Inserire i dati di log di Google Cloud Platform in Microsoft Sentinel

Le organizzazioni passano sempre più alle architetture multicloud, sia per progettazione che a causa di requisiti continui. Un numero crescente di queste organizzazioni usa applicazioni e archivia i dati in più cloud pubblici, tra cui Google Cloud Platform (GCP).

Questo articolo descrive come inserire dati GCP in Microsoft Sentinel per ottenere una copertura completa della sicurezza e analizzare e rilevare gli attacchi nell'ambiente multicloud.

Con i connettori GCP Pub/Sub, basati sulla piattaforma CCP (Codeless Connector Platform), è possibile inserire i log dall'ambiente GCP usando la funzionalità GCP Pub/Sub:

• Il connettore Log di Audit GCP pub/sub di Google Cloud Platform (GCP) raccoglie audit trail per l'accesso alle risorse GCP. Gli analisti possono monitorare questi log per tenere traccia dei tentativi di accesso alle risorse e rilevare potenziali minacce nell'ambiente GCP.

• Il connettore Security Command Center di Google Cloud Platform (GCP) raccoglie i risultati ottenuti dal Security Command Center di Google, una solida piattaforma di gestione dei rischi e sicurezza per Google Cloud. Gli analisti possono visualizzare questi risultati per ottenere informazioni dettagliate sul comportamento di sicurezza dell'organizzazione, tra cui inventario e individuazione degli asset, rilevamenti di vulnerabilità e minacce e mitigazione e correzione dei rischi.

Prerequisiti

Prima di iniziare, verificare di disporre degli elementi seguenti:

• La soluzione Microsoft Sentinel è abilitata.
• È presente un'area di lavoro di Microsoft Sentinel definita.
• Esiste un ambiente GCP e contiene risorse che producono uno dei tipi di log seguenti da inserire:
  • Log di controllo GCP
  • Risultati di Google Security Command Center
• L'utente di Azure ha il ruolo collaboratore di Microsoft Sentinel.
• L'utente GCP ha accesso per creare e modificare le risorse nel progetto GCP.
• L'API GCP Identity and Access Management (IAM) e l'API GCP Cloud Resource Manager sono entrambe abilitate.

Configurare l'ambiente GCP

È necessario configurare due elementi nell'ambiente GCP:

1. Configurare l'autenticazione di Microsoft Sentinel in GCP creando le risorse seguenti nel servizio IAM GCP:

   • Poll di identità del carico di lavoro
   • Provider di identità del carico di lavoro
   • Account di servizio
   • Ruolo

2. Configurare la raccolta di log in GCP e l'inserimento in Microsoft Sentinel creando le risorse seguenti nel servizio GCP pub/sub:

   • Argomento
   • Sottoscrizione per l'argomento

È possibile configurare l'ambiente in uno dei due modi seguenti:

• Creare risorse GCP tramite l'API Terraform: Terraform fornisce API per la creazione di risorse e per la gestione delle identità e degli accessi (vedere Prerequisiti). Microsoft Sentinel fornisce script Terraform che emettono i comandi necessari alle API.

• Configurare manualmente l'ambiente GCP creando manualmente le risorse nella console GCP.

  Nota

  Non è disponibile alcuno script Terraform per la creazione di risorse GCP Pub/Sub per la raccolta di log dal Centro comandi di sicurezza. È necessario creare queste risorse manualmente. È comunque possibile usare lo script Terraform per creare le risorse IAM GCP per l'autenticazione.

  Importante

  Se si creano manualmente le risorse, è necessario creare tutte le risorse di autenticazione (IAM) nello stesso progetto GCP, altrimenti non funzionerà. Le risorse pub/sub possono trovarsi in un progetto diverso.

Configurazione dell'autenticazione GCP

Configurazione dell'API Terraform

1. Aprire GCP Cloud Shell.

2. Selezionare il progetto da usare digitando il comando seguente nell'editor:

   gcloud config set project {projectId}  
   

3. Copiare lo script di autenticazione Terraform fornito da Microsoft Sentinel dal repository GitHub di Sentinel nell'ambiente GCP Cloud Shell.

