Inviare i dati di Security Command Center a Elastic Stack

Questa pagina spiega come inviare automaticamente i risultati, gli asset e le origini di sicurezza di Security Command Center a Elastic Stack senza utilizzare un container Docker. Descrive anche come gestire i dati esportati. Elastic Stack è una piattaforma SIEM (Security Information and Event Management) che acquisisce dati da una o più origini e consente ai team di sicurezza di gestire le risposte agli incidenti ed eseguire analisi in tempo reale. La configurazione di Elastic Stack descritta in questa guida include quattro componenti:

• Filebeat: un agente leggero installato su host perimetrali, come macchine virtuali (VM), che può essere configurato per raccogliere e inoltrare dati
• Logstash: un servizio di trasformazione che acquisisce i dati, li mappa nei campi richiesti e inoltra i risultati a Elasticsearch
• Elasticsearch: un motore del database di ricerca che archivia i dati
• Kibana: alimenta le dashboard che ti consentono di visualizzare e analizzare i dati

Esegui l'upgrade all'ultima release

Per eseguire l'upgrade all'ultima release, devi eseguire il deployment di un'immagine container Docker che includa il modulo GoApp. Per ulteriori informazioni, consulta Esportare asset e risultati con Docker e Elastic Stack.

Prerequisiti e pulizia del sistema

Prima di installare il nuovo container Docker, pulisci l'integrazione legacy e stabilisci le autorizzazioni e gli argomenti Pub/Sub richiesti:

1. Elimina i seguenti file e directory:
   • /etc/systemd/system/go_script.service
   • La directory GoApp
   • Configurazioni Logstash
   • logstash2.service
   • filebeat.service
2. (Facoltativo) Per evitare problemi durante l'importazione delle nuove dashboard, rimuovi quelle esistenti da Kibana:
   1. Apri l'applicazione Kibana.
   2. Nel menu di navigazione, vai a Gestione stack e poi fai clic su Oggetti salvati.
   3. Cerca Google SCC.
   4. Seleziona tutti i prospetti che vuoi rimuovere.
   5. Fai clic su Elimina.
3. Aggiungi il ruolo Writer configurazione log (roles/logging.configWriter) al account di servizio.
4. Crea un argomento Pub/Sub per i log di controllo.
5. Se vuoi, se installi il container Docker in un altro cloud, configura la federazione delle identità per i workload anziché utilizzare le chiavi del account di servizio. Devi creare credenziali di breve durata per l'account di servizio e scaricare il file di configurazione delle credenziali.

Configura lo stream di dati Elastic e il container Docker

1. Completa i passaggi descritti in Scaricare il modulo GoApp.
2. Completa i passaggi descritti in Installare il container Docker.
3. Completa i passaggi descritti in Aggiornare le autorizzazioni per i log di controllo.

Configurazione di visualizzazioni e dashboard

1. Importa tutte le dashboard, come descritto in Importare le dashboard Kibana.

Segui le istruzioni riportate in Esportazione di asset e risultati con Docker ed Elastic Stack per gestire l'integrazione SIEM.

Gestire servizi e log

Questa sezione spiega come visualizzare i log del modulo GoApp e apportare modifiche alla configurazione del modulo.

Questa sezione si applica solo al modulo GoApp che hai installato dal pacchetto di installazione GoogleSCCElasticIntegration reso disponibile a febbraio 2022. Per informazioni aggiornate, vedi Eseguire l'upgrade all'ultima release.

1. Controlla lo stato del servizio:

     systemctl | grep go_script
   

2. Controlla i log di lavoro attuali, che contengono informazioni sugli errori di esecuzione e altre informazioni sul servizio:

    sudo journalctl -f -u go_script.service
   

3. Controlla i log di lavoro storici e attuali:

     sudo journalctl -u go_script.service
   

4. Per risolvere i problemi o controllare i log di go_script.service:

     cat go.log
   

Configura le applicazioni Elastic Stack

Questa sezione spiega come configurare le applicazioni Elastic Stack per l'importazione dei dati di Security Command Center. Le istruzioni presuppongono che tu abbia installato e attivato correttamente Elastic Stack e che tu disponga dei privilegi di root nell'ambiente dell'applicazione.

Questa sezione si applica solo al modulo GoApp che hai installato dal pacchetto di installazione GoogleSCCElasticIntegration reso disponibile a febbraio 2022. Per informazioni aggiornate, vedi Eseguire l'upgrade all'ultima release.

Visualizza i log del servizio Logstash

Per visualizzare i log attuali, esegui questo comando:

    sudo journalctl -f -u logstash2.service

Per visualizzare i log storici, esegui questo comando:

    sudo journalctl -u logstash2.service

Configurare Filebeat

Questa sezione si applica solo al modulo GoApp che hai installato dal pacchetto di installazione GoogleSCCElasticIntegration reso disponibile a febbraio 2022. Per informazioni aggiornate, vedi Eseguire l'upgrade all'ultima release.

