Google Cloud Platform のログ データを Microsoft Sentinel に取り込む

組織では、仕様か現在進行中の要件によるかに関係なく、マルチクラウド アーキテクチャへの移行が増加しています。 Google Cloud Platform (GCP) などの複数のパブリック クラウドで、アプリケーションを使用し、データを保存する組織が増え続けています。

この記事では、GCP データを Microsoft Sentinel に取り込み、マルチクラウド環境で、完全なセキュリティ カバレッジを確保し、攻撃を分析および検出する方法について説明します。

GCP Pub/Sub コネクタを使用すると、コードレス コネクタ フレームワーク (CCF) に基づいて、GCP Pub/Sub 機能を使用して GCP 環境からログを取り込むことができます。

• Google Cloud Platform (GCP) Pub/Sub 監査ログ コネクタは、GCP リソースへのアクセスの監査証跡を収集します。 アナリストは、これらのログを監視してリソース アクセスの試行を追跡し、GCP 環境における潜在的な脅威を検出できます。

• Google Cloud Platform (GCP) Security Command Center コネクタは、Google Cloud 用の堅牢なセキュリティおよびリスク管理プラットフォーム、Google Security Command Center から結果を収集します。 アナリストは、これらの結果を確認して、資産インベントリと検出、脆弱性と脅威の検出、リスクの軽減と修復など、組織のセキュリティ態勢に関する分析情報を得ることができます。

前提条件

開始する前に、以下があることを確認してください。

• Microsoft Sentinel ソリューションが有効になっている。
• 定義済みの Microsoft Sentinel ワークスペースが存在する。
• GCP 環境が存在し、取り込みたい次のいずれかのログの種類を生成するリソースが含まれる。
  • GCP 監査ログ
  • Google Security Command Center の結果
• Azure ユーザーが Microsoft Sentinel 共同作成者ロールを持っている。
• GCP ユーザーが、GCP プロジェクトでリソースを作成して編集するためのアクセス権を持っている。
• GCP Identity and Access Management (IAM) API と GCP Cloud Resource Manager API の両方が有効になっている。

GCP 環境の設定

GCP 環境で設定すべきことは 2 つあります。

1. GCP IAM サービスで以下のリソースを作成して、GCP での Microsoft Sentinel 認証を設定します。

   • ワークロード ID プール
   • ワークロード ID プロバイダー
   • サービス アカウント
   • ロール

2. GCP Pub/Sub サービスで次のリソースを作成して、GCP でログ収集を設定し、Microsoft Sentinel に取り込みます。

   • トピック
   • トピックのサブスクリプション

環境は、次の 2 つの方法のいずれかで設定できます。

• Terraform API を使用して GCP リソースを作成する: Terraform には、リソースの作成用の API と ID およびアクセス管理用の API が用意されています (前提条件を参照)。 Microsoft Sentinel には、API に必要なコマンドを発行する Terraform スクリプトが用意されています。

• GCP コンソールでリソースを自分で作成して、GCP 環境を手動で設定します。

  注

  Security Command Center からログ収集用 GCP Pub/Sub リソースを作成するために使用できる Terraform スクリプトはありません。 これらのリソースは手動で作成する必要があります。 認証用 GCP IAM リソースについては、引き続き Terraform スクリプトを使用して作成することができます。

  重要

  リソースを手動で作成する場合は、同じ GCP プロジェクト内に "すべての" 認証 (IAM) リソースを作成する必要があります。これを行わないと、動作しなくなります (Pub/Sub リソースは別のプロジェクトに含めることができます)。

GCP 認証のセットアップ

Terraform API でのセットアップ

1. GCP Cloud Shell を開きます。

2. エディターで次のコマンドを入力して、操作するプロジェクトを選択します。

   gcloud config set project {projectId}  
   

3. Microsoft Sentinel によって提供される Terraform 認証スクリプトを Sentinel GitHub リポジトリから GCP Cloud Shell 環境にコピーします。

   1. Terraform GCPInitialAuthenticationSetup スクリプトファイルを開き、その内容をコピーします。

      注

      GCP データを Azure Government クラウドに取り込むには、代わりにこの認証セットアップ スクリプトを使用します。

   2. Cloud Shell 環境でディレクトリを作成し、そこに移動して、新しい空のファイルを作成します。

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Cloud Shell エディターで initauth.tf を開き、スクリプト ファイルの内容を貼り付けます。

