שליחת נתונים מ-Security Command Center אל Cortex XSOAR

בדף הזה מוסבר איך לשלוח באופן אוטומטי ממצאי Security Command Center, נכסים ומקורות אבטחה אל Cortex XSOAR. בנוסף, מוסבר איך לנהל את הנתונים שיוצאו. ‫Cortex XSOAR היא פלטפורמה לתיאום, לאוטומציה ולתגובה (SOAR) בתחום האבטחה. היא קולטת נתוני אבטחה ממקור אחד או יותר, ומאפשרת לצוותי אבטחה לנהל את התגובות לאירועים. אתם יכולים להשתמש ב-Cortex XSOAR כדי לראות את הממצאים והנכסים שלכם ב-Security Command Center, וכדי לעדכן את הממצאים כשבעיות נפתרות.

במדריך הזה, מוודאים שהשירותים הנדרשים של Security Command Center ו- Google Cloudמוגדרים בצורה נכונה, ומאפשרים ל-Cortex XSOAR לגשת לממצאים ולנכסים בסביבת Security Command Center. חלק מההוראות בדף הזה נלקחו ממדריך השילובים של Cortex XSOAR ב-GitHub.

לפני שמתחילים

במדריך הזה אנחנו יוצאים מנקודת הנחה שיש לכם גרסה תקינה של Cortex XSOAR. כדי להתחיל להשתמש ב-Cortex XSOAR, צריך להירשם.

הגדרת אימות והרשאה

לפני שמתחברים אל Security Command Center אל Cortex XSOAR, צריך ליצור חשבון שירות לניהול זהויות והרשאות גישה (IAM) בכל ארגון Google Cloud ולהעניק לחשבון הזה את תפקידי ה-IAM ברמת הארגון וברמת הפרויקט שנדרשים ל-Cortex XSOAR.

יצירה של חשבון שירות והקצאת תפקידי IAM

השלבים הבאים מתייחסים לשימוש במסוף Google Cloud . שיטות אחרות מפורטות בקישורים בסוף הקטע הזה.

צריך לבצע את השלבים האלה לכל Google Cloud ארגון שרוצים לייבא ממנו נתונים של Security Command Center.

  1. באותו פרויקט שבו יוצרים את נושאי Pub/Sub, משתמשים בדף Service Accounts במסוף Google Cloud כדי ליצור חשבון שירות. הוראות מפורטות זמינות במאמר יצירה וניהול של חשבונות שירות.

  2. מקצים לחשבון השירות את התפקיד הבא:

    • Pub/Sub Editor (roles/pubsub.editor)

  3. מעתיקים את השם של חשבון השירות שיצרתם.

  4. משתמשים בכלי לבחירת פרויקטים במסוף Google Cloud כדי לעבור לרמת הארגון.

  5. פותחים את הדף IAM של הארגון:

    כניסה לדף IAM

  6. בדף IAM, לוחצים על Grant access (מתן גישה). תיפתח החלונית למתן גישה.

  7. בחלונית Grant access (הענקת גישה), מבצעים את הפעולות הבאות:

    1. בקטע Add principals, בשדה New principals, מדביקים את השם של חשבון השירות.

    2. בקטע Assign roles, משתמשים בשדה Role כדי להעניק לחשבון השירות את התפקידים הבאים ב-IAM:

    3. עריכה של אדמין ב-Security Center (roles/securitycenter.adminEditor)
    4. הכלי לעריכת הגדרות ההתראות במרכז האבטחה (roles/securitycenter.notificationConfigEditor)
    5. צפייה בארגון (roles/resourcemanager.organizationViewer)
    6. Cloud Asset Viewer (roles/cloudasset.viewer)

    7. לוחצים על Save. חשבון השירות מופיע בכרטיסייה הרשאות בדף IAM בקטע תצוגה לפי חשבונות משתמשים.

      באמצעות ירושה, חשבון השירות הופך גם לחשבון משתמש בכל פרויקטי הצאצא של הארגון. התפקידים שרלוונטיים ברמת הפרויקט מופיעים כ'תפקידים שעברו בירושה'.

מידע נוסף על יצירת חשבונות שירות והענקת תפקידים זמין במאמרים הבאים:

העברת פרטי הכניסה אל Cortex XSOAR

האופן שבו מעבירים את פרטי הכניסה של IAM אל Cortex XSOAR משתנה בהתאם למקום שבו מתארח Cortex XSOAR.

