Ingesta de datos de registro de Google Cloud Platform en Microsoft Sentinel

Las organizaciones se mueven cada vez más a arquitecturas multinube, ya sea por diseño o por los requisitos continuos. Un número cada vez mayor de estas organizaciones usan aplicaciones y almacenan datos en varias nubes públicas, como Google Cloud Platform (GCP).

En este artículo se describe cómo ingerir datos de GCP en Microsoft Sentinel para obtener una cobertura de seguridad completa y analizar y detectar ataques en el entorno multinube.

Con los conectores GCP Pub/Sub, basados en nuestra Plataforma de conector sin código (CCP), puede ingerir registros desde el entorno de GCP mediante la funcionalidad GCP Pub/Sub:

• El Conector Google Cloud Platform (GCP) Pub/Sub Audit Logs recopila pistas de auditoría de acceso a los recursos de GCP. Los analistas pueden supervisar estos registros para realizar un seguimiento de los intentos de acceso a los recursos y detectar posibles amenazas en el entorno de GCP.

• El Conector del Centro de comandos de seguridad de Google Cloud Platform (GCP) recopila conclusiones de Google Security Command Center, una sólida plataforma de administración de riesgos y seguridad para Google Cloud. Los analistas pueden ver estos hallazgos para obtener información sobre la posición de seguridad de la organización, incluido el inventario y la detección de activos, las detecciones de vulnerabilidades y amenazas, y la mitigación y corrección de riesgos.

Importante

Los conectores de GCP Pub/Sub se encuentran actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Requisitos previos

Antes de comenzar, verifique que dispone de lo siguiente:

• La solución de Microsoft Sentinel está habilitada.
• Existe un área de trabajo de Microsoft Sentinel definida.
• Existe un entorno de GCP y contiene recursos que generan uno de los siguientes tipos de registro que desea ingerir:
  • Registros de auditoría de GCP
  • Hallazgos de Google Security Command Center
• El usuario de Azure tiene el rol Colaborador de Microsoft Sentinel.
• El usuario de GCP tiene acceso para crear y editar recursos en el proyecto de GCP.
• La API de administración de identidad y acceso (IAM) de GCP y la API del administrador de recursos en la nube de GCP están habilitadas.

Configuración del entorno de GCP

Hay dos cosas que debe configurar en el entorno de GCP:

1. Configure la autenticación de Microsoft Sentinel en GCP mediante la creación de los siguientes recursos en el servicio IAM de GCP:

   • Grupo de identidad de carga de trabajo
   • Proveedor de identidades de carga de trabajo
   • Cuenta de servicio
   • Role

2. Configure la recopilación de registros en GCP y la ingesta en Microsoft Sentinel mediante la creación de los siguientes recursos en el servicio Pub/Sub de GCP:

   • Tema
   • Suscripción al tema

Puede configurar el entorno de una de estas dos maneras:

• Crear recursos de GCP mediante la API de Terraform: Terraform proporciona API para la creación de recursos y para la administración de identidades y accesos (consulte Requisitos previos). Microsoft Sentinel proporciona scripts de Terraform que emiten los comandos necesarios para las API.

• Configure el entorno GCP manualmente, creando los recursos usted mismo en la consola GCP.

  Nota:

  No hay ningún script de Terraform disponible para crear recursos de GCP Pub/Sub para la recopilación de registros desde Security Command Center. Debe crear estos recursos manualmente. Todavía puede usar el script de Terraform para crear los recursos de IAM de GCP para la autenticación.

  Importante

  Si va a crear recursos manualmente, debe crear todos los recursos de autenticación (IAM) de el mismo proyecto de GCP; de lo contrario, no funcionará. (Los recursos pub/sub pueden estar en un proyecto diferente.)

Configuración de la autenticación de GCP

Configuración de la API de Terraform

1. Abra Cloud Shell de GCP.

2. Seleccione el proyecto con el que desea trabajar; para ello, escriba el siguiente comando en el editor:

   gcloud config set project {projectId}  
   

3. Copie el script de autenticación Terraform proporcionado por Microsoft Sentinel del repositorio Sentinel GitHub en su entorno GCP Cloud Shell.

