Pozyskiwanie danych dzienników platformy Google Cloud Platform do usługi Microsoft Sentinel

Organizacje coraz częściej przechodzą na architektury wielochmurowe, zarówno zgodnie z projektem, jak i ze względu na bieżące wymagania. Rosnąca liczba tych organizacji korzysta z aplikacji i przechowuje dane w wielu chmurach publicznych, w tym Google Cloud Platform (GCP).

W tym artykule opisano sposób pozyskiwania danych GCP do usługi Microsoft Sentinel w celu uzyskania pełnego pokrycia zabezpieczeń i analizowania i wykrywania ataków w środowisku wielochmurowym.

Za pomocą łącznika GCP Pub/Sub na podstawie naszej bezkodowej platformy Połączenie or (CCP) można pozyskiwać dzienniki ze środowiska GCP przy użyciu funkcji GCP Pub/Sub.

Ważne

Łącznik GCP Pub/Sub Audit Logs jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Dzienniki inspekcji chmury firmy Google rejestrują dziennik inspekcji, którego analitycy mogą używać do monitorowania dostępu i wykrywania potencjalnych zagrożeń w zasobach GCP.

Wymagania wstępne

Przed rozpoczęciem sprawdź, czy masz następujące elementy:

• Rozwiązanie Microsoft Sentinel jest włączone.
• Istnieje zdefiniowany obszar roboczy usługi Microsoft Sentinel.
• Środowisko GCP ( projekt) istnieje i zbiera dzienniki inspekcji GCP.
• Użytkownik platformy Azure ma rolę współautora usługi Microsoft Sentinel.
• Użytkownik GCP ma dostęp do edytowania i tworzenia zasobów w projekcie GCP.
• Interfejs API zarządzania tożsamościami IAM (GCP Identity and Access Management) i interfejs API usługi GCP Cloud Resource Manager są włączone.

Konfigurowanie środowiska GCP

Istnieją dwie rzeczy, które należy skonfigurować w środowisku GCP:

1. Skonfiguruj uwierzytelnianie usługi Microsoft Sentinel w GCP , tworząc następujące zasoby w usłudze GCP IAM:

   • Pula tożsamości obciążenia
   • Dostawca tożsamości obciążenia
   • Konto usługi
   • Role

2. Skonfiguruj zbieranie dzienników w GCP i pozyskiwanie do usługi Microsoft Sentinel , tworząc następujące zasoby w usłudze GCP Pub/Sub:

   • Temat
   • Subskrypcja tematu

Środowisko można skonfigurować na jeden z dwóch sposobów:

• Tworzenie zasobów GCP za pośrednictwem interfejsu API programu Terraform: program Terraform udostępnia interfejsy API do tworzenia zasobów oraz zarządzania tożsamościami i dostępem (zobacz Wymagania wstępne). Usługa Microsoft Sentinel udostępnia skrypty narzędzia Terraform, które wysyłają niezbędne polecenia do interfejsów API.
• Ręcznie skonfiguruj środowisko GCP, tworząc zasoby samodzielnie w konsoli GCP.

Konfiguracja uwierzytelniania GCP

Konfiguracja interfejsu API programu Terraform

1. Otwórz usługę GCP Cloud Shell.

2. Wybierz projekt, z którym chcesz pracować, wpisując następujące polecenie w edytorze:

   gcloud config set project {projectId}  
   

3. Skopiuj skrypt uwierzytelniania narzędzia Terraform dostarczony przez usługę Microsoft Sentinel z repozytorium GitHub usługi Sentinel do środowiska usługi GCP Cloud Shell.

   1. Otwórz plik skryptu Terraform GCPInitialAuthenticationSetup i skopiuj jego zawartość.

      Uwaga

      W przypadku pozyskiwania danych GCP do chmury platformy Azure Government użyj tego skryptu konfiguracji uwierzytelniania.

   2. Utwórz katalog w środowisku usługi Cloud Shell, wprowadź go i utwórz nowy pusty plik.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Otwórz initauth.tf w edytorze usługi Cloud Shell i wklej do niego zawartość pliku skryptu.

4. Zainicjuj narzędzie Terraform w utworzonym katalogu, wpisując następujące polecenie w terminalu:

   terraform init 
   

5. Po otrzymaniu komunikatu z potwierdzeniem, że program Terraform został zainicjowany, uruchom skrypt, wpisując następujące polecenie w terminalu:

   terraform apply 
   

6. Gdy skrypt wyświetli monit o podanie identyfikatora dzierżawy firmy Microsoft, skopiuj go i wklej do terminalu.

   Uwaga

   Identyfikator dzierżawy można znaleźć i skopiować na stronie łącznika Dzienniki inspekcji pub/podkontroli GCP w portalu usługi Microsoft Sentinel lub na ekranie ustawień portalu (dostępny w dowolnym miejscu w witrynie Azure Portal, wybierając ikonę koła zębatego w górnej części ekranu) w kolumnie Identyfikator katalogu.

