Pozyskiwanie danych dzienników platformy Google Cloud Platform do usługi Microsoft Sentinel

Organizacje coraz częściej przechodzą na architektury wielochmurowe, zarówno zgodnie z projektem, jak i ze względu na bieżące wymagania. Rosnąca liczba tych organizacji korzysta z aplikacji i przechowuje dane w wielu chmurach publicznych, w tym Google Cloud Platform (GCP).

W tym artykule opisano sposób pozyskiwania danych GCP do usługi Microsoft Sentinel w celu uzyskania pełnego pokrycia zabezpieczeń i analizowania i wykrywania ataków w środowisku wielochmurowym.

Dzięki łącznikom GCP Pub/Sub opartym na naszej platformie łączników bez kodu (KPS) można pozyskiwać dzienniki ze środowiska GCP przy użyciu funkcji GCP Pub/Sub:

• Łącznik Dzienniki inspekcji pub/podrzędnej platformy Google Cloud Platform (GCP) zbiera ślady inspekcji dostępu do zasobów GCP. Analitycy mogą monitorować te dzienniki, aby śledzić próby dostępu do zasobów i wykrywać potencjalne zagrożenia w środowisku GCP.

• Łącznik Google Cloud Platform (GCP) Security Command Center zbiera wyniki z usługi Google Security Command Center, niezawodnej platformy do zarządzania zabezpieczeniami i ryzykiem w usłudze Google Cloud. Analitycy mogą wyświetlać te wyniki, aby uzyskać wgląd w stan zabezpieczeń organizacji, w tym spis zasobów i odnajdywanie, wykrywanie luk w zabezpieczeniach i zagrożenia oraz środki zaradcze i korygowanie ryzyka.

Ważne

Łączniki GCP Pub/Sub są obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Wymagania wstępne

Przed rozpoczęciem sprawdź, czy masz następujące elementy:

• Rozwiązanie Microsoft Sentinel jest włączone.
• Istnieje zdefiniowany obszar roboczy usługi Microsoft Sentinel.
• Środowisko GCP istnieje i zawiera zasoby generujące jeden z następujących typów dziennika, który chcesz pozyskać:
  • Dzienniki inspekcji GCP
  • Wyniki usługi Google Security Command Center
• Użytkownik platformy Azure ma rolę współautora usługi Microsoft Sentinel.
• Użytkownik GCP ma dostęp do tworzenia i edytowania zasobów w projekcie GCP.
• Interfejs API zarządzania tożsamościami IAM (GCP Identity and Access Management) i interfejs API usługi GCP Cloud Resource Manager są włączone.

Konfigurowanie środowiska GCP

Istnieją dwie rzeczy, które należy skonfigurować w środowisku GCP:

1. Skonfiguruj uwierzytelnianie usługi Microsoft Sentinel w GCP , tworząc następujące zasoby w usłudze GCP IAM:

   • Pula tożsamości obciążenia
   • Dostawca tożsamości obciążenia
   • Konto usługi
   • Rola

2. Skonfiguruj zbieranie dzienników w GCP i pozyskiwanie do usługi Microsoft Sentinel , tworząc następujące zasoby w usłudze GCP Pub/Sub:

   • Temat
   • Subskrypcja tematu

Środowisko można skonfigurować na jeden z dwóch sposobów:

• Tworzenie zasobów GCP za pośrednictwem interfejsu API programu Terraform: program Terraform udostępnia interfejsy API do tworzenia zasobów oraz zarządzania tożsamościami i dostępem (zobacz Wymagania wstępne). Usługa Microsoft Sentinel udostępnia skrypty narzędzia Terraform, które wysyłają niezbędne polecenia do interfejsów API.

• Ręcznie skonfiguruj środowisko GCP, tworząc zasoby samodzielnie w konsoli GCP.

  Uwaga

  Brak dostępnego skryptu narzędzia Terraform do tworzenia zasobów GCP Pub/Sub na potrzeby zbierania dzienników z usługi Security Command Center. Te zasoby należy utworzyć ręcznie. Nadal możesz użyć skryptu narzędzia Terraform do utworzenia zasobów zarządzania dostępem i tożsamościami GCP na potrzeby uwierzytelniania.

  Ważne

  Jeśli tworzysz zasoby ręcznie, musisz utworzyć wszystkie zasoby uwierzytelniania (IAM) w tym samym projekcie GCP, w przeciwnym razie nie będzie działać. (Zasoby Pub/Sub mogą znajdować się w innym projekcie).

Konfiguracja uwierzytelniania GCP

Konfiguracja interfejsu API programu Terraform

1. Otwórz usługę GCP Cloud Shell.

2. Wybierz projekt, z którym chcesz pracować, wpisując następujące polecenie w edytorze:

   gcloud config set project {projectId}  
   

3. Skopiuj skrypt uwierzytelniania narzędzia Terraform dostarczony przez usługę Microsoft Sentinel z repozytorium GitHub usługi Sentinel do środowiska usługi GCP Cloud Shell.