   1. Abra el archivo de script Terraform GCPInitialAuthenticationSetup y copie su contenido.

      Nota:

      Para ingerir datos de GCP en una nube Azure Government, utilice este script de configuración de autenticación en su lugar.

   2. Cree un directorio en el entorno de Cloud Shell, escríbalo y cree un nuevo archivo en blanco.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Abra initauth.tf en el editor de Cloud Shell y pegue el contenido del archivo de script en él.

4. Inicializa Terraform en el directorio que creó escribiendo el siguiente comando en el terminal:

   terraform init 
   

5. Cuando reciba el mensaje de confirmación de que Terraform se ha inicializado, ejecute el script escribiendo el siguiente comando en el terminal:

   terraform apply 
   

6. Cuando el script solicite el Id. de inquilino de Microsoft, copie y péguelo en el terminal.

   Nota:

   Puede encontrar y copiar su Id. de inquilino en la página del conector registro de auditoría GCP Pub/Sub en el portal de Microsoft Sentinel, o en la pantalla de configuración del portal (accesible desde cualquier lugar del portal de Azure seleccionando el icono de engranaje en la parte superior de la pantalla), en la columna Id. de directorio.

7. Cuando se le pregunte si ya se ha creado un grupo de identidades de carga de trabajo para Azure, responda sí o no en consecuencia.

8. Cuando se le pregunte si desea crear los recursos enumerados, escriba sí.

Cuando se muestre la salida del script, guarde los parámetros de recursos para su uso posterior.

Configuración manual

Cree y configure los siguientes elementos en el servicio Google Cloud Platform Administración de identidad y acceso (IAM).

Crear un rol personalizado

1. Siga las instrucciones de la documentación de Google Cloud para crear un rol. Según esas instrucciones, cree un rol personalizado desde cero.

2. Asigne un nombre al rol para que sea reconocible como un rol personalizado de Sentinel.

3. Rellene los detalles pertinentes y agregue permisos según sea necesario:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Puede filtrar la lista de permisos disponibles por roles. Seleccione los roles Suscriptor Pub/Sub y Visor Pub/Sub para filtrar la lista.

Para obtener más información sobre cómo crear roles en Google Cloud Platform, consulte Creación y administración de roles personalizados en la documentación de Google Cloud.

Crear una cuenta de servicio

1. Siga las instrucciones de la documentación de Google Cloud para crear una cuenta de servicio.

2. Asigne un nombre a la cuenta de servicio para que sea reconocible como una cuenta de servicio de Sentinel.

3. Asigne el rol que creó en la sección anterior a la cuenta de servicio.

Para obtener más información sobre las cuentas de servicio en Google Cloud Platform, consulte Información general sobre las cuentas de servicio en la documentación de Google Cloud.

Creación del grupo de identidades de carga de trabajo y el proveedor

1. Siga las instrucciones de la documentación de Google Cloud para crear el grupo de identidades de carga de trabajo y el proveedor.

2. En Nombre e Id. de grupo, escriba su Id. de inquilino de Azure, sin los guiones.

   Nota:

   Puede encontrar y copiar su Id. de inquilino en la pantalla de configuración del portal, en la columna Id. de directorio. La pantalla de configuración del portal es accesible en cualquier lugar de Azure Portal seleccionando el icono de engranaje a lo largo de la parte superior de la pantalla.

3. Agregue un proveedor de identidades al grupo. Elija Open ID Connect (OIDC) como tipo de proveedor.

4. Asigne un nombre al proveedor de identidades para que sea reconocible para su propósito.

5. Escriba los valores siguientes en la configuración del proveedor (estos no son ejemplos; use estos valores reales):

   • Emisor (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Audiencia: el URI del Id. de aplicación: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Asignación de atributos: google.subject=assertion.sub

   Nota:

   Para configurar el conector para enviar registros de GCP a la nube de Azure Government, use los siguientes valores alternativos para la configuración del proveedor en lugar de los anteriores:

   • Emisor (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Audience: api://e9885b54-fac0-4cd6-959f-a72066026929

Para obtener más información sobre la federación de identidades de carga de trabajo en Google Cloud Platform, consulte Federación de identidades de carga de trabajo en la documentación de Google Cloud.

