Importowanie danych dzienników z Google Cloud Platform do Microsoft Sentinel

Organizacje coraz częściej przechodzą na architektury wielochmurowe, zarówno zgodnie z projektem, jak i ze względu na bieżące wymagania. Rosnąca liczba tych organizacji korzysta z aplikacji i przechowuje dane w wielu chmurach publicznych, w tym Google Cloud Platform (GCP).

W tym artykule opisano sposób pozyskiwania danych GCP do usługi Microsoft Sentinel w celu uzyskania pełnego pokrycia zabezpieczeń i analizowania i wykrywania ataków w środowisku wielochmurowym.

Za pomocą łączników GCP Pub/Sub opartych na naszej platformie CCF (Codeless Connector Framework) można pozyskiwać dzienniki ze środowiska GCP przy użyciu funkcji GCP Pub/Sub:

• Łącznik Dzienniki audytu Pub/Sub Google Cloud Platform (GCP) zbiera ścieżki audytu dostępu do zasobów GCP. Analitycy mogą monitorować te dzienniki, aby śledzić próby dostępu do zasobów i wykrywać potencjalne zagrożenia w środowisku GCP.

• Łącznik Google Cloud Platform (GCP) Security Command Center zbiera wyniki z usługi Google Security Command Center, niezawodnej platformy do zarządzania zabezpieczeniami i ryzykiem w usłudze Google Cloud. Analitycy mogą wyświetlać te wyniki, aby uzyskać wgląd w stan zabezpieczeń organizacji, w tym inwentaryzację i identyfikację zasobów, identyfikację luk w zabezpieczeniach i zagrożeń oraz złagodzenie i zarządzanie ryzykiem.

Wymagania wstępne

Przed rozpoczęciem sprawdź, czy masz następujące elementy:

• Rozwiązanie Microsoft Sentinel jest włączone.
• Istnieje zdefiniowany obszar roboczy usługi Microsoft Sentinel.
• Środowisko GCP istnieje i obsługuje zasoby produkujące jeden z wymienionych typów logów, które chcesz zaimportować.
  • Dzienniki inspekcji GCP
  • Wyniki usługi Google Security Command Center
• Użytkownik platformy Azure ma rolę współautora usługi Microsoft Sentinel.
• Użytkownik GCP ma dostęp do tworzenia i edytowania zasobów w projekcie GCP.
• Interfejs API GCP Identity and Access Management (IAM) i interfejs API GCP Cloud Resource Manager są włączone.

Konfigurowanie środowiska GCP

Istnieją dwie rzeczy, które należy skonfigurować w środowisku GCP:

1. Skonfiguruj uwierzytelnianie usługi Microsoft Sentinel w GCP , tworząc następujące zasoby w usłudze GCP IAM:

   • Pula tożsamości obciążenia
   • Dostawca tożsamości obciążenia roboczego
   • Konto usługi
   • Rola

2. Skonfiguruj zbieranie dzienników w GCP i wprowadzenie do Microsoft Sentinel, tworząc następujące zasoby w usłudze GCP Pub/Sub:

   • Temat
   • Subskrypcja tematu

Środowisko można skonfigurować na jeden z dwóch sposobów:

• Tworzenie zasobów GCP za pośrednictwem interfejsu API programu Terraform: program Terraform udostępnia interfejsy API do tworzenia zasobów oraz zarządzania tożsamościami i dostępem (zobacz Wymagania wstępne). Usługa Microsoft Sentinel udostępnia skrypty narzędzia Terraform, które wysyłają niezbędne polecenia do interfejsów API.

• Ręcznie skonfiguruj środowisko GCP, tworząc zasoby samodzielnie w konsoli GCP.

  Uwaga

  Brak dostępnego skryptu narzędzia Terraform do tworzenia zasobów GCP Pub/Sub na potrzeby zbierania dzienników z usługi Security Command Center. Te zasoby należy utworzyć ręcznie. Nadal możesz użyć skryptu narzędzia Terraform do utworzenia zasobów zarządzania dostępem i tożsamościami GCP na potrzeby uwierzytelniania.

  Ważne

  Jeśli tworzysz zasoby ręcznie, musisz utworzyć wszystkie zasoby uwierzytelniania (IAM) w tym samym projekcie GCP, w przeciwnym razie nie będzie działać. (Zasoby Pub/Sub mogą znajdować się w innym projekcie).

Konfiguracja uwierzytelniania GCP

Konfiguracja interfejsu API programu Terraform

1. Otwórz usługę GCP Cloud Shell.

2. Wybierz projekt, z którym chcesz pracować, wpisując następujące polecenie w edytorze:

   gcloud config set project {projectId}  
   

3. Skopiuj skrypt uwierzytelniania narzędzia Terraform dostarczony przez usługę Microsoft Sentinel z repozytorium GitHub usługi Sentinel do środowiska usługi GCP Cloud Shell.

