Ingerir dados de log da Google Cloud Platform no Microsoft Sentinel

As organizações estão cada vez mais se movendo para arquiteturas multinuvem, seja por design ou devido a requisitos contínuos. Um número crescente dessas organizações utiliza aplicativos e armazena os dados em várias nuvens públicas, incluindo a Google Cloud Platform (GCP).

Este artigo descreve como ingerir dados do GCP no Microsoft Sentinel para obter a cobertura de segurança completa e analisar e detectar ataques no seu ambiente multinuvem.

Com o conector Pub/Sub da GCP, baseado na nossa Plataforma de Conector sem Código (CCP), você pode ingerir os logs do seu ambiente GCP usando a capacidade Pub/Sub da GCP.

Importante

O conector de Logs de Auditoria Pub/Sub do GCP está atualmente na VERSÃO PRELIMINAR. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Os logs de auditoria na nuvem do Google registram uma trilha de auditoria que os analistas podem usar para monitorar o acessar e detectar possíveis ameaças em todos os recursos da GCP.

Pré-requisitos

Antes de começar, verifique se você atende aos seguintes critérios:

• A solução do Microsoft Sentinel está habilitada.
• Existe um workspace definido do Microsoft Sentinel.
• Um ambiente GCP (um projeto) existe e está coletando logs de auditoria da GCP.
• O usuário do Azure tem a função de Colaborador do Microsoft Sentinel.
• O usuário da GCP tem acesso para editar e criar recursos no projeto da GCP.
• A API de IAM (Gerenciamento de Identidades e Acesso) da GCP e a API Cloud Resource Manager da GCP estão habilitadas.

Configurar ambiente GCP

Há duas coisas que você precisa configurar em seu ambiente GCP:

1. Configurar a autenticação do Microsoft Sentinel na GCP criando os seguintes recursos no serviço de IAM da GCP:

   • Pool de identidades de carga de trabalho
   • Provedor de identidade da carga de trabalho
   • Conta de serviço
   • Função

2. Configurar a coleta de logs na GCP e a ingestão no Microsoft Sentinel criando os seguintes recursos no serviço Pub/Sub da GCP:

   • Tópico
   • Assinatura do tópico

Você pode configurar o ambiente de duas maneiras:

• Criar recursos da GCP por meio da API do Terraform: o Terraform fornece APIs para criação de recursos e para o Gerenciamento de Identidades e Acesso (consulte Pré-requisitos). O Microsoft Sentinel fornece scripts do Terraform que emitem os comandos necessários para as APIs.
• Configurar o ambiente GCP manualmente, criando os recursos por conta própria no console da GCP.

Configuração da Autenticação da GCP

Configuração da API do Terraform

1. Abra o Cloud Shell do GCP.

2. Selecione o projeto com o qual você deseja trabalhar digitando o seguinte comando no editor:

   gcloud config set project {projectId}  
   

3. Copie o script de autenticação do Terraform fornecido pelo Microsoft Sentinel do repositório GitHub do Sentinel para o ambiente do Cloud Shell da GCP.

   1. Abra o arquivo GCPInitialAuthenticationSetup do Terraform e copie seu conteúdo.

      Observação

      Para ingerir dados da GCP em uma nuvem do Azure Governamental, use este script de configuração de autenticação.

   2. Crie um diretório em seu ambiente do Cloud Shell, insira-o e crie um novo arquivo em branco.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Abra initauth.tf no editor do Cloud Shell e cole o conteúdo do arquivo de script nele.

4. Inicialize o Terraform no diretório criado digitando o seguinte comando no terminal:

   terraform init 
   

5. Quando você receber a mensagem de confirmação que o Terraform foi inicializado, execute o script digitando o seguinte comando no terminal:

   terraform apply 
   

6. Quando o script solicitar sua ID do locatário da Microsoft, copie e cole-a no terminal.

   Observação

   Você pode encontrar e copiar sua ID de locatário na página do conector dos Logs de auditoria Pub/Sub da GCP no portal do Microsoft Sentinel ou na tela Configurações do portal (acessível em qualquer lugar no portal do Azure selecionando o ícone de engrenagem na parte superior da tela), na coluna ID do diretório.

