Ingérer des données de journal Google Cloud Platform dans Microsoft Sentinel

Les organisations passent de plus en plus aux architectures multiclouds, que ce soit par conception ou en raison d’exigences continues. Un nombre croissant de ces organisations utilisent des applications et stockent des données sur plusieurs clouds publics, y compris Google Cloud Platform (GCP).

Cet article explique comment ingérer des données GCP dans Microsoft Sentinel pour obtenir une couverture de sécurité complète et analyser et détecter les attaques dans votre environnement multicloud.

Avec les connecteurs GCP Pub/Sub, basés sur notre plateforme de connecteur sans code (CCP), vous pouvez ingérer des journaux à partir de votre environnement GCP à l’aide de la fonctionnalité GCP Pub/Sub :

• Le connecteur Pub/Sub Audit Logs Google Cloud Platform (GCP) collecte les pistes d’audit d’accès aux ressources GCP. Les analystes peuvent surveiller ces journaux pour suivre les tentatives d’accès aux ressources et détecter les menaces potentielles dans l’environnement GCP.

• Le connecteur Security Command Center Google Cloud Platform (GCP) collecte les résultats à partir de Google Security Command Center, une plateforme robuste de gestion des risques et de sécurité pour Google Cloud. Les analystes peuvent afficher ces résultats pour obtenir des insights sur la posture de sécurité de l’organisation, notamment l’inventaire et la découverte des ressources, les détections des vulnérabilités et des menaces, ainsi que l’atténuation et la correction des risques.

Prérequis

Avant de commencer, vérifiez que les conditions suivantes sont remplies :

• Votre solution Microsoft Sentinel est bien activée.
• Un espace de travail Microsoft Sentinel défini existe.
• Un environnement GCP existe et contient des ressources produisant l’un des types de journaux suivants que vous souhaitez ingérer :
  • Journaux d’audit GCP
  • Résultats de Google Security Command Center
• Votre utilisateur Azure a le rôle Contributeur Microsoft Sentinel.
• Votre utilisateur GCP dispose de l’accès nécessaire pour créer et modifier des ressources dans le projet GCP.
• L’API GCP Gestion des identités et des accès (IAM) et l’API GCP Cloud Resource Manager sont toutes deux activées.

Configurer l’environnement GCP

Vous devez configurer deux éléments dans votre environnement GCP :

1. Configurez l’authentification Microsoft Sentinel dans GCP en créant les ressources suivantes dans le service GCP IAM :

   • Pool d’identités de charge de travail
   • Fournisseur d’identités de charge de travail
   • Compte de service
   • Rôle

2. Configurez la collecte de journaux dans GCP et l’ingestion dans Microsoft Sentinel en créant les ressources suivantes dans le service GCP Pub/Sub :

   • Rubrique
   • Abonnement à la rubrique

Vous pouvez configurer l’environnement de deux façons :

• Créer des ressources GCP via l’API Terraform : Terraform fournit des API pour la création de ressources et la Gestion des identités et des accès (voir Conditions préalables). Microsoft Sentinel fournit des scripts Terraform qui émettent les commandes nécessaires aux API.

• Configurez manuellement l’environnement GCP, en créant les ressources vous-même dans la console GCP.

  Remarque

  Il n’existe aucun script Terraform disponible pour la création de ressources GCP Pub/Sub pour la collecte de journaux à partir du Security Command Center. Vous devez créer ces ressources manuellement. Vous pouvez toujours utiliser le script Terraform pour créer les ressources IAM GCP pour l’authentification.

  Important

  Si vous créez manuellement des ressources, vous devez créer toutes les ressources d’authentification (IAM) dans le même projet GCP, sinon cela ne fonctionnera pas. (Les ressources Pub/Sub peuvent se trouver dans un autre projet.)

Configuration de l’authentification GCP

Configuration de l’API Terraform

1. Ouvrez le Cloud Shell GCP.

2. Sélectionnez le projet avec lequel vous souhaitez travailler, en saisissant la commande suivante dans l’éditeur :

   gcloud config set project {projectId}  
   

3. Copiez le script d’authentification Terraform fourni par Microsoft Sentinel à partir du référentiel GitHub Sentinel dans votre environnement GCP Cloud Shell.

   1. Ouvrez le fichier Terraform script GCPInitialAuthenticationSetup et copiez son contenu.

      Remarque

      Pour ingérer des données GCP dans un cloud Azure Government, utilisez ce script de configuration d’authentification à la place.