   1. Otwórz plik skryptu Terraform GCPInitialAuthenticationSetup i skopiuj jego zawartość.

      Uwaga

      W celu pozyskiwania danych GCP do chmury platformy Azure Government, zamiast tego, użyj skryptu konfiguracji uwierzytelniania.

   2. Utwórz katalog w środowisku usługi Cloud Shell, wprowadź go i utwórz nowy pusty plik.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Otwórz initauth.tf w edytorze usługi Cloud Shell i wklej do niego zawartość pliku skryptu.

4. Zainicjuj narzędzie Terraform w utworzonym katalogu, wpisując następujące polecenie w terminalu:

   terraform init 
   

5. Po otrzymaniu komunikatu z potwierdzeniem, że program Terraform został zainicjowany, uruchom skrypt, wpisując następujące polecenie w terminalu:

   terraform apply 
   

6. Gdy skrypt wyświetli monit o podanie identyfikatora dzierżawy firmy Microsoft, skopiuj go i wklej do terminalu.

   Uwaga

   Identyfikator dzierżawcy można znaleźć i skopiować na stronie Łącznika Dzienniki audytu Pub/Sub GCP w portalu Microsoft Sentinel lub w ustawieniach portalu (dostępnych z dowolnego miejsca w portalu Azure, wybierając ikonę koła zębatego na górze ekranu) w kolumnie Identyfikator katalogu.

7. Na pytanie, czy pula tożsamości obciążenia została już utworzona dla platformy Azure, odpowiedz tak lub nie odpowiednio.

8. Gdy zostaniesz zapytany, czy chcesz utworzyć wymienione zasoby, wpisz tak.

Po wyświetleniu danych wyjściowych skryptu zapisz parametry zasobów do późniejszego użycia.

Konfiguracja ręczna

Utwórz i skonfiguruj następujące elementy w usłudze Google Cloud Platform Identity and Access Management (IAM).

Tworzenie roli niestandardowej

1. Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby utworzyć rolę. Zgodnie z tymi instrukcjami utwórz rolę niestandardową od podstaw.

2. Nadaj roli nazwę, aby była rozpoznawalna jako rola niestandardowa usługi Sentinel.

3. Wypełnij odpowiednie szczegóły i dodaj uprawnienia zgodnie z potrzebami:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Listę dostępnych uprawnień można filtrować według ról. Wybierz role Pub/Sub Subskrybent i Pub/Sub Viewer, aby przefiltrować listę.

Aby uzyskać więcej informacji na temat tworzenia ról na platformie Google Cloud Platform, zobacz Tworzenie ról niestandardowych i zarządzanie nimi w dokumentacji usługi Google Cloud.

Tworzenie konta usługowego

1. Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby utworzyć konto usługi.

2. Nazwij konto usługi, aby było rozpoznawalne jako konto usługi Sentinel.

3. Przypisz rolę utworzoną w poprzedniej sekcji do konta usługi.

Aby uzyskać więcej informacji na temat kont usług w usłudze Google Cloud Platform, zobacz Omówienie kont usług w dokumentacji usługi Google Cloud.

Tworzenie puli tożsamości obciążenia i dostawcy

1. Postępuj zgodnie z instrukcjami w dokumentacji Google Cloud, aby utworzyć pulę tożsamości roboczej i dostawcę.

2. W polu Nazwa i identyfikator puli wprowadź identyfikator dzierżawy platformy Azure z usuniętymi kreskami.

   Uwaga

   Identyfikator dzierżawy można znaleźć i skopiować na ekranie Ustawień portalu w kolumnie Identyfikator katalogu. Ekran ustawień portalu jest dostępny w dowolnym miejscu w witrynie Azure Portal, wybierając ikonę koła zębatego w górnej części ekranu.

3. Dodaj dostawcę tożsamości do puli. Wybierz pozycję Open ID Connect (OIDC) jako typ dostawcy.

4. Nadaj nazwę dostawcy tożsamości, aby łatwo rozpoznać jego przeznaczenie.

5. Wprowadź następujące wartości w ustawieniach dostawcy (nie są to przykłady — użyj tych rzeczywistych wartości):

   • Wystawca (adres URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Odbiorcy: URI identyfikatora aplikacji: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Mapowanie atrybutów: google.subject=assertion.sub

   Uwaga

   Aby skonfigurować łącznik do wysyłania dzienników z platformy GCP do chmury platformy Azure Government, użyj następujących alternatywnych wartości ustawień dostawcy zamiast tych wymienionych powyżej:

   • Wystawca (adres URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Odbiorcy: api://e9885b54-fac0-4cd6-959f-a72066026929

Aby uzyskać więcej informacji na temat federacji tożsamości obciążeń w Google Cloud Platform, zobacz Federacja tożsamości obciążeń w dokumentacji Google Cloud.

