Inserire i dati di log di Google Cloud Platform in Microsoft Sentinel

Le organizzazioni stanno passando sempre più spesso a architetture multicloud, sia per progettazione che a causa di requisiti in corso. Un numero crescente di queste organizzazioni usa applicazioni e archivia dati in più cloud pubblici, tra cui Google Cloud Platform (GCP).

Questo articolo descrive come inserire i dati GCP in Microsoft Sentinel per ottenere una copertura di sicurezza completa e analizzare e rilevare gli attacchi nell'ambiente multicloud.

Con i connettori GCP Pub/Sub , basati su Codeless Connector Framework (CCF), è possibile inserire i log dall'ambiente GCP usando la funzionalità GCP Pub/Sub:

• Il connettore Google Cloud Platform (GCP) Pub/Sub Audit Logs raccoglie gli audit trail di accesso alle risorse GCP. Gli analisti possono monitorare questi log per tenere traccia dei tentativi di accesso alle risorse e rilevare potenziali minacce nell'ambiente GCP.

• Il connettore Google Cloud Platform (GCP) Security Command Center raccoglie i risultati del Google Security Command Center, una solida piattaforma di sicurezza e gestione dei rischi per Google Cloud. Gli analisti possono visualizzare questi risultati per ottenere informazioni dettagliate sul comportamento di sicurezza dell'organizzazione, tra cui inventario e individuazione degli asset, rilevamenti di vulnerabilità e minacce e mitigazione e correzione dei rischi.

• Il connettore del motore Google Kubernetes raccoglie i log del motore Google Kubernetes .The Google Kubernetes Engine connectors collects Google Kubernetes Engine (GKE) Logs. Gli analisti possono monitorare questi log per tenere traccia dell'attività del cluster, del comportamento del carico di lavoro e degli eventi di sicurezza, consentendo agli analisti di monitorare i carichi di lavoro kubernetes, analizzare le prestazioni e rilevare potenziali minacce nei cluster GKE.

Prerequisiti

Prima di iniziare, verificare di avere quanto segue:

• La soluzione Microsoft Sentinel è abilitata.
• Esiste un'area di lavoro Microsoft Sentinel definita.
• Esiste un ambiente GCP che contiene risorse che producono uno dei tipi di log seguenti da inserire:
  • Log di controllo GCP
  • Risultati del Centro di comando di Google Security
• L'utente Azure ha il ruolo Collaboratore Microsoft Sentinel.
• L'utente GCP ha accesso per creare e modificare le risorse nel progetto GCP.
• L'API GCP Identity and Access Management (IAM) e l'API GCP Cloud Resource Manager sono entrambe abilitate.

Configurare l'ambiente GCP

È necessario configurare due elementi nell'ambiente GCP:

1. Configurare l'autenticazione Microsoft Sentinel in GCP creando le risorse seguenti nel servizio GCP IAM:

   • Pool di identità del carico di lavoro
   • Provider di identità del carico di lavoro
   • Account del servizio
   • Ruolo

2. Configurare la raccolta dei log in GCP e l'inserimento in Microsoft Sentinel creando le risorse seguenti nel servizio pubblicazione/sottoscrizione GCP:

   • Argomento
   • Sottoscrizione per l'argomento

È possibile configurare l'ambiente in uno dei due modi seguenti:

• Creare risorse GCP tramite l'API Terraform: Terraform fornisce LE API per la creazione delle risorse e per Gestione delle identità e degli accessi (vedere Prerequisiti). Microsoft Sentinel fornisce script Terraform che eseguono i comandi necessari per le API.

• Configurare manualmente l'ambiente GCP, creando le risorse manualmente nella console GCP.

  Nota

  Non è disponibile alcun script Terraform per la creazione di risorse GCP Pub/Sub per la raccolta di log dal Centro comandi di sicurezza. È necessario creare queste risorse manualmente. È comunque possibile usare lo script Terraform per creare le risorse GCP IAM per l'autenticazione.

  Importante

  Se si creano risorse manualmente, è necessario creare tutte le risorse di autenticazione (IAM) nello stesso progetto GCP, altrimenti non funzionerà. Le risorse Pub/Sub possono trovarsi in un progetto diverso.