   1. Otwórz plik skryptu Terraform GCPInitialAuthenticationSetup i skopiuj jego zawartość.

      Uwaga

      W przypadku pozyskiwania danych GCP do chmury platformy Azure Government użyj tego skryptu konfiguracji uwierzytelniania.

   2. Utwórz katalog w środowisku usługi Cloud Shell, wprowadź go i utwórz nowy pusty plik.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Otwórz initauth.tf w edytorze usługi Cloud Shell i wklej do niego zawartość pliku skryptu.

4. Zainicjuj narzędzie Terraform w utworzonym katalogu, wpisując następujące polecenie w terminalu:

   terraform init 
   

5. Po otrzymaniu komunikatu z potwierdzeniem, że program Terraform został zainicjowany, uruchom skrypt, wpisując następujące polecenie w terminalu:

   terraform apply 
   

6. Gdy skrypt wyświetli monit o podanie identyfikatora dzierżawy firmy Microsoft, skopiuj go i wklej do terminalu.

   Uwaga

   Identyfikator dzierżawy można znaleźć i skopiować na stronie łącznika Dzienniki inspekcji pub/podkontroli GCP w portalu usługi Microsoft Sentinel lub na ekranie ustawień portalu (dostępny w dowolnym miejscu w witrynie Azure Portal, wybierając ikonę koła zębatego w górnej części ekranu) w kolumnie Identyfikator katalogu.

7. Na pytanie, czy pula tożsamości obciążenia została już utworzona dla platformy Azure, odpowiedz tak lub nie odpowiednio.

8. Po wyświetleniu monitu o utworzenie zasobów wpisz tak.

Po wyświetleniu danych wyjściowych skryptu zapisz parametry zasobów do późniejszego użycia.

Konfiguracja ręczna

Utwórz i skonfiguruj następujące elementy w usłudze Google Cloud Platform Identity and Access Management (IAM).

Tworzenie roli niestandardowej

1. Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby utworzyć rolę. Zgodnie z tymi instrukcjami utwórz rolę niestandardową od podstaw.

2. Nadaj roli nazwę, aby była rozpoznawalna jako rola niestandardowa usługi Sentinel.

3. Wypełnij odpowiednie szczegóły i dodaj uprawnienia zgodnie z potrzebami:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Listę dostępnych uprawnień można filtrować według ról. Wybierz role Pub/Sub Subskrybent i Pub/Sub Viewer, aby filtrować listę.

Aby uzyskać więcej informacji na temat tworzenia ról na platformie Google Cloud Platform, zobacz Tworzenie ról niestandardowych i zarządzanie nimi w dokumentacji usługi Google Cloud.

Tworzenie konta usługowego

1. Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby utworzyć konto usługi.

2. Nazwij konto usługi, aby było rozpoznawalne jako konto usługi Sentinel.

3. Przypisz rolę utworzoną w poprzedniej sekcji do konta usługi.

Aby uzyskać więcej informacji na temat kont usług w usłudze Google Cloud Platform, zobacz Omówienie kont usług w dokumentacji usługi Google Cloud.

Tworzenie puli tożsamości obciążenia i dostawcy

1. Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby utworzyć pulę tożsamości obciążeń i dostawcę.

2. W polu Nazwa i identyfikator puli wprowadź identyfikator dzierżawy platformy Azure z usuniętymi kreskami.

   Uwaga

   Identyfikator dzierżawy można znaleźć i skopiować na ekranie Ustawień portalu w kolumnie Identyfikator katalogu. Ekran ustawień portalu jest dostępny w dowolnym miejscu w witrynie Azure Portal, wybierając ikonę koła zębatego w górnej części ekranu.

3. Dodaj dostawcę tożsamości do puli. Wybierz pozycję Open ID Connect (OIDC) jako typ dostawcy.

4. Nadaj nazwę dostawcy tożsamości, aby był rozpoznawalny w swoim celu.

5. Wprowadź następujące wartości w ustawieniach dostawcy (nie są to przykłady — użyj tych rzeczywistych wartości):

   • Wystawca (adres URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Odbiorcy: identyfikator URI identyfikatora aplikacji: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Mapowanie atrybutów: google.subject=assertion.sub

   Uwaga

   Aby skonfigurować łącznik do wysyłania dzienników z platformy GCP do chmury platformy Azure Government, użyj następujących alternatywnych wartości ustawień dostawcy zamiast tych wymienionych powyżej:

   • Wystawca (adres URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Odbiorcy: api://e9885b54-fac0-4cd6-959f-a72066026929

Aby uzyskać więcej informacji na temat federacji tożsamości obciążenia w usłudze Google Cloud Platform, zobacz Federacja tożsamości obciążeń w dokumentacji usługi Google Cloud.

