Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Inviare i dati di Security Command Center a Cortex XSOAR

Questa pagina spiega come inviare automaticamente i risultati di Security Command Center, gli asset e le origini di sicurezza a Cortex XSOAR. Descrive anche come gestire i dati esportati. Cortex XSOAR è una piattaforma di orchestrazione, automazione e risposta alla sicurezza (SOAR) che importa i dati di sicurezza da una o più origini e consente ai team per la sicurezza di gestire le risposte agli incidenti. Puoi utilizzare Cortex XSOAR per visualizzare i risultati e gli asset di Security Command Center e per aggiornare i risultati quando i problemi vengono risolti.

In questa guida, ti assicuri che Security Command Center e Google Cloud i servizi richiesti siano configurati correttamente e consenti a Cortex XSOAR di accedere ai risultati e agli asset nel tuo ambiente Security Command Center. Alcune delle istruzioni riportate in questa pagina sono state compilate dalla guida all'integrazione di Cortex XSOAR su GitHub.

Prima di iniziare

Questa guida presuppone che tu abbia una versione funzionante di Cortex XSOAR. Per iniziare a utilizzare Cortex XSOAR, registrati.

Configurare l'autenticazione e l'autorizzazione

Prima di connettere Security Command Center a Cortex XSOAR, devi creare un account di servizio Identity and Access Management (IAM) in ogni Google Cloud organizzazione e concedere a questo account sia i ruoli IAM a livello di organizzazione che a livello di progetto di cui Cortex XSOAR ha bisogno.

Creare un account di servizio e concedere i ruoli IAM

I seguenti passaggi utilizzano la Google Cloud console. Per altri metodi, consulta i link alla fine di questa sezione.

Completa questi passaggi per ogni Google Cloud organizzazione da cui vuoi importare i dati di Security Command Center

Nello stesso progetto in cui crei gli argomenti Pub/Sub, utilizza la pagina Service account nella Google Cloud console per creare un account di servizio. Per le istruzioni, vedi Creazione e gestione dei service account.
Concedi al account di servizio il seguente ruolo:
- Editor Pub/Sub (roles/pubsub.editor)
Copia il nome del account di servizio che hai appena creato.
Utilizza il selettore di progetti nella Google Cloud console per passare al livello dell'organizzazione.
Apri la pagina IAM per l'organizzazione:

Vai a IAM
Nella pagina IAM, fai clic su Concedi l'accesso. Si apre il riquadro Concedi l'accesso.
Nel riquadro Concedi l'accesso, completa i seguenti passaggi:
1. Nella sezione Aggiungi entità , nel campo Nuove entità , incolla il nome del account di servizio.
2. Nella sezione Assegna ruoli, utilizza il campo Ruolo per concedere i seguenti ruoli IAM al account di servizio:
3. Editor amministratore del Centro sicurezza (roles/securitycenter.adminEditor)
4. Editor configurazioni delle notifiche del Centro sicurezza (roles/securitycenter.notificationConfigEditor)
5. Visualizzatore organizzazione (roles/resourcemanager.organizationViewer)
6. Visualizzatore asset Cloud (roles/cloudasset.viewer)
7. Fai clic su Salva. Il account di servizio viene visualizzato nella scheda Autorizzazioni della pagina IAM in Visualizza per entità.
  
  Per ereditarietà, il account di servizio diventa anche un'entità in tutti i progetti secondari dell'organizzazione. I ruoli applicabili a livello di progetto sono elencati come ruoli ereditati.

Per ulteriori informazioni sulla creazione dei service account e sulla concessione dei ruoli, consulta i seguenti argomenti:

Fornire le credenziali a Cortex XSOAR

A seconda di dove ospiti Cortex XSOAR, il modo in cui fornisci le credenziali IAM a Cortex XSOAR varia.

