Mengirimkan data Security Command Center ke Splunk

Halaman ini menjelaskan cara otomatis mengirimkan temuan, aset, log audit, dan sumber keamanan Security Command Center ke Splunk. Bagian ini juga menjelaskan cara mengelola data yang diekspor. Splunk adalah platform informasi keamanan dan manajemen peristiwa (SIEM) yang menyerap data keamanan dari satu atau beberapa sumber dan memungkinkan tim keamanan mengelola respons terhadap insiden dan melakukan analisis real-time.

Dalam panduan ini, Anda akan memastikan bahwa layanan Security Command Center dan Google Cloud yang diperlukan telah dikonfigurasi dengan benar dan memungkinkan Splunk mengakses temuan, log audit, dan informasi aset di lingkungan Security Command Center Anda.

Sebelum memulai

Panduan ini mengasumsikan bahwa Anda menggunakan salah satu hal berikut:

Mengonfigurasi autentikasi dan otorisasi

Sebelum terhubung ke Splunk, Anda harus membuat akun layanan Identity and Access Management (IAM) di setiap organisasi yang ingin Anda hubungkan dan memberikan peran IAM tingkat organisasi dan tingkat project yang diperlukan oleh Add-on Google SCC untuk Splunk. Google Cloud

Buat akun layanan dan berikan peran IAM

Langkah-langkah berikut menggunakan konsol Google Cloud . Untuk metode lainnya, lihat link di bagian akhir bagian ini.

Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud yang datanya dari Security Command Center ingin Anda impor.

  1. Di project yang sama tempat Anda membuat topik Pub/Sub, gunakan halaman Service Accounts di konsol Google Cloud untuk membuat akun layanan. Untuk mengetahui petunjuknya, lihat Membuat dan mengelola akun layanan.

  2. Berikan peran berikut kepada akun layanan:

    • Pub/Sub Editor (roles/pubsub.editor)

  3. Salin nama akun layanan yang baru saja Anda buat.

  4. Gunakan pemilih project di konsol Google Cloud untuk beralih ke tingkat organisasi.

  5. Buka halaman IAM untuk organisasi:

    Buka IAM

  6. Pada halaman IAM, klik Berikan akses. Panel beri akses akan terbuka.

  7. Di panel Izinkan akses, selesaikan langkah-langkah berikut:

    1. Di bagian Add principals di kolom New principals, tempelkan nama akun layanan.

    2. Di bagian Assign roles, gunakan kolom Role untuk memberikan peran IAM berikut ke akun layanan:

    3. Security Center Admin Editor (roles/securitycenter.adminEditor)
    4. Security Center Notification Configurations Editor (roles/securitycenter.notificationConfigEditor)
    5. Organization Viewer (roles/resourcemanager.organizationViewer)
    6. Cloud Asset Viewer (roles/cloudasset.viewer)

    7. Klik Simpan. Akun layanan akan muncul di tab Permissions di halaman IAM di bagian View by principals.

      Dengan pewarisan, akun layanan juga menjadi akun utama di semua project turunan organisasi. Peran yang berlaku di level project dicantumkan sebagai peran yang diwarisi.

Untuk mengetahui informasi selengkapnya tentang cara membuat akun layanan dan memberikan peran, lihat topik berikut:

Berikan kredensial ke Splunk

Bergantung pada tempat Anda menghosting Splunk, cara Anda memberikan kredensial IAM ke Splunk akan berbeda.

Mengonfigurasi notifikasi

Selesaikan langkah-langkah ini untuk setiap organisasi Google Cloud yang datanya dari Security Command Center ingin Anda impor.

Anda akan memerlukan ID organisasi, nama topik Pub/Sub, dan nama langganan Pub/Sub dari tugas ini untuk mengonfigurasi Splunk.

  1. Mengaktifkan notifikasi temuan untuk Pub/Sub, yang mencakup langkah-langkah berikut:

    1. Aktifkan Security Command Center API.

    2. Buat tiga topik Pub/Sub:

      • topik untuk temuan
      • topik untuk aset
      • topik untuk log audit

    3. Buat notificationConfig untuk temuan di Security Command Center. notificationConfig mengekspor temuan Security Command Center ke Pub/Sub berdasarkan filter yang Anda tentukan.

