A Google Cloud Platform naplóadatainak betöltése a Microsoft Sentinelbe

A szervezetek egyre inkább áttérnek a többfelhős architektúrákra, akár a tervezés, akár a folyamatos követelmények miatt. Ezek a szervezetek egyre többen használnak alkalmazásokat, és több nyilvános felhőben, köztük a Google Cloud Platformon (GCP) tárolják az adatokat.

Ez a cikk bemutatja, hogyan lehet GCP-adatokat betöltésre a Microsoft Sentinelbe a teljes biztonsági lefedettség érdekében, valamint a többfelhős környezet támadásait elemezni és észlelni.

A GCP Pub/Sub összekötővel, a Kód nélküli Csatlakozás or platform (CCP) alapján a GCP-környezet naplóit a GCP Pub/Sub funkcióval lehet betöltésre.

Fontos

A GCP Pub/Sub Audit Logs összekötő jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A Google felhőalapú naplózási naplói naplói naplók egy naplót rögzítenek, amellyel az elemzők figyelhetik a hozzáférést, és észlelhetik a lehetséges fenyegetéseket a GCP-erőforrások között.

Előfeltételek

Mielőtt hozzákezdene, ellenőrizze, hogy rendelkezik-e az alábbiakval:

• A Microsoft Sentinel-megoldás engedélyezve van.
• Létezik egy definiált Microsoft Sentinel-munkaterület.
• GCP-környezet (projekt) létezik, és GCP-naplózási naplókat gyűjt.
• Az Azure-felhasználó a Microsoft Sentinel közreműködői szerepkörével rendelkezik.
• A GCP-felhasználónak hozzáférése van az erőforrások szerkesztéséhez és létrehozásához a GCP-projektben.
• A GCP Identity and Access Management (IAM) API és a GCP Cloud Resource Manager API egyaránt engedélyezve van.

GCP-környezet beállítása

A GCP-környezetben két dolgot kell beállítania:

1. A Microsoft Sentinel-hitelesítés beállítása a GCP-ben a következő erőforrások létrehozásával a GCP IAM szolgáltatásban:

   • Számítási feladatok identitáskészlete
   • Számítási feladat identitásszolgáltatója
   • Szolgáltatásfiók
   • Szerepkör

2. Állítsa be a naplógyűjteményt a GCP-ben, és a Microsoft Sentinelbe való betöltéshez hozza létre a következő erőforrásokat a GCP Pub/Sub szolgáltatásban:

   • Téma
   • Előfizetés a témakörhöz

A környezetet kétféleképpen állíthatja be:

• GCP-erőforrások létrehozása a Terraform API-n keresztül: A Terraform API-kat biztosít az erőforrások létrehozásához, valamint az identitás- és hozzáférés-kezeléshez (lásd az előfeltételeket). A Microsoft Sentinel Terraform-szkripteket biztosít, amelyek a szükséges parancsokat adják ki az API-knak.
• Állítsa be manuálisan a GCP-környezetet, és hozza létre az erőforrásokat saját maga a GCP-konzolon.

GCP-hitelesítés beállítása

Terraform API beállítása

1. Nyissa meg a GCP Cloud Shellt.

2. Válassza ki azt a projektet , amellyel dolgozni szeretne, írja be a következő parancsot a szerkesztőbe:

   gcloud config set project {projectId}  
   

3. Másolja a Microsoft Sentinel által biztosított Terraform hitelesítési szkriptet a Sentinel GitHub-adattárból a GCP Cloud Shell-környezetbe.

   1. Nyissa meg a Terraform GCPInitialAuthenticationSetup szkriptfájlt , és másolja a tartalmát.

      Feljegyzés

      GCP-adatok Azure Government-felhőbe való betöltéséhez használja inkább ezt a hitelesítési beállítási szkriptet.

   2. Hozzon létre egy könyvtárat a Cloud Shell-környezetben, írja be, és hozzon létre egy új üres fájlt.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Nyissa meg initauth.tf a Cloud Shell-szerkesztőben, és illessze be a szkriptfájl tartalmát.

4. Inicializálja a Terraformot a létrehozott könyvtárban a következő parancs beírásával a terminálban:

   terraform init 
   

5. Amikor megkapja a Terraform inicializálását megerősítő üzenetet, futtassa a szkriptet az alábbi parancs beírásával a terminálban:

   terraform apply 
   

6. Amikor a szkript kéri a Microsoft-bérlő azonosítóját, másolja és illessze be a terminálba.

   Feljegyzés

   A bérlőazonosítót a Microsoft Sentinel portál GCP Pub/Sub Audit Logs összekötő lapján, vagy a Portál beállításai képernyőn (az Azure Portalon bárhol elérhető, a képernyő tetején található fogaskerék ikon kiválasztásával) a Címtárazonosító oszlopban találja meg és másolhatja.

7. Amikor a rendszer megkérdezi, hogy már létrehozott-e számítási feladat-identitáskészletet az Azure-hoz, ennek megfelelően válaszoljon igennel vagy nemnel .

