Ingerir dados de log da Google Cloud Platform no Microsoft Sentinel

As organizações estão cada vez mais se movendo para arquiteturas multinuvem, seja por design ou devido a requisitos contínuos. Um número crescente dessas organizações utiliza aplicativos e armazena os dados em várias nuvens públicas, incluindo a Google Cloud Platform (GCP).

Este artigo descreve como ingerir dados do GCP no Microsoft Sentinel para obter a cobertura de segurança completa e analisar e detectar ataques no seu ambiente multinuvem.

Com os conectores Pub/Sub da GCP, baseado na nossa Plataforma de Conector sem Código (CCP), você pode ingerir os logs do seu ambiente GCP usando a funcionalidade Pub/Sub da GCP:

• O conector da GCP (Google Cloud Platform) Pub/Sub Audit Logs coleta trilhas de auditoria de acesso aos recursos da GCP. Os analistas podem monitorar esses logs para acompanhar as tentativas de acesso a recursos e detectar possíveis ameaças em todo o ambiente da GCP.

• O conector da Central de Comandos de Segurança da GCP (Google Cloud Platform) coleta descobertas do Google Security Command Center, uma plataforma robusta de gerenciamento de riscos e segurança para o Google Cloud. Os analistas podem ver essas descobertas para obter insights sobre a postura de segurança da organização, incluindo inventário e descoberta de ativos, detecções de vulnerabilidades e ameaças e mitigação e correção de riscos.

Pré-requisitos

Antes de começar, verifique se você atende aos seguintes critérios:

• A solução do Microsoft Sentinel está habilitada.
• Existe um workspace definido do Microsoft Sentinel.
• Existe um ambiente da GCP e contém recursos que produzem um dos seguintes tipos de log que você deseja ingerir:
  • Logs de auditoria do GCP
  • Descobertas do Google Security Command Center
• O usuário do Azure tem a função de Colaborador do Microsoft Sentinel.
• O usuário da GCP tem acesso para editar e criar recursos no projeto da GCP.
• A API de IAM (Gerenciamento de Identidades e Acesso) da GCP e a API Cloud Resource Manager da GCP estão habilitadas.

Configurar ambiente GCP

Há duas coisas que você precisa configurar em seu ambiente GCP:

1. Configurar a autenticação do Microsoft Sentinel na GCP criando os seguintes recursos no serviço de IAM da GCP:

   • Pool de identidades de carga de trabalho
   • Provedor de identidade da carga de trabalho
   • Conta de serviço
   • Função

2. Configurar a coleta de logs na GCP e a ingestão no Microsoft Sentinel criando os seguintes recursos no serviço Pub/Sub da GCP:

   • Tópico
   • Assinatura do tópico

Você pode configurar o ambiente de duas maneiras:

• Criar recursos da GCP por meio da API do Terraform: o Terraform fornece APIs para criação de recursos e para o Gerenciamento de Identidades e Acesso (consulte Pré-requisitos). O Microsoft Sentinel fornece scripts do Terraform que emitem os comandos necessários para as APIs.

• Configurar o ambiente GCP manualmente, criando os recursos por conta própria no console da GCP.

  Observação

  Não há nenhum script Terraform disponível para criar recursos de Pub/Sub da GCP para coleta de logs do Security Command Center. Você precisa criar esses recursos manualmente. Você ainda pode usar o script Terraform para criar os recursos de IAM da GCP para autenticação.

  Importante

  Se você estiver criando recursos manualmente, precisará criar todos os recursos de autenticação (IAM) no mesmo projeto da GCP, caso contrário, ele não funcionará. (Os recursos de Pub/Sub podem estar em um projeto diferente.)

Configuração da Autenticação da GCP

Configuração da API do Terraform

1. Abra o Cloud Shell do GCP.

2. Selecione o projeto com o qual você deseja trabalhar digitando o seguinte comando no editor:

   gcloud config set project {projectId}  
   

3. Copie o script de autenticação do Terraform fornecido pelo Microsoft Sentinel do repositório GitHub do Sentinel para o ambiente do Cloud Shell da GCP.