Udzielanie puli tożsamości dostępu do konta usługi

1. Znajdź i wybierz utworzone wcześniej konto usługi.

2. Znajdź konfigurację uprawnień konta usługi.

3. Udziel dostępu do podmiotu zabezpieczeń reprezentującego pulę tożsamości obciążenia i dostawcę utworzonego w poprzednim kroku.

   • Użyj następującego formatu dla nazwy głównej:

     principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
     

   • Przypisz rolę Użytkownika tożsamości obciążenia i zapisz konfigurację.

Aby uzyskać więcej informacji na temat udzielania dostępu na platformie Google Cloud Platform, zobacz Zarządzanie dostępem do projektów, folderów i organizacji w dokumentacji usługi Google Cloud.

Konfiguracja dzienników inspekcji GCP

Instrukcje w tej sekcji dotyczą korzystania z łącznika Dzienniki inspekcji GCP GCP usługi Microsoft Sentinel.

Zapoznaj się z instrukcjami w następnej sekcji, aby użyć łącznika GCP GCP Pub/Sub Security Command Center usługi Microsoft Sentinel.

Konfiguracja interfejsu API programu Terraform

1. Skopiuj skrypt konfiguracji dziennika inspekcji programu Terraform dostarczony przez usługę Microsoft Sentinel z repozytorium GitHub usługi Sentinel do innego folderu w środowisku usługi GCP Cloud Shell.

   1. Otwórz plik skryptu Terraform GCPAuditLogsSetup i skopiuj jego zawartość.

      Uwaga

      W przypadku pozyskiwania danych GCP do chmury platformy Azure Government użyj tego skryptu konfiguracji dziennika inspekcji.

   2. Utwórz inny katalog w środowisku usługi Cloud Shell, wprowadź go i utwórz nowy pusty plik.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Otwórz auditlog.tf w edytorze usługi Cloud Shell i wklej do niego zawartość pliku skryptu.

2. Zainicjuj narzędzie Terraform w nowym katalogu, wpisując następujące polecenie w terminalu:

   terraform init 
   

3. Po otrzymaniu komunikatu z potwierdzeniem, że program Terraform został zainicjowany, uruchom skrypt, wpisując następujące polecenie w terminalu:

   terraform apply 
   

   Aby pozyskać dzienniki z całej organizacji przy użyciu pojedynczego pubu/podtypu, wpisz:

   terraform apply -var="organization-id= {organizationId} "
   

4. Po wyświetleniu monitu o utworzenie zasobów wpisz tak.

Po wyświetleniu danych wyjściowych skryptu zapisz parametry zasobów do późniejszego użycia.

Poczekaj pięć minut przed przejściem do następnego kroku.

Konfiguracja ręczna

Tworzenie tematu publikowania

Użyj usługi Google Cloud Platform Pub/Sub, aby skonfigurować eksportowanie dzienników inspekcji.

Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby utworzyć temat do publikowania dzienników.

• Wybierz identyfikator tematu, który odzwierciedla przeznaczenie zbierania dzienników na potrzeby eksportowania do usługi Microsoft Sentinel.
• Dodaj subskrypcję domyślną.
• Użyj klucza szyfrowania zarządzanego przez firmę Google do szyfrowania.

Tworzenie ujścia dziennika

Użyj usługi Router dziennika platformy Google Cloud Platform, aby skonfigurować zbieranie dzienników inspekcji.

Aby zebrać dzienniki dla zasobów tylko w bieżącym projekcie:

1. Sprawdź, czy projekt został wybrany w selektorze projektu.

2. Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby skonfigurować ujście na potrzeby zbierania dzienników.

   • Wybierz nazwę, która odzwierciedla przeznaczenie zbierania dzienników do eksportu do usługi Microsoft Sentinel.
   • Wybierz pozycję "Cloud Pub/Sub topic" jako typ docelowy, a następnie wybierz temat utworzony w poprzednim kroku.

Aby zebrać dzienniki zasobów w całej organizacji:

1. Wybierz organizację w selektorze projektu.

2. Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby skonfigurować ujście na potrzeby zbierania dzienników.

   • Wybierz nazwę, która odzwierciedla przeznaczenie zbierania dzienników do eksportu do usługi Microsoft Sentinel.
   • Wybierz pozycję "Cloud Pub/Sub topic" jako typ docelowy, a następnie wybierz domyślny "Użyj tematu Cloud Pub/Sub w projekcie".
   • Wprowadź miejsce docelowe w następującym formacie: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. W obszarze Wybierz dzienniki do uwzględnienia w ujściu wybierz pozycję Uwzględnij dzienniki pozyskane przez tę organizację i wszystkie zasoby podrzędne.