Concesión del acceso del grupo de identidades a la cuenta de servicio

1. Busque y seleccione la cuenta de servicio que creó anteriormente.

2. Busque la configuración de permisos de la cuenta de servicio.

3. Conceda acceso a la entidad de seguridad que representa el grupo de identidades de carga de trabajo y el proveedor que creó en el paso anterior.

   • Use el siguiente formato para el nombre principal:

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • Asigne el rol Usuario de identidad de carga de trabajo y guarde la configuración.

Para obtener más información sobre cómo conceder acceso en Google Cloud Platform, consulte Administrar el acceso a proyectos, carpetas y organizaciones en la documentación de Google Cloud.

Configuración de registros de auditoría de GCP

Las instrucciones de esta sección son para usar el conector de Registros de auditoría GCP Pub/Sub de Microsoft Sentinel.

Vea las instrucciones de la sección siguiente para usar el conector del Centro de comandos de GCP/Sub Security de Microsoft Sentinel.

Configuración de la API de Terraform

1. Copie el script de configuración del registro de auditoría de Terraform proporcionado por Microsoft Sentinel desde el repositorio de GitHub de Sentinel en una carpeta diferente en el entorno de GCP Cloud Shell.

   1. Abra el archivo de script GCPAuditLogsSetup de Terraform y copie su contenido.

      Nota:

      Para ingerir datos de GCP en una nubede Azure Government, use este script de configuración del registro de auditoría en su lugar.

   2. Cree otro directorio en el entorno de Cloud Shell, escríbalo y cree un nuevo archivo en blanco.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Abra auditlog.tf en el editor de Cloud Shell y pegue el contenido del archivo de script en él.

2. Para inicializar Terraform en el nuevo directorio, escriba el siguiente comando en el terminal:

   terraform init 
   

3. Cuando reciba el mensaje de confirmación de que Terraform se ha inicializado, ejecute el script escribiendo el siguiente comando en el terminal:

   terraform apply 
   

   Para ingerir registros de toda una organización con un solo Pub/Sub, escriba:

   terraform apply -var="organization-id= {organizationId} "
   

4. Cuando se le pregunte si desea crear los recursos enumerados, escriba sí.

Cuando se muestre la salida del script, guarde los parámetros de recursos para su uso posterior.

Espere cinco minutos antes de continuar con el paso siguiente.

Instalación manual

Creación de un tema de publicación

Use el servicio Google Cloud Platform Pub/Sub para configurar la exportación de registros de auditoría.

Siga las instrucciones de la documentación de Google Cloud para crear un tema para publicar registros.

• Elija un identificador de tema que refleje el propósito de la recopilación de registros para la exportación a Microsoft Sentinel.
• Agregue una suscripción predeterminada.
• Use una clave de cifrado administrada por Google para el cifrado.

Creación de un receptor de registro

Use el servicio Google Cloud Platform Log Router para configurar la recopilación de registros de auditoría.

Para recopilar registros de recursos solo en el proyecto actual:

1. Compruebe que su proyecto está seleccionado en el selector de proyectos.

2. Siga las instrucciones de la documentación de Google Cloud para configurar un receptor para recopilar registros.

   • Elija un nombre que refleje el propósito de la recopilación de registros para la exportación a Microsoft Sentinel.
   • Seleccione el "tema Cloud Pub/Sub" como tipo de destino y elija el tema que creó en el paso anterior.

Para recopilar registros de recursos en toda la organización:

1. Seleccione la organización en el selector del proyecto.

2. Siga las instrucciones de la documentación de Google Cloud para configurar un receptor para recopilar registros.

   • Elija un nombre que refleje el propósito de la recopilación de registros para la exportación a Microsoft Sentinel.
   • Seleccione el "tema Cloud Pub/Sub" como tipo de destino y elija el valor predeterminado "Usar un tema Cloud Pub/Sub topic en un proyecto".
   • Escriba el destino en el siguiente formato: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. En Elegir registros para incluir en el receptor, seleccione Incluir registros ingeridos por esta organización y todos los recursos secundarios.

