將 Security Command Center 資料傳送至 Splunk

本頁說明如何自動將 Security Command Center 發現項目、資產、稽核記錄和安全性來源傳送至 Splunk。此外,本文也說明如何管理匯出的資料。Splunk 是一個安全資訊與事件管理 (SIEM) 平台,可從一或多個來源擷取安全資料,讓安全團隊管理事件回應並執行即時分析。

在本指南中,您將確保所需 Security Command Center 和 Google Cloud 服務 設定正確無誤,並允許 Splunk 存取 Security Command Center 環境中的發現項目、稽核記錄和資產資訊。

事前準備

本指南假設您使用下列其中一項:

設定驗證和授權

如要連線至 Splunk,您必須在每個要連線的 Google Cloud 機構中建立身分與存取權管理 (IAM) 服務帳戶,並授予該帳戶 Google SCC Add-on for Splunk 需要的機構層級和專案層級 IAM 角色。

建立服務帳戶並授予 IAM 角色

下列步驟使用 Google Cloud 控制台。如要瞭解其他方法,請參閱本節結尾的連結。

針對要匯入 Security Command Center 資料的每個 Google Cloud 機構,完成下列步驟。

  1. 在您建立 Pub/Sub 主題的專案中,使用 Google Cloud 控制台的「Service Accounts」(服務帳戶)頁面建立服務帳戶。如需操作說明,請參閱「建立及管理服務帳戶」。
  2. 將下列角色授予服務帳戶:

    • Pub/Sub 編輯者 (roles/pubsub.editor)
  3. 複製您剛建立的服務帳戶名稱。

  4. 使用 Google Cloud 控制台中的專案選取器,切換至機構層級。

  5. 開啟機構的「IAM」IAM頁面:

    前往身分與存取權管理頁面

  6. 在「IAM」頁面中,按一下「授予存取權」。「授予存取權」面板隨即開啟。

  7. 在「授予存取權」面板中,完成下列步驟:

    1. 在「新增主體」欄位的「新增主體」部分中,貼上服務帳戶名稱。
    2. 在「指派角色」部分,使用「角色」欄位將下列 IAM 角色授予服務帳戶:

    3. 安全中心管理員編輯者 (roles/securitycenter.adminEditor)
    4. 安全中心通知設定編輯者 (roles/securitycenter.notificationConfigEditor)
    5. 機構檢視者 (roles/resourcemanager.organizationViewer)
    6. Cloud Asset Viewer (roles/cloudasset.viewer)
    7. 按一下 [儲存]。服務帳戶會顯示在「依主體查看」下「IAM」頁面的「權限」分頁中

      透過繼承,服務帳戶也會成為機構所有子專案中的主體。適用於專案層級的角色會列為已繼承的角色。

如要進一步瞭解如何建立服務帳戶及授予角色,請參閱下列主題:

向 Splunk 提供憑證

視 Splunk 的代管位置而定,向 Splunk 提供 IAM 憑證的方式也會有所不同。

設定通知

針對要匯入 Security Command Center 資料的每個 Google Cloud 機構,完成這些步驟。

您需要從這項工作取得機構 ID、Pub/Sub 主題名稱和 Pub/Sub 訂閱名稱,才能設定 Splunk。

  1. 啟用 Pub/Sub 發現項目通知,包括下列步驟:

    1. 啟用 Security Command Center API。
    2. 建立三個 Pub/Sub 主題:

      • 發現項目的主題
      • 資產主題
      • 稽核記錄的主題
    3. 為 Security Command Center 中的發現項目建立 notificationConfignotificationConfig 會根據您指定的篩選器,將 Security Command Center 發現項目匯出至 Pub/Sub。

  2. 為您的專案啟用 Cloud Asset API

  3. 為資產建立動態饋給。 您必須在同一個 Pub/Sub 主題中建立兩個動態消息:一個用於資源,另一個用於身分與存取權管理 (IAM) 政策。

    • 資產的 Pub/Sub 主題必須與用於調查結果的主題不同。
    • 如要查看資源的動態饋給,請使用下列篩選器:

      content-type=resource

    • 如要查看 IAM 政策動態消息,請使用下列篩選器:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. 為稽核記錄建立目的地接收器。這項整合作業會使用 Pub/Sub 主題做為目的地。