  2. Aktifkan Cloud Asset API untuk project Anda.

  3. Buat feed untuk aset Anda. Anda harus membuat dua feed dalam topik Pub/Sub yang sama: satu untuk resource dan satu lagi untuk kebijakan Identity and Access Management (IAM).

    • Topik Pub/Sub untuk aset harus berbeda dengan topik yang digunakan untuk temuan.

    • Untuk feed resource Anda, gunakan filter berikut:

      content-type=resource

    • Untuk feed kebijakan IAM, gunakan filter berikut:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. Buat sink tujuan untuk log audit. Integrasi ini menggunakan topik Pub/Sub sebagai tujuan.

Menginstal Aplikasi Google SCC untuk Splunk dan Add-on Google SCC untuk Splunk

Di bagian ini, Anda akan menginstal Aplikasi Google SCC untuk Splunk dan Add-on Google SCC untuk Splunk. Aplikasi ini, yang dikelola oleh Security Command Center, mengotomatiskan proses penjadwalan panggilan Security Command Center API, mengambil data Security Command Center secara rutin untuk digunakan di Splunk, dan menyiapkan dasbor yang memungkinkan Anda melihat data Security Command Center di Splunk.

Penginstalan aplikasi memerlukan akses ke antarmuka web Splunk.

Jika Anda memiliki deployment Splunk terdistribusi, instal aplikasi sebagai berikut:

  • Instal Aplikasi Google SCC untuk Splunk di heavy forwarder Splunk dan search head Splunk.
  • Instal Add-on Google SCC untuk Splunk di search head Splunk.

Untuk menyelesaikan penginstalan, lakukan hal berikut:

  1. Di antarmuka web Splunk, buka ikon roda gigi Apps.

  2. Pilih Kelola Aplikasi > Jelajahi aplikasi lainnya.

  3. Cari dan instal aplikasi berikut:

    • Add-on Google SCC untuk Splunk
    • Aplikasi Google SCC untuk Splunk

Kedua aplikasi akan muncul di daftar Aplikasi Anda. Lanjutkan ke Hubungkan Splunk ke Google Cloud untuk mengonfigurasi aplikasi.

Mengupgrade Aplikasi Google SCC untuk Splunk dan Add-on Google SCC untuk Splunk

  1. Nonaktifkan semua input yang ada:

    1. Di antarmuka web Splunk, klik Apps > Google SCC Add-on for Splunk.

    2. Pilih tab Inputs.

    3. Untuk setiap input, klik Tindakan > Nonaktifkan.

  2. Menghapus data terindeks Security Command Center. Anda dapat menggunakan perintah Splunk CLI clean untuk menghapus data yang diindeks dari aplikasi sebelum menghapus aplikasi.

  3. Lakukan upgrade:

    1. Di antarmuka web Splunk, buka ikon roda gigi Apps.

    2. Pilih Kelola Aplikasi > Jelajahi aplikasi lainnya.

    3. Cari dan upgrade aplikasi berikut:

      • Add-on Google SCC untuk Splunk
      • Aplikasi Google SCC untuk Splunk

    4. Jika diminta, mulai ulang Splunk.

  4. Untuk setiap organisasi Google Cloud baru, selesaikan bagian Hubungkan Splunk ke Google Cloud.

  5. Buat input baru, seperti yang dijelaskan dalam Menambahkan input data Security Command Center.

Menghubungkan Splunk ke Google Cloud

Anda harus memiliki kemampuan admin_all_objects di Splunk untuk menyelesaikan tugas ini.

  1. Jika Anda menginstal Splunk di Amazon Web Services atau Microsoft Azure, lakukan hal berikut:

    1. Buka jendela terminal.

    2. Buka direktori Aplikasi Google SCC untuk Splunk:

      cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/

    3. Buka ta_googlescc_settings.conf di editor teks:

      sudo vim ta_googlescc_settings.conf

    4. Tambahkan baris berikut ke bagian akhir file:

      [additional_parameters]
scheme = http

    5. Simpan dan tutup file tersebut.

    6. Mulai ulang platform Splunk.

  2. Di antarmuka web Splunk, klik Apps > Google SCC Add-on for Splunk > Configuration > Google SCC Account.

  3. Pilih tab Configuration

  4. Klik Tambahkan.

  5. Lakukan salah satu hal berikut, bergantung pada kolom yang muncul:

    • Jika kolom Service Account JSON ditampilkan, telusuri file JSON yang menyertakan kunci akun layanan.

