本頁說明如何自動將 Security Command Center 發現項目、資產和安全來源傳送至 Elastic Stack,而不需使用 Docker 容器。同時也會說明如何管理匯出的資料。Elastic Stack 是安全資訊與事件管理 (SIEM) 平台,可從一或多個來源擷取資料,並讓資安團隊管理事件回應及執行即時分析。本指南討論的 Elastic Stack 設定包含四個元件:
- Filebeat:安裝在邊緣主機 (例如虛擬機器 (VM)) 的輕量型代理程式,可設定為收集及轉送資料
- Logstash:轉換服務,可擷取資料、將資料對應至必要欄位,並將結果轉送至 Elasticsearch
- Elasticsearch:儲存資料的搜尋資料庫引擎
- Kibana:提供資訊主頁,方便您以視覺化方式呈現及分析資料
升級至最新版本
如要升級至最新版本,您必須部署包含 GoApp 模組的 Docker 容器映像檔。詳情請參閱「使用 Docker 和 Elastic Stack 匯出資產和調查結果」。
必要條件和系統清理
安裝新的 Docker 容器前,請先清理舊版整合功能,並建立必要的權限和 Pub/Sub 主題:
- 刪除下列檔案和目錄:
/etc/systemd/system/go_script.serviceGoApp目錄- Logstash 設定
logstash2.servicefilebeat.service
- 選用:如要避免匯入新資訊主頁時發生問題,請從 Kibana 移除現有資訊主頁:
- 開啟 Kibana 應用程式。
- 在導覽選單中,前往「堆疊管理」,然後點選「已儲存的物件」。
- 搜尋「Google SCC」。
- 選取要移除的所有資訊主頁。
- 點選「刪除」。
- 將「記錄檔設定寫入者」 (
roles/logging.configWriter) 角色新增至服務帳戶。 - 為稽核記錄建立 Pub/Sub 主題。
- 如果您要在其他雲端中安裝 Docker 容器,請設定工作負載身分聯盟,不要使用服務帳戶金鑰。您必須建立短期服務帳戶憑證,並下載憑證設定檔。
設定 Elastic 資料串流和 Docker 容器
- 完成「下載 GoApp 模組」中的步驟。
- 完成「安裝 Docker 容器」中的步驟。
- 完成「更新稽核記錄的權限」中的步驟。
設定圖表和資訊主頁
- 按照「匯入 Kibana 資訊主頁」一文所述,匯入所有資訊主頁。
請按照「使用 Docker 和 Elastic Stack 匯出資產和調查結果」一文中的操作說明,管理 SIEM 整合。
管理服務和記錄檔
本節說明如何查看 GoApp 模組記錄,以及變更模組設定。
本節僅適用於 2022 年 2 月提供的安裝套件中安裝的 GoApp 模組。GoogleSCCElasticIntegration如需最新資訊,請參閱「升級至最新版本」。
檢查服務狀態:
systemctl | grep go_script查看目前的工作記錄,其中包含執行失敗和其他服務資訊:
sudo journalctl -f -u go_script.service查看歷來和目前的工時記錄:
sudo journalctl -u go_script.service如要排解
go_script.service的記錄問題或檢查記錄,請按照下列步驟操作:cat go.log
設定 Elastic Stack 應用程式
本節說明如何設定 Elastic Stack 應用程式,擷取 Security Command Center 資料。這些操作說明假設您已正確安裝並啟用 Elastic Stack,且在應用程式環境中具備根權限。
本節僅適用於 2022 年 2 月提供的安裝套件中安裝的 GoApp 模組。GoogleSCCElasticIntegration如需最新資訊,請參閱「升級至最新版本」。
查看 Logstash 服務記錄
如要查看目前的記錄,請執行下列指令:
sudo journalctl -f -u logstash2.service
如要查看歷史記錄,請執行下列指令:
sudo journalctl -u logstash2.service
設定 Filebeat
本節僅適用於 2022 年 2 月提供的安裝套件中安裝的 GoApp 模組。GoogleSCCElasticIntegration如需最新資訊,請參閱「升級至最新版本」。
查看 Filebeat 服務記錄
