Google Cloud Platform のログ データを Microsoft Sentinel に取り込む

組織では、仕様か現在進行中の要件によるかに関係なく、マルチクラウド アーキテクチャへの移行が増加しています。 Google Cloud Platform (GCP) などの複数のパブリック クラウドで、アプリケーションを使用し、データを保存する組織が増え続けています。

この記事では、GCP データを Microsoft Sentinel に取り込み、マルチクラウド環境で、完全なセキュリティ カバレッジを確保し、攻撃を分析および検出する方法について説明します。

コードレス コネクタ プラットフォーム (CCP) に基づいた GCP Pub/Sub コネクタによって、GCP Pub/Sub 機能を使用して GCP 環境からログを取り込むことができます。

重要

GCP Pub/Sub 監査ログ コネクタは現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

Google のクラウド監査ログには、アナリストがGCP リソース全体についてアクセスを監視し潜在的な脅威を検出するために使用できる監査証跡が記録されます。

前提条件

開始する前に、以下があることを確認してください。

• Microsoft Sentinel ソリューションが有効になっている。
• 定義済みの Microsoft Sentinel ワークスペースが存在する。
• GCP 環境 ( プロジェクト) が存在し、GCP 監査ログを収集している。
• Azure ユーザーが Microsoft Sentinel 共同作成者ロールを持っている。
• GCP ユーザーが、GCP プロジェクトでリソースを編集し、作成するためのアクセス権を持っている。
• GCP Identity and Access Management (IAM) API と GCP Cloud Resource Manager API の両方が有効になっている。

GCP 環境の設定

GCP 環境で設定すべきことは 2 つあります。

1. GCP IAM サービスで以下のリソースを作成して、GCP での Microsoft Sentinel 認証を設定します。

   • ワークロード ID プール
   • ワークロード ID プロバイダー
   • サービス アカウント
   • ロール

2. GCP Pub/Sub サービスで次のリソースを作成して、GCP でログ収集を設定し、Microsoft Sentinel に取り込みます。

   • トピック
   • トピックのサブスクリプション

環境は、次の 2 つの方法のいずれかで設定できます。

• Terraform API を使用して GCP リソースを作成する: Terraform には、リソースの作成用の API と ID およびアクセス管理用の API が用意されています (前提条件を参照)。 Microsoft Sentinel には、API に必要なコマンドを発行する Terraform スクリプトが用意されています。
• GCP コンソールでリソースを自分で作成して、GCP 環境を手動で設定します。

GCP 認証のセットアップ

Terraform API でのセットアップ

1. GCP Cloud Shell を開きます。

2. エディターで次のコマンドを入力して、操作するプロジェクトを選択します。

   gcloud config set project {projectId}  
   

3. Microsoft Sentinel によって提供される Terraform 認証スクリプトを Sentinel GitHub リポジトリから GCP Cloud Shell 環境にコピーします。

   1. Terraform GCPInitialAuthenticationSetup スクリプトファイルを開き、その内容をコピーします。

      Note

      GCP データを Azure Government クラウドに取り込むには、代わりにこの認証セットアップ スクリプトを使用します。

   2. Cloud Shell 環境でディレクトリを作成し、そこに移動して、新しい空のファイルを作成します。

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Cloud Shell エディターで initauth.tf を開き、スクリプト ファイルの内容を貼り付けます。

4. ターミナルに次のコマンドを入力して、作成したディレクトリで Terraform を初期化します。

   terraform init 
   

5. Terraform が初期化されたことを示す確認メッセージが表示されたら、ターミナルに次のコマンドを入力してスクリプトを実行します。

   terraform apply 
   

6. スクリプトで Microsoft テナント ID の入力を求められたら、それをコピーしてターミナルに貼り付けます。

   Note

   テナント ID は、Microsoft Sentinel ポータルの GCP Pub/Sub Audit Logs コネクタ ページ、またはポータル設定画面 (Azure portal の任意の場所から画面の上部にある歯車アイコンを選択してアクセス可能) の [ディレクトリ ID] 列で見つけてコピーできます。

