استيعاب بيانات سجل Google Cloud Platform في Microsoft Sentinel

مقالة
06/14/2024

تنتقل المؤسسات بشكل متزايد إلى البنيات متعددة السحابات، سواء حسب التصميم أو بسبب المتطلبات المستمرة. يستخدم عدد متزايد من هذه المؤسسات التطبيقات ويخزن البيانات على سحابات عامة متعددة، بما في ذلك Google Cloud Platform (GCP).

توضح هذه المقالة كيفية استيعاب بيانات GCP في Microsoft Sentinel للحصول على تغطية أمان كاملة وتحليل الهجمات واكتشافها في بيئتك متعددة السحابات.

باستخدام موصلات GCP Pub/Sub، استنادا إلى النظام الأساسي للموصل بدون تعليمات برمجية (CCP)، يمكنك استيعاب السجلات من بيئة GCP باستخدام إمكانية GCP Pub/Sub:

يجمع موصل سجلات التدقيق الفرعية/Pub في Google Cloud Platform (GCP) مسارات التدقيق للوصول إلى موارد GCP. يمكن للمحللين مراقبة هذه السجلات لتتبع محاولات الوصول إلى الموارد واكتشاف التهديدات المحتملة عبر بيئة GCP.
يجمع موصل مركز أوامر أمان Google Cloud Platform (GCP) النتائج من مركز أوامر أمان Google، وهو نظام أساسي قوي لإدارة المخاطر والأمان ل Google Cloud. يمكن للمحللين الاطلاع على هذه النتائج للحصول على رؤى حول الوضع الأمني للمؤسسة، بما في ذلك مخزون الأصول واكتشافها، والكشف عن نقاط الضعف والتهديدات، وتخفيف المخاطر ومعالجتها.

هام

موصلات GCP Pub/Sub موجودة حاليا في PREVIEW. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

المتطلبات الأساسية

قبل البدء، تحقق من أن لديك ما يلي:

تم تمكين حل Microsoft Sentinel.
توجد مساحة عمل Microsoft Sentinel محددة.
توجد بيئة GCP وتحتوي على موارد تنتج أحد نوع السجل التالي الذي تريد استيعابه:
- سجلات تدقيق GCP
- نتائج مركز أوامر أمان Google
لدى مستخدم Azure دور مساهم Microsoft Sentinel.
لدى مستخدم GCP الخاص بك حق الوصول لإنشاء الموارد وتحريرها في مشروع GCP.
يتم تمكين كل من واجهة برمجة تطبيقات GCP Identity and Access Management (IAM) وواجهة برمجة تطبيقات GCP Cloud Resource Manager.

إعداد بيئة GCP

هناك أمران تحتاج إلى إعدادهما في بيئة GCP:

إعداد مصادقة Microsoft Sentinel في GCP عن طريق إنشاء الموارد التالية في خدمة GCP IAM:
- تجمع هوية حمل العمل
- موفر هوية حمل العمل
- حساب الخدمة
- الدور
إعداد مجموعة السجل في GCP والاستيعاب في Microsoft Sentinel عن طريق إنشاء الموارد التالية في خدمة GCP Pub/Sub:
- الموضوع
- الاشتراك للموضوع

يمكنك إعداد البيئة بإحدى طريقتين:

إنشاء موارد GCP عبر واجهة برمجة تطبيقات Terraform: يوفر Terraform واجهات برمجة التطبيقات لإنشاء الموارد وإدارة الهوية والوصول (راجع المتطلبات الأساسية). يوفر Microsoft Sentinel البرامج النصية Terraform التي تصدر الأوامر الضرورية لواجهات برمجة التطبيقات.
إعداد بيئة GCP يدويا، وإنشاء الموارد بنفسك في وحدة تحكم GCP.

إشعار

لا يوجد برنامج نصي Terraform متاح لإنشاء موارد GCP Pub/Sub لمجموعة السجل من مركز أوامر الأمان. يجب إنشاء هذه الموارد يدويا. لا يزال بإمكانك استخدام البرنامج النصي Terraform لإنشاء موارد GCP IAM للمصادقة.

هام

إذا كنت تقوم بإنشاء الموارد يدويا، فيجب عليك إنشاء جميع موارد المصادقة (IAM) في نفس مشروع GCP، وإلا فلن تعمل. (يمكن أن تكون موارد Pub/Sub في مشروع مختلف.)