8. Amikor a rendszer megkérdezi, hogy létre szeretné-e hozni a felsorolt erőforrásokat, írja be az igent.

Amikor megjelenik a szkript kimenete, mentse az erőforrások paramétereit későbbi használatra.

Manuális beállítás

Hozza létre és konfigurálja a következő elemeket a Google Cloud Platform Identity and Access Management (IAM) szolgáltatásban.

Egyéni szerepkör létrehozása

1. A szerepkör létrehozásához kövesse a Google Cloud dokumentációjában található utasításokat. Ezen utasítások alapján hozzon létre egy egyéni szerepkört az alapoktól.

2. Nevezze el a szerepkört, hogy felismerhető legyen Sentinel egyéni szerepkörként.

3. Töltse ki a vonatkozó adatokat, és szükség szerint adjon hozzá engedélyeket:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Az elérhető engedélyek listáját szerepkörök szerint szűrheti. A lista szűréséhez válassza ki a Pub/Al-előfizető és a Pub/Almegjelenítő szerepkört.

A Szerepkörök Google Cloud Platformban való létrehozásáról további információt az egyéni szerepkörök létrehozása és kezelése a Google Cloud dokumentációjában talál.

Szolgáltatásfiók létrehozása

1. Szolgáltatásfiók létrehozásához kövesse a Google Cloud dokumentációjában található utasításokat.

2. Nevezze el a szolgáltatásfiókot, hogy felismerhető legyen Sentinel szolgáltatásfiókként.

3. Rendelje hozzá az előző szakaszban létrehozott szerepkört a szolgáltatásfiókhoz.

A Google Cloud Platform szolgáltatásfiókokkal kapcsolatos további információkért tekintse meg a Szolgáltatásfiókok áttekintését a Google Cloud dokumentációjában.

A számítási feladat identitáskészletének és szolgáltatójának létrehozása

1. Kövesse a Google Cloud dokumentációjában található utasításokat a számítási feladat identitáskészletének és szolgáltatójának létrehozásához.

2. A név és a készlet azonosítójához adja meg az Azure-bérlő azonosítóját, és a kötőjelek el lettek távolítva.

   Feljegyzés

   A bérlőazonosítót a Portál beállításai képernyőn, a Címtárazonosító oszlopban találja meg és másolhatja. A portál beállításai képernyő az Azure Portalon bárhol elérhető a fogaskerék ikon kiválasztásával a képernyő tetején.

3. Adjon hozzá egy identitásszolgáltatót a készlethez. Szolgáltatótípusként válassza az Open ID Csatlakozás (OIDC) lehetőséget.

4. Nevezze el az identitásszolgáltatót, hogy az felismerhető legyen a céljához.

5. Adja meg a következő értékeket a szolgáltató beállításaiban (ezek nem minták– használja ezeket a tényleges értékeket):

   • Kiállító (URL-cím):: https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Célközönség: az alkalmazásazonosító URI: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Attribútumleképezés: google.subject=assertion.sub

   Feljegyzés

   Ha úgy szeretné beállítani az összekötőt, hogy naplókat küldjön a GCP-ből az Azure Government-felhőbe, a fenti helyett használja a következő alternatív értékeket a szolgáltatói beállításokhoz:

   • Kiállító (URL-cím):: https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Célközönség: api://e9885b54-fac0-4cd6-959f-a72066026929

A számítási feladatok identitás-összevonásáról a Google Cloud Platformban a Számítási feladatok identitásának összevonása című témakörben talál további információt a Google Cloud dokumentációjában.

Az identitáskészlet hozzáférésének biztosítása a szolgáltatásfiókhoz

1. Keresse meg és válassza ki a korábban létrehozott szolgáltatásfiókot.

2. Keresse meg a szolgáltatásfiók engedélykonfigurációját .

3. Adjon hozzáférést az előző lépésben létrehozott számításifeladat-identitáskészletet és -szolgáltatót képviselő tagnak.

   • Az egyszerű névhez használja a következő formátumot:

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • Rendelje hozzá a számítási feladat identitásfelhasználói szerepkörét, és mentse a konfigurációt.

A Google Cloud Platformban való hozzáférés engedélyezéséről további információt a Google Cloud dokumentációjában a projektekhez, mappákhoz és szervezetekhez való hozzáférés kezelése című témakörben talál.

GCP-naplózási naplók beállítása

Terraform API beállítása

1. Másolja a Microsoft Sentinel által biztosított Terraform naplóbeállítási szkriptet a Sentinel GitHub-adattárból a GCP Cloud Shell-környezet egy másik mappájába.

   1. Nyissa meg a Terraform GCPAuditLogsSetup szkriptfájlt , és másolja annak tartalmát.

      Feljegyzés

      GCP-adatok Azure Government-felhőbe való betöltéséhez használja inkább ezt a naplóbeállítási szkriptet.

   2. Hozzon létre egy másik könyvtárat a Cloud Shell-környezetben, írja be, és hozzon létre egy új üres fájlt.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Nyissa meg auditlog.tf a Cloud Shell-szerkesztőben, és illessze be a szkriptfájl tartalmát.