7. Na pytanie, czy pula tożsamości obciążenia została już utworzona dla platformy Azure, odpowiedz tak lub nie odpowiednio.

8. Po wyświetleniu monitu o utworzenie zasobów wpisz tak.

Po wyświetleniu danych wyjściowych skryptu zapisz parametry zasobów do późniejszego użycia.

Konfiguracja ręczna

Utwórz i skonfiguruj następujące elementy w usłudze Google Cloud Platform Identity and Access Management (IAM).

Tworzenie roli niestandardowej

1. Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby utworzyć rolę. Zgodnie z tymi instrukcjami utwórz rolę niestandardową od podstaw.

2. Nadaj roli nazwę, aby była rozpoznawalna jako rola niestandardowa usługi Sentinel.

3. Wypełnij odpowiednie szczegóły i dodaj uprawnienia zgodnie z potrzebami:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Listę dostępnych uprawnień można filtrować według ról. Wybierz role Pub/Sub Subskrybent i Pub/Sub Viewer, aby filtrować listę.

Aby uzyskać więcej informacji na temat tworzenia ról na platformie Google Cloud Platform, zobacz Tworzenie ról niestandardowych i zarządzanie nimi w dokumentacji usługi Google Cloud.

Tworzenie konta usługowego

1. Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby utworzyć konto usługi.

2. Nazwij konto usługi, aby było rozpoznawalne jako konto usługi Sentinel.

3. Przypisz rolę utworzoną w poprzedniej sekcji do konta usługi.

Aby uzyskać więcej informacji na temat kont usług w usłudze Google Cloud Platform, zobacz Omówienie kont usług w dokumentacji usługi Google Cloud.

Tworzenie puli tożsamości obciążenia i dostawcy

1. Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby utworzyć pulę tożsamości obciążeń i dostawcę.

2. W polu Nazwa i identyfikator puli wprowadź identyfikator dzierżawy platformy Azure z usuniętymi kreskami.

   Uwaga

   Identyfikator dzierżawy można znaleźć i skopiować na ekranie Ustawień portalu w kolumnie Identyfikator katalogu. Ekran ustawień portalu jest dostępny w dowolnym miejscu w witrynie Azure Portal, wybierając ikonę koła zębatego w górnej części ekranu.

3. Dodaj dostawcę tożsamości do puli. Wybierz pozycję Otwórz identyfikator Połączenie (OIDC) jako typ dostawcy.

4. Nadaj nazwę dostawcy tożsamości, aby był rozpoznawalny w swoim celu.

5. Wprowadź następujące wartości w ustawieniach dostawcy (nie są to przykłady — użyj tych rzeczywistych wartości):

   • Wystawca (adres URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Odbiorcy: identyfikator URI identyfikatora aplikacji: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Mapowanie atrybutów: google.subject=assertion.sub

   Uwaga

   Aby skonfigurować łącznik do wysyłania dzienników z platformy GCP do chmury platformy Azure Government, użyj następujących alternatywnych wartości ustawień dostawcy zamiast tych wymienionych powyżej:

   • Wystawca (adres URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Odbiorcy: api://e9885b54-fac0-4cd6-959f-a72066026929

Aby uzyskać więcej informacji na temat federacji tożsamości obciążenia w usłudze Google Cloud Platform, zobacz Federacja tożsamości obciążeń w dokumentacji usługi Google Cloud.

Udzielanie puli tożsamości dostępu do konta usługi

1. Znajdź i wybierz utworzone wcześniej konto usługi.

2. Znajdź konfigurację uprawnień konta usługi.

3. Udziel dostępu do podmiotu zabezpieczeń reprezentującego pulę tożsamości obciążenia i dostawcę utworzonego w poprzednim kroku.

   • Użyj następującego formatu dla nazwy głównej:

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • Przypisz rolę Użytkownika tożsamości obciążenia i zapisz konfigurację.

Aby uzyskać więcej informacji na temat udzielania dostępu na platformie Google Cloud Platform, zobacz Zarządzanie dostępem do projektów, folderów i organizacji w dokumentacji usługi Google Cloud.

Konfiguracja dzienników inspekcji GCP

Konfiguracja interfejsu API programu Terraform

1. Skopiuj skrypt konfiguracji dziennika inspekcji programu Terraform dostarczony przez usługę Microsoft Sentinel z repozytorium GitHub usługi Sentinel do innego folderu w środowisku usługi GCP Cloud Shell.

   1. Otwórz plik skryptu Terraform GCPAuditLogsSetup i skopiuj jego zawartość.

      Uwaga

      W przypadku pozyskiwania danych GCP do chmury platformy Azure Government użyj tego skryptu konfiguracji dziennika inspekcji.

   2. Utwórz inny katalog w środowisku usługi Cloud Shell, wprowadź go i utwórz nowy pusty plik.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Otwórz auditlog.tf w edytorze usługi Cloud Shell i wklej do niego zawartość pliku skryptu.