   2. Créez un répertoire dans votre environnement Cloud Shell, entrez-y et créez un nouveau fichier vierge.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Ouvrez initauth.tf dans l’éditeur Cloud Shell et collez le contenu du fichier de script.

4. Initialisez Terraform dans le répertoire que vous avez créé en saisissant la commande suivante dans le terminal :

   terraform init 
   

5. Lorsque vous recevez le message de confirmation que Terraform a été initialisé, exécutez le script en saisissant la commande suivante dans le terminal :

   terraform apply 
   

6. Lorsque le script vous invite à entrer votre ID de locataire Microsoft, copiez-le et collez-le dans le terminal.

   Remarque

   Vous pouvez trouver et copier votre ID de locataire sur la page du connecteur des Journaux d’audit GCP Pub/Sub dans le portail Microsoft Sentinel, ou dans l’écran Paramètres du portail (accessible à tout moment dans le portail Azure en sélectionnant l’icône d’engrenage en haut de l’écran), dans la colonne ID du répertoire.

7. Quand il vous est demandé si un pool d’identités de charge de travail a déjà été créé pour Azure, répondez oui ou non en conséquence.

8. Lorsque vous êtes invité à indiquer si vous souhaitez créer les ressources répertoriées, tapez oui.

Lorsque la sortie du script s’affiche, enregistrez les paramètres de ressources pour une utilisation ultérieure.

Installation manuelle

Créez et configurez les éléments suivants dans le service Gestion des identités et des accès (IAM) Google Cloud Platform.

Créer un rôle personnalisé

1. Suivez les instructions de la documentation Google Cloud pour créer un rôle. Conformément à ces instructions, créez un rôle personnalisé à partir de zéro.

2. Nommez le rôle afin qu’il soit reconnaissable en tant que rôle personnalisé Sentinel.

3. Renseignez les détails appropriés et ajoutez des autorisations si nécessaire :

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Vous pouvez filtrer la liste des autorisations disponibles par rôles. Sélectionnez les rôlesPub/Sub Subscriber et Pub/Sub Viewer pour filtrer la liste.

Pour plus d’informations sur la création de rôles dans Google Cloud Platform, consultez Créer et gérer des rôles personnalisés dans la documentation Google Cloud.

Création d’un compte de service

1. Suivez les instructions de la documentation Google Cloud pour créer un compte de service.

2. Nommez le compte de service afin qu’il soit reconnaissable en tant que compte de service Sentinel.

3. Attribuez le rôle que vous avez créé dans la section précédente au compte de service.

Pour plus d’informations sur les comptes de service dans Google Cloud Platform, consultez la Vue d’ensemble des comptes de service dans la documentation Google Cloud.

Créer le pool et le fournisseur d’identités de charge de travail

1. Suivez les instructions de la documentation Google Cloud pour créer le pool et le fournisseur d’identités de charge de travail.

2. Pour le Nom et l’ID de pool, entrez votre ID de locataire Azure, avec les tirets supprimés.

   Remarque

   Vous pouvez rechercher et copier votre ID de locataire dans l’écran des Paramètres du portail, dans la colonne ID de répertoire. L’écran des paramètres du portail est accessible à tout moment dans le portail Azure en sélectionnant l’icône d’engrenage en haut de l’écran.

3. Ajoutez un fournisseur d’identité au pool. Choisissez Open ID Connect (OIDC) comme type de fournisseur.

4. Nommez le fournisseur d’identité de manière à ce qu’il soit reconnaissable pour l’usage auquel il est destiné.

5. Entrez les valeurs suivantes dans les paramètres du fournisseur (ce ne sont pas des exemples, utilisez ces valeurs) :

   • Émetteur (URL) : https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Audience : l’URI d’ID d’application : api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Mappage d’attributs : google.subject=assertion.sub

   Remarque

   Pour configurer le connecteur pour envoyer des journaux d’activité de GCP au Cloud Azure Government, utilisez les valeurs alternatives suivantes pour les paramètres du fournisseur au lieu de celles ci-dessus :

   • Émetteur (URL) : https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Audience : api://e9885b54-fac0-4cd6-959f-a72066026929

Pour plus d’informations sur la fédération des identités de charge de travail dans Google Cloud Platform, consultez la Fédération des identités de charge de travail dans la documentation Google Cloud.

