Erfassung von Google Cloud Platform-Protokolldaten in Microsoft Sentinel

Organisationen wechseln zunehmend zu Multicloudarchitekturen, sei es entwurfsbedingt oder aufgrund laufender Anforderungen. Eine wachsende Zahl dieser Organisationen nutzt Anwendungen und speichert Daten in mehreren öffentlichen Clouds, einschließlich der Google Cloud Platform (GCP).

In diesem Artikel wird beschrieben, wie Sie GCP-Daten in Microsoft Sentinel so erfassen, dass vollständige Sicherheitsabdeckung erreicht wird und Sie Angriffe in Ihrer Multicloudumgebung erkennen und analysieren können.

Mit den GCP Pub/Sub-Connectors, die auf unserer CCP (Codeless Connector Platform) basieren, können Sie Protokolle aus Ihrer GCP-Umgebung mithilfe der Pub/Sub-Funktion der GCP erfassen:

• Der Pub/Sub Audit Logs-Connector von Google Cloud Platform (GCP) erfasst Überwachungspfade des Zugriffs auf GCP-Ressourcen. Analysten können diese Protokolle überwachen, um Ressourcenzugriffsversuche nachzuverfolgen und potenzielle Bedrohungen in der GCP-Umgebung zu erkennen.

• Der Security Command Center-Connector von Google Cloud Platform (GCP) sammelt Erkenntnisse aus dem Google Security Command Center, einer robusten Sicherheits- und Risikomanagementplattform für Google Cloud. Analysten können diese Ergebnisse anzeigen, um Einblicke in den Sicherheitsstatus der Organisation zu erhalten, einschließlich des Ressourcenbestands und der Ermittlung und Erkennung von Sicherheitsrisiken und Bedrohungen sowie Risikominderung und -behebung.

Wichtig

Die GCP Pub/Sub-Connectors befinden sich derzeit in der VORSCHAUPHASE. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Voraussetzungen

Vergewissern Sie sich zunächst, dass Sie über Folgendes verfügen:

• Sie haben die Microsoft Sentinel-Lösung aktiviert.
• Ein definierter Microsoft Sentinel-Arbeitsbereich ist vorhanden.
• Eine GCP-Umgebung ist vorhanden und enthält Ressourcen, die einen der folgenden Protokolltypen erzeugen, die Sie erfassen möchten:
  • GCP-Überwachungsprotokolle
  • Google Security Command Center-Ergebnisse
• Ihr Azure-Benutzer hat die Rolle „Microsoft Sentinel-Mitwirkender“.
• Ihr GCP-Benutzer hat Zugriff auf das Erstellen und Bearbeiten von Ressourcen im GCP-Projekt.
• Die GCP Identity and Access Management (IAM)-API und die GCP Cloud Resource Manager-API sind beide aktiviert.

Einrichten einer GCP-Umgebung

Es gibt zwei Dinge, die Sie in Ihrer GCP-Umgebung einrichten müssen:

1. Richten Sie die Microsoft Sentinel-Authentifizierung in GCP ein, indem Sie die folgenden Ressourcen im GCP-IAM-Dienst erstellen:

   • Workloadidentitätspool
   • Workload-Identitätsanbieter
   • Dienstkonto
   • Rolle

2. Richten Sie die Protokollsammlung in GCP und Aufnahme in Microsoft Sentinel ein, indem Sie die folgenden Ressourcen im GCP Pub/Sub-Dienst erstellen:

   • Thema
   • Abonnement für das Thema

Sie können die GCP-Umgebung auf eine von zwei Arten einrichten:

• Erstellen Sie GCP-Ressourcen über die Terraform-API: Terraform stellt APIs für die Ressourcenerstellung und für die Identitäts- und Zugriffsverwaltung bereit (siehe Voraussetzungen). Microsoft Sentinel stellt Terraform-Skripts bereit, welche die erforderlichen Befehle für die APIs ausstellen.

• Richten Sie die GCP-Umgebung manuell ein und erstellen Sie die Ressourcen selbst in der GCP-Konsole.

  Hinweis

  Es ist kein Terraform-Skript zum Erstellen von GCP Pub/Sub-Ressourcen für die Protokollsammlung aus dem Security Command Center verfügbar. Sie müssen diese Ressourcen manuell erstellen. Sie können weiterhin das Terraform-Skript verwenden, um die GCP IAM-Ressourcen für die Authentifizierung zu erstellen.