2. Zainicjuj narzędzie Terraform w nowym katalogu, wpisując następujące polecenie w terminalu:

   terraform init 
   

3. Po otrzymaniu komunikatu z potwierdzeniem, że program Terraform został zainicjowany, uruchom skrypt, wpisując następujące polecenie w terminalu:

   terraform apply 
   

   Aby pozyskać dzienniki z całej organizacji przy użyciu pojedynczego pubu/podtypu, wpisz:

   terraform apply -var="organization-id= {organizationId} "
   

4. Po wyświetleniu monitu o utworzenie zasobów wpisz tak.

Po wyświetleniu danych wyjściowych skryptu zapisz parametry zasobów do późniejszego użycia.

Poczekaj pięć minut przed przejściem do następnego kroku.

Konfiguracja ręczna

Tworzenie tematu publikowania

Użyj usługi Google Cloud Platform Pub/Sub, aby skonfigurować eksportowanie dzienników inspekcji.

Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby utworzyć temat do publikowania dzienników.

• Wybierz identyfikator tematu, który odzwierciedla przeznaczenie zbierania dzienników na potrzeby eksportowania do usługi Microsoft Sentinel.
• Dodaj subskrypcję domyślną.
• Użyj klucza szyfrowania zarządzanego przez firmę Google do szyfrowania.

Tworzenie ujścia dziennika

Użyj usługi Router dziennika platformy Google Cloud Platform, aby skonfigurować zbieranie dzienników inspekcji.

Aby zebrać dzienniki dla zasobów tylko w bieżącym projekcie:

1. Sprawdź, czy projekt został wybrany w selektorze projektu.

2. Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby skonfigurować ujście na potrzeby zbierania dzienników.

   • Wybierz nazwę, która odzwierciedla przeznaczenie zbierania dzienników do eksportu do usługi Microsoft Sentinel.
   • Wybierz pozycję "Cloud Pub/Sub topic" jako typ docelowy, a następnie wybierz temat utworzony w poprzednim kroku.

Aby zebrać dzienniki zasobów w całej organizacji:

1. Wybierz organizację w selektorze projektu.

2. Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby skonfigurować ujście na potrzeby zbierania dzienników.

   • Wybierz nazwę, która odzwierciedla przeznaczenie zbierania dzienników do eksportu do usługi Microsoft Sentinel.
   • Wybierz pozycję "Cloud Pub/Sub topic" jako typ docelowy, a następnie wybierz domyślny "Użyj tematu Cloud Pub/Sub w projekcie".
   • Wprowadź miejsce docelowe w następującym formacie: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. W obszarze Wybierz dzienniki do uwzględnienia w ujściu wybierz pozycję Uwzględnij dzienniki pozyskane przez tę organizację i wszystkie zasoby podrzędne.

Sprawdź, czy usługa GCP może odbierać komunikaty przychodzące

1. W konsoli GCP Pub/Sub przejdź do pozycji Subskrypcje.

2. Wybierz pozycję Komunikaty i wybierz pozycję PULL , aby zainicjować ręczne ściąganie.

3. Sprawdź komunikaty przychodzące.

Konfigurowanie łącznika GCP Pub/Sub w usłudze Microsoft Sentinel

1. Otwórz witrynę Azure Portal i przejdź do usługi Microsoft Sentinel .

2. W centrum zawartości na pasku wyszukiwania wpisz Dzienniki inspekcji platformy Google Cloud Platform.

3. Zainstaluj rozwiązanie Google Cloud Platform Audit Logs.

4. Wybierz pozycję Łączniki danych, a na pasku wyszukiwania wpisz dzienniki inspekcji GCP Pub/Sub.

5. Wybierz łącznik GCP Pub/Sub Audit Logs (wersja zapoznawcza).

6. W okienku szczegółów wybierz pozycję Otwórz stronę łącznika.

7. W obszarze Konfiguracja wybierz pozycję Dodaj nowy moduł zbierający.

   

8. W Połączenie nowym panelu modułu zbierającego wpisz parametry zasobów utworzone podczas tworzenia zasobów GCP.

   

9. Upewnij się, że wartości we wszystkich polach są zgodne z ich odpowiednikami w projekcie GCP, a następnie wybierz pozycję Połączenie.

Sprawdź, czy dane GCP są w środowisku usługi Microsoft Sentinel

1. Aby upewnić się, że dzienniki GCP zostały pomyślnie pozyskane do usługi Microsoft Sentinel, uruchom następujące zapytanie 30 minut po zakończeniu, aby skonfigurować łącznik.

   GCPAuditLogs 
   | take 10 
   

2. Włącz funkcję kondycji łączników danych.

Następne kroki

W tym artykule przedstawiono sposób pozyskiwania danych GCP do usługi Microsoft Sentinel przy użyciu łączników GCP Pub/Sub. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
• Monitorowanie danych za pomocą skoroszytów .