   1. Aprire il file di Terraform di script GCPInitialAuthenticationSetup e copiarne il contenuto.

      Nota

      Per inserire dati GCP in un cloud di Azure per enti pubblici, usare invece questo script di configurazione dell'autenticazione.

   2. Creare una directory nell'ambiente Cloud Shell, immetterla e creare un nuovo file vuoto.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Aprire initauth.tf nell'editor di Cloud Shell e incollarvi il contenuto del file di script.

4. Inizializzare Terraform nella directory creata digitando il comando seguente nel terminale:

   terraform init 
   

5. Quando viene visualizzato il messaggio di conferma che Terraform è stato inizializzato, eseguire lo script digitando il comando seguente nel terminale:

   terraform apply 
   

6. Quando lo script richiede l'ID tenant Microsoft, copiarlo e incollarlo nel terminale.

   Nota

   È possibile trovare e copiare l'ID tenant nella pagina del connettore Log di Audit GCP pub/sub nel portale di Microsoft Sentinel o nella schermata delle Impostazioni del portale (accessibile ovunque nel portale di Azure selezionando l'icona a forma di ingranaggio nella parte superiore della schermata), nella colonna ID directory.

7. Quando viene chiesto se è già stato creato un pool di identità del carico di lavoro per Azure, rispondere sì o no in base alle propria situazione.

8. Quando viene chiesto se si desidera creare le risorse elencate, digitare sì.

Quando viene visualizzato l'output dello script, salvare i parametri delle risorse per usarli in un secondo momento.

Configurazione manuale

Creare e configurare gli elementi seguenti nel servizio di IAM (gestione delle identità e degli accessi) di Google Cloud Platform.

Creare un ruolo personalizzato

1. Seguire le istruzioni nella documentazione di Google Cloud per creare un ruolo. In base a queste istruzioni, creare un ruolo personalizzato da zero.

2. Assegnare un nome al ruolo in modo che sia riconoscibile come ruolo personalizzato di Sentinel.

3. Immettere i dettagli pertinenti e aggiungere le autorizzazioni in base alle esigenze:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   È possibile filtrare l'elenco delle autorizzazioni disponibili in base ai ruoli. Selezionare i ruoli Pub/Sub Subscriber e Pub/Sub Viewer per filtrare l'elenco.

Per altre informazioni sulla creazione di ruoli in Google Cloud Platform, vedere Creare e gestire ruoli personalizzati nella documentazione di Google Cloud.

Creare un account di servizio

1. Seguire le istruzioni nella documentazione di Google Cloud per creare un account del servizio.

2. Assegnare un nome all'account del servizio in modo che sia riconoscibile come account del servizio Sentinel.

3. Assegnare il ruolo creato nella sezione precedente all'account del servizio.

Per altre informazioni sugli account di servizio in Google Cloud Platform, vedere Panoramica degli account di servizio nella documentazione di Google Cloud.

Creare il pool di identità del carico di lavoro e il provider

1. Seguire le istruzioni nella documentazione di Google Cloud per creare il pool di identità e il provider del carico di lavoro.

2. Per Nome e ID pool immettere l'ID tenant di Azure senza includere i trattini.

   Nota

   È possibile trovare e copiare l'ID tenant nella schermata impostazioni del portale nella colonna ID directory. La schermata delle impostazioni del portale è accessibile ovunque nel portale di Azure selezionando l'icona a forma di ingranaggio nella parte superiore della schermata.

3. Aggiungere un provider di identità al pool. Scegliere Open ID Connect (OIDC) come tipo di provider.

4. Denominare il provider di identità in modo che sia riconoscibile per il suo scopo.

5. Immettere i valori seguenti nelle impostazioni del provider (questi non sono esempi, usare questi valori effettivi):

   • Autorità di certificazione: https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Gruppo di destinatari: URI ID applicazione: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Mapping degli attributi: google.subject=assertion.sub

   Nota

   Per configurare il connettore per inviare i log da GCP al cloud di Azure per enti pubblici, usare i valori alternativi seguenti per le impostazioni del provider anziché quelli mostrati sopra:

   • Autorità di certificazione: https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Gruppo di destinatari: api://e9885b54-fac0-4cd6-959f-a72066026929

Per altre informazioni sulla federazione delle identità del carico di lavoro in Google Cloud Platform, vedere Federazione delle identità del carico di lavoro nella documentazione di Google Cloud.