安裝適用於 Splunk 的 Google SCC 應用程式和外掛程式

在本節中,您將安裝適用於 Splunk 的 Google SCC 應用程式,以及適用於 Splunk 的 Google SCC 外掛程式。這些應用程式由 Security Command Center 維護,可自動排定 Security Command Center API 呼叫作業、定期擷取 Security Command Center 資料以供 Splunk 使用,並設定可讓您在 Splunk 中查看 Security Command Center 資料的資訊主頁。

安裝應用程式時,必須存取 Splunk 網頁介面。

如果您有分散式 Splunk 部署作業,請按照下列步驟安裝應用程式:

  • 在 Splunk heavy forwarder 和 Splunk search heads 上安裝適用於 Splunk 的 Google SCC 應用程式。
  • 在 Splunk 搜尋頭上安裝適用於 Splunk 的 Google SCC 外掛程式。

如要完成安裝,請按照下列步驟操作:

  1. 在 Splunk 網頁介面中,前往「應用程式」齒輪圖示。

  2. 依序選取「管理應用程式」>「瀏覽更多應用程式」

  3. 搜尋並安裝下列應用程式:

    • 適用於 Splunk 的 Google SCC 外掛程式
    • 適用於 Splunk 的 Google SCC 應用程式

應用程式清單中會顯示這兩個應用程式。繼續將 Splunk 連線至 Google Cloud,設定應用程式。

升級 Google SCC 應用程式和 Google SCC 外掛程式 (適用於 Splunk)

  1. 停用所有現有輸入內容:

    1. 在 Splunk 網頁介面中,依序點選「應用程式」>「Google SCC Add-on for Splunk」

    2. 選取「輸入」分頁標籤。

    3. 針對每個輸入內容,依序點選「動作」>「停用」

  2. 移除 Security Command Center 索引資料。您可以使用 Splunk CLI clean 指令,在刪除應用程式前,從應用程式中移除已建立索引的資料。

  3. 執行升級:

    1. 在 Splunk 網頁介面中,前往「應用程式」齒輪圖示。

    2. 依序選取「管理應用程式」>「瀏覽更多應用程式」

    3. 搜尋並升級下列應用程式:

      • 適用於 Splunk 的 Google SCC 外掛程式
      • 適用於 Splunk 的 Google SCC 應用程式
    4. 如果系統提示,請重新啟動 Splunk。

  4. 針對每個新 Google Cloud 機構,完成「將 Splunk 連線至 Google Cloud」一節。

  5. 如「新增 Security Command Center 資料輸入內容」一文所述,建立新的輸入內容。

將 Splunk 連線至 Google Cloud

您必須在 Splunk 中具備 admin_all_objects 功能,才能完成這項工作。

  1. 如果您在 Amazon Web Services 或 Microsoft Azure 上安裝 Splunk,請按照下列步驟操作:

    1. 開啟終端機視窗。

    2. 前往 Google SCC App for Splunk 目錄:

      cd $SPLUNK_HOME$/etc/apps/TA_GoogleSCC/local/
      
    3. 在文字編輯器中開啟 ta_googlescc_settings.conf

      sudo vim ta_googlescc_settings.conf
      
    4. 在檔案末尾加入下列幾行:

      [additional_parameters]
      scheme = http
      
    5. 儲存並關閉檔案。

    6. 重新啟動 Splunk 平台。

  2. 在 Splunk 網頁介面中,依序點選「Apps」>「Google SCC Add-on for Splunk」>「Configuration」>「Google SCC Account」

  3. 選取「設定」分頁標籤。

  4. 按一下「新增」

  5. 視顯示的欄位而定,執行下列任一操作:

    • 如果系統顯示「服務帳戶 JSON」欄位,請瀏覽包含服務帳戶金鑰的 JSON 檔案。

    • 如果顯示「憑證設定」欄位,請瀏覽至您設定 Workload Identity 聯盟時下載的憑證設定檔。

    如果您已在 Google Cloud 中部署 Splunk,或已完成步驟 1,系統會自動偵測服務帳戶設定。

  6. 在「機構」欄位中,新增貴機構的 Google Cloud 機構 ID。

  7. 如果您使用 Proxy 伺服器將 Splunk 連線至 Google Cloud,請執行下列步驟:

    1. 按一下「Proxy」分頁標籤。
    2. 選取 [啟用]。
    3. 選取 Proxy 類型 (HTTPS、SOCKS4 或 SOCKS5)。
    4. 新增 Proxy 主機名稱、通訊埠,以及選用的使用者名稱和密碼。
  8. 在「記錄」分頁中,選取外掛程式的記錄層級。

  9. 按一下 [儲存]

  10. 針對要整合的每個 Google Cloud 機構,完成步驟 2 到 9。

為 Google Cloud 機構建立資料輸入內容,詳情請參閱「新增 Security Command Center 資料輸入內容」。

新增 Security Command Center 資料輸入內容

  1. 在 Splunk 網頁介面中,依序點選「應用程式」>「Google SCC Add-on for Splunk」

  2. 選取「輸入」分頁標籤。

  3. 按一下「建立新輸入內容」

  4. 選取其中一個輸入內容:

    • 來源輸入
    • 輸入調查結果
    • 素材資源輸入
    • 稽核記錄輸入內容
  5. 按一下「編輯」圖示。

  6. 在下列欄位中輸入相關資訊:

    欄位 說明
    輸入名稱 資料輸入的預設名稱
    時間間隔 呼叫資料之間的等待時間 (以秒為單位)
    索引 Security Command Center 資料傳送至的 Splunk 索引
    Assets 訂閱 ID 僅限資產輸入內容,資源的 Pub/Sub 訂閱項目名稱
    稽核記錄訂閱 ID 僅限稽核記錄輸入內容,稽核記錄的 Pub/Sub 訂閱項目名稱
    調查結果訂閱 ID 僅限輸入發現項目,發現項目的 Pub/Sub 訂閱項目名稱
    擷取上限 單次呼叫可擷取的資產數量上限

  7. 按一下「更新」

  8. 針對要新增的每個輸入內容,重複執行步驟 3 到 7。

  9. 針對要整合的每個 Google Cloud 機構,重複執行步驟 3 到 8。

  10. 在「狀態」列中,啟用要轉送至 Splunk 的資料輸入。

更新 Splunk 索引

如果您未使用主要的 Splunk 索引,請完成這項工作:

  1. 在 Splunk 網頁介面中,依序點選「Settings」>「Advanced Search」>「Search macros」
  2. 選取「Google SCC App for Splunk」
  3. 選取「googlescc_index」googlescc_index
  4. 更新 index=main,即可使用索引。
  5. 按一下 [儲存]

在 Splunk 中查看 Security Command Center 資料

  1. 在 Splunk 網頁介面中,依序點選「應用程式」>「Google SCC Add-on for Splunk」

  2. 選取「搜尋」分頁標籤。

  3. 設定搜尋查詢,例如 index="main"

  4. 選取時間範圍。

  5. 按一下「搜尋」圖示。

  6. 視需要依來源類型 (來源、資產、稽核記錄、IAM 資產或調查結果) 篩選資料。

查看資訊主頁

透過 Google SCC App for Splunk,您可以將 Security Command Center 的資料視覺化。包括五個資訊主頁:「總覽」、「來源」、「發現項目」、「資產」、「稽核記錄」和「搜尋」

您可以在 Splunk 網頁介面中存取這些資訊主頁,方法是前往「應用程式」>「Google SCC Apps for Splunk」頁面。

總覽資訊主頁

「總覽」資訊主頁包含一系列圖表,顯示貴機構中依嚴重程度、類別和狀態分類的發現事項總數。這些發現結果是從 Security Command Center 的內建服務 (例如安全狀態分析Web Security ScannerEvent Threat DetectionContainer Threat Detection) 彙整而來,以及您啟用的任何整合式服務。

