Menyerap data log Google Cloud Platform ke Microsoft Azure Sentinel

Organisasi semakin beralih ke arsitektur multicloud, baik berdasarkan desain maupun karena persyaratan yang sedang berlangsung. Semakin banyak organisasi ini menggunakan aplikasi dan menyimpan data di beberapa cloud publik, termasuk Google Cloud Platform (GCP).

Artikel ini menjelaskan cara menyerap data GCP ke Microsoft Azure Sentinel untuk mendapatkan cakupan keamanan penuh dan menganalisis serta mendeteksi serangan di lingkungan multicloud Anda.

Dengan konektor GCP Pub/Sub, berdasarkan Codeless Koneksi or Platform (CCP), Anda dapat menyerap log dari lingkungan GCP Anda menggunakan kemampuan GCP Pub/Sub.

Penting

Konektor Log Audit GCP Pub/Sub saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Log Audit Cloud Google mencatat jejak audit yang dapat digunakan analis untuk memantau akses dan mendeteksi potensi ancaman di seluruh sumber daya GCP.

Prasyarat

Sebelum memulai, verifikasi bahwa Anda memiliki hal berikut:

• Solusi Microsoft Azure Sentinel diaktifkan.
• Ruang kerja Microsoft Azure Sentinel yang ditentukan ada.
• Lingkungan GCP ( proyek) ada dan mengumpulkan log audit GCP.
• Pengguna Azure Anda memiliki peran Kontributor Microsoft Sentinel.
• Pengguna GCP Anda memiliki akses untuk mengedit dan membuat sumber daya di proyek GCP.
• API GCP Identity and Access Management (IAM) dan GCP Cloud Resource Manager API keduanya diaktifkan.

Menyiapkan lingkungan GCP

Ada dua hal yang perlu Anda siapkan di lingkungan GCP Anda:

1. Siapkan autentikasi Microsoft Sentinel di GCP dengan membuat sumber daya berikut di layanan IAM GCP:

   • Kumpulan identitas beban kerja
   • Penyedia identitas beban kerja
   • Akun layanan
   • Role

2. Siapkan pengumpulan log di GCP dan penyerapan ke Microsoft Azure Sentinel dengan membuat sumber daya berikut di layanan GCP Pub/Sub:

   • Topik
   • Langganan untuk topik

Anda dapat menyiapkan lingkungan dengan salah satu dari dua cara:

• Buat sumber daya GCP melalui TERRAFORM API: Terraform menyediakan API untuk pembuatan sumber daya dan untuk Manajemen Identitas dan Akses (lihat Prasyarat). Microsoft Sentinel menyediakan skrip Terraform yang mengeluarkan perintah yang diperlukan ke API.
• Siapkan lingkungan GCP secara manual, buat sendiri sumber daya di konsol GCP.

Penyiapan Autentikasi GCP

Penyiapan API Terraform

1. Buka GCP Cloud Shell.

2. Pilih proyek yang ingin Anda kerjakan, dengan mengetik perintah berikut di editor:

   gcloud config set project {projectId}  
   

3. Salin skrip autentikasi Terraform yang disediakan oleh Microsoft Sentinel dari repositori GitHub Sentinel ke lingkungan GCP Cloud Shell Anda.

   1. Buka file skrip Terraform GCPInitialAuthenticationSetup dan salin kontennya.

      Catatan

      Untuk menyerap data GCP ke cloud Azure Government, gunakan skrip penyiapan autentikasi ini sebagai gantinya.

   2. Buat direktori di lingkungan Cloud Shell Anda, masukkan, dan buat file kosong baru.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Buka initauth.tf di editor Cloud Shell dan tempelkan konten file skrip ke dalamnya.

4. Inisialisasi Terraform di direktori yang Anda buat dengan mengetik perintah berikut di terminal:

   terraform init 
   

5. Saat Anda menerima pesan konfirmasi bahwa Terraform diinisialisasi, jalankan skrip dengan mengetik perintah berikut di terminal:

   terraform apply 
   

6. Saat skrip meminta ID penyewa Microsoft Anda, salin dan tempelkan ke terminal.

   Catatan

   Anda dapat menemukan dan menyalin ID penyewa Anda di halaman konektor Log GCP Pub/Sub Audit di portal Microsoft Azure Sentinel, atau di layar Pengaturan portal (dapat diakses di mana saja di portal Azure dengan memilih ikon gerigi di sepanjang bagian atas layar), di kolom ID Direktori.