  Wichtig

  Wenn Sie Ressourcen manuell erstellen, müssen Sie alle Authentifizierungsressourcen (IAM) im gleichen GCP-Projekt erstellen, andernfalls funktioniert es nicht. (Pub/Sub-Ressourcen können in einem anderen Projekt vorhanden sein.)

GCP-Authentifizierungssetup

Terraform-API-Setup

1. Öffnen Sie die GCP Cloud Shell.

2. Wählen Sie das Projekt aus, mit dem Sie arbeiten möchten, indem Sie den folgenden Befehl im Editor eingeben:

   gcloud config set project {projectId}  
   

3. Kopieren Sie das Terraform-Authentifizierungsskript von Microsoft Sentinel aus dem Sentinel GitHub-Repository in Ihre GCP Cloud Shell-Umgebung.

   1. Öffnen Sie die Skriptdatei Terraform GCPInitialAuthenticationSetup und kopieren Sie den Inhalt.

      Hinweis

      Zum Aufnehmen von GCP-Daten in eine Azure Government-Cloudverwenden Sie stattdessen dieses Authentifizierungssetupskript.

   2. Erstellen Sie ein Verzeichnis in Ihrer Cloud Shell-Umgebung, geben Sie es ein und erstellen Sie eine neue leere Datei.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Öffnen Sie initauth.tf im Cloud Shell-Editor und fügen Sie den Inhalt der Skriptdatei in die Datei ein.

4. Initialisieren Sie Terraform in dem Verzeichnis, das Sie erstellt haben, indem Sie den folgenden Befehl im Terminal eingeben:

   terraform init 
   

5. Wenn Sie die Bestätigungsmeldung erhalten, dass Terraform initialisiert wurde, führen Sie das Skript aus, indem Sie den folgenden Befehl im Terminal eingeben:

   terraform apply 
   

6. Wenn das Skript zur Eingabe Ihrer Microsoft-Mandanten-ID auffordert wird, kopieren Sie sie und fügen Sie sie in den Terminal ein.

   Hinweis

   Sie können Ihre Mandanten-ID auf der Seite GCP Pub/Sub Audit Logs-Connector im Microsoft Sentinel-Portal oder in der Anzeige Portaleinstellungen (überall im Azure-Portal zugänglich) suchen und kopieren, (indem Sie das Zahnradsymbol am oberen Rand des Bildschirms auswählen), in der Spalte Verzeichnis-ID.

7. Wenn Sie gefragt werden, ob bereits ein Workload-Identitätspool für Azure erstellt wurde, antworten Sie entsprechend mit Ja oder Nein.

8. Wenn Sie gefragt werden, ob Sie die aufgeführten Ressourcen erstellen möchten, geben Sie ja ein.

Wenn die Ausgabe des Skripts angezeigt wird, speichern Sie die Ressourcenparameter für die spätere Verwendung.

Manuelle Einrichtung

Erstellen und konfigurieren Sie die folgenden Elemente im Google Cloud Platform Identity and Access Management (IAM)-Dienst.

Erstellen einer benutzerdefinierten Rolle

1. Folgen Sie den Anweisungen in der Google Cloud-Dokumentation, um eine Rolle zu erstellen. Erstellen Sie anhand dieser Anweisungen eine benutzerdefinierte Rolle von Grund auf neu.

2. Benennen Sie die Rolle, damit sie als benutzerdefinierte Sentinel-Rolle erkennbar ist.

3. Geben Sie die relevanten Details ein und fügen Sie nach Bedarf Berechtigungen hinzu:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Sie können die Liste der verfügbaren Berechtigungen nach Rollen filtern. Wählen Sie die Rollen Pub/Sub Subscriber und Pub/Sub Viewer aus, um die Liste zu filtern.

Weitere Informationen zum Erstellen von Rollen in der Google Cloud Platform finden Sie in der Google Cloud-Dokumentation unter Erstellen und Verwalten von benutzerdefinierten Rollen.