افتح GCP Cloud Shell.
حدد المشروع الذي تريد العمل معه، عن طريق كتابة الأمر التالي في المحرر:
```
gcloud config set project {projectId}  
```
انسخ البرنامج النصي لمصادقة Terraform الذي يوفره Microsoft Sentinel من مستودع Sentinel GitHub إلى بيئة GCP Cloud Shell.
1. افتح ملف البرنامج النصي Terraform GCPInitialAuthenticationSetup وانسخ محتوياته.
  
  إشعار
  
  لاستيعاب بيانات GCP في سحابة Azure Government، استخدم برنامج إعداد المصادقة هذا بدلا من ذلك.
2. أنشئ دليلا في بيئة Cloud Shell، وأدخله، وأنشئ ملفا فارغا جديدا.
```
mkdir {directory-name} && cd {directory-name} && touch initauth.tf
```
3. افتح initauth.tf في محرر Cloud Shell والصق محتويات ملف البرنامج النصي فيه.
تهيئة Terraform في الدليل الذي أنشأته بكتابة الأمر التالي في المحطة الطرفية:
```
terraform init 
```
عند تلقي رسالة التأكيد التي تمت تهيئة Terraform، قم بتشغيل البرنامج النصي بكتابة الأمر التالي في المحطة الطرفية:
```
terraform apply 
```
عندما يطالب البرنامج النصي معرف مستأجر Microsoft، انسخه والصقه في المحطة الطرفية.

إشعار

يمكنك العثور على معرف المستأجر الخاص بك ونسخه في صفحة موصل سجلات تدقيق GCP Pub/Sub في مدخل Microsoft Sentinel، أو في شاشة إعدادات المدخل (يمكن الوصول إليها في أي مكان في مدخل Microsoft Azure عن طريق تحديد رمز الترس على طول الجزء العلوي من الشاشة)، في عمود معرف الدليل.
عند سؤالك عما إذا تم بالفعل إنشاء تجمع هوية حمل العمل ل Azure، أجب بنعم أو لا وفقا لذلك.
عند سؤالك عما إذا كنت تريد إنشاء الموارد المدرجة، اكتب نعم.

عند عرض الإخراج من البرنامج النصي، احفظ معلمات الموارد لاستخدامها لاحقا.

إنشاء العناصر التالية وتكوينها في خدمة Google Cloud Platform Identity and Access Management (IAM).

إنشاء دور مخصص

اتبع الإرشادات الواردة في وثائق Google Cloud لإنشاء دور. وفقا لهذه الإرشادات، قم بإنشاء دور مخصص من البداية.
قم بتسمية الدور بحيث يمكن التعرف عليه كدور مخصص Sentinel.
املأ التفاصيل ذات الصلة وأضف الأذونات حسب الحاجة:
- pubsub.subscriptions.consume
- pubsub.subscriptions.get
يمكنك تصفية قائمة الأذونات المتوفرة حسب الأدوار. حدد أدوار Pub/Sub Subscriber و Pub/Sub Viewer لتصفية القائمة.

لمزيد من المعلومات حول إنشاء الأدوار في Google Cloud Platform، راجع إنشاء أدوار مخصصة وإدارتها في وثائق Google Cloud.

إنشاء حساب خدمة

اتبع الإرشادات الواردة في وثائق Google Cloud لإنشاء حساب خدمة.
قم بتسمية حساب الخدمة بحيث يمكن التعرف عليه كحساب خدمة Sentinel.
قم بتعيين الدور الذي أنشأته في القسم السابق إلى حساب الخدمة.

لمزيد من المعلومات حول حسابات الخدمة في Google Cloud Platform، راجع نظرة عامة على حسابات الخدمة في وثائق Google Cloud.

إنشاء تجمع هوية حمل العمل والموفر

اتبع الإرشادات الواردة في وثائق Google Cloud لإنشاء تجمع هوية حمل العمل والموفر.
بالنسبة إلى معرف الاسم والتجمع، أدخل معرف مستأجر Azure الخاص بك، مع إزالة الشرطات.