7. Ketika ditanya apakah Kumpulan Identitas beban kerja telah dibuat untuk Azure, jawab ya atau tidak .

8. Saat ditanya apakah Anda ingin membuat sumber daya yang tercantum, ketik ya.

Saat output dari skrip ditampilkan, simpan parameter sumber daya untuk digunakan nanti.

Penyiapan manual

Buat dan konfigurasikan item berikut di layanan Google Cloud Platform Identity and Access Management (IAM).

Membuat peran kustom

1. Ikuti petunjuk dalam dokumentasi Google Cloud untuk membuat peran. Sesuai instruksi tersebut, buat peran kustom dari awal.

2. Beri nama peran sehingga dapat dikenali sebagai peran kustom Sentinel.

3. Isi detail yang relevan dan tambahkan izin sesuai kebutuhan:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Anda dapat memfilter daftar izin yang tersedia menurut peran. Pilih peran Pub/Pelanggan dan Pub/Sub Viewer untuk memfilter daftar.

Untuk informasi selengkapnya tentang membuat peran di Google Cloud Platform, lihat Membuat dan mengelola peran kustom dalam dokumentasi Google Cloud.

Membuat akun layanan

1. Ikuti petunjuk dalam dokumentasi Google Cloud untuk membuat akun layanan.

2. Beri nama akun layanan sehingga dapat dikenali sebagai akun layanan Sentinel.

3. Tetapkan peran yang Anda buat di bagian sebelumnya ke akun layanan.

Untuk informasi selengkapnya tentang akun layanan di Google Cloud Platform, lihat Gambaran umum akun layanan di dokumentasi Google Cloud.

Membuat kumpulan identitas beban kerja dan penyedia

1. Ikuti petunjuk dalam dokumentasi Google Cloud untuk membuat kumpulan identitas dan penyedia beban kerja.

2. Untuk ID Nama dan Kumpulan, masukkan ID Penyewa Azure Anda, dengan tanda hubung dihapus.

   Catatan

   Anda dapat menemukan dan menyalin ID penyewa Anda di layar Pengaturan portal, di kolom ID Direktori. Layar pengaturan portal dapat diakses di mana saja di portal Azure dengan memilih ikon gigi di sepanjang bagian atas layar.

3. Tambahkan IdP ke kumpulan. Pilih Open ID Koneksi (OIDC) sebagai jenis penyedia.

4. Beri nama penyedia identitas sehingga dapat dikenali untuk tujuannya.

5. Masukkan nilai berikut di pengaturan penyedia (ini bukan sampel—gunakan nilai aktual ini):

   • Pengeluar sertifikat (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Audiens: URI ID aplikasi: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Pemetaan atribut: google.subject=assertion.sub

   Catatan

   Untuk menyiapkan konektor untuk mengirim log dari GCP ke cloud Azure Government, gunakan nilai alternatif berikut untuk pengaturan penyedia alih-alih yang di atas:

   • Pengeluar sertifikat (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Audiens: api://e9885b54-fac0-4cd6-959f-a72066026929

Untuk informasi selengkapnya tentang federasi identitas beban kerja di Google Cloud Platform, lihat Federasi identitas beban kerja dalam dokumentasi Google Cloud.

Memberikan akses kumpulan identitas ke akun layanan

1. Temukan dan pilih akun layanan yang Anda buat sebelumnya.

2. Temukan konfigurasi izin akun layanan.

3. Berikan akses ke perwakilan yang mewakili kumpulan identitas beban kerja dan penyedia yang Anda buat di langkah sebelumnya.

   • Gunakan format berikut untuk nama utama:

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • Tetapkan peran Pengguna Identitas Beban Kerja dan simpan konfigurasi.

Untuk informasi selengkapnya tentang memberikan akses di Google Cloud Platform, lihat Mengelola akses ke proyek, folder, dan organisasi dalam dokumentasi Google Cloud.

Penyiapan Log Audit GCP

Penyiapan API Terraform

1. Salin skrip penyiapan log audit Terraform yang disediakan oleh Microsoft Sentinel dari repositori Sentinel GitHub ke dalam folder yang berbeda di lingkungan GCP Cloud Shell Anda.

   1. Buka file skrip Terraform GCPAuditLogsSetup dan salin kontennya.

      Catatan

      Untuk menyerap data GCP ke cloud Azure Government, gunakan skrip penyiapan log audit ini sebagai gantinya.

   2. Buat direktori lain di lingkungan Cloud Shell Anda, masukkan, dan buat file kosong baru.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Buka auditlog.tf di editor Cloud Shell dan tempelkan konten file skrip ke dalamnya.