2. Inicializálja a Terraformot az új könyvtárban a következő parancs beírásával a terminálban:

   terraform init 
   

3. Amikor megkapja a Terraform inicializálását megerősítő üzenetet, futtassa a szkriptet az alábbi parancs beírásával a terminálban:

   terraform apply 
   

   Ha egyetlen Pub/Sub használatával szeretne naplókat beszedni egy teljes szervezetből, írja be a következőt:

   terraform apply -var="organization-id= {organizationId} "
   

4. Amikor a rendszer megkérdezi, hogy létre szeretné-e hozni a felsorolt erőforrásokat, írja be az igent.

Amikor megjelenik a szkript kimenete, mentse az erőforrások paramétereit későbbi használatra.

Várjon öt percet, mielőtt továbblépne a következő lépésre.

Manuális beállítás

Közzétételi témakör létrehozása

Az auditnaplók exportálásának beállításához használja a Google Cloud Platform Pub/Alszolgáltatást .

Kövesse a Google Cloud dokumentációjában található utasításokat, és hozzon létre egy témakört a naplók közzétételéhez.

• Válasszon egy témakörazonosítót, amely tükrözi a Naplógyűjtés célját a Microsoft Sentinelbe való exportáláshoz.
• Adjon hozzá egy alapértelmezett előfizetést.
• A titkosításhoz használjon Google által felügyelt titkosítási kulcsot .

Naplófájl-fogadó létrehozása

Az auditnaplók gyűjteményének beállításához használja a Google Cloud Platform napló útválasztó szolgáltatását .

Naplók gyűjtése csak az aktuális projekt erőforrásaihoz:

1. Ellenőrizze, hogy a projekt ki van-e jelölve a projektválasztóban.

2. Kövesse a Google Cloud dokumentációjában található utasításokat, és állítson be egy fogadót a naplók gyűjtéséhez.

   • Válasszon egy nevet, amely tükrözi a Naplógyűjtés célját a Microsoft Sentinelbe való exportáláshoz.
   • Céltípusként válassza a "Cloud Pub/Sub topic" lehetőséget, majd válassza ki az előző lépésben létrehozott témakört.

Az erőforrások naplóinak összegyűjtése a teljes szervezeten belül:

1. Válassza ki a szervezetet a projektválasztóban.

2. Kövesse a Google Cloud dokumentációjában található utasításokat, és állítson be egy fogadót a naplók gyűjtéséhez.

   • Válasszon egy nevet, amely tükrözi a Naplógyűjtés célját a Microsoft Sentinelbe való exportáláshoz.
   • Céltípusként válassza a "Cloud Pub/Altéma" lehetőséget, és válassza az alapértelmezett "Cloud Pub/Sub topic használata projektben" lehetőséget.
   • Adja meg a célhelyet a következő formátumban: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. A Fogadóba felvenni kívánt naplók kiválasztása csoportban válassza a Szervezet által betöltött naplók és az összes gyermekerőforrás belefoglalása lehetőséget.

Ellenőrizze, hogy a GCP képes-e fogadni a bejövő üzeneteket

1. A GCP Pub/Alkonzolon lépjen az Előfizetések elemre.

2. Válassza az Üzenetek lehetőséget, majd a PULL elemet a manuális lekérés indításához.

3. Ellenőrizze a bejövő üzeneteket.

A GCP Pub/Sub connector beállítása a Microsoft Sentinelben

1. Nyissa meg az Azure Portalt , és lépjen a Microsoft Sentinel szolgáltatáshoz.

2. A Tartalomközpont keresősávjában írja be a Google Cloud Platform naplózási naplóit.

3. Telepítse a Google Cloud Platform Audit Logs megoldását .

4. Válassza ki az Adatösszekötőket, és a keresősávon írja be a GCP Pub/Sub Audit Logs kifejezést.

5. Válassza ki a GCP Pub/Sub Audit Logs (Előzetes verzió) összekötőt.

6. A részletek panelen válassza az Összekötő-oldal megnyitása lehetőséget.

7. A Konfiguráció területen válassza az Új gyűjtő hozzáadása lehetőséget.

   

8. Az új gyűjtőpanel Csatlakozás írja be a GCP-erőforrások létrehozásakor létrehozott erőforrásparamétereket.

   

9. Győződjön meg arról, hogy az összes mező értékei egyeznek a GCP-projektben szereplő megfelelőkkel, és válassza a Csatlakozás.

Ellenőrizze, hogy a GCP-adatok a Microsoft Sentinel környezetben találhatóak-e

1. Annak érdekében, hogy a GCP-naplók sikeresen be legyenek osztva a Microsoft Sentinelbe, futtassa a következő lekérdezést 30 perccel az összekötő beállítása után.

   GCPAuditLogs 
   | take 10 
   

2. Engedélyezze az adatösszekötők állapotfunkcióját .

Következő lépések

Ebben a cikkben megtanulhatta, hogyan lehet GCP-adatokat beszedni a Microsoft Sentinelbe a GCP Pub/Sub összekötők használatával. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
• Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.
• Munkafüzetek használatával monitorozza az adatokat.