Visualizzare i log del servizio Filebeat

Per visualizzare i log attuali, esegui questo comando:

    sudo journalctl -f -u filebeat.service

Per visualizzare i log storici, esegui questo comando:

    sudo journalctl -u filebeat.service

Visualizza le dashboard di Kibana

Puoi utilizzare dashboard personalizzate in Elastic Stack per visualizzare e analizzare i risultati, gli asset e le origini di sicurezza. Le dashboard mostrano i risultati critici e aiutano il tuo team di sicurezza a dare la priorità alle correzioni.

Questa sezione si applica solo al modulo GoApp che hai installato dal pacchetto di installazione GoogleSCCElasticIntegration reso disponibile a febbraio 2022. Per informazioni aggiornate, vedi Eseguire l'upgrade all'ultima release.

Panoramica

La dashboard Panoramica contiene una serie di grafici che mostrano il numero totale di risultati nella tua organizzazione per livello di gravità, categoria e stato. I risultati vengono compilati dai servizi integrati di Security Command Center: Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, nonché da tutti i servizi integrati che abiliti.

Altri grafici mostrano quali categorie, progetti e asset generano il maggior numero di risultati.

Asset

La dashboard Asset mostra tabelle che mostrano i tuoi Google Cloud asset. Le tabelle mostrano i proprietari degli asset, i conteggi degli asset per tipo di risorsa e progetto, nonché gli asset aggiunti e aggiornati più di recente.

Puoi filtrare i dati degli asset in base a intervallo di tempo, nome risorsa, tipo di risorsa, proprietario e progetto e visualizzare rapidamente in dettaglio i risultati per asset specifici. Se fai clic sul nome di un asset, viene visualizzata la pagina Asset di Security Command Center nella console Google Cloud e vengono mostrati i dettagli dell'asset selezionato.

Risultati

La dashboard Risultati include una tabella che mostra i risultati più recenti. Puoi filtrare i dati in base al nome della risorsa, alla categoria e alla gravità.

Le colonne della tabella includono il nome del risultato, nel formato organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>, la categoria, il nome della risorsa, l'ora dell'evento, l'ora di creazione, il nome del parent, l'URI del parent e i segni di sicurezza. Il formato dell'URI del parent corrisponde al nome del risultato. Se fai clic su un nome del risultato, viene visualizzata la pagina Risultati di Security Command Center nella console Google Cloud e vengono mostrati i dettagli del risultato selezionato.

Fonti

La dashboard Origini mostra il numero totale di risultati e origini di sicurezza, il numero di risultati per nome dell'origine e una tabella di tutte le origini di sicurezza. Le colonne della tabella includono nome, nome visualizzato e descrizione.

Modificare le dashboard

Per personalizzare i dati visualizzati nelle dashboard Kibana, puoi aggiungere o rimuovere colonne.

Aggiungi colonne

1. Vai a una dashboard.
2. Fai clic su Modifica e poi su Modifica visualizzazione.
3. Nella sezione Aggiungi sotto-bucket, seleziona Dividi righe.
4. Nell'elenco, seleziona Aggregazione.
5. Nel menu a discesa Decrescente, seleziona crescente o decrescente. Nel campo Dimensione, inserisci il numero massimo di righe per la tabella.
6. Seleziona la colonna che vuoi aggiungere.
7. Salva le modifiche.

Rimuovi le colonne

1. Vai alla dashboard.
2. Fai clic su Modifica.
3. Per nascondere una colonna, fai clic sull'icona di visibilità, o a forma di occhio, accanto al nome della colonna.
4. Per rimuovere una colonna, fai clic sulla X o sull'icona di eliminazione accanto al nome della colonna.

Disinstallare il componente

Disinstalla il modulo GoApp e le applicazioni Elastic Stack quando non vuoi più recuperare i dati di Security Command Center per Elastic Stack.

Questa sezione si applica solo al modulo GoApp che hai installato dal pacchetto di installazione GoogleSCCElasticIntegration reso disponibile a febbraio 2022. Per informazioni aggiornate, vedi Eseguire l'upgrade all'ultima release.

Disinstallare il modulo GoApp

1. Elimina go_script.service da /etc/systemd/system/.
2. Rimuovi i feed per gli asset e le policy IAM.
3. Rimuovi Pub/Sub per asset, policy IAM e risultati.
4. Elimina la directory di lavoro.

Disinstallare Logstash

1. Elimina le configurazioni di Logstash.
2. Elimina logstash2.service.

Disinstalla Filebeat

1. Elimina le configurazioni di Filebeat.
2. Elimina filebeat.service.

Passaggi successivi

• Esegui l'upgrade all'ultima versione per integrare Security Command Center con Elastic Stack.

• Scopri di più sulla configurazione delle notifiche dei risultati in Security Command Center.

• Scopri di più sul filtraggio delle notifiche dei risultati in Security Command Center.