Logboekgegevens van Google Cloud Platform opnemen in Microsoft Sentinel

Organisaties verplaatsen zich steeds vaker naar architecturen met meerdere clouds, hetzij per ontwerp of vanwege doorlopende vereisten. Een groeiend aantal van deze organisaties gebruikt toepassingen en slaat gegevens op in meerdere openbare clouds, waaronder het Google Cloud Platform (GCP).

In dit artikel wordt beschreven hoe u GCP-gegevens opneemt in Microsoft Sentinel om volledige beveiligingsdekking te krijgen en aanvallen in uw omgeving met meerdere clouds te analyseren en te detecteren.

Met de GCP Pub/Sub-connectors , op basis van ons CTP (Codeless Connector Platform), kunt u logboeken opnemen uit uw GCP-omgeving met behulp van de GCP Pub/Sub-mogelijkheid:

• De connector google cloudplatform (GCP) pub/sub auditlogboeken verzamelt audittrails voor toegang tot GCP-resources. Analisten kunnen deze logboeken bewaken om toegangspogingen voor resources bij te houden en potentiële bedreigingen in de GCP-omgeving te detecteren.

• De Google Cloud Platform (GCP) Security Command Center-connector verzamelt bevindingen van Google Security Command Center, een robuust platform voor beveiliging en risicobeheer voor Google Cloud. Analisten kunnen deze bevindingen bekijken om inzicht te krijgen in het beveiligingspostuur van de organisatie, waaronder assetinventaris en detectie, detectie van beveiligingsproblemen en bedreigingen, en risicobeperking en herstel.

Belangrijk

De GCP Pub/Sub-connectors zijn momenteel beschikbaar in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Vereisten

Controleer voordat u begint of u het volgende hebt:

• De Microsoft Sentinel-oplossing is ingeschakeld.
• Er bestaat een gedefinieerde Microsoft Sentinel-werkruimte.
• Er bestaat een GCP-omgeving en bevat resources die een van de volgende logboektypen produceren die u wilt opnemen:
  • GCP-auditlogboeken
  • Resultaten van Google Security Command Center
• Uw Azure-gebruiker heeft de rol Microsoft Sentinel-inzender.
• Uw GCP-gebruiker heeft toegang tot het maken en bewerken van resources in het GCP-project.
• De IAM-API (GCP Identity and Access Management) en de GCP Cloud Resource Manager-API zijn beide ingeschakeld.

GCP-omgeving instellen

Er zijn twee dingen die u moet instellen in uw GCP-omgeving:

1. Stel Microsoft Sentinel-verificatie in GCP in door de volgende resources te maken in de GCP IAM-service:

   • Pool van workloadidentiteit
   • Id-provider van workload
   • Serviceaccount
   • Role

2. Stel logboekverzameling in GCP en opname in Microsoft Sentinel in door de volgende resources te maken in de GCP Pub/Sub-service:

   • Onderwerp
   • Abonnement op het onderwerp

U kunt de omgeving op twee manieren instellen:

• GCP-resources maken via de Terraform-API: Terraform biedt API's voor het maken van resources en voor identiteits- en toegangsbeheer (zie vereisten). Microsoft Sentinel biedt Terraform-scripts die de benodigde opdrachten aan de API's uitgeven.

• Stel de GCP-omgeving handmatig in en maak zelf de resources in de GCP-console.

  Notitie

  Er is geen Terraform-script beschikbaar voor het maken van GCP Pub/Sub-resources voor logboekverzameling vanuit Security Command Center. U moet deze resources handmatig maken. U kunt het Terraform-script nog steeds gebruiken om de GCP IAM-resources voor verificatie te maken.

  Belangrijk

  Als u resources handmatig maakt, moet u alle verificatieresources (IAM) in hetzelfde GCP-project maken, anders werkt dit niet. (Pub-/subbronnen kunnen zich in een ander project bevinden.)

GCP-verificatie instellen

Terraform-API instellen

1. Open GCP Cloud Shell.

2. Selecteer het project waarmee u wilt werken door de volgende opdracht in de editor te typen:

   gcloud config set project {projectId}  
   

3. Kopieer het Terraform-verificatiescript van Microsoft Sentinel vanuit de Sentinel GitHub-opslagplaats naar uw GCP Cloud Shell-omgeving.