如要查看目前的記錄,請執行下列指令:
sudo journalctl -f -u filebeat.service
如要查看歷史記錄,請執行下列指令:
sudo journalctl -u filebeat.service
查看 Kibana 資訊主頁
您可以在 Elastic Stack 中使用自訂資訊主頁,將發現項目、資產和安全性來源視覺化並進行分析。資訊主頁會顯示重大發現,協助安全團隊優先處理修正作業。
本節僅適用於 2022 年 2 月提供的安裝套件中安裝的 GoApp 模組。GoogleSCCElasticIntegration如需最新資訊,請參閱「升級至最新版本」。
總覽
「總覽」資訊主頁包含一系列圖表,顯示貴機構中各嚴重程度、類別和狀態的發現事項總數。這些發現結果是從 Security Command Center 的內建服務 (安全狀態分析、Web Security Scanner、Event Threat Detection 和 Container Threat Detection) 彙整而來,以及您啟用的任何整合服務。
其他圖表則會顯示哪些類別、專案和資產產生最多發現項目。
資產
「資產」資訊主頁會顯示資產表格。表格會顯示資產擁有者、依資源類型和專案劃分的資產數量,以及最近新增和更新的資產。 Google Cloud
您可以依時間範圍、資源名稱、資源類型、擁有者和專案篩選資產資料,並快速深入瞭解特定資產的調查結果。如果點選資產名稱,系統會將您重新導向 Google Cloud 控制台的 Security Command Center「資產」頁面,並顯示所選資產的詳細資料。
發現項目
「調查結果」資訊主頁會顯示表格,列出您最近的調查結果。您可以依資源名稱、類別和嚴重程度篩選資料。
表格欄包括發現項目名稱 (格式為 organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var>)、類別、資源名稱、事件時間、建立時間、父項名稱、父項 URI 和安全標記。父項 URI 的格式與發現項目名稱相符。點選發現項目名稱後,系統會將您重新導向 Google Cloud 控制台的 Security Command Center「發現項目」頁面,並顯示所選發現項目的詳細資料。
來源
「來源」資訊主頁會顯示發現項目和安全來源的總數、依來源名稱列出的發現項目數量,以及所有安全來源的表格。表格欄位包括名稱、顯示名稱和說明。
編輯資訊主頁
如要自訂 Kibana 資訊主頁中顯示的資料,可以新增或移除資料欄。
新增欄
- 前往資訊主頁。
- 依序點選「編輯」和「編輯圖表」。
- 在「新增子儲存區」下方,選取「分割列」。
- 在清單中選取「匯總」。
- 在「遞減」下拉式選單中,選取遞增或遞減。在「大小」欄位中,輸入表格的資料列數上限。
- 選取要新增的資料欄。
- 儲存變更。
移除資料欄
- 前往資訊主頁。
- 按一下 [編輯]。
- 如要隱藏資料欄,請按一下資料欄名稱旁邊的顯示/隱藏圖示 (眼睛圖示)。
- 如要移除資料欄,請按一下欄名稱旁的「X」X或「刪除」圖示。
解除安裝元件
如果不想再為 Elastic Stack 擷取 Security Command Center 資料,請解除安裝 GoApp 模組和 Elastic Stack 應用程式。
本節僅適用於 2022 年 2 月提供的安裝套件中安裝的 GoApp 模組。GoogleSCCElasticIntegration如需最新資訊,請參閱「升級至最新版本」。
解除安裝 GoApp 模組
- 從
/etc/systemd/system/刪除go_script.service。 - 移除資產和 IAM 政策的動態消息。
- 移除資產、IAM 政策和調查結果的 Pub/Sub。
- 刪除工作目錄。
解除安裝 Logstash
- 刪除 Logstash 設定。
- 刪除
logstash2.service。
解除安裝 Filebeat
- 刪除 Filebeat 設定。
- 刪除
filebeat.service。
後續步驟
升級至最新版本,即可將 Security Command Center 與 Elastic Stack 整合。
進一步瞭解如何在 Security Command Center 中設定發現項目通知。
請參閱 Security Command Center 說明文件,瞭解如何篩選發現項目通知。