Mengintegrasikan pengelogan cloud GCP dengan Pub/Sub (Pratinjau)

Microsoft Defender for Cloud dapat mengumpulkan log aktivitas dari Google Cloud Platform (GCP) dengan menyerap data Cloud Logging melalui Pub/Sub. Log ini menyediakan konteks aktivitas yang digunakan oleh Cloud Infrastructure Entitlement Management (CIEM) di Defender for Cloud, termasuk rekomendasi berbasis risiko dan analisis jalur serangan di seluruh lingkungan Google Cloud Anda.

Penyerapan GCP Cloud Logging tersedia untuk proyek GCP individual dan untuk organisasi GCP yang menggunakan pengelogan terpusat. Pelajari selengkapnya tentang hierarki sumber daya Google Cloud.

Cara kerja penerimaan pengelogan GCP

Saat penyerapan GCP Cloud Logging diaktifkan, Defender for Cloud mengambil log aktivitas dari Google Cloud dan memprosesnya untuk mengidentifikasi aktivitas terkait identitas dan izin.

Google Cloud merekam log aktivitas (termasuk log Aktivitas Admin dan Akses Data) di Cloud Logging. Log diekspor ke topik Pub/Sub yang sudah dikonfigurasi dengan menggunakan sink Cloud Logging. Langganan Pub/Sub mengirimkan pesan log ke Defender for Cloud saat log baru tiba.

Defender for Cloud menarik peristiwa aktivitas dari Pub/Sub dan memprosesnya untuk menghasilkan wawasan identitas dan izin. Akses antara GCP dan Defender for Cloud diamankan menggunakan peran IAM Google Cloud dan akun layanan untuk mendukung akses dengan hak istimewa terkecil.

Secara opsional, jika Pemberi Rekomendasi IAM diaktifkan di lingkungan GCP Anda, Defender for Cloud memanfaatkan wawasannya untuk meningkatkan akurasi rekomendasi CIEM dengan mengidentifikasi peran yang tidak aktif dan terlalu istimewa.

Pengisian Data Historis

Saat penyerapan GCP Cloud Logging diaktifkan, Defender for Cloud melakukan proses pengumpulan data historis satu kali (hidrasi).

Sebagai bagian dari alur kerja onboarding:

  • Wadah penyimpanan khusus dibuat di lingkungan GCP.
  • Defender for Cloud mengambil hingga 90 hari Log Audit Cloud historis yang tersedia menggunakan aktivitas salin Google Cloud.
  • Data historis diproses untuk menghasilkan wawasan identitas dan izin.

Proses ini memungkinkan rekomendasi CIEM dan analisis jalur serangan untuk menggunakan data aktivitas historis segera setelah onboarding.

Setelah hidrasi selesai, log aktivitas yang sedang berlangsung terus diserap melalui streaming Pub/Sub.

Prasyarat

Sebelum mengaktifkan penyerapan GCP Cloud Logging dengan Pub/Sub, pastikan lingkungan GCP Anda memiliki:

  • Konektor GCP yang ada dikonfigurasi di Microsoft Defender for Cloud.

  • Akses ke proyek atau organisasi GCP tempat log dihasilkan.

  • Izin untuk membuat atau mengelola sink Cloud Logging.

  • Izin untuk membuat dan mengelola topik dan langganan Pub/Sub.

  • Izin IAM untuk membuat atau mengelola akun layanan dan menetapkan peran yang diperlukan.

  • Jika menggunakan langganan Pub/Sub yang ada, pastikan Anda memiliki akses ke sink Cloud Logging dan sumber daya Pub/Sub yang ada, serta bahwa sumber daya ini selaras dengan retensi log organisasi Anda dan konfigurasi Pub/Sub.

Mengonfigurasi penyerapan GCP Cloud Logging

Untuk mengonfigurasi Pengelogan Cloud GCP:

  1. Masuk ke portal Azure.

  2. Cari dan pilih Microsoft Defender for Cloud.

  3. Buka Pengaturan lingkungan.

  4. Pilih konektor GCP yang relevan.

  5. Pilih Pengaturan di bawah kolom Cakupan pemantauan.

  6. Alihkan sakelar ke Aktif memilih salah satu metode berikut:

    1. Buat konfigurasi GCP Cloud Logging baru dan berikan nama langganan Pub/Sub.

      Cuplikan layar dengan opsi Buat Pengelogan Cloud GCP baru dipilih.

      Penting

      Memilih opsi ini akan dikenakan biaya tambahan. Pelajari selengkapnya tentang harga GCP Cloud Logging

    2. Gunakan konfigurasi Cloud Logging yang ada dengan memberikan nama langganan Pub/Sub yang ada secara manual.

      Penting

      Jika Anda menggunakan sink Cloud Logging yang ada, pastikan bahwa filter sink mengekspor Log Audit Cloud (seperti Aktivitas Admin dan jenis log Akses Data) ke topik Pub/Sub yang ditentukan.
      Jika jenis log Audit Cloud yang diperlukan tidak disertakan dalam filter, penyerapan tidak akan memberikan cakupan aktivitas identitas dan izin penuh.

      Cuplikan layar dengan opsi Berikan detail GCP Cloud Logging secara manual dipilih.

  7. Pilih Simpan.

  8. Lanjutkan ke langkah 8 dari instruksi Hubungkan proyek GCP Anda.

  9. Tinjau dan buat konektor GCP untuk menyelesaikan proses onboarding penyerapan log ke Defender for Cloud.

Langkah selanjutnya

Pemberitahuan dan insiden keamanan

  • Last updated on