Configurazione dell'autenticazione GCP

Obbligatorio per tutti i connettori GCP.

Installazione dell'API Terraform

1. Aprire Cloud Shell GCP.

2. Selezionare il progetto da usare digitando il comando seguente nell'editor:

   gcloud config set project {projectId}  
   

3. Copiare lo script di autenticazione Terraform fornito da Microsoft Sentinel dal repository GitHub Sentinel nell'ambiente Cloud Shell GCP.

   1. Aprire il file di script Terraform GCPInitialAuthenticationSetup e copiarne il contenuto.

      Nota

      Per inserire i dati GCP in un cloud Azure per enti pubblici, usare invece questo script di installazione dell'autenticazione.

   2. Creare una directory nell'ambiente Cloud Shell, immetterla e creare un nuovo file vuoto.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Aprire initauth.tf nell'editor Cloud Shell e incollarvi il contenuto del file di script.

4. InizializzaRe Terraform nella directory creata digitando il comando seguente nel terminale:

   terraform init 
   

5. Quando si riceve il messaggio di conferma dell'inizializzazione di Terraform, eseguire lo script digitando il comando seguente nel terminale:

   terraform apply 
   

6. Quando lo script richiede l'ID tenant Microsoft, copiarlo e incollarlo nel terminale.

   Nota

   È possibile trovare e copiare l'ID tenant nella pagina del connettore GCP Pub/Sub Audit Logs nel portale di Microsoft Sentinel oppure nella schermata Impostazioni del portale (accessibile in qualsiasi punto del portale di Azure selezionando l'icona a ingranaggio nella parte superiore della schermata) nella colonna ID directory.

7. Quando viene chiesto se un pool di identità del carico di lavoro è già stato creato per Azure, rispondere sì o no di conseguenza.

8. Quando viene chiesto se si desidera creare le risorse elencate, digitare sì.

Quando viene visualizzato l'output dello script, salvare i parametri delle risorse per un uso successivo.

Configurazione manuale

Creare e configurare gli elementi seguenti nel servizio IAM (Identity and Access Management) di Google Cloud Platform.

Creare un ruolo personalizzato

1. Seguire le istruzioni nella documentazione di Google Cloud per creare un ruolo. In base a queste istruzioni, creare un ruolo personalizzato da zero.

2. Assegnare un nome al ruolo in modo che sia riconoscibile come ruolo personalizzato Sentinel.

3. Compilare i dettagli pertinenti e aggiungere le autorizzazioni in base alle esigenze:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   È possibile filtrare l'elenco delle autorizzazioni disponibili in base ai ruoli. Selezionare i ruoli Pub/Sub Subscriber e Pub/Sub Viewer per filtrare l'elenco.

Per altre informazioni sulla creazione di ruoli in Google Cloud Platform, vedere Creare e gestire ruoli personalizzati nella documentazione di Google Cloud.

Creare un account del servizio

1. Seguire le istruzioni nella documentazione di Google Cloud per creare un account di servizio.

2. Assegnare un nome all'account del servizio in modo che sia riconoscibile come account del servizio Sentinel.

3. Assegnare il ruolo creato nella sezione precedente all'account del servizio.

Per altre informazioni sugli account di servizio in Google Cloud Platform, vedere Panoramica degli account di servizio nella documentazione di Google Cloud.

Creare il pool di identità del carico di lavoro e il provider

1. Seguire le istruzioni nella documentazione di Google Cloud per creare il pool di identità del carico di lavoro e il provider.

2. Per Nome e ID pool immettere l'ID tenant Azure, con i trattino rimossi.

   Nota

   È possibile trovare e copiare l'ID tenant nella schermata Impostazioni del portale , nella colonna ID directory . La schermata delle impostazioni del portale è accessibile in qualsiasi punto del portale di Azure selezionando l'icona a ingranaggio nella parte superiore dello schermo.

