Microsoft Sentinel에 Google Cloud Platform 로그 데이터 수집

조직에서는 디자인에 관계없이 지속적인 요구 사항으로 인해 다중 클라우드 아키텍처로 점점 더 이동하고 있습니다. 점점 더 많은 조직이 애플리케이션을 사용하고 GCP(Google Cloud Platform)를 비롯한 여러 퍼블릭 클라우드에 데이터를 저장합니다.

이 문서에서는 GCP 데이터를 Microsoft Sentinel에 수집하여 전체 보안 범위를 얻고 다중 클라우드 환경에서 공격을 분석하고 검색하는 방법을 설명합니다.

GCP Pub/Sub 커넥터를 사용하면 CcP(Codeless 커넥트or Platform)를 기반으로 GCP Pub/Sub 기능을 사용하여 GCP 환경에서 로그를 수집할 수 있습니다.

Important

GCP Pub/Sub Audit Logs 커넥터는 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

Google의 클라우드 감사 로그는 분석가가 GCP 리소스에서 액세스를 모니터링하고 잠재적 위협을 감지하는 데 사용할 수 있는 감사 내역을 기록합니다.

필수 조건

시작하기 전에 다음이 있는지 확인합니다.

• Microsoft Sentinel 솔루션을 사용할 수 있습니다.
• 정의된 Microsoft Sentinel 작업 영역이 있습니다.
• GCP 환경( 프로젝트)이 존재하며 GCP 감사 로그를 수집하고 있습니다.
• Azure 사용자에게는 Microsoft Sentinel 기여자 역할이 있습니다.
• GCP 사용자는 GCP 프로젝트에서 리소스를 편집하고 만들 수 있습니다.
• GCP IAM(ID 및 액세스 관리) API와 GCP Cloud Resource Manager API가 모두 사용하도록 설정됩니다.

GCP 환경 설정

GCP 환경에서 설정해야 하는 두 가지 사항이 있습니다.

1. GCP IAM 서비스에서 다음 리소스를 만들어 GCP 에서 Microsoft Sentinel 인증을 설정합니다.

   • 워크로드 ID 풀
   • 워크로드 ID 공급자
   • 서비스 계정
   • 역할

2. GCP Pub/Sub 서비스에서 다음 리소스를 만들어 GCP에서 로그 수집을 설정하고 Microsoft Sentinel 에 수집합니다.

   • 항목
   • 토픽에 대한 구독

다음 두 가지 방법 중 하나로 환경을 설정할 수 있습니다.

• Terraform API를 통해 GCP 리소스 만들기: Terraform은 리소스 만들기 및 ID 및 액세스 관리를 위한 API를 제공합니다(필수 구성 요소 참조). Microsoft Sentinel은 API에 필요한 명령을 발급하는 Terraform 스크립트를 제공합니다.
• GCP 환경을 수동으로 설정하고 GCP 콘솔에서 직접 리소스를 만듭니다.

GCP 인증 설정

Terraform API 설정

1. GCP Cloud Shell을 엽니다.

2. 편집기에서 다음 명령을 입력하여 작업할 프로젝트를 선택합니다.

   gcloud config set project {projectId}  
   

3. Microsoft Sentinel에서 제공하는 Terraform 인증 스크립트를 Sentinel GitHub 리포지토리에서 GCP Cloud Shell 환경으로 복사합니다.

   1. Terraform GCPInitialAuthenticationSetup 스크립트 파일을 열고 해당 내용을 복사합니다.

      참고 항목

      GCP 데이터를 Azure Government 클라우드로 수집하려면 이 인증 설정 스크립트를 대신 사용합니다.

   2. Cloud Shell 환경에서 디렉터리를 만들고, 입력하고, 새 빈 파일을 만듭니다.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Cloud Shell 편집기에서 initauth.tf 열고 스크립트 파일의 내용을 붙여넣습니다.

4. 터미널에서 다음 명령을 입력하여 만든 디렉터리에서 Terraform을 초기화합니다.

   terraform init 
   

5. Terraform이 초기화되었다는 확인 메시지가 표시되면 터미널에 다음 명령을 입력하여 스크립트를 실행합니다.

   terraform apply 
   

6. 스크립트에서 Microsoft 테넌트 ID를 묻는 메시지가 표시되면 복사하여 터미널에 붙여넣습니다.

   참고 항목

   Microsoft Sentinel 포털의 GCP Pub/Sub Audit Logs 커넥터 페이지 또는 포털 설정 화면(화면 맨 위에 있는 기어 아이콘을 선택하여 Azure Portal의 어디에서나 액세스할 수 있음) 디렉터리 ID 열에서 테넌트 ID 를 찾아 복사할 수 있습니다.

7. Azure에 대해 워크로드 ID 풀이 이미 만들어졌는지 묻는 메시지가 표시되면 이에 따라 예 또는 아니요로 대답합니다.

8. 나열된 리소스를 만들 것인지 묻는 메시지가 표시되면 예를 입력합니다.

