Inserire i dati di log di Google Cloud Platform in Microsoft Sentinel

Le organizzazioni passano sempre più alle architetture multicloud, sia per progettazione che a causa di requisiti continui. Un numero crescente di queste organizzazioni usa applicazioni e archivia i dati in più cloud pubblici, tra cui Google Cloud Platform (GCP).

Questo articolo descrive come inserire dati GCP in Microsoft Sentinel per ottenere una copertura completa della sicurezza e analizzare e rilevare gli attacchi nell'ambiente multicloud.

Con il connettore GCP Pub/Sub, basato sulla piattaforma CCP (Codeless Connessione or Platform), è possibile inserire i log dall'ambiente GCP usando la funzionalità GCP Pub/Sub.

Importante

Il connettore GCP Pub/Sub Audit Logs è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

I log di controllo cloud di Google registrano un audit trail che gli analisti possono usare per monitorare l'accesso e rilevare potenziali minacce tra le risorse GCP.

Prerequisiti

Prima di iniziare, verificare di disporre degli elementi seguenti:

• La soluzione Microsoft Sentinel è abilitata.
• Esiste un'area di lavoro di Microsoft Sentinel definita.
• Esiste un ambiente GCP (un progetto) e raccoglie i log di controllo GCP.
• L'utente di Azure ha il ruolo collaboratore di Microsoft Sentinel.
• L'utente GCP ha accesso per modificare e creare risorse nel progetto GCP.
• L'API GCP Identity and Access Management (IAM) e l'API GCP Cloud Resource Manager sono entrambe abilitate.

Configurare l'ambiente GCP

È necessario configurare due elementi nell'ambiente GCP:

1. Configurare l'autenticazione di Microsoft Sentinel in GCP creando le risorse seguenti nel servizio IAM GCP:

   • Pool di identità del carico di lavoro
   • Provider di identità del carico di lavoro
   • Account di servizio
   • Role

2. Configurare la raccolta di log in GCP e l'inserimento in Microsoft Sentinel creando le risorse seguenti nel servizio GCP Pub/Sub:

   • Argomento
   • Sottoscrizione per l'argomento

È possibile configurare l'ambiente in uno dei due modi seguenti:

• Creare risorse GCP tramite l'API Terraform: Terraform fornisce API per la creazione di risorse e per Identity and Access Management (vedere Prerequisiti). Microsoft Sentinel fornisce script Terraform che emettono i comandi necessari alle API.
• Configurare manualmente l'ambiente GCP, creando manualmente le risorse nella console GCP.

Configurazione dell'autenticazione GCP

Configurazione dell'API Terraform

1. Aprire GCP Cloud Shell.

2. Selezionare il progetto da usare digitando il comando seguente nell'editor:

   gcloud config set project {projectId}  
   

3. Copiare lo script di autenticazione Terraform fornito da Microsoft Sentinel dal repository GitHub di Sentinel nell'ambiente GCP Cloud Shell.

   1. Aprire il file di script Terraform GCPInitialAuthenticationSetup e copiarne il contenuto.

      Nota

      Per inserire dati GCP in un cloud Azure per enti pubblici, usare invece questo script di installazione dell'autenticazione.

   2. Creare una directory nell'ambiente Cloud Shell, immetterla e creare un nuovo file vuoto.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Aprire initauth.tf nell'editor di Cloud Shell e incollarvi il contenuto del file di script.

4. Inizializzare Terraform nella directory creata digitando il comando seguente nel terminale:

   terraform init 
   

5. Quando viene visualizzato il messaggio di conferma che Terraform è stato inizializzato, eseguire lo script digitando il comando seguente nel terminale:

   terraform apply 
   

6. Quando lo script richiede l'ID tenant Microsoft, copiarlo e incollarlo nel terminale.

   Nota

   È possibile trovare e copiare l'ID tenant nella pagina del connettore GCP Pub/Sub Audit Logs nel portale di Microsoft Sentinel o nella schermata delle impostazioni del portale (accessibile ovunque nella portale di Azure selezionando l'icona a forma di ingranaggio nella parte superiore della schermata), nella colonna ID directory.

7. Quando viene chiesto se è già stato creato un pool di identità del carico di lavoro per Azure, rispondere sì o no di conseguenza.

8. Quando viene chiesto se si desidera creare le risorse elencate, digitare sì.

Quando viene visualizzato l'output dello script, salvare i parametri delle risorse per usarli in un secondo momento.