Udzielanie puli tożsamości dostępu do konta usługi

1. Znajdź i wybierz utworzone wcześniej konto usługi.

2. Znajdź konfigurację uprawnień konta usługi.

3. Udziel dostępu do podmiotu reprezentującego pulę tożsamości dla obciążeń i dostawcę utworzonego w poprzednim kroku.

   • Użyj następującego formatu dla nazwy głównej:

     principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
     

   • Przypisz rolę Workload Identity User i zapisz konfigurację.

Aby uzyskać więcej informacji na temat udzielania dostępu na platformie Google Cloud Platform, zobacz Zarządzanie dostępem do projektów, folderów i organizacji w dokumentacji usługi Google Cloud.

Konfiguracja dzienników inspekcji GCP

Instrukcje w tej sekcji dotyczą korzystania z łącznika usługi Microsoft Sentinel do dzienników inspekcji GCP Pub/Sub.

Zapoznaj się z instrukcjami w następnej sekcji, aby skorzystać z łącznika usługi Microsoft Sentinel GCP Pub/Sub Security Command Center.

Konfiguracja interfejsu API programu Terraform

1. Skopiuj skrypt konfiguracji dziennika inspekcji programu Terraform dostarczony przez usługę Microsoft Sentinel z repozytorium GitHub usługi Sentinel do innego folderu w środowisku usługi GCP Cloud Shell.

   1. Otwórz plik skryptu Terraform GCPAuditLogsSetup i skopiuj jego zawartość.

      Uwaga

      W przypadku pozyskiwania danych GCP do chmury Azure Government, zamiast tego użyj tego skryptu konfiguracji dziennika inspekcji.

   2. Utwórz inny katalog w środowisku usługi Cloud Shell, wprowadź go i utwórz nowy pusty plik.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Otwórz auditlog.tf w edytorze usługi Cloud Shell i wklej do niego zawartość pliku skryptu.

2. Zainicjuj narzędzie Terraform w nowym katalogu, wpisując następujące polecenie w terminalu:

   terraform init 
   

3. Po otrzymaniu komunikatu z potwierdzeniem, że program Terraform został zainicjowany, uruchom skrypt, wpisując następujące polecenie w terminalu:

   terraform apply 
   

   Aby przyjmować dzienniki z całej organizacji przy użyciu pojedynczego Pub/Sub, wpisz:

   terraform apply -var="organization-id= {organizationId} "
   

4. Gdy zostaniesz zapytany, czy chcesz utworzyć wymienione zasoby, wpisz tak.

Po wyświetleniu danych wyjściowych skryptu zapisz parametry zasobów do późniejszego użycia.

Poczekaj pięć minut przed przejściem do następnego kroku.

Konfiguracja ręczna

Tworzenie tematu publikowania

Użyj usługi Google Cloud Platform Pub/Sub, aby skonfigurować eksportowanie dzienników inspekcji.

Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby utworzyć temat do publikowania dzienników.

• Wybierz identyfikator tematu, który odzwierciedla przeznaczenie zbierania dzienników na potrzeby eksportowania do usługi Microsoft Sentinel.
• Dodaj subskrypcję domyślną.
• Użyj klucza szyfrowania zarządzanego przez firmę Google do szyfrowania.

Utwórz kolektor dziennika

Użyj usługi Log Router platformy Google Cloud, aby skonfigurować zbieranie dzienników inspekcji.

Aby zebrać logi dla zasobów tylko w bieżącym projekcie:

1. Sprawdź, czy projekt został wybrany w selektorze projektu.

2. Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby skonfigurować ujście na potrzeby zbierania dzienników.

   • Wybierz nazwę, która odzwierciedla przeznaczenie zbierania dzienników do eksportu do usługi Microsoft Sentinel.
   • Wybierz pozycję "Cloud Pub/Sub topic" jako typ docelowy, a następnie wybierz temat utworzony w poprzednim kroku.

Aby zebrać dzienniki zasobów w całej organizacji:

1. Wybierz organizację w selektorze projektu.

2. Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby skonfigurować ujście na potrzeby zbierania dzienników.

   • Wybierz nazwę, która odzwierciedla przeznaczenie zbierania dzienników do eksportu do usługi Microsoft Sentinel.
   • Wybierz pozycję "Cloud Pub/Sub topic" jako typ docelowy, a następnie wybierz domyślny "Użyj tematu Cloud Pub/Sub w projekcie".
   • Wprowadź miejsce docelowe w następującym formacie: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. W obszarze Wybierz dzienniki do uwzględnienia w ujściu wybierz pozycję Uwzględnij dzienniki pozyskane przez tę organizację i wszystkie podrzędne zasoby.