Erstellen eines Dienstkontos

1. Befolgen Sie die Anweisungen in der Google Cloud-Dokumentation, um ein Dienstkonto zu erstellen.

2. Benennen Sie das Dienstkonto, damit es als Sentinel-Dienstkonto erkennbar ist.

3. Weisen Sie die im vorherigen Abschnitt erstellte Rolle dem Dienstkonto zu.

Weitere Informationen zu Dienstkonten in der Google Cloud Platform finden Sie in der Google Cloud-Dokumentation im Überblick über Dienstkonten.

Erstellen des Workload-Identitätspools und des Anbieters

1. Befolgen Sie die Anweisungen in der Google Cloud-Dokumentation, um den Workload-Identitätspool und den Anbieter zu erstellen.

2. Geben Sie für den Namen und die Pool-ID Ihre Azure-Mandanten-ID ein, wobei Sie die Bindestriche entfernen müssen.

   Hinweis

   Sie können Ihre Mandanten-ID auf dem Bildschirm Portaleinstellungen in der Spalte Verzeichnis-ID suchen und kopieren. Auf den Bildschirm „Portaleinstellungen“ kann überall im Azure-Portal zugegriffen werden, indem sie das Zahnradsymbol am oberen Rand des Bildschirms auswählen.

3. Fügen Sie dem Pool einen Identitätsanbieter hinzu. Wählen Sie Open ID Connect (OIDC) als Anbietertyp aus.

4. Benennen Sie den Identitätsanbieter, damit er für seinen Zweck erkennbar ist.

5. Geben Sie die folgenden Werte in die Anbietereinstellungen ein (dies sind keine Beispiele– verwenden Sie diese tatsächlichen Werte):

   • Aussteller (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Zielgruppe: Der Anwendungs-ID-URI: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Attributzuordnung: google.subject=assertion.sub

   Hinweis

   Verwenden Sie zum Einrichten des Connectors zum Senden von Protokollen von GCP an die Azure Government-Cloud die folgenden alternativen Werte für die Anbietereinstellungen anstelle der oben genannten Einstellungen:

   • Aussteller (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Zielgruppe: api://e9885b54-fac0-4cd6-959f-a72066026929

Weitere Informationen zum Workload-Identitätsverbund in Google Cloud Platform finden Sie in der Google Cloud-Dokumentation unter Workload-Identitätsverbund.

Gewähren des Identitätspoolzugriffs auf das Dienstkonto

1. Suchen Sie das zuvor erstellte Dienstkonto und wählen Sie es aus.

2. Suchen Sie die Berechtigungskonfiguration des Dienstkontos.

3. Gewähren Sie Zugriff auf den Prinzipal, der den Workload-Identitätspool und den Anbieter darstellt, den Sie im vorherigen Schritt erstellt haben.

   • Verwenden Sie das folgende Format für den Prinzipalnamen:

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • Weisen Sie die Rolle Workload Identity User zu und speichern Sie die Konfiguration.

Weitere Informationen zum Gewähren des Zugriffs in der Google Cloud Platform finden Sie unter Verwalten des Zugriffs auf Projekte, Ordner und Organisationen in der Google Cloud-Dokumentation.

Setup von GCP-Überwachungsprotokollen

Die Anweisungen in diesem Abschnitt beziehen sich auf die Verwendung des GCP Pub/Sub Audit Logs-Connectors von Microsoft Sentinel.

Lesen Sie die Anweisungen im nächsten Abschnitt für die Verwendung des GCP Pub/Sub Security Command Center-Connectors von Microsoft Sentinel.

Terraform-API-Setup

1. Kopieren Sie das Terraform-Überwachungsprotokoll-Setupskript, das von Microsoft Sentinel aus dem Sentinel GitHub-Repository bereitgestellt wird, in einen anderen Ordner in Ihrer GCP Cloud Shell-Umgebung.

   1. Öffnen Sie die Terraform die Skriptdatei GCPAuditLogsSetup und kopieren Sie den Inhalt.

      Hinweis

      Wenn Sie GCP-Daten in eine Azure Government-Cloudaufnehmen möchten, verwenden Sie stattdessen dieses Skript zum Einrichten von Überwachungsprotokollen.

   2. Erstellen Sie ein weiteres Verzeichnis in Ihrer Cloud Shell-Umgebung, geben Sie es ein und erstellen Sie eine neue leere Datei.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Öffnen Sie auditlog.tf im Cloud Shell-Editor und fügen Sie den Inhalt der Skriptdatei in die Datei ein.