Accorder l’accès au pool d’identités au compte de service

1. Recherchez et sélectionnez le compte de service que vous avez créé précédemment.

2. Recherchez la configuration des autorisations du compte de service.

3. Accordez l’accès au principal qui représente le pool et le fournisseur d’identités de charge de travail que vous avez créés à l’étape précédente.

   • Utilisez le format suivant pour le nom du principal :

     principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
     

   • Attribuez le rôle Utilisateur d’identité de charge de travail et enregistrez la configuration.

Pour plus d’informations sur l’octroi d’accès dans Google Cloud Platform, consultez Gérer l’accès aux projets, dossiers et organisations dans la documentation de Google Cloud.

Configuration des journaux d’audit GCP

Les instructions de cette section concernent l’utilisation du connecteur GCP Pub/Sub Audit Logs Microsoft Sentinel.

Consultez les instructions de la section suivante pour utiliser le connecteur GCP Pub/Sub Security Command Center Microsoft Sentinel.

Configuration de l’API Terraform

1. Copiez le script de configuration du journal d’audit Terraform fourni par Microsoft Sentinel depuis le référentiel GitHub Sentinel dans un autre dossier de votre environnement GCP Cloud Shell.

   1. Ouvrez le fichier Terraform script GCPAuditLogsSetup et copiez son contenu.

      Remarque

      Pour ingérer des données GCP dans un cloud Azure Government, utilisez ce script de configuration de journal d’audit à la place.

   2. Créez un autre répertoire dans votre environnement Cloud Shell, entrez-y et créez un nouveau fichier vierge.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Ouvrez auditlog.tf dans l’éditeur Cloud Shell et collez le contenu du fichier de script.

2. Initialisez Terraform dans le nouveau répertoire en saisissant la commande suivante dans le terminal :

   terraform init 
   

3. Lorsque vous recevez le message de confirmation que Terraform a été initialisé, exécutez le script en saisissant la commande suivante dans le terminal :

   terraform apply 
   

   Pour ingérer les journaux d’une organisation entière à l’aide d’un seul Pub/Sub, tapez :

   terraform apply -var="organization-id= {organizationId} "
   

4. Lorsque vous êtes invité à indiquer si vous souhaitez créer les ressources répertoriées, tapez oui.

Lorsque la sortie du script s’affiche, enregistrez les paramètres de ressources pour une utilisation ultérieure.

Patientez cinq minutes avant de passer à l'étape suivante.

Installation manuelle

Créer une rubrique de publication

Utilisez le Service Pub/Sub Google Cloud Platform pour configurer l’exportation des journaux d’audit.

Suivez les instructions de la documentation Google Cloud pour créer une rubrique vers laquelle publier les journaux.

• Choisissez un ID de rubrique qui reflète l’objectif de collecte de journaux pour l’exportation vers Microsoft Sentinel.
• Ajoutez un abonnement par défaut.
• Utilisez une clé de chiffrement gérée par Google pour le chiffrement.

Créer un récepteur de journal

Utilisez le service Google Cloud Platform Log Router pour configurer la collecte des journaux d’audit.

Pour collecter les journaux pour les ressources du projet actuel uniquement :

1. Vérifiez que votre projet est sélectionné dans le sélecteur de projet.

2. Suivez les instructions de la documentation Google Cloud pour configurer un récepteur pour la collecte des journaux.

   • Choisissez un Nom qui reflète l’objectif de la collecte de journaux pour l’exportation vers Microsoft Sentinel.
   • Sélectionnez « Rubrique Cloud Pub/Sub » comme type de destination, puis choisissez la rubrique que vous avez créée à l’étape précédente.

Pour collecter les journaux de ressources dans l’ensemble de l’organisation :

1. Sélectionnez votre organisation dans le sélecteur de projet.

2. Suivez les instructions de la documentation Google Cloud pour configurer un récepteur pour la collecte des journaux.

   • Choisissez un Nom qui reflète l’objectif de la collecte de journaux pour l’exportation vers Microsoft Sentinel.
   • Sélectionnez « Rubrique Cloud Pub/Sub » comme type de destination, puis choisissez la valeur par défaut « Utiliser une rubrique Cloud Pub/Sub dans un projet ».
   • Entrez la destination au format suivant : pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. Sous Choisir les journaux à inclure dans le récepteur, sélectionnez Inclure les journaux ingérés par cette organisation et toutes les ressources enfants.