    • Jika kolom Konfigurasi Kredensial ditampilkan, telusuri file konfigurasi kredensial yang Anda download saat menyiapkan workload identity federation.

    Jika Anda men-deploy Splunk di Google Cloud atau menyelesaikan langkah 1, konfigurasi akun layanan akan otomatis terdeteksi.

  6. Di kolom Organisasi, tambahkan ID organisasi Google Cloud Anda.

  7. Jika Anda menggunakan server proxy untuk menghubungkan Splunk dengan Google Cloud, lakukan hal berikut:

    1. Klik tab Proxy.
    2. Pilih Aktifkan.
    3. Pilih jenis proxy Anda (HTTPS, SOCKS4, atau SOCKS5).
    4. Tambahkan nama host, port, dan (opsional) nama pengguna serta sandi proxy Anda.

  8. Di tab Logging, pilih tingkat logging untuk add-on.

  9. Klik Simpan.

  10. Selesaikan langkah 2-9 untuk setiap organisasi Google Cloud yang ingin Anda integrasikan.

Buat input data untuk organisasi Google Cloud Anda, seperti yang dijelaskan dalam Menambahkan input data Security Command Center.

Menambahkan input data Security Command Center

  1. Di antarmuka web Splunk, klik Apps > Google SCC Add-on for Splunk.

  2. Pilih tab Inputs.

  3. Klik Create New Input.

  4. Pilih salah satu input:

    • Input Sumber
    • Input Temuan
    • Input Aset
    • Input Log Audit

  5. Klik ikon Edit.

  6. Masukkan informasi sebagai berikut:

    Kolom Deskripsi
    Nama input Nama default untuk input data Anda
    Interval Waktu (dalam detik) untuk menunggu di antara panggilan data
    Indeks Indeks Splunk yang menjadi tujuan data Security Command Center
    ID Langganan Aset Khusus untuk input aset, nama langganan Pub/Sub untuk resource
    ID Langganan Log Audit Khusus input log audit, nama langganan Pub/Sub untuk log audit
    ID Langganan Temuan Untuk input temuan saja, nama langganan Pub/Sub untuk temuan
    Pengambilan Maksimum Jumlah maksimum aset yang akan diambil dalam satu panggilan

  7. Klik Perbarui.

  8. Ulangi langkah 3 hingga 7 untuk setiap input yang ingin Anda tambahkan.

  9. Ulangi langkah 3 hingga 8 untuk setiap Google Cloud organisasi yang ingin Anda integrasikan.

  10. Di baris Status, aktifkan input data yang ingin Anda teruskan ke Splunk.

Memperbarui indeks Splunk

Selesaikan tugas ini jika Anda tidak menggunakan indeks Splunk utama:

  1. Di antarmuka web Splunk, klik Settings > Advanced Search > Search macros.
  2. Pilih Google SCC App for Splunk.
  3. Pilih googlescc_index.
  4. Perbarui index=main untuk menggunakan indeks Anda.
  5. Klik Simpan.

Melihat data Security Command Center di Splunk

  1. Di antarmuka web Splunk, klik Apps > Google SCC Add-on for Splunk.

  2. Pilih tab Penelusuran.

  3. Tetapkan kueri penelusuran Anda, misalnya index="main".

  4. Pilih rentang waktu.

  5. Klik ikon Penelusuran.

  6. Filter data menurut jenis sumber (salah satu dari sumber, aset, auditlog, aset IAM, atau temuan), sesuai kebutuhan.

Melihat dasbor

Aplikasi Google SCC untuk Splunk memungkinkan Anda memvisualisasikan data dari Security Command Center. Dasbor ini mencakup lima dasbor: Ringkasan, Sumber, Temuan, Aset, Log Audit, dan Penelusuran.

Anda dapat mengakses dasbor ini di antarmuka web Splunk, dari halaman Apps > Google SCC Apps for Splunk.

Dasbor ringkasan

Dasbor Ringkasan berisi serangkaian diagram yang menampilkan total jumlah temuan di organisasi Anda menurut tingkat keparahan, kategori, dan status. Temuan dikompilasi dari layanan bawaan Security Command Center, seperti Security Health Analytics, Web Security Scanner, Event Threat Detection, dan Container Threat Detection serta layanan terintegrasi yang Anda aktifkan.