4. ターミナルに次のコマンドを入力して、作成したディレクトリで Terraform を初期化します。

   terraform init 
   

5. Terraform が初期化されたことを示す確認メッセージが表示されたら、ターミナルに次のコマンドを入力してスクリプトを実行します。

   terraform apply 
   

6. スクリプトで Microsoft テナント ID の入力を求められたら、それをコピーしてターミナルに貼り付けます。

   注

   テナント ID は、Microsoft Sentinel ポータルの GCP Pub/Sub Audit Logs コネクタ ページ、またはポータル設定画面 (Azure portal の任意の場所から画面の上部にある歯車アイコンを選択してアクセス可能) の [ディレクトリ ID] 列で見つけてコピーできます。

7. Workload Identity プールが Azure 用に既に作成されているかどうかを尋ねられたら、適宜「yes」または「no」と入力します。

8. 一覧表示されているリソースを作成するかどうかを尋ねられたら、「yes」と入力します。

スクリプトからの出力が表示されたら、後で使用するためにリソース パラメーターを保存します。

手動セットアップ

Google Cloud Platform Identity and Access Management (IAM) サービスで次の項目を作成して構成します。

カスタム ロールを作成する

1. Google Cloud のドキュメントの手順に従ってロールを作成します。 これらの手順に従って、最初からカスタム ロールを作成します。

2. Sentinel カスタム ロールとして認識できるようにロールに名前を付けます。

3. 関連する詳細を入力し、必要に応じてアクセス許可を追加します。

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   使用可能なアクセス許可の一覧をロール別にフィルター処理できます。 Pub/Sub サブスクライバーロールと Pub/Sub ビューアー ロールを選択して、一覧をフィルター処理します。

Google Cloud Platform でのロールの作成の詳細については、Google Cloud ドキュメントの「カスタム ロールの作成と管理」を参照してください。

サービス アカウントの作成

1. Google Cloud のドキュメントの指示に従って、サービス アカウントを作成します。

2. サービス アカウントに名前を付け、Sentinel サービス アカウントとして識別できるようにします。

3. 前のセクションで作成したロールをサービス アカウントに割り当てます。

Google Cloud Platform のサービス アカウントの詳細については、Google Cloud ドキュメントの「サービス アカウントの概要」を参照してください。

ワークロード ID プールとプロバイダーを作成する

1. Google Cloud のドキュメントの手順に従って、ワークロード ID プールとプロバイダーを作成します。

2. [名前] と [プール ID] には、ダッシュを削除した Azure テナント ID を入力します。

   注

   テナント ID は、ポータル設定画面の [ディレクトリ ID] 列で見つけてコピーできます。 ポータル設定画面には、Azure portal 内の任意の場所から画面上部にある歯車アイコンを選択してアクセスできます。

3. ID プロバイダーをプールに追加します。 プロバイダーの種類として [Open ID Connect (OIDC)] を選択します。

4. ID プロバイダーに名前を付けて、その目的で認識できるようにします。

5. プロバイダー設定に次の値を入力します (これらはサンプルではありません。これらの実値を使用してください)。

   • 発行者 (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • 対象ユーザー: アプリケーション ID URI: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • 属性マッピング: google.subject=assertion.sub

   注

   GCP から Azure Government クラウドにログを送信するようにコネクタを設定するには、上記の設定ではなく、次の代替値をプロバイダー設定に使用します。

   • 発行者 (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • 対象ユーザー: api://e9885b54-fac0-4cd6-959f-a72066026929

Google Cloud Platform でのワークロード ID フェデレーションの詳細については、Google Cloud ドキュメントの「ワークロード ID フェデレーション」を参照してください。