Concedere al pool di identità l'accesso all'account del servizio

1. Individuare e selezionare l'account del servizio creato in precedenza.

2. Individuare la configurazione delle autorizzazioni dell'account del servizio.

3. Concedere l'accesso all'entità che rappresenta il pool di identità del carico di lavoro e il provider creati nel passaggio precedente.

   • Usare il formato seguente per il nome dell'entità:

     principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
     

   • Assegnare il ruolo Utente identità carico di lavoro e salvare la configurazione.

Per altre informazioni sulla concessione dell'accesso in Google Cloud Platform, vedere Gestire l'accesso a progetti, cartelle e organizzazioni nella documentazione di Google Cloud.

Configurazione dei log di controllo GCP

Le istruzioni riportate in questa sezione sono per l'uso del connettore Log di Audit GCP pub/sub di Microsoft Sentinel.

Vedere le istruzioni nella sezione successiva per l'uso del connettore del Centro comandi sicurezza GCP pub/sub di Microsoft Sentinel.

Configurazione dell'API Terraform

1. Copiare lo script di installazione del log di controllo terraform fornito da Microsoft Sentinel dal repository GitHub di Sentinel in una cartella diversa nell'ambiente GCP Cloud Shell.

   1. Aprire il file Terraform di script GCPAuditLogsSetup e copiarne il contenuto.

      Nota

      Per inserire dati GCP in un cloud di Azure per enti pubblici, usare invece questo script di installazione del log di controllo.

   2. Creare un'altra directory nell'ambiente Cloud Shell, immetterla e creare un nuovo file vuoto.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Aprire auditlog.tf nell'editor di Cloud Shell e incollarvi il contenuto del file di script.

2. Inizializzare Terraform nella nuova directory digitando il comando seguente nel terminale:

   terraform init 
   

3. Quando viene visualizzato il messaggio di conferma che Terraform è stato inizializzato, eseguire lo script digitando il comando seguente nel terminale:

   terraform apply 
   

   Per inserire i log da un'intera organizzazione usando un singolo pub/sub, digitare:

   terraform apply -var="organization-id= {organizationId} "
   

4. Quando viene chiesto se si desidera creare le risorse elencate, digitare sì.

Quando viene visualizzato l'output dello script, salvare i parametri delle risorse per usarli in un secondo momento.

Attendere cinque minuti prima di passare al passaggio successivo.

Configurazione manuale

Creare un argomento di pubblicazione

Usare il servizio pub/sub di Google Cloud Platform per configurare l'esportazione dei log di controllo.

Seguire le istruzioni nella documentazione di Google Cloud per creare un argomento per la pubblicazione dei log.

• Scegliere un ID argomento che rifletta lo scopo della raccolta di log per l'esportazione in Microsoft Sentinel.
• Aggiungere una sottoscrizione predefinita.
• Usare una chiave di crittografia gestita da Google per la crittografia.

Creare un sink di log

Usare il servizio Router di log di Google Cloud Platform per configurare la raccolta dei log di controllo.

Per raccogliere i log solo per le risorse nel progetto corrente:

1. Verificare che il progetto sia selezionato nel selettore di progetto.

2. Seguire le istruzioni nella documentazione di Google Cloud per configurare un sink per la raccolta dei log.

   • Scegliere un nome che rifletta lo scopo della raccolta di log per l'esportazione in Microsoft Sentinel.
   • Selezionare "Cloud Pub/Sub topic" come tipo di destinazione e scegliere l'argomento creato nel passaggio precedente.

Per raccogliere i log per le risorse nell'intera organizzazione:

1. Selezionare l'organizzazione nel selettore di progetto.

2. Seguire le istruzioni nella documentazione di Google Cloud per configurare un sink per la raccolta dei log.

   • Scegliere un nome che rifletta lo scopo della raccolta di log per l'esportazione in Microsoft Sentinel.
   • Selezionare "Cloud Pub/Sub topic" come tipo di destinazione e scegliere l'argomento predefinito "Use a Cloud Pub/Sub topic in a project".
   • Immettere la destinazione nel formato seguente: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. In Scegliere i log da includere nel sink selezionare Includi log inseriti dall'organizzazione e tutte le risorse figlio.

