Audit-Logs-Dashboard
Im Dashboard Audit-Logs werden eine Reihe von Diagrammen und Tabellen angezeigt, die Informationen zum Audit-Log enthalten. Im Dashboard sind Audit-Logs zu Administratoraktivitäten, Datenzugriff, Systemereignissen und Audit-Logs zu abgelehnten Richtlinien enthalten. Die Tabelle enthält die Zeit, den Lognamen, den Schweregrad, den Dienstnamen, den Ressourcennamen und den Ressourcentyp.
Sie können die Daten nach Zeitraum, Organisations-ID und Logname filtern.
Ergebnis-Dashboard
Das Dashboard Ergebnisse enthält eine Tabelle mit den 1.000 neuesten Ergebnissen. Die Tabellenspalte enthält Elemente wie Kategorie, Asset-Name, Quellname, Sicherheitsmarkierungen, Ergebnisklasse und Schweregrad.
Sie können die Daten nach Zeitraum, Organisations-ID, Kategorie, Schweregrad, Quellname, Asset-Name, Projektname oder Ergebnisklasse filtern. Darüber hinaus können Sie in der Spalte Aktualisierungsstatus den Status eines Ergebnisses aktualisieren. Klicken Sie auf Als AKTIV markieren, um anzugeben, dass Sie ein Ergebnis aktiv prüfen. Wenn Sie ein Ergebnis nicht aktiv prüfen, klicken Sie auf Als INAKTIV markieren.
Wenn Sie auf einen Ergebnisnamen klicken, werden Sie zur Seite Ergebnisse von Security Command Center in der Google Cloud Console weitergeleitet und sehen Details zum ausgewählten Ergebnis.
Quellen-Dashboard
Im Dashboard Quellen wird eine Tabelle aller Sicherheitsquellen angezeigt. Tabellenspalten enthalten den Namen, den Anzeigenamen und die Beschreibung.
Sie können den Zeitraum festlegen, um Inhalte zu filtern.
Apps deinstallieren
Deinstallieren Sie die Apps, wenn Sie keine Security Command Center-Daten für Splunk abrufen möchten.
Rufen Sie in der Splunk-Weboberfläche Apps > Apps verwalten auf.
Suchen Sie nach
Google SCC App for Splunk
.Klicken Sie in der Spalte Status auf Deaktivieren.
Suchen Sie nach
Google SCC Add-on for Splunk
.Klicken Sie in der Spalte Status auf Deaktivieren.
Entfernen Sie optional die indexierten Daten aus dem Security Command Center. Sie können den Bereinigungsbefehl für die Splunk-Befehlszeile verwenden, um indexierte Daten aus einer App zu entfernen, bevor Sie die Anwendung löschen.
Gehen Sie in einer eigenständigen Splunk-Umgebung so vor:
Öffnen Sie ein Terminal und melden Sie sich in Splunk an.
Löschen Sie die Apps und ihre Verzeichnisse in
$SPLUNK_HOME/etc/apps/APPNAME
:./splunk remove app APPNAME -auth USERNAME:PASSWORD
Ersetzen Sie APPNAME durch
GoogleSCCAppforSplunk
oderTA_GoogleSCC
.Wiederholen Sie Schritt b für die andere App.
Entfernen Sie optional die nutzerspezifischen Verzeichnisse. Löschen Sie dazu alle Dateien in
$SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk
und$SPLUNK_HOME/etc/users/*/TA_GoogleSCC
.Starten Sie die Splunk-Plattform neu.
Gehen Sie in einer verteilten Splunk-Umgebung so vor:
- Melden Sie sich beim Deployer Manager an.
Löschen Sie die Apps und ihre Verzeichnisse in
$SPLUNK_HOME/etc/apps/APPNAME
:./splunk remove app APPNAME -auth USERNAME:PASSWORD
Ersetzen Sie APPNAME durch
GoogleSCCAppforSplunk
oderTA_GoogleSCC
.Wiederholen Sie Schritt b für die andere App.
Führen Sie den Befehl
splunk apply shcluster-bundle
aus:splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
Nächste Schritte
Weitere Informationen zum Einrichten von Ergebnisbenachrichtigungen in Security Command Center.
Weitere Informationen zum Filtern von Ergebnisbenachrichtigungen in Security Command Center.