Comprobación de que GCP puede recibir los mensajes entrantes

1. En la consola GCP Pub/Sub, vaya a Suscripciones.

2. Seleccione Mensajes y seleccione EXTRAER para iniciar una extracción manual.

3. Compruebe los mensajes entrantes.

Si también va a configurar el conector del Centro de comandos de GCP Pub/Sub Security, continúe con la sección siguiente.

De lo contrario, vaya a Configurar el conector GCP Pub/Sub en Microsoft Sentinel.

Configuración del Centro de comandos de seguridad de GCP

Las instrucciones de esta sección son para usar el conector del Centro de comandos GCP Pub/Sub Security de Microsoft Sentinel.

Vea las instrucciones de la sección anterior para usar el conector GCP Pub/Sub Audit Logs de Microsoft Sentinel.

Configuración de la exportación continua de los resultados

Siga las instrucciones de la documentación de Google Cloud para configurar las exportaciones de Pub/Sub de futuros hallazgos de SCC al servicio GCP Pub/Sub.

1. Cuando se le pida que seleccione un proyecto para la exportación, seleccione un proyecto que creó para este propósito o crear un nuevo proyecto.

2. Cuando se le pida que seleccione un tema Pub/Sub en el que desea exportar los resultados, siga las instrucciones anteriores para crear un tema nuevo.

Configuración del conector Pub/Sub de GCP en Microsoft Sentinel

Registros de auditoría de GCP

1. Abra Azure Portal y vaya al servicio Microsoft Sentinel.

2. En el centro de contenido, en la barra de búsqueda, escriba Registros de auditoría de Google Cloud Platform.

3. Instale la solución Registros de auditoría de Google Cloud Platform.

4. Seleccione Conectores de datos y, en la barra de búsqueda, escriba GCP Pub/Sub Audit Logs.

5. Seleccione el conector GCP Pub/Sub Audit Logs (versión preliminar).

6. En el panel de detalles, seleccione Abrir página del conector.

7. En el área Configuración, seleccione Agregar nuevo recopilador.

   

8. En el panel Conectar un nuevo recopilador, escriba los parámetros de recurso que creó al crear los recursos de GCP.

   

9. Asegúrese de que los valores de todos los campos coinciden con sus homólogos en el proyecto de GCP (los valores de la captura de pantalla son ejemplos, no literales) y seleccione Conectar.

Google Security Command Center

1. Abra Azure Portal y vaya al servicio Microsoft Sentinel.

2. En el Centro de contenido, en la barra de búsqueda, escriba Google Security Command Center.

3. Instale la solución deGoogle Security Command Center.

4. Seleccione Conectores de datos, y en la barra de búsqueda, escriba Google Security Command Center.

5. Seleccione el conector de Google Security Command Center (versión preliminar).

6. En el panel de detalles, seleccione Abrir página del conector.

7. En el área Configuración, seleccione Agregar nuevo recopilador.

   

8. En el panel Conectar un nuevo recopilador, escriba los parámetros de recurso que creó al crear los recursos de GCP.

   

9. Asegúrese de que los valores de todos los campos coinciden con sus homólogos en el proyecto de GCP (los valores de la captura de pantalla son ejemplos, no literales) y seleccione Conectar.

Comprobación de que los datos de GCP están en el entorno de Microsoft Sentinel

1. Para asegurarse de que los registros de GCP se hayan ingerido correctamente en Microsoft Sentinel, ejecute la siguiente consulta 30 minutos después de finalizar para configurar el conector.

   Registros de auditoría de GCP

   GCPAuditLogs 
   | take 10 
   

   Google Security Command Center

   GoogleSCC 
   | take 10 
   

2. Habilite la característica de mantenimiento para los conectores de datos.

Pasos siguientes

En este artículo, ha aprendido a ingerir datos de GCP en Microsoft Sentinel mediante los conectores Pub/Sub de GCP. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:

• Aprenda a obtener visibilidad de los datos y de posibles amenazas.
• Empiece a detectar amenazas con Microsoft Sentinel.
• Use libros para supervisar los datos.