Se ospiti Cortex XSOAR in Google Cloud, tieni presente quanto segue:
- Il account di servizio che hai creato e i ruoli a livello di organizzazione che gli hai concesso sono disponibili automaticamente per ereditarietà dall'organizzazione principale. Se utilizzi più Google Cloud organizzazioni, aggiungi questo account di servizio alle altre organizzazioni e concedigli i ruoli IAM descritti nei passaggi da 5 a 7 di Creare un account di servizio e concedere i ruoli IAM.
- Se esegui il deployment di Cortex XSOAR in un perimetro di servizio, crea le regole in entrata e in uscita. Per le istruzioni, vedi Concessione dell'accesso al perimetro nei Controlli di servizio VPC.
Se ospiti Cortex XSOAR nel tuo ambiente on-premise e il tuo provider di identità supporta la federazione delle identità per i workload, configura la federazione delle identità per i workload e scarica i file di configurazione delle credenziali. In caso contrario, crea una account di servizio account per ogniorganizzazione in formato JSON. Google Cloud

Nota: le chiavi dei service account comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle chiavi del service account quando è possibile. Se devi eseguire l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte in Best practice per la gestione delle chiavi dei service account. Se non riesci a creare una chiave del service account, la creazione di chiavi del service account potrebbe essere disabilitata per la tua organizzazione. Per ulteriori informazioni, vedi Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.
Se hai acquisito la chiave del service account da una fonte esterna, devi convalidarla prima dell'utilizzo. Per maggiori informazioni, consulta Requisiti di sicurezza per le credenziali di origine esterna.
Se ospiti Cortex XSOAR in Microsoft Azure o Amazon Web Services, configura la federazione delle identità per i workload e scarica i file di configurazione delle credenziali. Se utilizzi più Google Cloud organizzazioni, aggiungi questo account di servizio alle altre organizzazioni e concedigli i ruoli IAM descritti nei passaggi da 5 a 7 di Creare un account di servizio e concedere i ruoli IAM.

Configurare le notifiche

Completa questi passaggi per ogni Google Cloud organizzazione da cui vuoi importare i dati di Security Command Center

Configura le notifiche dei risultati come segue:
1. Abilita l'API Security Command Center.
2. Crea un filtro per esportare i risultati.
3. Crea un argomento Pub/Sub per i risultati. Il NotificationConfig deve utilizzare l'argomento Pub/Sub che crei per i risultati.
Abilita l'API Cloud Asset per il tuo progetto.

Per configurare Cortex XSOAR, avrai bisogno dell'ID organizzazione, dell'ID progetto e dell'ID sottoscrizione Pub/Sub di questa attività. Per recuperare l'ID organizzazione e l'ID progetto, consulta rispettivamente Recuperare l'ID organizzazione e Identificare i progetti.

Configurare Cortex XSOAR

Una volta concesso l'accesso, Cortex XSOAR riceverà gli aggiornamenti dei risultati e degli asset in tempo reale.

Per utilizzare Security Command Center con Cortex XSOAR, segui questi passaggi:

Installa il Google Cloud SCC pacchetto di contenuti dal Marketplace di Cortex XSOAR.

Il pacchetto di contenuti è un modulo gestito da Security Command Center che automatizza il processo di pianificazione delle chiamate API Security Command Center e recupera regolarmente i dati di Security Command Center per l'utilizzo in Cortext XSOAR.
Nel menu dell'applicazione Cortex XSOAR, vai a Impostazioni e poi fai clic su Integrazioni.
In Integrazioni, seleziona Server e servizi.
Cerca e seleziona GoogleCloudSCC.
Per creare e configurare una nuova istanza di integrazione, fai clic su Aggiungi istanza.

Inserisci le informazioni nei seguenti campi in base alle esigenze:

Parametro	Descrizione	Obbligatorio
Configurazione dell'account di servizio	Uno dei seguenti, come descritto in Prima di iniziare: I contenuti del file JSON del service account, se hai creato una chiave del service account I contenuti del file di configurazione delle credenziali, se utilizzi la federazione delle identità per i carichi di lavoro	Vero
ID organizzazione	L'ID della tua organizzazione	Vero
Recupera incidenti	Consente di recuperare gli incidenti	Falso
ID progetto	L'ID del progetto da utilizzare per recuperare gli incidenti; se è vuoto, viene utilizzato l'ID del progetto contenuto nel file JSON fornito	Falso
ID abbonamento	L'ID del tuo abbonamento Pub/Sub	Vero
Numero massimo di incidenti	Il numero massimo di incidenti da recuperare durante ogni recupero	Falso
Tipo di incidente	Il tipo di incidente	Falso
Considera attendibile qualsiasi certificato (non sicuro)	Consente di considerare attendibili tutti i certificati	Falso
Utilizza le impostazioni del proxy di sistema	Consente le impostazioni del proxy di sistema	Falso
Intervallo di recupero degli incidenti	Tempo tra i recuperi per le informazioni sugli incidenti aggiornate	Falso
Livello di log	Il livello di log per il pacchetto di contenuti	Falso

Fai clic su Test.