7. Workload Identity プールが Azure 用に既に作成されているかどうかを尋ねられたら、適宜「yes」または「no」と入力します。

8. 一覧表示されているリソースを作成するかどうかを尋ねられたら、「yes」と入力します。

スクリプトからの出力が表示されたら、後で使用するためにリソース パラメーターを保存します。

手動セットアップ

Google Cloud Platform Identity and Access Management (IAM) サービスで次の項目を作成して構成します。

カスタム ロールを作成する

1. Google Cloud のドキュメントの手順に従ってロールを作成します。 これらの手順に従って、最初からカスタム ロールを作成します。

2. Sentinel カスタム ロールとして認識できるようにロールに名前を付けます。

3. 関連する詳細を入力し、必要に応じてアクセス許可を追加します。

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   使用可能なアクセス許可の一覧をロール別にフィルター処理できます。 Pub/Sub サブスクライバーロールと Pub/Sub ビューアー ロールを選択して、一覧をフィルター処理します。

Google Cloud Platform でのロールの作成の詳細については、Google Cloud ドキュメントの「カスタム ロールの作成と管理」を参照してください。

サービス アカウントの作成

1. Google Cloud のドキュメントの指示に従って、サービス アカウントを作成します。

2. サービス アカウントに名前を付け、Sentinel サービス アカウントとして識別できるようにします。

3. 前のセクションで作成したロールをサービス アカウントに割り当てます。

Google Cloud Platform のサービス アカウントの詳細については、Google Cloud ドキュメントの「サービス アカウントの概要」を参照してください。

ワークロード ID プールとプロバイダーを作成する

1. Google Cloud のドキュメントの手順に従って、ワークロード ID プールとプロバイダーを作成します。

2. [名前] と [プール ID] には、ダッシュを削除した Azure テナント ID を入力します。

   Note

   テナント ID は、ポータル設定画面の [ディレクトリ ID] 列で見つけてコピーできます。 ポータル設定画面には、Azure portal 内の任意の場所から画面上部にある歯車アイコンを選択してアクセスできます。

3. ID プロバイダーをプールに追加します。 プロバイダーの種類として [Open ID Connect (OIDC)] を選択します。

4. ID プロバイダーに名前を付けて、その目的で認識できるようにします。

5. プロバイダー設定に次の値を入力します (これらはサンプルではありません。これらの実値を使用してください)。

   • 発行者 (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • 対象ユーザー: アプリケーション ID URI: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • 属性マッピング: google.subject=assertion.sub

   Note

   GCP から Azure Government クラウドにログを送信するようにコネクタを設定するには、上記の設定ではなく、次の代替値をプロバイダー設定に使用します。

   • 発行者 (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • 対象ユーザー: api://e9885b54-fac0-4cd6-959f-a72066026929

Google Cloud Platform でのワークロード ID フェデレーションの詳細については、Google Cloud ドキュメントの「ワークロード ID フェデレーション」を参照してください。

サービス アカウントへのアクセス権を ID プールに付与する

1. 先ほど作成したサービス アカウントを見つけて選択します。

2. サービス アカウントの アクセス許可 の構成を見つけます。

3. 前の手順で作成したワークロード ID プールとプロバイダーを表すプリンシパルへのアクセス権を付与します。

   • プリンシパル名には、次の形式を使用します。

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • ワークロード ID ユーザーロールを割り当てて、構成を保存します。

Google Cloud Platform でアクセス権を付与する方法の詳細については、Google Cloud ドキュメントの「プロジェクト、フォルダー、および組織へのアクセスを管理する」を参照してください。

GCP 監査ログのセットアップ

Terraform API でのセットアップ

1. Microsoft Sentinel によって提供される Terraform 監査ログ セットアップ スクリプトを Sentinel GitHub リポジトリから GCP Cloud Shell 環境内の別のフォルダーにコピーします。

   1. Terraform GCPAuditLogsSetup スクリプト ファイルを開き、その内容をコピーします。

      Note

      GCP データを Azure Government クラウドに取り込むには、代わりにこの監査ログ セットアップ スクリプトを使用します。

   2. Cloud Shell 環境で別のディレクトリを作成し、そこに移動して、新しい空のファイルを作成します。

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Cloud Shell エディターで auditlog.tf を開 き、スクリプト ファイルの内容を貼り付けます。