7. Quando perguntado se um pool de identidades de carga de trabalho já foi criado para o Azure, responda sim ou não adequadamente.

8. Quando perguntado se você deseja criar os recursos listados, digite sim.

Quando a saída do script for exibida, salve os parâmetros dos recursos para uso posterior.

Configuração manual

Crie e configure os seguintes itens no serviço de IAM (Gerenciamento de Identidades e Acesso) da Google Cloud Platform.

Criar uma função personalizada

1. Siga as instruções na documentação do Google Cloud para criar uma função. De acordo com essas instruções, crie uma função personalizada do zero.

2. Nomeie a função para que ela seja reconhecível como uma função personalizada do Sentinel.

3. Preencha os detalhes relevantes e adicione permissões conforme necessário:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Você pode filtrar a lista de permissões disponíveis por funções. Selecione as funções Assinante Pub/Sub e Visualizador Pub/Sub para filtrar a lista.

Para obter mais informações sobre como criar funções na Google Cloud Platform, consulte Criar e gerenciar funções personalizadas na documentação do Google Cloud.

Criar uma conta de serviço

1. Siga as instruções na documentação do Google Cloud para criar uma conta de serviço.

2. Nomeie a conta de serviço para que ela seja reconhecível como uma conta de serviço do Sentinel.

3. Atribua a função criada na seção anterior à conta de serviço.

Para obter mais informações sobre contas de serviço na Google Cloud Platform, consulte Visão geral das contas de serviço na documentação do Google Cloud.

Criar o pool de identidades e provedores de carga de trabalho

1. Siga as instruções na documentação do Google Cloud para criar o pool de identidades e provedores de carga de trabalho.

2. Para o Nome e a ID do pool, insira sua ID de locatário do Azure, sem traços.

   Observação

   Você pode encontrar e copiar sua ID de locatário na tela de Configurações do portal, na coluna ID do diretório. A tela de configurações do portal pode ser acessada em qualquer lugar no portal do Azure selecionando o ícone de engrenagem na parte superior da tela.

3. Adicione um provedor de identidade ao pool. Escolha OIDC (Open ID Connect) como o tipo de provedor.

4. Nomeie o provedor de identidade para que ele seja reconhecível para sua finalidade.

5. Insira os seguintes valores nas configurações do provedor (não são exemplos; use esses valores reais):

   • Emissor (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Audiência: o URI da ID do aplicativo: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Mapeamento de atributo: google.subject=assertion.sub

   Observação

   Para configurar o conector para enviar logs da GCP para a nuvem do Azure Governamental, use os seguintes valores alternativos para as configurações do provedor em vez dos valores acima:

   • Emissor (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Audiência: api://e9885b54-fac0-4cd6-959f-a72066026929

Para obter mais informações sobre a federação de identidade de carga de trabalho na Google Cloud Platform, consulte Federação de identidade de carga de trabalho na documentação do Google Cloud.

Conceder ao pool de identidades acesso à conta de serviço

1. Localize e selecione a conta de serviço criada anteriormente.

2. Localize a configuração das permissões da conta de serviço.

3. Conceda acesso à entidade de segurança que representa o pool de identidades e provedores de carga de trabalho criados na etapa anterior.

   • Use o seguinte formato para o nome de entidade de segurança:

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • Atribua a função Usuário de identidade de carga de trabalho e salve a configuração.

Para obter mais informações sobre como conceder acesso na Google Cloud Platform, consulte Gerenciar o acesso a projetos, pastas e organizações na documentação do Google Cloud.

Configuração dos logs de auditoria da GCP

Configuração da API do Terraform

1. Copie o script de instalação do log de auditoria do Terraform fornecido pelo Microsoft Sentinel do repositório GitHub do Sentinel em uma pasta diferente no ambiente do Cloud Shell da GCP.

   1. Abra o arquivo de script GCPAuditLogsSetup e copie seu conteúdo.

      Observação

      Para ingerir dados da GCP em uma nuvem do Azure Governamental, use este script de instalação do log de auditoria.

   2. Crie outro diretório em seu ambiente do Cloud Shell, insira-o e crie um novo arquivo em branco.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Abra auditlog.tf no editor do Cloud Shell e cole o conteúdo do arquivo de script nele.