   1. Open het scriptbestand Terraform GCPInitialAuthenticationSetup en kopieer de inhoud ervan.

      Notitie

      Als u GCP-gegevens wilt opnemen in een Azure Government-cloud, gebruikt u in plaats daarvan dit installatiescript voor verificatie.

   2. Maak een map in uw Cloud Shell-omgeving, voer deze in en maak een nieuw leeg bestand.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Open initauth.tf in de Cloud Shell-editor en plak de inhoud van het scriptbestand erin.

4. Initialiseer Terraform in de map die u hebt gemaakt door de volgende opdracht in de terminal te typen:

   terraform init 
   

5. Wanneer u het bevestigingsbericht ontvangt dat Terraform is geïnitialiseerd, voert u het script uit door de volgende opdracht in de terminal te typen:

   terraform apply 
   

6. Wanneer het script om uw Microsoft-tenant-id wordt gevraagd, kopieert en plakt u het in de terminal.

   Notitie

   U kunt uw tenant-id vinden en kopiëren op de connectorpagina GCP Pub/Sub Audit Logs in de Microsoft Sentinel-portal of in het scherm Portal-instellingen (overal in Azure Portal toegankelijk door het tandwielpictogram boven aan het scherm) te selecteren in de kolom Directory-id .

7. Wanneer u wordt gevraagd of er al een identiteitsgroep voor werkbelasting is gemaakt voor Azure, antwoordt u ja of nee dienovereenkomstig.

8. Wanneer u wordt gevraagd of u de vermelde resources wilt maken, typt u ja.

Wanneer de uitvoer van het script wordt weergegeven, slaat u de resourcesparameters op voor later gebruik.

Handmatige installatie

Maak en configureer de volgende items in de IAM-service (Google Cloud Platform Identity and Access Management).

Een aangepaste rol maken

1. Volg de instructies in de Google Cloud-documentatie om een rol te maken. Maak volgens deze instructies een volledig nieuwe aangepaste rol.

2. Geef de rol een naam zodat deze herkenbaar is als een aangepaste Sentinel-rol.

3. Vul de relevante details in en voeg zo nodig machtigingen toe:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   U kunt de lijst met beschikbare machtigingen filteren op rollen. Selecteer de rollen Pub/Subabonnee en Pub/Subviewer om de lijst te filteren.

Zie Aangepaste rollen maken en beheren in de Google Cloud-documentatie voor meer informatie over het maken van rollen in Google Cloud Platform.

Een serviceaccount maken

1. Volg de instructies in de Google Cloud-documentatie om een serviceaccount te maken.

2. Geef het serviceaccount een naam zodat het kan worden herkend als een Sentinel-serviceaccount.

3. Wijs de rol toe die u in de vorige sectie hebt gemaakt aan het serviceaccount.

Zie het overzicht van serviceaccounts in de Google Cloud-documentatie voor meer informatie over serviceaccounts in Google Cloud Platform.

De workload-id-pool en -provider maken

1. Volg de instructies in de Google Cloud-documentatie om de pool en provider voor workloadidentiteit te maken.

2. Voer voor de naam en pool-id uw Azure-tenant-id in, waarbij de streepjes zijn verwijderd.

   Notitie

   U kunt uw tenant-id vinden en kopiëren in het scherm Portalinstellingen , in de kolom Directory-id . Het scherm met portalinstellingen is overal in Azure Portal toegankelijk door het tandwielpictogram boven aan het scherm te selecteren.

3. Voeg een id-provider toe aan de pool. Kies Open ID Connect (OIDC) als providertype.

4. Geef de id-provider een naam zodat deze herkenbaar is voor het doel ervan.

5. Voer de volgende waarden in de providerinstellingen in (dit zijn geen voorbeelden: gebruik deze werkelijke waarden):

   • Verlener (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Doelgroep: de URI voor de toepassings-id: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Kenmerktoewijzing: google.subject=assertion.sub

   Notitie

   Als u de connector wilt instellen voor het verzenden van logboeken van GCP naar de Azure Government-cloud, gebruikt u de volgende alternatieve waarden voor de providerinstellingen in plaats van de bovenstaande waarden:

   • Verlener (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Doelgroep: api://e9885b54-fac0-4cd6-959f-a72066026929

Zie de documentatie van Google Cloud Platform voor meer informatie over federatie van workloadidentiteiten in Google Cloud Platform.