3. Aggiungere un provider di identità al pool. Scegliere Open ID Connect (OIDC) come tipo di provider.

4. Assegnare un nome al provider di identità in modo che sia riconoscibile per il suo scopo.

5. Immettere i valori seguenti nelle impostazioni del provider (questi non sono esempi, usare questi valori effettivi):

   • Autorità di certificazione (URL)::https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Destinatari: l'URI dell'ID applicazione: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Mapping degli attributi: google.subject=assertion.sub

   Nota

   Per configurare il connettore per l'invio di log da GCP al cloud Azure per enti pubblici, usare i valori alternativi seguenti per le impostazioni del provider anziché quelli indicati in precedenza:

   • Autorità di certificazione (URL)::https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Destinatari: api://e9885b54-fac0-4cd6-959f-a72066026929

Per altre informazioni sulla federazione delle identità del carico di lavoro in Google Cloud Platform, vedere Federazione delle identità del carico di lavoro nella documentazione di Google Cloud.

Concedere al pool di identità l'accesso all'account del servizio

1. Individuare e selezionare l'account del servizio creato in precedenza.

2. Individuare la configurazione delle autorizzazioni dell'account del servizio.

3. Concedere l'accesso all'entità che rappresenta il pool di identità del carico di lavoro e il provider creati nel passaggio precedente.

   • Usare il formato seguente per il nome dell'entità:

     principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
     

   • Assegnare il ruolo Utente identità carico di lavoro e salvare la configurazione.

Per altre informazioni sulla concessione dell'accesso in Google Cloud Platform, vedere Gestire l'accesso a progetti, cartelle e organizzazioni nella documentazione di Google Cloud.

Configurazione dei log di controllo GCP

Le istruzioni in questa sezione riguardano l'uso del connettore Microsoft Sentinel GCP Pub/Sub Audit Logs.

Vedere Configurazione del Centro di comando per la sicurezza GCP per l'uso del connettore Microsoft Sentinel GCP Pub/Sub Security Command Center.

Vedere Configurazione dei log GKE per l'uso del connettore del motore di Google Kubernetes Microsoft Sentinel.

Installazione dell'API Terraform

1. Copiare lo script di installazione del log di controllo terraform fornito da Microsoft Sentinel dal repository GitHub Sentinel in una cartella diversa nell'ambiente Cloud Shell GCP.

   1. Aprire il file di script Terraform GCPAuditLogsSetup e copiarne il contenuto.

      Nota

      Per inserire i dati GCP in un cloud Azure per enti pubblici, usare invece questo script di configurazione del log di controllo.

   2. Creare un'altra directory nell'ambiente Cloud Shell, immetterla e creare un nuovo file vuoto.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Aprire auditlog.tf nell'editor Cloud Shell e incollarvi il contenuto del file di script.

2. Inizializzare Terraform nella nuova directory digitando il comando seguente nel terminale:

   terraform init 
   

3. Quando si riceve il messaggio di conferma dell'inizializzazione di Terraform, eseguire lo script digitando il comando seguente nel terminale:

   terraform apply 
   

   Per inserire i log di un'intera organizzazione usando un singolo oggetto Pub/Sub, digitare:

   terraform apply -var="organization-id= {organizationId} "
   

4. Quando viene chiesto se si desidera creare le risorse elencate, digitare sì.

Quando viene visualizzato l'output dello script, salvare i parametri delle risorse per un uso successivo.

Attendere cinque minuti prima di passare al passaggio successivo.

Configurazione manuale

Creare un argomento di pubblicazione

Usare il servizio Google Cloud Platform Pub/Sub per configurare l'esportazione dei log di controllo.

Seguire le istruzioni nella documentazione di Google Cloud per creare un argomento in cui pubblicare i log.

• Scegliere un ID argomento che rifletta lo scopo della raccolta di log per l'esportazione in Microsoft Sentinel.
• Aggiungere una sottoscrizione predefinita.
• Usare una chiave di crittografia gestita da Google per la crittografia.

Creare un sink di log

Usare il servizio Google Cloud Platform Log Router per configurare la raccolta di log di controllo.

Per raccogliere i log solo per le risorse nel progetto corrente:

1. Verificare che il progetto sia selezionato nel selettore di progetto.

2. Seguire le istruzioni nella documentazione di Google Cloud per configurare un sink per la raccolta dei log.

   • Scegliere un nome che rifletta lo scopo della raccolta di log per l'esportazione in Microsoft Sentinel.
   • Selezionare "Cloud Pub/Sub topic" come tipo di destinazione e scegliere l'argomento creato nel passaggio precedente.