2. Inisialisasi Terraform di direktori baru dengan mengetik perintah berikut di terminal:

   terraform init 
   

3. Saat Anda menerima pesan konfirmasi bahwa Terraform diinisialisasi, jalankan skrip dengan mengetik perintah berikut di terminal:

   terraform apply 
   

   Untuk menyerap log dari seluruh organisasi menggunakan satu Pub/Sub, ketik:

   terraform apply -var="organization-id= {organizationId} "
   

4. Saat ditanya apakah Anda ingin membuat sumber daya yang tercantum, ketik ya.

Saat output dari skrip ditampilkan, simpan parameter sumber daya untuk digunakan nanti.

Tunggu lima menit sebelum pindah ke langkah berikutnya.

Penyiapan manual

Membuat topik penerbitan

Gunakan layanan Google Cloud Platform Pub/Sub untuk menyiapkan ekspor log audit.

Ikuti petunjuk dalam dokumentasi Google Cloud untuk membuat topik untuk memublikasikan log.

• Pilih ID Topik yang mencerminkan tujuan pengumpulan log untuk diekspor ke Microsoft Azure Sentinel.
• Tambahkan langganan default.
• Gunakan kunci enkripsi yang dikelola Google untuk enkripsi.

Membuat sink log

Gunakan layanan Google Cloud Platform Log Router untuk menyiapkan pengumpulan log audit.

Untuk mengumpulkan log untuk sumber daya dalam proyek saat ini saja:

1. Verifikasi bahwa proyek Anda dipilih di pemilih proyek.

2. Ikuti petunjuk dalam dokumentasi Google Cloud untuk menyiapkan sink untuk mengumpulkan log.

   • Pilih Nama yang mencerminkan tujuan pengumpulan log untuk diekspor ke Microsoft Azure Sentinel.
   • Pilih "Topik Cloud Pub/Sub" sebagai jenis tujuan, dan pilih topik yang Anda buat di langkah sebelumnya.

Untuk mengumpulkan log untuk sumber daya di seluruh organisasi:

1. Pilih organisasi Anda di pemilih proyek.

2. Ikuti petunjuk dalam dokumentasi Google Cloud untuk menyiapkan sink untuk mengumpulkan log.

   • Pilih Nama yang mencerminkan tujuan pengumpulan log untuk diekspor ke Microsoft Azure Sentinel.
   • Pilih "Topik Cloud Pub/Sub" sebagai jenis tujuan, dan pilih default "Gunakan topik Cloud Pub/Sub dalam proyek".
   • Masukkan tujuan dalam format berikut: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. Di bawah Pilih log untuk disertakan dalam sink, pilih Sertakan log yang diserap oleh organisasi ini dan semua sumber daya anak.

Verifikasi bahwa GCP dapat menerima pesan masuk

1. Di konsol GCP Pub/Sub, navigasikan ke Langganan.

2. Pilih Pesan, dan pilih PULL untuk memulai penarikan manual.

3. Periksa pesan masuk.

Menyiapkan konektor GCP Pub/Sub di Microsoft Azure Sentinel

1. Buka portal Microsoft Azure dan navigasikan ke layanan Microsoft Azure Sentinel.

2. Di hub Konten, di bilah pencarian, ketik Log Audit Google Cloud Platform.

3. Instal solusi Log Audit Google Cloud Platform.

4. Pilih Konektor data, dan di bilah pencarian, ketik Log GCP Pub/Sub Audit.

5. Pilih konektor GCP Pub/Sub Audit Logs (Pratinjau).

6. Di panel detail, pilih Buka halaman konektor.

7. Di area Konfigurasi, pilih Tambahkan kolektor baru.

   

8. Di panel Koneksi pengumpul baru, ketik parameter sumber daya yang Anda buat saat membuat sumber daya GCP.

   

9. Pastikan bahwa nilai di semua bidang cocok dengan rekan-rekannya di proyek GCP Anda, dan pilih Koneksi.

Verifikasi bahwa data GCP berada di lingkungan Microsoft Azure Sentinel

1. Untuk memastikan bahwa log GCP berhasil diserap ke Microsoft Sentinel, jalankan kueri berikut 30 menit setelah Anda selesai menyiapkan konektor.

   GCPAuditLogs 
   | take 10 
   

2. Aktifkan fitur kesehatan untuk konektor data.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara menyerap data GCP ke Microsoft Sentinel menggunakan konektor GCP Pub/Sub. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Pelajari cara mendapatkan visibilitas ke dalam data Anda, dan potensi ancaman.
• Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.
• Gunakan buku kerja untuk memantau data Anda.