Configurazione manuale

Creare e configurare gli elementi seguenti nel servizio IAM (Google Cloud Platform Identity and Access Management).

Creare un ruolo personalizzato

1. Seguire le istruzioni nella documentazione di Google Cloud per creare un ruolo. In base a queste istruzioni, creare un ruolo personalizzato da zero.

2. Assegnare un nome al ruolo in modo che sia riconoscibile come ruolo personalizzato di Sentinel.

3. Immettere i dettagli pertinenti e aggiungere le autorizzazioni in base alle esigenze:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   È possibile filtrare l'elenco delle autorizzazioni disponibili in base ai ruoli. Selezionare i ruoli Pub/Sub Subscriber e Pub/Sub Viewer per filtrare l'elenco.

Per altre informazioni sulla creazione di ruoli in Google Cloud Platform, vedere Creare e gestire ruoli personalizzati nella documentazione di Google Cloud.

Creare un account di servizio

1. Seguire le istruzioni nella documentazione di Google Cloud per creare un account del servizio.

2. Assegnare un nome all'account del servizio in modo che sia riconoscibile come account del servizio Sentinel.

3. Assegnare il ruolo creato nella sezione precedente all'account del servizio.

Per altre informazioni sugli account di servizio in Google Cloud Platform, vedere Panoramica degli account di servizio nella documentazione di Google Cloud.

Creare il pool di identità del carico di lavoro e il provider

1. Seguire le istruzioni nella documentazione di Google Cloud per creare il pool di identità e il provider del carico di lavoro.

2. Per Nome e ID pool immettere l'ID tenant di Azure, con i trattini rimossi.

   Nota

   È possibile trovare e copiare l'ID tenant nella schermata Delle impostazioni del portale, nella colonna ID directory. La schermata delle impostazioni del portale è accessibile ovunque nella portale di Azure selezionando l'icona a forma di ingranaggio nella parte superiore dello schermo.

3. Aggiungere un provider di identità al pool. Scegliere Apri ID Connessione (OIDC) come tipo di provider.

4. Denominare il provider di identità in modo che sia riconoscibile per il suo scopo.

5. Immettere i valori seguenti nelle impostazioni del provider (questi non sono esempi, usare questi valori effettivi):

   • Autorità di certificazione (URL):https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Destinatari: URI ID applicazione: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Mapping degli attributi: google.subject=assertion.sub

   Nota

   Per configurare il connettore per inviare i log da GCP al cloud Azure per enti pubblici, usare i valori alternativi seguenti per le impostazioni del provider anziché quelle precedenti:

   • Autorità di certificazione (URL):https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Destinatari: api://e9885b54-fac0-4cd6-959f-a72066026929

Per altre informazioni sulla federazione delle identità del carico di lavoro in Google Cloud Platform, vedere Federazione delle identità del carico di lavoro nella documentazione di Google Cloud.

Concedere al pool di identità l'accesso all'account del servizio

1. Individuare e selezionare l'account del servizio creato in precedenza.

2. Individuare la configurazione delle autorizzazioni dell'account del servizio.

3. Concedere l'accesso all'entità che rappresenta il pool di identità del carico di lavoro e il provider creati nel passaggio precedente.

   • Usare il formato seguente per il nome dell'entità:

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • Assegnare il ruolo Utente identità carico di lavoro e salvare la configurazione.

Per altre informazioni sulla concessione dell'accesso in Google Cloud Platform, vedere Gestire l'accesso a progetti, cartelle e organizzazioni nella documentazione di Google Cloud.

Configurazione dei log di controllo GCP

Configurazione dell'API Terraform

1. Copiare lo script di installazione del log di controllo terraform fornito da Microsoft Sentinel dal repository GitHub di Sentinel in una cartella diversa nell'ambiente GCP Cloud Shell.

   1. Aprire il file di script Terraform GCPAuditLogsSetup e copiarne il contenuto.

      Nota

      Per inserire dati GCP in un cloud Azure per enti pubblici, usare invece questo script di installazione del log di controllo.

   2. Creare un'altra directory nell'ambiente Cloud Shell, immetterla e creare un nuovo file vuoto.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Aprire auditlog.tf nell'editor di Cloud Shell e incollarvi il contenuto del file di script.