2. Inicialize o Terraform no novo diretório digitando o seguinte comando no terminal:

   terraform init 
   

3. Quando você receber a mensagem de confirmação que o Terraform foi inicializado, execute o script digitando o seguinte comando no terminal:

   terraform apply 
   

   Para ingerir os logs de uma organização inteira usando um único Pub/Sub, digite:

   terraform apply -var="organization-id= {organizationId} "
   

4. Quando perguntado se você deseja criar os recursos listados, digite sim.

Quando a saída do script for exibida, salve os parâmetros dos recursos para uso posterior.

Aguarde cinco minutos antes de passar para a próxima etapa.

Configuração manual

Criar um tópico de publicação

Use o serviço Pub/Sub da Google Cloud Platform para configurar a exportação de logs de auditoria.

Siga as instruções na documentação do Google Cloud para criar um tópico no qual publicar logs.

• Escolha uma ID de tópico que reflita a finalidade da coleta de logs para exportação para o Microsoft Sentinel.
• Adicione uma assinatura padrão.
• Use uma chave de criptografia gerenciada pelo Google para criptografia.

Criar um coletor de log

Use o serviço de roteador de logs da Google Cloud Platform para configurar a coleta de logs de auditoria.

Para coletar logs para recursos somente no projeto atual:

1. Verifique se seu projeto está selecionado no seletor de projetos.

2. Siga as instruções na documentação do Google Cloud para configurar um coletor para coletar logs.

   • Escolha um nome que reflita a finalidade da coleta de dados para exportação para o Microsoft Sentinel.
   • Selecione “Tópico Cloud Pub/Sub” como o tipo de destino e escolha o tópico criado na etapa anterior.

Para coletar logs para recursos em toda a organização:

1. Selecione sua organização no seletor de projetos.

2. Siga as instruções na documentação do Google Cloud para configurar um coletor para coletar logs.

   • Escolha um nome que reflita a finalidade da coleta de dados para exportação para o Microsoft Sentinel.
   • Selecione “Tópico Cloud Pub/Sub” como o tipo de destino e escolha o padrão “Usar um tópico Cloud Pub/Sub em um projeto”.
   • Insira o destino no seguinte formato: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. Em Escolher logs para incluir no coletor, selecione Incluir os logs ingeridos por esta organização e todos os recursos filho.

Verifique se o GCP pode receber mensagens de entrada

1. No console Pub/Sub da GCP, navegue até Assinaturas.

2. Selecione Mensagens e, em seguida, selecione PULL para iniciar um pull manual.

3. Verifique as mensagens de entrada.

Configurar o conector Pub/Sub do GCP no Microsoft Sentinel

1. Abra o portal do Azure, navegue até o serviço Microsoft Azure Sentinel.

2. No Hub de conteúdo, na barra de pesquisa, digite Logs de auditoria da Google Cloud Platform.

3. Instale a solução Logs de auditoria da Google Cloud Platform.

4. Selecione Conectores de dados e, na barra de pesquisa, digite Logs de Auditoria Pub/Sub do GCP.

5. Selecione o conector Logs de Auditoria Pub/Sub do GCP (Prévia).

6. No painel de detalhes, selecione Abrir a página do conector.

7. Na área Configuração, selecione Adicionar novo coletor.

   

8. No painel Conectar um novo coletor, digite os parâmetros do recurso criado quando você criou os recursos da GCP.

   

9. Certifique-se de que os valores em todos os campos correspondem aos seus equivalentes em seu projeto da GCP e selecione Conectar.

Verifique se os dados do GCP estão no ambiente do Microsoft Sentinel

1. Para garantir que os logs do GCP foram ingeridos com êxito no Microsoft Sentinel, execute a seguinte consulta 30 minutos depois de terminar para configurar o conector.

   GCPAuditLogs 
   | take 10 
   

2. Habilitar o recurso de integridade para conectores de dados.

Próximas etapas

Neste artigo, você aprendeu a ingerir dados da GCP no Microsoft Sentinel usando os conectores Pub/Sub da GCP. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir:

• Saiba como obter visibilidade dos seus dados e possíveis ameaças.
• Introdução à detecção de ameaças com o Microsoft Sentinel.
• Use pastas de trabalho para monitorar seus dados.