De identiteitsgroep toegang verlenen tot het serviceaccount

1. Zoek en selecteer het serviceaccount dat u eerder hebt gemaakt.

2. Zoek de machtigingsconfiguratie van het serviceaccount.

3. Verdeel toegang tot de principal die de identiteitsgroep en provider van de workload vertegenwoordigt die u in de vorige stap hebt gemaakt.

   • Gebruik de volgende indeling voor de principal-naam:

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • Wijs de gebruikersrol workloadidentiteit toe en sla de configuratie op.

Zie De toegang tot projecten, mappen en organisaties beheren in de Google Cloud-documentatie voor meer informatie over het verlenen van toegang in Google Cloud Platform.

GCP-auditlogboeken instellen

De instructies in deze sectie zijn bedoeld voor het gebruik van de connector Microsoft Sentinel GCP Pub/Sub Audit Logs .

Zie de instructies in de volgende sectie voor het gebruik van de connector Microsoft Sentinel GCP Pub/Sub Security Command Center .

Terraform-API instellen

1. Kopieer het installatiescript voor terraform-auditlogboeken dat door Microsoft Sentinel is geleverd vanuit de Sentinel GitHub-opslagplaats naar een andere map in uw GCP Cloud Shell-omgeving.

   1. Open het Terraform GCPAuditLogsSetup-scriptbestand en kopieer de inhoud ervan.

      Notitie

      Als u GCP-gegevens wilt opnemen in een Azure Government-cloud, gebruikt u in plaats daarvan dit installatiescript voor auditlogboeken.

   2. Maak een andere map in uw Cloud Shell-omgeving, voer deze in en maak een nieuw leeg bestand.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Open auditlog.tf in de Cloud Shell-editor en plak de inhoud van het scriptbestand erin.

2. Initialiseer Terraform in de nieuwe map door de volgende opdracht in de terminal te typen:

   terraform init 
   

3. Wanneer u het bevestigingsbericht ontvangt dat Terraform is geïnitialiseerd, voert u het script uit door de volgende opdracht in de terminal te typen:

   terraform apply 
   

   Als u logboeken van een hele organisatie wilt opnemen met één pub/sub, typt u:

   terraform apply -var="organization-id= {organizationId} "
   

4. Wanneer u wordt gevraagd of u de vermelde resources wilt maken, typt u ja.

Wanneer de uitvoer van het script wordt weergegeven, slaat u de resourcesparameters op voor later gebruik.

Wacht vijf minuten voordat u naar de volgende stap gaat.

Handmatige installatie

Een publicatieonderwerp maken

Gebruik de Google Cloud Platform Pub/Sub-service om export van auditlogboeken in te stellen.

Volg de instructies in de Google Cloud-documentatie om een onderwerp te maken waarin logboeken kunnen worden gepubliceerd.

• Kies een onderwerp-id die het doel van het verzamelen van logboeken weerspiegelt voor export naar Microsoft Sentinel.
• Voeg een standaardabonnement toe.
• Gebruik een door Google beheerde versleutelingssleutel voor versleuteling.

Een logboeksink maken

Gebruik de Google Cloud Platform Log Router-service om een verzameling auditlogboeken in te stellen.

Alleen logboeken voor resources in het huidige project verzamelen:

1. Controleer of uw project is geselecteerd in de projectkiezer.

2. Volg de instructies in de Google Cloud-documentatie om een sink in te stellen voor het verzamelen van logboeken.

   • Kies een naam die overeenkomt met het doel van logboekverzameling voor export naar Microsoft Sentinel.
   • Selecteer Cloud Pub/Sub-onderwerp als doeltype en kies het onderwerp dat u in de vorige stap hebt gemaakt.

Logboeken verzamelen voor resources in de hele organisatie:

1. Selecteer uw organisatie in de projectkiezer.

2. Volg de instructies in de Google Cloud-documentatie om een sink in te stellen voor het verzamelen van logboeken.

   • Kies een naam die overeenkomt met het doel van logboekverzameling voor export naar Microsoft Sentinel.
   • Selecteer Cloud Pub/Sub-onderwerp als doeltype en kies het standaardonderwerp 'Een Cloud Pub/Sub-onderwerp gebruiken in een project'.
   • Voer de bestemming in de volgende indeling in: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. Selecteer onder Kies logboeken die u wilt opnemen in de sink de optie Logboeken opnemen die door deze organisatie en alle onderliggende resources zijn opgenomen.