2. Inizializzare Terraform nella nuova directory digitando il comando seguente nel terminale:

   terraform init 
   

3. Quando viene visualizzato il messaggio di conferma che Terraform è stato inizializzato, eseguire lo script digitando il comando seguente nel terminale:

   terraform apply 
   

   Per inserire i log da un'intera organizzazione usando un singolo pub/sub, digitare:

   terraform apply -var="organization-id= {organizationId} "
   

4. Quando viene chiesto se si desidera creare le risorse elencate, digitare sì.

Quando viene visualizzato l'output dello script, salvare i parametri delle risorse per usarli in un secondo momento.

Attendere cinque minuti prima di passare al passaggio successivo.

Configurazione manuale

Creare un argomento di pubblicazione

Usare il servizio Pub/Sub di Google Cloud Platform per configurare l'esportazione dei log di controllo.

Seguire le istruzioni nella documentazione di Google Cloud per creare un argomento per la pubblicazione dei log.

• Scegliere un ID argomento che rifletta lo scopo della raccolta di log per l'esportazione in Microsoft Sentinel.
• Aggiungere una sottoscrizione predefinita.
• Usare una chiave di crittografia gestita da Google per la crittografia.

Creare un sink di log

Usare il servizio Router di log di Google Cloud Platform per configurare la raccolta dei log di controllo.

Per raccogliere i log solo per le risorse nel progetto corrente:

1. Verificare che il progetto sia selezionato nel selettore di progetto.

2. Seguire le istruzioni nella documentazione di Google Cloud per configurare un sink per la raccolta dei log.

   • Scegliere un nome che rifletta lo scopo della raccolta di log per l'esportazione in Microsoft Sentinel.
   • Selezionare "Cloud Pub/Sub topic" come tipo di destinazione e scegliere l'argomento creato nel passaggio precedente.

Per raccogliere i log per le risorse nell'intera organizzazione:

1. Selezionare l'organizzazione nel selettore di progetto.

2. Seguire le istruzioni nella documentazione di Google Cloud per configurare un sink per la raccolta dei log.

   • Scegliere un nome che rifletta lo scopo della raccolta di log per l'esportazione in Microsoft Sentinel.
   • Selezionare "Cloud Pub/Sub topic" come tipo di destinazione e scegliere l'argomento predefinito "Use a Cloud Pub/Sub topic in a project".
   • Immettere la destinazione nel formato seguente: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. In Scegliere i log da includere nel sink selezionare Includi log inseriti dall'organizzazione e tutte le risorse figlio.

Verificare che GCP possa ricevere messaggi in arrivo

1. Nella console GCP Pub/Sub passare a Sottoscrizioni.

2. Selezionare Messaggi e selezionare PULL per avviare un pull manuale.

3. Controllare i messaggi in arrivo.

Configurare il connettore GCP Pub/Sub in Microsoft Sentinel

1. Aprire il portale di Azure e passare al servizio Microsoft Sentinel.

2. Nella barra di ricerca dell'hub contenuto digitare Log di controllo di Google Cloud Platform.

3. Installare la soluzione Log di controllo di Google Cloud Platform.

4. Selezionare Connettori dati e nella barra di ricerca digitare GCP Pub/Sub Audit Logs.

5. Selezionare il connettore GCP Pub/Sub Audit Logs (anteprima).

6. Nel riquadro dei dettagli selezionare Apri pagina del connettore.

7. Nell'area Configurazione selezionare Aggiungi nuovo agente di raccolta.

   

8. Nel Connessione un nuovo pannello dell'agente di raccolta digitare i parametri di risorsa creati al momento della creazione delle risorse GCP.

   

9. Assicurarsi che i valori in tutti i campi corrispondano alle rispettive controparti nel progetto GCP e selezionare Connessione.

Verificare che i dati GCP si trovano nell'ambiente di Microsoft Sentinel

1. Per assicurarsi che i log GCP siano stati inseriti correttamente in Microsoft Sentinel, eseguire la query seguente 30 minuti dopo aver completato la configurazione del connettore.

   GCPAuditLogs 
   | take 10 
   

2. Abilitare la funzionalità di integrità per i connettori dati.

Passaggi successivi

In questo articolo si è appreso come inserire dati GCP in Microsoft Sentinel usando i connettori GCP Pub/Sub. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
• Introduzione al rilevamento delle minacce con Microsoft Sentinel.
• Usare le cartelle di lavoro per monitorare i dati.