Sprawdź, czy usługa GCP może odbierać komunikaty przychodzące

1. W konsoli GCP Pub/Sub przejdź do pozycji Subskrypcje.

2. Wybierz pozycję Komunikaty i wybierz pozycję PULL , aby zainicjować ręczne ściąganie.

3. Sprawdź komunikaty przychodzące.

Jeśli konfigurujesz również łącznik GCP Pub/Sub Security Command Center , przejdź do następnej sekcji.

W przeciwnym razie przejdź do tematu Konfigurowanie łącznika GCP Pub/Sub w usłudze Microsoft Sentinel.

Konfiguracja usługi GCP Security Command Center

Instrukcje w tej sekcji dotyczą korzystania z łącznika GCP GCP Pub/Sub Security Command Center usługi Microsoft Sentinel.

Zapoznaj się z instrukcjami w poprzedniej sekcji, aby użyć łącznika Dzienniki inspekcji GCP GCP usługi Microsoft Sentinel.

Konfigurowanie ciągłego eksportu wyników

Postępuj zgodnie z instrukcjami w dokumentacji usługi Google Cloud, aby skonfigurować eksporty Pub/Sub przyszłych ustaleń SCC do usługi GCP Pub/Sub.

1. Po wyświetleniu monitu o wybranie projektu dla eksportu wybierz projekt utworzony w tym celu lub utwórz nowy projekt.

2. Po wyświetleniu monitu o wybranie tematu Pub/Sub, w którym chcesz wyeksportować wyniki, postępuj zgodnie z powyższymi instrukcjami, aby utworzyć nowy temat.

Konfigurowanie łącznika GCP Pub/Sub w usłudze Microsoft Sentinel

Dzienniki inspekcji GCP

1. Otwórz witrynę Azure Portal i przejdź do usługi Microsoft Sentinel .

2. W centrum zawartości na pasku wyszukiwania wpisz Dzienniki inspekcji platformy Google Cloud Platform.

3. Zainstaluj rozwiązanie Google Cloud Platform Audit Logs.

4. Wybierz pozycję Łączniki danych, a na pasku wyszukiwania wpisz dzienniki inspekcji GCP Pub/Sub.

5. Wybierz łącznik GCP Pub/Sub Audit Logs (wersja zapoznawcza).

6. W okienku szczegółów wybierz pozycję Otwórz stronę łącznika.

7. W obszarze Konfiguracja wybierz pozycję Dodaj nowy moduł zbierający.

   

8. W panelu Łączenie nowego modułu zbierającego wpisz parametry zasobu utworzone podczas tworzenia zasobów GCP.

   

9. Upewnij się, że wartości we wszystkich polach są zgodne z ich odpowiednikami w projekcie GCP (wartości na zrzucie ekranu to przykłady, a nie literały) i wybierz pozycję Połącz.

Google Security Command Center

1. Otwórz witrynę Azure Portal i przejdź do usługi Microsoft Sentinel .

2. W centrum zawartości na pasku wyszukiwania wpisz Google Security Command Center.

3. Zainstaluj rozwiązanie Google Security Command Center.

4. Wybierz pozycję Łączniki danych, a następnie na pasku wyszukiwania wpisz Google Security Command Center.

5. Wybierz łącznik Google Security Command Center (wersja zapoznawcza).

6. W okienku szczegółów wybierz pozycję Otwórz stronę łącznika.

7. W obszarze Konfiguracja wybierz pozycję Dodaj nowy moduł zbierający.

   

8. W panelu Łączenie nowego modułu zbierającego wpisz parametry zasobu utworzone podczas tworzenia zasobów GCP.

   

9. Upewnij się, że wartości we wszystkich polach są zgodne z ich odpowiednikami w projekcie GCP (wartości na zrzucie ekranu to przykłady, a nie literały) i wybierz pozycję Połącz.

Sprawdź, czy dane GCP są w środowisku usługi Microsoft Sentinel

1. Aby upewnić się, że dzienniki GCP zostały pomyślnie pozyskane do usługi Microsoft Sentinel, uruchom następujące zapytanie 30 minut po zakończeniu, aby skonfigurować łącznik.

   Dzienniki inspekcji GCP

   GCPAuditLogs 
   | take 10 
   

   Google Security Command Center

   GoogleSCC 
   | take 10 
   

2. Włącz funkcję kondycji łączników danych.

Następne kroki

W tym artykule przedstawiono sposób pozyskiwania danych GCP do usługi Microsoft Sentinel przy użyciu łączników GCP Pub/Sub. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
  • Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
  • Monitorowanie danych za pomocą skoroszytów .