2. Initialisieren Sie Terraform im neuen Verzeichnis, indem Sie den folgenden Befehl im Terminal eingeben:

   terraform init 
   

3. Wenn Sie die Bestätigungsmeldung erhalten, dass Terraform initialisiert wurde, führen Sie das Skript aus, indem Sie den folgenden Befehl im Terminal eingeben:

   terraform apply 
   

   Geben Sie Folgendes ein, um die Protokolle aus einer gesamten Organisation mit einem einzelnen Pub/Sub zu erfassen:

   terraform apply -var="organization-id= {organizationId} "
   

4. Wenn Sie gefragt werden, ob Sie die aufgeführten Ressourcen erstellen möchten, geben Sie ja ein.

Wenn die Ausgabe des Skripts angezeigt wird, speichern Sie die Ressourcenparameter für die spätere Verwendung.

Warten Sie fünf Minuten, bevor Sie mit dem nächsten Schritt fortfahren.

Manuelle Einrichtung

Erstellen eines Veröffentlichungsthemas

Verwenden Sie den Google Cloud Platform Pub/Sub-Dienst, um den Export von Überwachungsprotokollen einzurichten.

Befolgen Sie die Anweisungen in der Google Cloud-Dokumentation, um ein Thema zum Veröffentlichen von Protokollen zu erstellen.

• Wählen Sie eine Themen-ID aus, die den Zweck der Protokollsammlung für den Export nach Microsoft Sentinel widerspiegelt.
• Fügen Sie ein Standardabonnement hinzu.
• Verwenden Sie einen von Google verwalteten Verschlüsselungsschlüssel für die Verschlüsselung.

Erstellen einer Protokollsenke

Verwenden Sie den Google Cloud Platform Log Router-Dienst, um die Sammlung von Überwachungsprotokollen einzurichten.

So erfassen Sie Protokolle nur für Ressourcen im aktuellen Projekt:

1. Vergewissern Sie sich, dass Ihr Projekt in der Projektauswahl ausgewählt ist.

2. Befolgen Sie die Anweisungen in der Google Cloud-Dokumentation, um eine Senke zum Sammeln von Protokollen einzurichten.

   • Wählen Sie einen Namen aus, der den Zweck der Protokollsammlung für den Export nach Microsoft Sentinel widerspiegelt.
   • Wählen Sie das „Cloud Pub/Sub“-Thema als Zieltyp und dann das Thema aus, das Sie im vorherigen Schritt erstellt haben.

So erfassen Sie Protokolle für Ressourcen in der gesamten Organisation:

1. Wählen Sie Ihre Organisation in der Projektauswahl aus.

2. Befolgen Sie die Anweisungen in der Google Cloud-Dokumentation, um eine Senke zum Sammeln von Protokollen einzurichten.

   • Wählen Sie einen Namen aus, der den Zweck der Protokollsammlung für den Export nach Microsoft Sentinel widerspiegelt.
   • Wählen Sie das „Cloud Pub/Sub“-Thema als Zieltyp und dann den Standard „Cloud Pub/Sub in einem Projekt verwenden“ aus.
   • Geben Sie das Ziel im folgenden Format ein: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. Wählen Sie unter Protokolle auswählen, die in die Senken aufgenommen werden sollen, Von dieser Organisation aufgenommenen Protokolle und alle untergeordneten Ressourcen einschließen aus.

Überprüfen, ob GCP eingehende Nachrichten empfangen kann

1. Navigieren Sie in der GCP-Pub/Sub-Konsole zu Abonnements.

2. Wählen Sie Nachrichten und PULL aus, um einen manuellen Pull einzuleiten.

3. Überprüfen Sie die eingehenden Nachrichten.

Wenn Sie auch den GCP Pub/Sub Security Command Center-Connector einrichten, fahren Sie mit dem nächsten Abschnitt fort.

Fahren Sie andernfalls mit Einrichten des GCP Pub/Sub-Connectors in Microsoft Sentinel fort.

Einrichten des GCP Security Command Center-Connectors in Microsoft Sentinel

Die Anweisungen in diesem Abschnitt beziehen sich auf die Verwendung des GCP Pub/Sub Security Command Center-Connectors von Microsoft Sentinel.