Se la configurazione è valida, viene visualizzato un messaggio di "operazione riuscita". Se non è valida, viene visualizzato un messaggio di errore.
Fai clic su Salva ed esci.
Ripeti i passaggi da 5 a 8 per ogni organizzazione.

Cortex XSOAR mappa automaticamente i campi dei risultati di Security Command Center ai campi Cortex XSOAR appropriati. Per sostituire le selezioni o scoprire di più su Cortex XSOAR, consulta la documentazione del prodotto.

La configurazione di Cortex XSOAR è completa. La sezione Gestire risultati e asset spiega come visualizzare e gestire i dati di Security Command Center nel servizio.

Eseguire l'upgrade del pacchetto di contenuti Google Cloud SCC

Questa sezione descrive come eseguire l'upgrade da una versione precedente.

Accedi all'ultima versione del Google Cloud pacchetto di contenuti SCC dal Marketplace di Cortex XSOAR.
Fai clic su Scarica con le dipendenze.
Fai clic su Installa.
Fai clic su Aggiorna contenuti.

L'upgrade mantiene le informazioni di configurazione precedenti. Per utilizzare la federazione delle identità per i workload, aggiungi il file di configurazione, come descritto in Configurare Cortex XSOAR.

Gestire risultati e asset

Puoi visualizzare e aggiornare asset e risultati utilizzando l'interfaccia a riga di comando (CLI) di Cortex XSOAR. Puoi eseguire i comandi nell'ambito della valutazione e della correzione automatizzate o in un playbook.

Per i nomi e le descrizioni di tutti i metodi e gli argomenti supportati per la CLI di Cortex XSOAR e per gli esempi di output, consulta Comandi.

I risultati vengono compilati dai servizi integrati di Security Command Center : Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, nonché da tutti i servizi integrati che abiliti.

Elencare gli asset

Per elencare gli asset della tua organizzazione, utilizza il metodo google-cloud-scc-asset-list di Cortex XSOAR. Ad esempio, il seguente comando elenca gli asset in cui lifecycleState è Attivo e limita la risposta a tre asset:

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

Il simbolo del punto esclamativo (!) negli esempi di codice è un simbolo obbligatorio per avviare i comandi in Cortex XSOAR. Non rappresenta la negazione o NOT.

Visualizzare le risorse degli asset

Per elencare gli asset contenuti nelle risorse principali, come i progetti, utilizza il comando google-cloud-scc-asset-resource-list di Cortex XSOAR. Ad esempio, il seguente comando elenca gli asset con un assetType di compute.googleapis.com/Disk e limita la risposta a due asset:

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

Sono supportati i caratteri jolly e le espressioni regolari. Ad esempio, assetType=".*Instance" elenca gli asset in cui il tipo di asset termina con "instance."

Visualizzare risultati

Per elencare i risultati per la tua organizzazione o un'origine di sicurezza, utilizza il comando google-cloud-scc-finding-list di Cortex XSOAR. Ad esempio, il seguente comando elenca i risultati attivi con gravità critica per tutte le origini e limita la risposta a tre risultati:

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

Puoi anche filtrare i risultati. Il seguente comando elenca tutti i risultati classificati come minacce:

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

Aggiornare i risultati

Puoi aggiornare un risultato utilizzando il comando google-cloud-scc-finding-update di Cortex XSOAR. Devi fornire il name, o il nome della risorsa relativa, del risultato, utilizzando il seguente formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID.

Ad esempio, il seguente comando aggiorna la gravità di un risultato:

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

Sostituisci quanto segue:

<var>ORGANIZATION_ID</var> con l'ID della tua organizzazione. Per recuperare l' ID organizzazione e l'ID progetto, consulta Recuperare l'ID organizzazione.
<var>SOURCE_ID</var> con l'ID dell'origine di sicurezza. Per trovare un ID origine, consulta Recuperare l'ID origine.
<var>FINDING_ID</var> con l'ID risultato incluso nei dettagli del risultato.

Aggiornare lo stato del risultato

Puoi aggiornare lo stato di un risultato utilizzando il comando google-cloud-scc-finding-status-update di Cortex XSOAR. Devi fornire il name, o il nome della risorsa relativa, del risultato, utilizzando il seguente formato: organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID.

Ad esempio, il seguente comando imposta lo stato del risultato su attivo:

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"