إشعار

يمكنك العثور على معرف المستأجر الخاص بك ونسخه على شاشة إعدادات المدخل، في عمود معرف الدليل. يمكن الوصول إلى شاشة إعدادات المدخل في أي مكان في مدخل Microsoft Azure عن طريق تحديد رمز الترس على طول الجزء العلوي من الشاشة.
إضافة موفر هوية إلى التجمع. اختر Open ID Connect (OIDC) كنوع الموفر.
قم بتسمية موفر الهوية بحيث يمكن التعرف عليه لغرضه.
أدخل القيم التالية في إعدادات الموفر (هذه ليست عينات - استخدم هذه القيم الفعلية):
- المصدر (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
- الجمهور: معرف التطبيق URI: api://2041288c-b303-4ca0-9076-9612db3beeb2
- تعيين السمة: google.subject=assertion.sub
إشعار

لإعداد الموصل لإرسال سجلات من GCP إلى سحابة Azure Government، استخدم القيم البديلة التالية لإعدادات الموفر بدلا من تلك المذكورة أعلاه:
- المصدر (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
- الجمهور: api://e9885b54-fac0-4cd6-959f-a72066026929

لمزيد من المعلومات حول اتحاد هوية حمل العمل في Google Cloud Platform، راجع اتحاد هوية حمل العمل في وثائق Google Cloud.

منح تجمع الهوية حق الوصول إلى حساب الخدمة

حدد موقع حساب الخدمة الذي أنشأته سابقا وحدده.
حدد موقع تكوين الأذونات لحساب الخدمة.
امنح حق الوصول إلى الأساسي الذي يمثل تجمع هوية حمل العمل والموفر الذي قمت بإنشائه في الخطوة السابقة.
- استخدم التنسيق التالي للاسم الأساسي:
```
principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
```
- تعيين دور مستخدم هوية حمل العمل وحفظ التكوين.

لمزيد من المعلومات حول منح الوصول في Google Cloud Platform، راجع إدارة الوصول إلى المشاريع والمجلدات والمؤسسات في وثائق Google Cloud.

إعداد سجلات تدقيق GCP

الإرشادات الواردة في هذا القسم مخصصة لاستخدام موصل Microsoft Sentinel GCP Pub/Sub Audit Logs .

راجع الإرشادات الموجودة في القسم التالي لاستخدام موصل Microsoft Sentinel GCP Pub/Sub Security Command Center .

إعداد واجهة برمجة تطبيقات Terraform
الإعداد اليدوي

انسخ البرنامج النصي لإعداد سجل تدقيق Terraform الذي يوفره Microsoft Sentinel من مستودع Sentinel GitHub إلى مجلد مختلف في بيئة GCP Cloud Shell.
1. افتح ملف البرنامج النصي Terraform GCPAuditLogsSetup وانسخ محتوياته.
  
  إشعار
  
  لاستيعاب بيانات GCP في سحابة Azure Government، استخدم برنامج إعداد سجل التدقيق هذا بدلا من ذلك.
2. أنشئ دليلا آخر في بيئة Cloud Shell، وأدخله، وأنشئ ملفا فارغا جديدا.
```
mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
```
3. افتح auditlog.tf في محرر Cloud Shell والصق محتويات ملف البرنامج النصي فيه.
تهيئة Terraform في الدليل الجديد عن طريق كتابة الأمر التالي في المحطة الطرفية:
```
terraform init 
```
عند تلقي رسالة التأكيد التي تمت تهيئة Terraform، قم بتشغيل البرنامج النصي بكتابة الأمر التالي في المحطة الطرفية:
```
terraform apply 
```
لاستيعاب السجلات من مؤسسة بأكملها باستخدام Pub/Sub واحد، اكتب:
```
terraform apply -var="organization-id= {organizationId} "
```
عند سؤالك عما إذا كنت تريد إنشاء الموارد المدرجة، اكتب نعم.

عند عرض الإخراج من البرنامج النصي، احفظ معلمات الموارد لاستخدامها لاحقا.

انتظر خمس دقائق قبل الانتقال إلى الخطوة التالية.

إنشاء موضوع نشر

استخدم خدمة Google Cloud Platform Pub/Sub لإعداد تصدير سجلات التدقيق.

اتبع الإرشادات الواردة في وثائق Google Cloud لإنشاء موضوع لنشر السجلات إليه.

اختر معرف الموضوع الذي يعكس الغرض من مجموعة السجلات للتصدير إلى Microsoft Sentinel.
إضافة اشتراك افتراضي.
استخدم مفتاح تشفير تديره Google للتشفير.

إنشاء متلقي سجل

استخدم خدمة Google Cloud Platform Log Router لإعداد مجموعة من سجلات التدقيق.