스크립트의 출력이 표시되면 나중에 사용할 수 있는 리소스 매개 변수를 저장합니다.

수동 설정

Google Cloud Platform Identity and Access Management(IAM) 서비스에서 다음 항목을 만들고 구성합니다.

사용자 지정 역할 만들기

1. Google Cloud 설명서 의 지침에 따라 역할을 만듭니다. 이러한 지침에 따라 처음부터 사용자 지정 역할을 만듭니다.

2. 역할을 Sentinel 사용자 지정 역할로 인식할 수 있도록 이름을 지정합니다.

3. 관련 세부 정보를 입력하고 필요에 따라 권한을 추가합니다.

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   역할별로 사용 가능한 권한 목록을 필터링할 수 있습니다. 게시/하위 구독자 및 게시/하위 뷰어 역할을 선택하여 목록을 필터링합니다.

Google Cloud Platform에서 역할을 만드는 방법에 대한 자세한 내용은 Google Cloud 설명서에서 사용자 지정 역할 만들기 및 관리를 참조하세요.

서비스 계정 만들기

1. Google Cloud 설명서 의 지침에 따라 서비스 계정을 만듭니다.

2. 서비스 계정 이름을 Sentinel 서비스 계정으로 인식할 수 있도록 지정합니다.

3. 이전 섹션에서 만든 역할을 서비스 계정에 할당합니다.

Google Cloud Platform의 서비스 계정에 대한 자세한 내용은 Google Cloud 설명서의 서비스 계정 개요를 참조하세요.

워크로드 ID 풀 및 공급자 만들기

1. Google Cloud 설명서 의 지침에 따라 워크로드 ID 풀 및 공급자를 만듭니다.

2. 이름 및 풀 ID의 경우 대시가 제거된 Azure 테넌트 ID를 입력합니다.

   참고 항목

   포털 설정 화면의 디렉터리 ID 열에서 테넌트 ID를 찾아 복사할 수 있습니다. 포털 설정 화면은 화면 위쪽의 기어 아이콘을 선택하여 Azure Portal의 어디에서나 액세스할 수 있습니다.

3. 풀에 ID 공급자를 추가합니다. 공급자 유형으로 OIDC(Open ID 커넥트)를 선택합니다.

4. ID 공급자의 이름을 해당 용도로 인식할 수 있도록 지정합니다.

5. 공급자 설정에 다음 값을 입력합니다(샘플이 아닙니다. 실제 값 사용).

   • 발급자(URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • 대상 그룹: 애플리케이션 ID URI: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • 특성 매핑: google.subject=assertion.sub

   참고 항목

   GCP에서 Azure Government 클라우드로 로그를 보내도록 커넥터를 설정하려면 위의 값 대신 공급자 설정에 다음 대체 값을 사용합니다.

   • 발급자(URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • 대상 그룹: api://e9885b54-fac0-4cd6-959f-a72066026929

Google Cloud Platform의 워크로드 ID 페더레이션에 대한 자세한 내용은 Google Cloud 설명서의 워크로드 ID 페더레이션을 참조하세요.

서비스 계정에 대한 ID 풀 액세스 권한 부여

1. 이전에 만든 서비스 계정을 찾아 선택합니다.

2. 서비스 계정의 사용 권한 구성을 찾습니다.

3. 이전 단계에서 만든 워크로드 ID 풀 및 공급자를 나타내는 보안 주체에 대한 액세스 권한을 부여합니다.

   • 보안 주체 이름에 다음 형식을 사용합니다.

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • 워크로드 ID 사용자 역할을 할당하고 구성을 저장합니다.

Google Cloud Platform에서 액세스 권한을 부여하는 방법에 대한 자세한 내용은 Google Cloud 설명서의 프로젝트, 폴더 및 조직에 대한 액세스 관리를 참조하세요.

GCP 감사 로그 설정

Terraform API 설정

1. Microsoft Sentinel에서 제공하는 Terraform 감사 로그 설정 스크립트를 Sentinel GitHub 리포지토리에서 GCP Cloud Shell 환경의 다른 폴더로 복사합니다.

   1. Terraform GCPAuditLogsSetup 스크립트 파일을 열고 해당 내용을 복사합니다.

      참고 항목

      GCP 데이터를 Azure Government 클라우드로 수집하려면 이 감사 로그 설정 스크립트를 대신 사용합니다.

   2. Cloud Shell 환경에서 다른 디렉터리를 만들고, 입력하고, 새 빈 파일을 만듭니다.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Cloud Shell 편집기에서 auditlog.tf 열고 스크립트 파일의 내용을 붙여넣습니다.