2. ターミナルで次のコマンドを入力して、新しいディレクトリで Terraform を初期化します。

   terraform init 
   

3. Terraform が初期化されたことを示す確認メッセージが表示されたら、ターミナルに次のコマンドを入力してスクリプトを実行します。

   terraform apply 
   

   単一の Pub/Sub を使用して組織全体からログを取り込むには、次のように入力します。

   terraform apply -var="organization-id= {organizationId} "
   

4. 一覧表示されているリソースを作成するかどうかを尋ねられたら、「yes」と入力します。

スクリプトからの出力が表示されたら、後で使用するためにリソース パラメーターを保存します。

次の手順に進む前に、5 分ほど待機します。

手動セットアップ

発行トピックを作成する

Google Cloud Platform Pub/Sub サービスを使用して、監査ログのエクスポートを設定します。

Google Cloud ドキュメントの手順に従って、ログを発行するためのトピックを作成します。

• Microsoft Sentinel にエクスポートするログ収集の目的を反映するトピック ID を選択します。
• 既定のサブスクリプションを追加します。
• 暗号化には Google が管理する暗号化キーを使用します。

ログ シンクを作成する

Google Cloud Platform Log Router サービスを使用して、監査ログの収集を設定します。

現在のプロジェクト内のリソースのログのみを収集するには、次の手順を行います。

1. プロジェクト セレクターでプロジェクトが選択されていることを確認します。

2. Google Cloud ドキュメントの指示に従って、ログを収集するためのシンクを設定します。

   • Microsoft Sentinel にエクスポートするログ収集の目的を反映する名前を選択します。
   • 宛先の種類として [Cloud Pub/Sub トピック] を選択し、前の手順で作成したトピックを選択します。

組織全体のリソースのログを収集するには、次の手順を行います。

1. プロジェクト セレクターで組織 を選択します。

2. Google Cloud ドキュメントの指示に従って、ログを収集するためのシンクを設定します。

   • Microsoft Sentinel にエクスポートするログ収集の目的を反映する名前を選択します。
   • 宛先の種類として [Cloud Pub/Sub トピック] を選択し、既定の [Use a Cloud Pub/Sub topic in a project]\(プロジェクトで Cloud Pub/Sub トピックを使用する\) を選択します。
   • 宛先は、pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID} の形式で入力します。

3. [シンクに含めるログの選択] で、[この組織によって取り込まれたログとすべての子リソースを含める] を選択します。

GCP が受信メッセージを受信できることを確認する

1. GCP Pub/Sub コンソールで、[サブスクリプション] に移動します。

2. [メッセージ] を選択し、[Pull] を選択して手動のプルを開始します。

3. 受信メッセージを確認します。

Microsoft Sentinel で GCP Pub/Sub コネクタを設定する

1. Azure portal を開き、Microsoft Sentinel サービスに移動します。

2. [コンテンツ ハブ] で、検索バーに「Google Cloud Platform Audit Logs」と入力します。

3. Google Cloud Platform Audit Logs ソリューションをインストールします。

4. [データ コネクタ] を選択し、検索バーに「GCP Pub/Sub 監査ログ」と入力します。

5. GCP Pub/Sub 監査ログ (プレビュー) コネクタを選択します。

6. 詳細ウィンドウで、[Open connector page](コネクタ ページを開く) を選択します。

7. [構成] 領域で、[新しいコレクターの追加] を選択します。

   

8. [新しいコレクターの接続] パネルで、GCP リソースの作成時に作成したリソース パラメーターを入力します。

   

9. すべてのフィールドの値が GCP プロジェクトの対応するフィールドと一致していることを確認し、[接続] を選択します。

GCP データが Microsoft Sentinel 環境にあることを確認する

1. GCP ログが Microsoft Sentinel に正常に取り込まれたことを確認するには、コネクタの設定が完了してから 30 分後に次のクエリを実行します。

   GCPAuditLogs 
   | take 10 
   

2. データ コネクタの正常性機能を有効にします。

次のステップ

この記事では、GCP Pub/Sub コネクタを使用して、GCP データを Microsoft Sentinel に取り込む方法について説明しました。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。

• データと潜在的な脅威を可視化する方法についての説明。
• Microsoft Sentinel を使用した脅威の検出の概要。
• ブックを使用してデータを監視する。