Sprawdź, czy usługa GCP może odbierać komunikaty przychodzące

1. W konsoli GCP Pub/Sub przejdź do pozycji Subskrypcje.

2. Wybierz pozycję Komunikaty i wybierz pozycję PULL , aby zainicjować ręczne ściąganie.

3. Sprawdź komunikaty przychodzące.

Jeśli również konfigurujesz łącznik GCP Pub/Sub Security Command Center, przejdź do następnej sekcji.

W przeciwnym razie przejdź do tematu Konfigurowanie łącznika GCP Pub/Sub w usłudze Microsoft Sentinel.

Konfiguracja usługi GCP Security Command Center

Instrukcje w tej sekcji dotyczą korzystania z łącznika GCP Pub/Sub Security Command Center usługi Microsoft Sentinel.

Zapoznaj się z instrukcjami w poprzedniej sekcji, aby użyć łącznika Dzienniki inspekcji GCP dla usługi Microsoft Sentinel.

Konfigurowanie ciągłego eksportu wyników

Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby skonfigurować eksport przyszłych wyników SCC do usługi GCP Pub/Sub przy użyciu Pub/Sub.

1. Po wyświetleniu monitu o wybranie projektu dla eksportu wybierz projekt utworzony w tym celu lub utwórz nowy projekt.

2. Po wyświetleniu monitu o wybranie tematu Pub/Sub, w którym chcesz wyeksportować wyniki, postępuj zgodnie z powyższymi instrukcjami, aby utworzyć nowy temat.

Konfigurowanie łącznika GCP Pub/Sub w usłudze Microsoft Sentinel

Dzienniki inspekcji GCP

1. Otwórz witrynę Azure Portal i przejdź do usługi Microsoft Sentinel .

2. W centrum zawartości na pasku wyszukiwania wpisz Dzienniki inspekcji platformy Google Cloud Platform.

3. Zainstaluj rozwiązanie Google Cloud Platform Audit Logs.

4. Wybierz Łączniki danych, a na pasku wyszukiwania wpisz dzienniki inspekcji GCP Pub/Sub.

5. Wybierz konektor GCP Pub/Sub Audit Logs.

6. W okienku szczegółów wybierz pozycję Otwórz stronę łącznika.

7. W obszarze Konfiguracja wybierz pozycję Dodaj nowy moduł zbierający.

   

8. W panelu Connect a new collector wpisz parametry zasobu, które utworzyłeś podczas tworzenia zasobów GCP.

   

9. Upewnij się, że wartości we wszystkich polach są zgodne z ich odpowiednikami w projekcie GCP (wartości na zrzucie ekranu to przykłady, a nie literały) i wybierz pozycję Połącz.

Google Security Command Center

1. Otwórz witrynę Azure Portal i przejdź do usługi Microsoft Sentinel .

2. W centrum zawartości na pasku wyszukiwania wpisz Google Security Command Center.

3. Zainstaluj rozwiązanie Google Security Command Center.

4. Wybierz pozycję Łączniki danych, a następnie na pasku wyszukiwania wpisz Google Security Command Center.

5. Wybierz łącznik Google Security Command Center.

6. W okienku szczegółów wybierz pozycję Otwórz stronę łącznika.

7. W obszarze Konfiguracja wybierz pozycję Dodaj nowy moduł zbierający.

   

8. W panelu Connect a new collector wpisz parametry zasobu, które utworzyłeś podczas tworzenia zasobów GCP.

   

9. Upewnij się, że wartości we wszystkich polach są zgodne z ich odpowiednikami w projekcie GCP (wartości na zrzucie ekranu to przykłady, a nie literały) i wybierz pozycję Połącz.

Sprawdź, czy dane GCP są w środowisku usługi Microsoft Sentinel

1. pl-PL: Aby upewnić się, że dzienniki GCP zostały pomyślnie pozyskane do usługi Microsoft Sentinel, uruchom następujące zapytanie 30 minut po zakończeniu konfiguracji łącznika.

   Dzienniki inspekcji GCP

   GCPAuditLogs 
   | take 10 
   

   Google Security Command Center

   GoogleSCC 
   | take 10 
   

2. Włącz funkcję monitorowania stanu łączników danych.

Następne kroki

W tym artykule przedstawiono sposób pozyskiwania danych GCP do usługi Microsoft Sentinel przy użyciu łączników GCP Pub/Sub. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
  • Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
  • Monitorowanie danych za pomocą skoroszytów .