2. 터미널에서 다음 명령을 입력하여 새 디렉터리에서 Terraform을 초기화합니다.

   terraform init 
   

3. Terraform이 초기화되었다는 확인 메시지가 표시되면 터미널에 다음 명령을 입력하여 스크립트를 실행합니다.

   terraform apply 
   

   단일 Pub/Sub를 사용하여 전체 조직에서 로그를 수집하려면 다음을 입력합니다.

   terraform apply -var="organization-id= {organizationId} "
   

4. 나열된 리소스를 만들 것인지 묻는 메시지가 표시되면 예를 입력합니다.

스크립트의 출력이 표시되면 나중에 사용할 수 있는 리소스 매개 변수를 저장합니다.

다음 단계로 이동하기 전에 5분 정도 기다립니다.

수동 설정

게시 항목 만들기

Google Cloud Platform Pub/Sub 서비스를 사용하여 감사 로그 내보내기를 설정합니다.

Google Cloud 설명서의 지침에 따라 로그를 게시하기 위한 항목을 만듭니다.

• Microsoft Sentinel로 내보내기 위한 로그 수집 용도를 반영하는 토픽 ID를 선택합니다.
• 기본 구독을 추가합니다.
• 암호화에 Google 관리형 암호화 키를 사용합니다.

로그 싱크 만들기

Google Cloud Platform Log Router 서비스를 사용하여 감사 로그 컬렉션을 설정합니다.

현재 프로젝트에서만 리소스에 대한 로그를 수집하려면 다음을 수행합니다.

1. 프로젝트 선택기에서 프로젝트가 선택되어 있는지 확인합니다.

2. Google Cloud 설명서의 지침에 따라 로그를 수집하기 위한 싱크 를 설정합니다.

   • Microsoft Sentinel로 내보내기 위해 로그 수집 용도를 반영하는 이름을 선택합니다.
   • 대상 유형으로 "Cloud Pub/Sub 토픽"을 선택하고 이전 단계에서 만든 항목을 선택합니다.

전체 조직 전체에서 리소스에 대한 로그를 수집하려면 다음을 수행합니다.

1. 프로젝트 선택기에서 조직을 선택합니다.

2. Google Cloud 설명서의 지침에 따라 로그를 수집하기 위한 싱크 를 설정합니다.

   • Microsoft Sentinel로 내보내기 위해 로그 수집 용도를 반영하는 이름을 선택합니다.
   • 대상 유형으로 "Cloud Pub/Sub 토픽"을 선택하고 기본 "프로젝트에서 Cloud Pub/Sub 토픽 사용"을 선택합니다.
   • 대상을 다음 형식 pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}으로 입력합니다.

3. 싱크에 포함할 로그 선택에서 이 조직에서 수집한 로그 포함 및 모든 자식 리소스를 선택합니다.

GCP가 들어오는 메시지를 받을 수 있는지 확인합니다.

1. GCP Pub/Sub 콘솔에서 구독으로 이동합니다.

2. 메시지를 선택하고 끌어오기를 선택하여 수동 끌어오기를 시작합니다.

3. 들어오는 메시지를 확인합니다.

Microsoft Sentinel에서 GCP Pub/Sub 커넥터 설정

1. Azure Portal을 열고, Microsoft Sentinel 서비스로 이동합니다.

2. 콘텐츠 허브의 검색 창에 Google Cloud Platform 감사 로그를 입력합니다.

3. Google Cloud Platform 감사 로그 솔루션을 설치합니다.

4. 데이터 커넥터를 선택하고 검색 창에 GCP Pub/Sub 감사 로그를 입력합니다.

5. GCP Pub /Sub Audit Logs(미리 보기) 커넥터를 선택합니다.

6. 세부 정보 창에서 커넥터 페이지 열기를 선택합니다.

7. 구성 영역에서 새 수집기 추가를 선택합니다.

   

8. 커넥트 새 수집기 패널에서 GCP 리소스를 만들 때 만든 리소스 매개 변수를 입력합니다.

   

9. 모든 필드의 값이 GCP 프로젝트의 해당 값과 일치하는지 확인하고 커넥트 선택합니다.

GCP 데이터가 Microsoft Sentinel 환경에 있는지 확인합니다.

1. GCP 로그가 Microsoft Sentinel에 성공적으로 수집되었는지 확인하려면 완료한 후 30분 후에 다음 쿼리를 실행하여 커넥터를 설정합니다.

   GCPAuditLogs 
   | take 10 
   

2. 데이터 커넥터에 대한 상태 기능을 사용하도록 설정합니다.

다음 단계

이 문서에서는 GCP Pub/Sub 커넥터를 사용하여 Microsoft Sentinel에 GCP 데이터를 수집하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.

• 데이터 및 잠재적 위협에 대한 가시성을 얻는 방법을 알아봅니다.
• Microsoft Sentinel을 사용하여 위협 탐지에서 시작합니다.
• 통합 문서를 사용하여 데이터를 모니터링합니다.