Controleren of GCP binnenkomende berichten kan ontvangen

1. Navigeer in de GCP Pub/Sub-console naar Abonnementen.

2. Selecteer Berichten en selecteer PULL om een handmatige pull te starten.

3. Controleer de inkomende berichten.

Als u ook de connector GCP Pub/Sub Security Command Center instelt, gaat u verder met de volgende sectie.

Ga anders verder met het instellen van de GCP Pub/Sub-connector in Microsoft Sentinel.

GCP Security Command Center instellen

De instructies in deze sectie zijn bedoeld voor het gebruik van de connector Microsoft Sentinel GCP Pub/Sub Security Command Center .

Zie de instructies in de vorige sectie voor het gebruik van de connector Microsoft Sentinel GCP Pub/Sub Audit Logs .

Continue export van bevindingen configureren

Volg de instructies in de Google Cloud-documentatie voor het configureren van pub-/subexports van toekomstige SCC-bevindingen naar de GCP Pub/Sub-service.

1. Wanneer u wordt gevraagd om een project voor uw export te selecteren, selecteert u een project dat u voor dit doel hebt gemaakt of maakt u een nieuw project.

2. Wanneer u wordt gevraagd om een Pub/Sub-onderwerp te selecteren waarin u uw bevindingen wilt exporteren, volgt u de bovenstaande instructies om een nieuw onderwerp te maken.

De GCP Pub/Sub-connector instellen in Microsoft Sentinel

GCP-auditlogboeken

1. Open Azure Portal en navigeer naar de Microsoft Sentinel-service .

2. Typ in de inhoudshub in de zoekbalk auditlogboeken van Google Cloud Platform.

3. Installeer de oplossing Google Cloud Platform-auditlogboeken .

4. Selecteer Gegevensconnectors en typ in de zoekbalk GCP Pub/Sub AuditLogboeken.

5. Selecteer de connector GCP Pub/Sub Audit Logs (preview).

6. Selecteer in het detailvenster Connectorpagina openen.

7. Selecteer In het gebied Configuratie de optie Nieuwe collector toevoegen.

   

8. Typ in het deelvenster Verbinding maken met een nieuwe collector de resourceparameters die u hebt gemaakt toen u de GCP-resources maakte.

   

9. Zorg ervoor dat de waarden in alle velden overeenkomen met hun tegenhangers in uw GCP-project (de waarden in de schermopname zijn voorbeelden, niet letterlijke waarden) en selecteer Verbinding maken.

Google Security Command Center

1. Open Azure Portal en navigeer naar de Microsoft Sentinel-service .

2. Typ Google Security Command Center in de zoekbalk in de inhoudshub.

3. Installeer de Google Security Command Center-oplossing .

4. Selecteer Gegevensconnectors en typ in de zoekbalk Google Security Command Center.

5. Selecteer de Connector google Security Command Center (preview).

6. Selecteer in het detailvenster Connectorpagina openen.

7. Selecteer In het gebied Configuratie de optie Nieuwe collector toevoegen.

   

8. Typ in het deelvenster Verbinding maken met een nieuwe collector de resourceparameters die u hebt gemaakt toen u de GCP-resources maakte.

   

9. Zorg ervoor dat de waarden in alle velden overeenkomen met hun tegenhangers in uw GCP-project (de waarden in de schermopname zijn voorbeelden, niet letterlijke waarden) en selecteer Verbinding maken.

Controleer of de GCP-gegevens zich in de Microsoft Sentinel-omgeving bevinden

1. Voer de volgende query 30 minuten nadat u de connector hebt ingesteld, uit om ervoor te zorgen dat de GCP-logboeken zijn opgenomen in Microsoft Sentinel.

   GCP-auditlogboeken

   GCPAuditLogs 
   | take 10 
   

   Google Security Command Center

   GoogleSCC 
   | take 10 
   

2. Schakel de statusfunctie in voor gegevensconnectors.

Volgende stappen

In dit artikel hebt u geleerd hoe u GCP-gegevens opneemt in Microsoft Sentinel met behulp van de GCP Pub/Sub-connectors. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
• Werkmappen gebruiken om uw gegevens te bewaken.