Lesen Sie die Anweisungen im vorherigen Abschnitt für die Verwendung des GCP Pub/Sub Audit Logs-Connectors von Microsoft Sentinel.

Konfigurieren des fortlaufenden Exports von Ergebnissen

Befolgen Sie die Anweisungen in der Google Cloud-Dokumentation, um Pub/Sub-Exporte zukünftiger SCC-Ergebnisse in den GCP Pub/Sub-Dienst zu konfigurieren.

1. Wenn Sie aufgefordert werden, ein Projekt für den Export auszuwählen, wählen Sie ein Projekt aus, das Sie zu diesem Zweck erstellt haben, oder erstellen Sie ein neues Projekt.

2. Wenn Sie aufgefordert werden, ein Pub/Sub-Thema auszuwählen, in das Sie Ihre Ergebnisse exportieren möchten, befolgen Sie die obigen Anweisungen, um ein neues Thema zu erstellen.

Einrichten des GCP Pub/Sub-Connectors in Microsoft Sentinel

GCP-Überwachungsprotokolle

1. Öffnen Sie das Azure-Portal, und navigieren Sie zum Dienst Microsoft Sentinel.

2. Geben Sie im Inhaltshub in der Suchleiste Google Cloud Platform Audit Logs ein.

3. Installieren Sie die Google Cloud Platform-Lösung für Überwachungsprotokolle.

4. Wählen Sie Datenconnectors aus, und geben Sie in der Suchleiste GCP Pub/Sub Audit Logs ein.

5. Wählen Sie den GCP Pub/Sub Audit Logs (Vorschau)-Connector aus.

6. Wählen Sie im Bereich „Details“ die Option Connectorseite öffnen aus.

7. Wählen Sie im Bereich Konfiguration die Option Neuen Collector hinzufügen aus.

   

8. Geben Sie im Bereich Mit einem neuen Collector verbinden die Ressourcenparameter ein, die Sie beim Erstellen der GCP-Ressourcen erstellt haben.

   

9. Stellen Sie sicher, dass die Werte in allen Feldern ihren Gegenstücken in Ihrem GCP-Projekt entsprechen (die Werte im Screenshot sind Beispiele, keine Literale), und wählen Sie Verbinden aus.

Google Security Command Center

1. Öffnen Sie das Azure-Portal, und navigieren Sie zum Dienst Microsoft Sentinel.

2. Geben Sie im Inhaltshub in der Suchleiste Google Security Command Center ein.

3. Installieren Sie die Google Security Command Center-Lösung.

4. Wählen Sie Datenconnectors aus, und geben Sie in der Suchleiste Google Security Command Center ein.

5. Wählen Sie den Google Security Command Center-Connector (Vorschau) aus.

6. Wählen Sie im Bereich „Details“ die Option Connectorseite öffnen aus.

7. Wählen Sie im Bereich Konfiguration die Option Neuen Collector hinzufügen aus.

   

8. Geben Sie im Bereich Mit einem neuen Collector verbinden die Ressourcenparameter ein, die Sie beim Erstellen der GCP-Ressourcen erstellt haben.

   

9. Stellen Sie sicher, dass die Werte in allen Feldern ihren Gegenstücken in Ihrem GCP-Projekt entsprechen (die Werte im Screenshot sind Beispiele, keine Literale), und wählen Sie Verbinden aus.

Überprüfen, ob die GCP-Daten in der Microsoft Sentinel-Umgebung vorhanden sind

1. Zum Sicherstellen, dass die GCP-Protokolle erfolgreich in Microsoft Sentinel erfasst wurden, führen Sie 30 Minuten, nachdem Sie den Connector eingerichtet haben, die folgende Abfrage aus.

   GCP-Überwachungsprotokolle

   GCPAuditLogs 
   | take 10 
   

   Google Security Command Center

   GoogleSCC 
   | take 10 
   

2. Aktivieren Sie das Integritätsfeature für Datenconnectors.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie GCP-Daten mithilfe des GCP Pub/Sub-Connectors in Microsoft Sentinel erfassen. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

• Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
• Beginnen Sie mit Erkennung von Bedrohungen mithilfe von Microsoft Sentinel.
• Verwenden Sie Arbeitsmappen, um Ihre Daten zu überwachen.