הגדרת התראות

צריך לבצע את השלבים האלה לכל Google Cloud ארגון שרוצים לייבא ממנו נתונים של Security Command Center.

  1. כדי להגדיר התראות על מציאת מכשיר:

    1. מפעילים את Security Command Center API.
    2. יוצרים מסנן כדי לייצא את הממצאים.
    3. יוצרים נושא Pub/Sub לממצאים. ‫NotificationConfig צריך להשתמש בנושא Pub/Sub שיוצרים בשביל הממצאים.

  2. מפעילים את Cloud Asset API בפרויקט.

כדי להגדיר את Cortex XSOAR, תצטרכו את מזהה הארגון, מזהה הפרויקט ומזהה המינוי ל-Pub/Sub שמופיעים במשימה הזו. כדי לאחזר את מזהה הארגון ומזהה הפרויקט, אפשר לעיין במאמרים איך מאחזרים את מזהה הארגון וזיהוי פרויקטים.

הגדרת Cortex XSOAR

לאחר מתן הגישה, Cortex XSOAR יקבל ממצאים ועדכונים לגבי נכסים בזמן אמת.

כדי להשתמש ב-Security Command Center עם Cortex XSOAR, מבצעים את השלבים הבאים:

  1. מתקינים את חבילת התוכן Google Cloud SCC מ-Cortex XSOAR Marketplace.

    חבילת התוכן היא מודול שמתוחזק על ידי Security Command Center, והיא מאפשרת לתזמן באופן אוטומטי קריאות ל-Security Command Center API ולאחזר באופן קבוע נתונים של Security Command Center לשימוש ב-Cortext XSOAR.

  2. בתפריט של אפליקציית Cortex XSOAR, עוברים אל Settings (הגדרות) ואז לוחצים על Integrations (שילובים).

  3. בקטע שילובים, בוחרים באפשרות שרתים ושירותים.

  4. מחפשים את GoogleCloudSCC ובוחרים בו.

  5. כדי ליצור ולהגדיר מופע חדש של שילוב, לוחצים על Add instance (הוספת מופע).

  6. מזינים את הפרטים בשדות הבאים לפי הצורך:

    פרמטר תיאור חובה
    הגדרת חשבון שירות אחד מהפרטים הבאים, כמו שמתואר בקטע לפני שמתחילים:
    • התוכן של קובץ ה-JSON של חשבון השירות, אם יצרתם מפתח של חשבון שירות
    • התוכן של קובץ התצורה של פרטי הכניסה, אם משתמשים באיחוד זהויות של עומסי עבודה
    		 נכון
    מספר הארגון המזהה של הארגון נכון
    אחזור תקריות הפעלת אחזור של אירוע לא נכון
    מזהה פרויקט מזהה הפרויקט שישמש לאחזור אירועים. אם השדה ריק, המערכת תשתמש במזהה הפרויקט שמופיע בקובץ ה-JSON שסופק. לא נכון
    מזהה המינוי המזהה של המינוי שלכם ל-Pub/Sub נכון
    מספר האירועים המקסימלי מספר האירועים המקסימלי לאחזור במהלך כל אחזור לא נכון
    סוג האירוע סוג האירוע לא נכון
    אמון בכל אישור (לא מאובטח) הפעלה של מהימנות בכל האישורים לא נכון
    להשתמש בהגדרות לשרת proxy של המערכת הפעלת ההגדרות לשרת proxy של המערכת לא נכון
    מרווח אחזור אירועים הזמן בין שליפות של מידע מעודכן על אירועים לא נכון
    רמת הרישום ביומן רמת היומן של חבילת התוכן לא נכון

  7. לוחצים על בדיקה.

    אם ההגדרה תקינה, תופיע הודעת הצלחה. אם היא לא תקינה, תופיע הודעת שגיאה.

  8. לוחצים על שמירה ויציאה.

  9. חוזרים על שלבים 5 עד 8 לכל ארגון.

מערכת Cortex XSOAR ממפה באופן אוטומטי שדות מממצאים של Security Command Center לשדות המתאימים ב-Cortex XSOAR. כדי לשנות את הבחירות או לקבל מידע נוסף על Cortex XSOAR, אפשר לקרוא את מאמרי העזרה של המוצר.

ההגדרה של Cortex XSOAR הושלמה. בקטע ניהול ממצאים ונכסים מוסבר איך לצפות בנתונים של Security Command Center בשירות ולנהל אותם.