Per raccogliere i log per le risorse nell'intera organizzazione:

1. Selezionare l'organizzazione nel selettore di progetto.

2. Seguire le istruzioni nella documentazione di Google Cloud per configurare un sink per la raccolta dei log.

   • Scegliere un nome che rifletta lo scopo della raccolta di log per l'esportazione in Microsoft Sentinel.
   • Selezionare "Cloud Pub/Sub topic" come tipo di destinazione e scegliere l'argomento predefinito "Use a Cloud Pub/Sub topic in a project".
   • Immettere la destinazione nel formato seguente: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. In Scegliere i log da includere nel sink selezionare Includi i log inseriti dall'organizzazione e tutte le risorse figlio.

Verificare che GCP possa ricevere messaggi in ingresso

1. Nella console GCP Pub/Sub passare a Sottoscrizioni.

2. Selezionare Messaggi e selezionare PULL per avviare un pull manuale.

3. Controllare i messaggi in ingresso.

Se si sta anche configurando il connettore GCP Pub/Sub Security Command Center , continuare con la sezione successiva.

In caso contrario, passare a Configurare il connettore GCP Pub/Sub in Microsoft Sentinel.

Configurazione del Centro di comando per la sicurezza GCP

Le istruzioni in questa sezione riguardano l'uso del connettore Microsoft Sentinel GCP Pub/Sub Security Command Center.

Vedere le istruzioni nella sezione precedente per l'uso del connettore Microsoft Sentinel GCP Pub/Sub Audit Logs.

Vedere Configurazione dei log GKE per l'uso del connettore del motore di Google Kubernetes Microsoft Sentinel.

Configurare l'esportazione continua dei risultati

Seguire le istruzioni nella documentazione di Google Cloud per configurare le esportazioni di pub/sub di risultati SCC futuri nel servizio GCP Pub/Sub.

1. Quando viene richiesto di selezionare un progetto per l'esportazione, selezionare un progetto creato a questo scopo o creare un nuovo progetto.

2. Quando viene chiesto di selezionare un argomento Pub/Sub in cui esportare i risultati, seguire le istruzioni precedenti per creare un nuovo argomento.

Configurazione del connettore del motore di Google Kubernetes

Le istruzioni in questa sezione sono per l'uso del connettore del motore di Google Kubernetes Microsoft Sentinel.

Vedere Configurazione del Centro di comando per la sicurezza GCP per l'uso del connettore Microsoft Sentinel GCP Pub/Sub Security Command Center.

Vedere Configurazione dei log di controllo GCP per l'uso del connettore Microsoft Sentinel GCP Pub/Sub Audit Logs.

Installazione dell'API Terraform

1. Copiare lo script di installazione del log di controllo terraform fornito da Microsoft Sentinel dal repository GitHub Sentinel in una cartella diversa nell'ambiente Cloud Shell GCP.

   1. Aprire il file di script Terraform GoogleKubernetesEngineLogSetup e copiarne il contenuto.

   2. Creare un'altra directory nell'ambiente Cloud Shell, immetterla e creare un nuovo file vuoto.

      mkdir {other-directory-name} && cd {other-directory-name} && touch gkelog.tf
      

   3. Aprire gkelog.tf nell'editor Cloud Shell e incollarvi il contenuto del file di script.

2. Inizializzare Terraform nella nuova directory digitando il comando seguente nel terminale:

   terraform init 
   

3. Quando si riceve il messaggio di conferma dell'inizializzazione di Terraform, eseguire lo script digitando il comando seguente nel terminale:

   terraform apply 
   

   Per inserire i log di un'intera organizzazione usando un singolo oggetto Pub/Sub, digitare:

   terraform apply -var="organization-id= {organizationId} "
   

4. Quando viene chiesto se si desidera creare le risorse elencate, digitare sì.

Quando viene visualizzato l'output dello script, salvare i parametri delle risorse per un uso successivo.

Attendere cinque minuti prima di passare al passaggio successivo.

Configurare il connettore GCP Pub/Sub in Microsoft Sentinel

Log di controllo GCP

1. Aprire il portale di Azure e passare al servizio Microsoft Sentinel.

2. Nella barra di ricerca dell'hub contenuto digitare Log di controllo di Google Cloud Platform.

3. Installare la soluzione Log di controllo di Google Cloud Platform .

4. Selezionare Connettori dati e nella barra di ricerca digitare GCP Pub/Sub Audit Logs.SelectData connectors, and in the search bar, type GCP Pub/Sub Audit Logs.