如要篩選內容,可以設定時間範圍和機構 ID。

其他圖表則會顯示哪些類別、專案和資產產生最多發現項目。

資產資訊主頁

「資產」資訊主頁會顯示最近建立或修改的 1000 項資產 Google Cloud 表格。這個表格會顯示資產名稱、資產類型、資源擁有者和上次更新時間。

您可以依時間範圍、機構 ID 和資產類型篩選資產資料。如果您點選「Redirect To SCC」(重新導向至 SCC) 欄中的「View」(查看),系統會將您重新導向至控制台的 Security Command Center「Assets」(資產) 頁面,並顯示所選資產的詳細資料。 Google Cloud

稽核記錄資訊主頁

「稽核記錄」資訊主頁會顯示一系列圖表和表格,說明稽核記錄資訊。資訊主頁中包含的稽核記錄有:管理員活動、資料存取、系統事件和政策遭拒的稽核記錄。表格會顯示時間、記錄檔名稱、嚴重程度、服務名稱、資源名稱和資源類型。

您可以依時間範圍、機構 ID 和記錄名稱篩選資料。

發現項目資訊主頁

「發現」資訊主頁包含最近 1000 項發現的表格。表格欄包含類別、資產名稱、來源名稱、安全標記、發現項目類別和嚴重程度等項目。

您可以依時間範圍、機構 ID、類別、嚴重程度、來源名稱、資產名稱、專案名稱或發現項目類別來篩選資料。此外,您也可以在「更新狀態」欄中更新發現項目的狀態。如要指出您正在積極審查發現項目,請按一下「標示為有效」。如果您目前未主動審查發現項目,請按一下「標示為非使用中」

按一下發現項目名稱,系統會將您重新導向至 Google Cloud 控制台的 Security Command Center「發現項目」頁面,並顯示所選發現項目的詳細資料。

來源資訊主頁

「來源」資訊主頁會顯示所有安全來源的表格。資料表欄包括名稱、顯示名稱和說明。

如要篩選內容,可以設定時間範圍。

解除安裝應用程式

如果不想再擷取 Splunk 適用的 Security Command Center 資料,請解除安裝應用程式。

  1. 在 Splunk 網頁介面中,依序前往「Apps」>「Manage Apps」

  2. 搜尋 Google SCC App for Splunk

  3. 在「狀態」欄中,按一下「停用」

  4. 搜尋 Google SCC Add-on for Splunk

  5. 在「狀態」欄中,按一下「停用」

  6. (選用) 移除 Security Command Center 索引資料。您可以使用 Splunk CLI clean 指令,在刪除應用程式前,從應用程式中移除已建立索引的資料。

  7. 在 Splunk 獨立環境中,請執行下列操作:

    1. 開啟終端機並登入 Splunk。

    2. $SPLUNK_HOME/etc/apps/APPNAME 中刪除應用程式及其目錄:

      ./splunk remove app APPNAME -auth USERNAME:PASSWORD
      

      APPNAME 替換為 GoogleSCCAppforSplunkTA_GoogleSCC

    3. 針對其他應用程式重複步驟 b。

    4. (選用) 刪除 $SPLUNK_HOME/etc/users/*/GoogleSCCAppforSplunk$SPLUNK_HOME/etc/users/*/TA_GoogleSCC 中的所有檔案,移除使用者專屬目錄。

    5. 重新啟動 Splunk 平台。

  8. 在分散式 Splunk 環境中,請執行下列操作:

    1. 登入部署管理員
    2. $SPLUNK_HOME/etc/apps/APPNAME 中刪除應用程式及其目錄:

      ./splunk remove app APPNAME -auth USERNAME:PASSWORD
      

      APPNAME 替換為 GoogleSCCAppforSplunkTA_GoogleSCC

    3. 針對其他應用程式重複步驟 b。

    4. 執行 splunk apply shcluster-bundle 指令:

      splunk apply shcluster-bundle -target URI:MANAGEMENT_PORT -auth USERNAME:PASSWORD
      

後續步驟

  • 進一步瞭解如何在 Security Command Center 中設定發現項目通知

  • 請參閱這篇文章,瞭解如何在 Security Command Center 中篩選發現項目通知。