שדרוג חבילת התוכן של Google Cloud SCC

בקטע הזה מוסבר איך לשדרג מגרסה קודמת.

  1. גישה לגרסה העדכנית של חבילת התוכן Google Cloud SCC מ-Cortex XSOAR Marketplace.

  2. לוחצים על הורדה עם תלות.

  3. לוחצים על התקנה.

  4. לוחצים על רענון התוכן.

השדרוג שומר על פרטי ההגדרה הקודמים. כדי להשתמש באיחוד זהויות של עומסי עבודה, מוסיפים את קובץ התצורה, כפי שמתואר במאמר הגדרת Cortex XSOAR.

ניהול הממצאים והנכסים

אפשר להציג ולעדכן נכסים וממצאים באמצעות ממשק שורת הפקודה (CLI) של Cortex XSOAR. אפשר להריץ פקודות כחלק מתהליך אוטומטי של תעדוף וטיפול בבעיות, או ב-playbook.

במאמר Commands (פקודות) מפורטים השמות והתיאורים של כל השיטות והארגומנטים הנתמכים ב-CLI של Cortex XSOAR, ומוצגות דוגמאות לפלט.

הממצאים נאספים משירותים מובנים של Security Command Center –‏ Security Health Analytics,‏ Web Security Scanner,‏ Event Threat Detection ו-זיהוי איומים בקונטיינר – ומכל שירות משולב אחר שתפעילו.

הצגת רשימת נכסים

כדי להציג את הנכסים של הארגון, משתמשים ב-method ‏google-cloud-scc-asset-list של Cortex XSOAR. לדוגמה, הפקודה הבאה מציגה רשימה של נכסים שבהם הערך של lifecycleState הוא Active, ומגבילה את התגובה לשלושה נכסים:

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

סימן הקריאה (!) בדוגמאות קוד הוא סמל שחובה להשתמש בו כדי להתחיל פקודות ב-Cortex XSOAR. הוא לא מייצג שלילה או NOT.

צפייה במקורות מידע על נכסים

כדי לראות רשימה של נכסים שנמצאים במשאבי הורה, כמו פרויקטים, משתמשים בפקודה google-cloud-scc-asset-resource-list של Cortex XSOAR. לדוגמה, הפקודה הבאה מציגה רשימה של נכסים עם assetType של compute.googleapis.com/Disk ומגבילה את התגובה לשני נכסים:

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

יש תמיכה בתווים כלליים לחיפוש ובביטויים רגולריים. לדוגמה, ‫assetType=".*Instance" מציגה רשימה של נכסים שסוג הנכס שלהם מסתיים במילה instance.

צפייה בממצאים

כדי להציג את הממצאים של הארגון או של מקור אבטחה, משתמשים בפקודה google-cloud-scc-finding-list של Cortex XSOAR. לדוגמה, הפקודה הבאה מציגה רשימה של ממצאים פעילים עם חומרה קריטית מכל המקורות, ומגבילה את התגובה לשלושה ממצאים:

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

אפשר גם לסנן את הממצאים. הפקודה הבאה מציגה רשימה של ממצאים שמסווגים כאיומים:

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

עדכון הממצאים

אפשר לעדכן ממצא באמצעות הפקודה google-cloud-scc-finding-update של Cortex XSOAR. צריך לספק את name, או את שם המשאב היחסי, של הממצא, בפורמט הבא: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.

לדוגמה, הפקודה הבאה מעדכנת את חומרת הממצא:

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

מחליפים את מה שכתוב בשדות הבאים:

עדכון סטטוס הממצא

אפשר לעדכן את הסטטוס של ממצא באמצעות הפקודה google-cloud-scc-finding-status-update של Cortex XSOAR. צריך לספק את name, או את שם המשאב היחסי, של הממצא, בפורמט הבא: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.

לדוגמה, הפקודה הבאה מגדירה את סטטוס הממצא כפעיל:

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

מחליפים את מה שכתוב בשדות הבאים:

קבלת הבעלים של נכס

כדי לראות את רשימת הבעלים של נכס, משתמשים בפקודה google-cloud-scc-asset-owner-get של Cortex XSOAR. צריך לציין את שם הפרויקט בפורמט projects/PROJECT_NUMBER. לדוגמה, הפקודה הבאה מציגה את הבעלים של הפרויקט שצוין.

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

כדי להוסיף כמה פרויקטים לפקודה, משתמשים בפסיק להפרדה, לדוגמה, projectName="projects/123456789, projects/987654321"

המאמרים הבאים