Untuk memfilter konten, Anda dapat menetapkan rentang waktu dan ID organisasi.

Diagram tambahan menunjukkan kategori, project, dan aset mana yang menghasilkan temuan terbanyak.

Dasbor aset

Dasbor Aset menampilkan tabel 1.000 aset yang baru saja dibuat atau diubah Google Cloud . Tabel menampilkan nama aset, jenis aset, pemilik resource, dan waktu pembaruan terakhir.

Anda dapat memfilter data aset menurut rentang waktu, ID organisasi, dan jenis aset. Jika Anda mengklik Lihat di kolom Alihkan Ke SCC, Anda akan dialihkan ke halaman Aset Security Command Center di konsol Google Cloud dan ditampilkan detail untuk aset yang dipilih.

Dasbor log audit

Dasbor Log audit menampilkan serangkaian diagram dan tabel yang menunjukkan informasi log audit. Log audit yang disertakan dalam dasbor adalah log audit aktivitas administrator, akses data, peristiwa sistem, dan kebijakan ditolak. Tabel ini mencakup waktu, nama log, tingkat keparahan, nama layanan, nama resource, dan jenis resource.

Anda dapat memfilter data menurut rentang waktu, ID organisasi, dan nama log.

Dasbor temuan

Dasbor Temuan menyertakan tabel 1.000 temuan terbaru. Kolom tabel mencakup item seperti kategori, nama aset, nama sumber, tanda keamanan, class temuan, dan tingkat keparahan.

Anda dapat memfilter data menurut rentang waktu, ID organisasi, kategori, tingkat keparahan, nama sumber, nama aset, nama project, atau class temuan. Selain itu, di kolom Status Update, Anda dapat memperbarui status temuan. Untuk menunjukkan bahwa Anda sedang meninjau temuan secara aktif, klik Tandai sebagai AKTIF. Jika Anda tidak secara aktif meninjau temuan, klik Tandai sebagai TIDAK AKTIF.

Jika Anda mengklik nama temuan, Anda akan dialihkan ke halaman Temuan Security Command Center di konsol dan ditampilkan detail untuk temuan yang dipilih. Google Cloud

Dasbor sumber

Dasbor Sumber menampilkan tabel semua sumber keamanan Anda. Kolom tabel mencakup nama, nama tampilan, dan deskripsi.

Untuk memfilter konten, Anda dapat menetapkan rentang waktu.

Meng-uninstal aplikasi

Uninstal aplikasi jika Anda tidak ingin lagi mengambil data Security Command Center untuk Splunk.

  1. Di antarmuka web Splunk, buka Apps > Manage Apps.

  2. Telusuri Google SCC App for Splunk.

  3. Di kolom Status, klik Nonaktifkan.

  4. Telusuri Google SCC Add-on for Splunk.

  5. Di kolom Status, klik Nonaktifkan.

  6. Secara opsional, hapus data yang diindeks Security Command Center. Anda dapat menggunakan perintah Splunk CLI clean untuk menghapus data yang diindeks dari aplikasi sebelum menghapus aplikasi.

  7. Di lingkungan mandiri Splunk, lakukan hal berikut:

    1. Buka terminal dan login ke Splunk.

    2. Hapus aplikasi dan direktorinya di $SPLUNK_HOME/etc/apps/APPNAME:

      ./splunk remove app APPNAME -auth USERNAME:PASSWORD

      Mengganti APPNAME dengan GoogleSCCAppforSplunk atau TA_GoogleSCC.

    3. Ulangi langkah b untuk aplikasi lainnya.

    4. Secara opsional, hapus direktori khusus pengguna dengan menghapus file apa pun yang ditemukan di $SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk dan $SPLUNK_HOME/etc/users/*/TA_GoogleSCC.

    5. Mulai ulang platform Splunk.

  8. Di lingkungan Splunk terdistribusi, lakukan hal berikut:

    1. Login ke pengelola deployer.

    2. Hapus aplikasi dan direktorinya di $SPLUNK_HOME/etc/apps/APPNAME:

      ./splunk remove app APPNAME -auth USERNAME:PASSWORD

      Mengganti APPNAME dengan GoogleSCCAppforSplunk atau TA_GoogleSCC.

    3. Ulangi langkah b untuk aplikasi lainnya.

    4. Jalankan perintah splunk apply shcluster-bundle:

      splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD

Langkah berikutnya