لتجميع سجلات الموارد في المشروع الحالي فقط:

تحقق من تحديد المشروع في محدد المشروع.
اتبع الإرشادات الواردة في وثائق Google Cloud لإعداد متلقي لتجميع السجلات.
- اختر اسما يعكس الغرض من مجموعة السجلات للتصدير إلى Microsoft Sentinel.
- حدد "Cloud Pub/Sub topic" كنوع الوجهة، واختر الموضوع الذي أنشأته في الخطوة السابقة.

لتجميع سجلات الموارد في جميع أنحاء المؤسسة بأكملها:

حدد مؤسستك في محدد المشروع.
اتبع الإرشادات الواردة في وثائق Google Cloud لإعداد متلقي لتجميع السجلات.
- اختر اسما يعكس الغرض من مجموعة السجلات للتصدير إلى Microsoft Sentinel.
- حدد "Cloud Pub/Sub topic" كنوع الوجهة، واختر "استخدام موضوع Cloud Pub/Sub الافتراضي في مشروع".
- أدخل الوجهة بالتنسيق التالي: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.
ضمن Choose logs to include in the sink، حدد Include logs ingested by this organization and all child resources.

تحقق من أن GCP يمكنه تلقي الرسائل الواردة

في وحدة تحكم GCP Pub/Sub، انتقل إلى Subscriptions.
حدد الرسائل، وحدد PULL لبدء سحب يدوي.
تحقق من الرسائل الواردة.

إذا كنت تقوم أيضا بإعداد موصل GCP Pub/Sub Security Command Center ، فتابع القسم التالي.

وإلا، فانتقل إلى إعداد موصل GCP Pub/Sub في Microsoft Sentinel.

إعداد مركز أوامر أمان GCP

الإرشادات الواردة في هذا القسم مخصصة لاستخدام موصل Microsoft Sentinel GCP Pub/Sub Security Command Center .

راجع الإرشادات الموجودة في القسم السابق لاستخدام موصل Microsoft Sentinel GCP Pub/Sub Audit Logs .

تكوين التصدير المستمر للنتائج

اتبع الإرشادات الواردة في وثائق Google Cloud لتكوين عمليات تصدير Pub/Sub لنتائج SCC المستقبلية إلى خدمة GCP Pub/Sub.

عند مطالبتك بتحديد مشروع للتصدير، حدد مشروعا أنشأته لهذا الغرض، أو أنشئ مشروعا جديدا.
عند مطالبتك بتحديد موضوع Pub/Sub حيث تريد تصدير النتائج، اتبع الإرشادات أعلاه لإنشاء موضوع جديد.

إعداد موصل GCP Pub/Sub في Microsoft Sentinel

سجلات تدقيق GCP
مركز أوامر أمان Google

افتح مدخل Microsoft Azure وانتقل إلى خدمة Microsoft Sentinel.
في مركز المحتوى، في شريط البحث، اكتب Google Cloud Platform Audit Logs.
قم بتثبيت حل سجلات تدقيق Google Cloud Platform.
حدد Data connectors، وفي شريط البحث، اكتب GCP Pub/Sub Audit Logs.
حدد موصل GCP Pub/Sub Audit Logs (Preview).
وأما في جزء التفاصيل، فحدد Open connector page.
في منطقة التكوين ، حدد إضافة جامع جديد.
في لوحة Connect a new collector ، اكتب معلمات المورد التي قمت بإنشائها عند إنشاء موارد GCP.
تأكد من أن القيم في جميع الحقول تتطابق مع نظيراتها في مشروع GCP الخاص بك (القيم الموجودة في لقطة الشاشة هي عينات، وليست قيم حرفية)، وحدد Connect.

تحقق من أن بيانات GCP موجودة في بيئة Microsoft Sentinel

للتأكد من أن سجلات GCP تم استيعابها بنجاح في Microsoft Sentinel، قم بتشغيل الاستعلام التالي بعد 30 دقيقة من الانتهاء من إعداد الموصل.
- سجلات تدقيق GCP
- مركز أوامر أمان Google
```
GCPAuditLogs 
| take 10 
```
```
GoogleSCC 
| take 10 
```
تمكين ميزة الحماية لموصلات البيانات.

الخطوات التالية

في هذه المقالة، تعلمت كيفية استيعاب بيانات GCP في Microsoft Sentinel باستخدام موصلات GCP Pub/Sub. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

تعرف على طريقةالحصول على رؤية لبياناتك والتهديدات المحتملة.
- ابدأ في اكتشاف التهديدات باستخدام Microsoft Azure Sentinel.
- استخدم المصنفات لمراقبة بياناتك.

مشاركة عبر