サービス アカウントへのアクセス権を ID プールに付与する

1. 先ほど作成したサービス アカウントを見つけて選択します。

2. サービス アカウントの アクセス許可 の構成を見つけます。

3. 前の手順で作成したワークロード ID プールとプロバイダーを表すプリンシパルへのアクセス権を付与します。

   • プリンシパル名には、次の形式を使用します。

     principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
     

   • ワークロード ID ユーザーロールを割り当てて、構成を保存します。

Google Cloud Platform でアクセス権を付与する方法の詳細については、Google Cloud ドキュメントの「プロジェクト、フォルダー、および組織へのアクセスを管理する」を参照してください。

GCP 監査ログのセットアップ

このセクションの手順では、Microsoft Sentinel GCP Pub/Sub 監査ログ コネクタを使用します。

Microsoft Sentinel GCP Pub/Sub Security Command Center コネクタを使用する場合は、次のセクションの手順を参照してください。

Terraform API でのセットアップ

1. Microsoft Sentinel によって提供される Terraform 監査ログ セットアップ スクリプトを Sentinel GitHub リポジトリから GCP Cloud Shell 環境内の別のフォルダーにコピーします。

   1. Terraform GCPAuditLogsSetup スクリプト ファイルを開き、その内容をコピーします。

      注

      GCP データを Azure Government クラウドに取り込むには、代わりにこの監査ログ セットアップ スクリプトを使用します。

   2. Cloud Shell 環境で別のディレクトリを作成し、そこに移動して、新しい空のファイルを作成します。

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Cloud Shell エディターで auditlog.tf を開 き、スクリプト ファイルの内容を貼り付けます。

2. ターミナルで次のコマンドを入力して、新しいディレクトリで Terraform を初期化します。

   terraform init 
   

3. Terraform が初期化されたことを示す確認メッセージが表示されたら、ターミナルに次のコマンドを入力してスクリプトを実行します。

   terraform apply 
   

   単一の Pub/Sub を使用して組織全体からログを取り込むには、次のように入力します。

   terraform apply -var="organization-id= {organizationId} "
   

4. 一覧表示されているリソースを作成するかどうかを尋ねられたら、「yes」と入力します。

スクリプトからの出力が表示されたら、後で使用するためにリソース パラメーターを保存します。

次の手順に進む前に、5 分ほど待機します。

手動セットアップ

発行トピックを作成する

Google Cloud Platform Pub/Sub サービスを使用して、監査ログのエクスポートを設定します。

Google Cloud ドキュメントの手順に従って、ログを発行するためのトピックを作成します。

• Microsoft Sentinel にエクスポートするログ収集の目的を反映するトピック ID を選択します。
• 既定のサブスクリプションを追加します。
• 暗号化には Google が管理する暗号化キーを使用します。

ログ シンクを作成する

Google Cloud Platform Log Router サービスを使用して、監査ログの収集を設定します。

現在のプロジェクト内のリソースのログのみを収集するには、次の手順を行います。

1. プロジェクト セレクターでプロジェクトが選択されていることを確認します。

2. Google Cloud ドキュメントの指示に従って、ログを収集するためのシンクを設定します。

   • Microsoft Sentinel にエクスポートするログ収集の目的を反映する名前を選択します。
   • 宛先の種類として [Cloud Pub/Sub トピック] を選択し、前の手順で作成したトピックを選択します。

組織全体のリソースのログを収集するには、次の手順を行います。

1. プロジェクト セレクターで組織 を選択します。

2. Google Cloud ドキュメントの指示に従って、ログを収集するためのシンクを設定します。

   • Microsoft Sentinel にエクスポートするログ収集の目的を反映する名前を選択します。
   • 宛先の種類として [Cloud Pub/Sub トピック] を選択し、既定の [Use a Cloud Pub/Sub topic in a project]\(プロジェクトで Cloud Pub/Sub トピックを使用する\) を選択します。
   • 宛先は、pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID} の形式で入力します。