Vérifier que GCP peut recevoir des messages entrants

1. Dans la console GCP Pub/Sub, accédez à Abonnements.

2. Sélectionnez Messages, puis PULL pour lancer une extraction manuelle.

3. Vérifiez les messages entrants.

Si vous configurez également le connecteur GCP Pub/Sub Security Command Center, poursuivez avec la section suivante.

Sinon, passez directement à Configurer le connecteur GCP Pub/Sub dans Microsoft Sentinel.

Configuration de GCP Security Command Center

Les instructions de cette section concernent l’utilisation du connecteur GCP Pub/Sub Security Command Center Microsoft Sentinel.

Consultez les instructions de la section suivante pour l’utilisation du connecteur GCP Pub/Sub Audit Logs Microsoft Sentinel.

Configurer l’exportation continue des résultats

Suivez les instructions de la documentation Google Cloud pour configurer les exportations Pub/Sub de résultats SCC ultérieurs vers le service GCP Pub/Sub.

1. Lorsque vous êtes invité à sélectionner un projet pour votre exportation, sélectionnez un projet que vous avez créé à cet effet ou créez un projet.

2. Lorsque vous êtes invité à sélectionner une rubrique Pub/Sub dans laquelle vous souhaitez exporter vos résultats, suivez les instructions ci-dessus pour créer une rubrique.

Configurer le connecteur GCP Pub/Sub dans Microsoft Sentinel

Journaux d’audit GCP

1. Ouvrez le portail Azure et accédez au service Microsoft Sentinel.

2. Dans le hub de contenu, dans la barre de recherche, tapez Journaux d’audit Google Cloud Platform.

3. Installez la solution Journaux d’audit Google Cloud Platform.

4. Sélectionnez Connecteurs de données et, dans la barre de recherche, tapez Journaux d’audit GCP Pub/Sub.

5. Sélectionnez le connecteur Journaux d’audit GCP Pub/Sub.

6. Dans le volet des détails, sélectionnez Ouvrir la page du connecteur.

7. Dans la zone Configuration, sélectionnez Ajouter nouveau collecteur.

   

8. Dans le panneau Connecter un nouveau collecteur, saisissez les paramètres de ressource que vous avez créés lors de la création des ressources GCP.

   

9. Assurez-vous que les valeurs de tous les champs correspondent à leurs équivalents dans votre projet GCP (les valeurs de la capture d’écran sont des exemples, et non des valeurs littérales), puis sélectionnez Connecter.

Google Security Command Center

1. Ouvrez le portail Azure et accédez au service Microsoft Sentinel.

2. Dans le Hub de contenu, dans la barre de recherche, tapez Google Security Command Center.

3. Installez la solution Google Security Command Center.

4. Sélectionnez Connecteurs de données puis, dans la barre de recherche, tapez Google Security Command Center.

5. Sélectionnez le connecteur Google Security Command Center.

6. Dans le volet des détails, sélectionnez Ouvrir la page du connecteur.

7. Dans la zone Configuration, sélectionnez Ajouter nouveau collecteur.

   

8. Dans le panneau Connecter un nouveau collecteur, saisissez les paramètres de ressource que vous avez créés lors de la création des ressources GCP.

   

9. Assurez-vous que les valeurs de tous les champs correspondent à leurs équivalents dans votre projet GCP (les valeurs de la capture d’écran sont des exemples, et non des valeurs littérales), puis sélectionnez Connecter.

Vérifier que les données GCP se situent dans l’environnement Microsoft Sentinel

1. Pour vous assurer que les journaux GCP ont été ingérés dans Microsoft Sentinel, exécutez la requête suivante 30 minutes après avoir configuré le connecteur.

   Journaux d’audit GCP

   GCPAuditLogs 
   | take 10 
   

   Google Security Command Center

   GoogleSCC 
   | take 10 
   

2. Activez la fonctionnalité d’intégrité pour les connecteurs de données.

Étapes suivantes

Dans cet article, vous avez appris à ingérer des données GCP dans Microsoft Sentinel à l’aide de connecteurs GCP Pub/Sub. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

• Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
  • Prise en main de la détection des menaces avec Microsoft Sentinel.
  • Utilisez des classeurs pour superviser vos données.