5. Selezionare il connettore GCP Pub/Sub Audit Logs .

6. Nel riquadro dei dettagli selezionare Apri pagina connettore.

7. Nell'area Configurazione selezionare Aggiungi nuovo agente di raccolta.

   

8. Nel pannello Connetti nuovo agente di raccolta digitare i parametri di risorsa creati quando sono state create le risorse GCP.

   

9. Assicurarsi che i valori in tutti i campi corrispondano alle relative controparti nel progetto GCP (i valori nello screenshot sono esempi, non valori letterali) e selezionare Connetti.

Centro di comando di Google Security

1. Aprire il portale di Azure e passare al servizio Microsoft Sentinel.

2. Nella barra di ricerca dell'hub contenuto digitare Google Security Command Center.

3. Installare la soluzione Google Security Command Center .

4. Selezionare Connettori dati e nella barra di ricerca digitare Google Security Command Center.

5. Selezionare il connettore Del Centro di comando di Google Security .

6. Nel riquadro dei dettagli selezionare Apri pagina connettore.

7. Nell'area Configurazione selezionare Aggiungi nuovo agente di raccolta.

   

8. Nel pannello Connetti nuovo agente di raccolta digitare i parametri di risorsa creati quando sono state create le risorse GCP.

   

9. Assicurarsi che i valori in tutti i campi corrispondano alle relative controparti nel progetto GCP (i valori nello screenshot sono esempi, non valori letterali) e selezionare Connetti.

Log GKE

1. Aprire il portale di Azure e passare al servizio Microsoft Sentinel.

2. Nella barra di ricerca dell'hub contenuto digitare Log di controllo di Google Cloud Platform.

3. Installare la soluzione Google Kubernetes Engine .

4. Selezionare Connettori dati e nella barra di ricerca digitare Google Kubernetes Engine (tramite Codeless Connector Framework) .Select Data connectors, and the search bar, type Google Kubernetes Engine (via Codeless Connector Framework).

5. Selezionare il connettore Google Kubernetes Engine (tramite Codeless Connector Framework).

6. Nel riquadro dei dettagli selezionare Apri pagina connettore.

7. Nell'area Configurazione selezionare Aggiungi nuovo agente di raccolta.

   

8. Nel pannello Connetti nuovo agente di raccolta digitare i parametri di risorsa creati quando sono state create le risorse GCP.

   

9. Assicurarsi che i valori in tutti i campi corrispondano alle relative controparti nel progetto GCP (i valori nello screenshot sono esempi, non valori letterali) e selezionare Connetti.

Verificare che i dati GCP siano nell'ambiente Microsoft Sentinel

1. Per assicurarsi che i log GCP siano stati inseriti correttamente in Microsoft Sentinel, eseguire la query seguente 30 minuti dopo aver completato la configurazione del connettore.

   Log di controllo GCP

   GCPAuditLogs 
   | take 10 
   

   Centro di comando di Google Security

   GoogleSCC 
   | take 10 
   

   Log GKE

   GKEAudit 
   | take 10 
   

2. Abilitare la funzionalità di integrità per i connettori dati.

Risoluzione dei problemi

1. "Errore 409: l'entità richiesta esiste già" Quando si eseguono script terraform: importare le risorse GCP esistenti nello stato Terraform in modo che Terraform le gestirà invece di provare a ricrearle. Ad esempio, con il messaggio di errore "Error creating WorkloadIdentityPool: googleapi: Error 409: Requested entity already exists", find the pool ID and project ID, run:

terraform import google_iam_workload_identity_pool.<POOL_RESOURCE_NAME> projects/<PROJECT_ID>/locations/global/workloadIdentityPools/<POOL_ID>

---

Passaggi successivi

In questo articolo si è appreso come inserire i dati GCP in Microsoft Sentinel usando i connettori GCP Pub/Sub. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
  • Introduzione al rilevamento delle minacce con Microsoft Sentinel.
  • Usare le cartelle di lavoro per monitorare i dati.