Verificare che GCP possa ricevere messaggi in arrivo

1. Nella console GCP pub/sub passare a Sottoscrizioni.

2. Selezionare Messaggi e selezionare PULL per avviare un pull manuale.

3. Controllare i messaggi in arrivo.

Se si configura anche il connettore del Centro di comando di sicurezza GCP Pub/Sub , continuare con la sezione successiva.

In caso contrario, passare a Configurare il connettore GCP Pub/Sub in Microsoft Sentinel.

GCP Security Command Center configurato

Le istruzioni contenute in questa sezione sono relative all'uso del connettore del Centro comandi di sicurezza GCP pub/sub di Microsoft Sentinel.

Vedere le istruzioni nella sezione precedente per l'uso del connettore Log di Audit GCP pub/sub di Microsoft Sentinel.

Configurare l'esportazione continua dei risultati

Seguire le istruzioni nella documentazione di Google Cloud per configurare le esportazioni pub/sub dei futuri risultati SCC nel servizio GCP pub/sub.

1. Quando viene chiesto di selezionare un progetto per l'esportazione, selezionare un progetto creato a questo scopo o creare un nuovo progetto.

2. Quando viene chiesto di selezionare un argomento pub/sub in cui si desidera esportare i risultati, seguire le istruzioni riportate sopra per creare un nuovo argomento.

Configurare il connettore GCP Pub/Sub in Microsoft Sentinel

Log di controllo GCP

1. Aprire il portale di Azure e andare al servizio Microsoft Sentinel.

2. Nella barra di ricerca dell'Hub contenuto digitare Log di controllo di Google Cloud Platform.

3. Installare la soluzione Log di controllo di Google Cloud Platform.

4. Selezionare Connettori dati e nella barra di ricerca digitare Log di Audit GCP pub/sub.

5. Selezionare il connettore Log di Audit GCP pub/sub.

6. Nel riquadro dei dettagli selezionare Apri pagina del connettore.

7. Nell'area Configurazione selezionare Aggiungi nuovo agente di raccolta.

   

8. Nel pannello Connetti un nuovo agente di raccolta digitare i parametri di risorsa creati durante la creazione delle risorse GCP.

   

9. Assicurarsi che i valori in tutti i campi corrispondano alle rispettive controparti nel progetto GCP (i valori nello screenshot sono esempi, non valori letterali) e selezionare Connetti.

Google Security Command Center

1. Aprire il portale di Azure e andare al servizio Microsoft Sentinel.

2. Nella barra di ricerca dell'hub contenuto digitare Google Security Command Center.

3. Installare la soluzione Google Security Command Center.

4. Selezionare Connettori dati e nella barra di ricerca digitare Google Security Command Center.

5. Selezionare il connettore Google Security Command Center.

6. Nel riquadro dei dettagli selezionare Apri pagina del connettore.

7. Nell'area Configurazione selezionare Aggiungi nuovo agente di raccolta.

   

8. Nel pannello Connetti un nuovo agente di raccolta digitare i parametri di risorsa creati durante la creazione delle risorse GCP.

   

9. Assicurarsi che i valori in tutti i campi corrispondano alle rispettive controparti nel progetto GCP (i valori nello screenshot sono esempi, non valori letterali) e selezionare Connetti.

Verificare che i dati GCP si trovano nell'ambiente di Microsoft Sentinel

1. Per assicurarsi che i log GCP siano stati inseriti correttamente in Microsoft Sentinel, eseguire la query seguente 30 minuti dopo aver completato la configurazione del connettore.

   Log di controllo GCP

   GCPAuditLogs 
   | take 10 
   

   Google Security Command Center

   GoogleSCC 
   | take 10 
   

2. Abilitare la funzionalità di integrità per i connettori dati.

Passaggi successivi

In questo articolo è stato illustrato come inserire dati GCP in Microsoft Sentinel usando i connettori GCP Pub/Sub. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
  • Iniziare a rilevare minacce con Microsoft Sentinel.
  • Usare le cartelle di lavoro per monitorare i dati.