3. [シンクに含めるログの選択] で、[この組織によって取り込まれたログとすべての子リソースを含める] を選択します。

GCP が受信メッセージを受信できることを確認する

1. GCP Pub/Sub コンソールで、[サブスクリプション] に移動します。

2. [メッセージ] を選択し、[Pull] を選択して手動のプルを開始します。

3. 受信メッセージを確認します。

GCP Pub/Sub Security Command Center コネクタも設定する場合は、次のセクションに進みます。

それ以外の場合は、「Microsoft Sentinel で GCP Pub/Sub コネクタを設定する」に進みます。

GCP Security Command Center の設定

このセクションの手順では、Microsoft Sentinel GCP Pub/Sub Security Command Center コネクタを使用します。

Microsoft Sentinel GCP Pub/Sub 監査ログ コネクタを使用する場合は、前のセクションの手順を参照してください。

結果の連続エクスポートを構成する

Google Cloud ドキュメントの手順に従って、GCP Pub/Sub サービスへの、今後の SCC 結果の Pub/Sub エクスポートを構成します。

1. エクスポート対象のプロジェクトを選択するように求められたら、この目的で作成したプロジェクトを選択するか、新しいプロジェクトを作成します。

2. 結果のエクスポート先 Pub/Sub トピックを選択するように求められたら、上記の手順に従って、新しいトピックを作成します。

Microsoft Sentinel で GCP Pub/Sub コネクタを設定する

GCP 監査ログ

1. Azure portal を開き、Microsoft Sentinel サービスに移動します。

2. [コンテンツ ハブ] で、検索バーに「Google Cloud Platform Audit Logs」と入力します。

3. Google Cloud Platform Audit Logs ソリューションをインストールします。

4. [データ コネクタ] を選択し、検索バーに「GCP Pub/Sub 監査ログ」と入力します。

5. GCP Pub/Sub 監査ログ コネクタを選択します。

6. 詳細ウィンドウで、[Open connector page](コネクタ ページを開く) を選択します。

7. [構成] 領域で、[新しいコレクターの追加] を選択します。

   

8. [新しいコレクターの接続] パネルで、GCP リソースの作成時に作成したリソース パラメーターを入力します。

   

9. すべてのフィールドの値が、GCP プロジェクトの対応するフィールドと一致していることを確認します (スクリーンショットの値はサンプルです。リテラルではありません)。その後、[接続] を選択します。

Google セキュリティ コマンド センター

1. Azure portal を開き、Microsoft Sentinel サービスに移動します。

2. [コンテンツ ハブ] で、検索バーに「Google Security Command Center」と入力します。

3. Google Security Command Center ソリューションをインストールします。

4. [データ コネクタ] を選択し、検索バーに「Google Security Command Center」と入力します。

5. Google Security Command Center コネクタを選択します。

6. 詳細ウィンドウで、[Open connector page](コネクタ ページを開く) を選択します。

7. [構成] 領域で、[新しいコレクターの追加] を選択します。

   

8. [新しいコレクターの接続] パネルで、GCP リソースの作成時に作成したリソース パラメーターを入力します。

   

9. すべてのフィールドの値が、GCP プロジェクトの対応するフィールドと一致していることを確認します (スクリーンショットの値はサンプルです。リテラルではありません)。その後、[接続] を選択します。

GCP データが Microsoft Sentinel 環境にあることを確認する

1. GCP ログが Microsoft Sentinel に正常に取り込まれたことを確認するには、コネクタの設定が完了してから 30 分後に次のクエリを実行します。

   GCP 監査ログ

   GCPAuditLogs 
   | take 10 
   

   Google セキュリティ コマンド センター

   GoogleSCC 
   | take 10 
   

2. データ コネクタの正常性機能を有効にします。

次のステップ

この記事では、GCP Pub/Sub コネクタを使用して、GCP データを Microsoft Sentinel に取り込む方法について説明しました。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。

• データと潜在的な脅威を可視化する方法についての説明。
  • Microsoft Sentinel を使用した脅威の検出の概要。
  • ブックを使用してデータを監視する。