   1. Abra o arquivo GCPInitialAuthenticationSetup do Terraform e copie seu conteúdo.

      Observação

      Para ingerir dados da GCP em uma nuvem do Azure Governamental, use este script de configuração de autenticação.

   2. Crie um diretório em seu ambiente do Cloud Shell, insira-o e crie um novo arquivo em branco.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Abra initauth.tf no editor do Cloud Shell e cole o conteúdo do arquivo de script nele.

4. Inicialize o Terraform no diretório criado digitando o seguinte comando no terminal:

   terraform init 
   

5. Quando você receber a mensagem de confirmação que o Terraform foi inicializado, execute o script digitando o seguinte comando no terminal:

   terraform apply 
   

6. Quando o script solicitar sua ID do locatário da Microsoft, copie e cole-a no terminal.

   Observação

   Você pode encontrar e copiar sua ID de locatário na página do conector dos Logs de auditoria Pub/Sub da GCP no portal do Microsoft Sentinel ou na tela Configurações do portal (acessível em qualquer lugar no portal do Azure selecionando o ícone de engrenagem na parte superior da tela), na coluna ID do diretório.

7. Quando perguntado se um pool de identidades de carga de trabalho já foi criado para o Azure, responda sim ou não adequadamente.

8. Quando perguntado se você deseja criar os recursos listados, digite sim.

Quando a saída do script for exibida, salve os parâmetros dos recursos para uso posterior.

Configuração manual

Crie e configure os seguintes itens no serviço de IAM (Gerenciamento de Identidades e Acesso) da Google Cloud Platform.

Criar uma função personalizada

1. Siga as instruções na documentação do Google Cloud para criar uma função. De acordo com essas instruções, crie uma função personalizada do zero.

2. Nomeie a função para que ela seja reconhecível como uma função personalizada do Sentinel.

3. Preencha os detalhes relevantes e adicione permissões conforme necessário:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Você pode filtrar a lista de permissões disponíveis por funções. Selecione as funções Assinante Pub/Sub e Visualizador Pub/Sub para filtrar a lista.

Para obter mais informações sobre como criar funções na Google Cloud Platform, consulte Criar e gerenciar funções personalizadas na documentação do Google Cloud.

Criar uma conta de serviço

1. Siga as instruções na documentação do Google Cloud para criar uma conta de serviço.

2. Nomeie a conta de serviço para que ela seja reconhecível como uma conta de serviço do Sentinel.

3. Atribua a função criada na seção anterior à conta de serviço.

Para obter mais informações sobre contas de serviço na Google Cloud Platform, consulte Visão geral das contas de serviço na documentação do Google Cloud.

Criar o pool de identidades e provedores de carga de trabalho

1. Siga as instruções na documentação do Google Cloud para criar o pool de identidades e provedores de carga de trabalho.

2. Para o Nome e a ID do pool, insira sua ID de locatário do Azure, sem traços.

   Observação

   Você pode encontrar e copiar sua ID de locatário na tela de Configurações do portal, na coluna ID do diretório. A tela de configurações do portal pode ser acessada em qualquer lugar no portal do Azure selecionando o ícone de engrenagem na parte superior da tela.

3. Adicione um provedor de identidade ao pool. Escolha OIDC (Open ID Connect) como o tipo de provedor.

4. Nomeie o provedor de identidade para que ele seja reconhecível para sua finalidade.

5. Insira os seguintes valores nas configurações do provedor (não são exemplos; use esses valores reais):

   • Emissor (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Audiência: o URI da ID do aplicativo: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Mapeamento de atributo: google.subject=assertion.sub

   Observação

   Para configurar o conector para enviar logs da GCP para a nuvem do Azure Governamental, use os seguintes valores alternativos para as configurações do provedor em vez dos valores acima:

   • Emissor (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Audiência: api://e9885b54-fac0-4cd6-959f-a72066026929

Para obter mais informações sobre a federação de identidade de carga de trabalho na Google Cloud Platform, consulte Federação de identidade de carga de trabalho na documentação do Google Cloud.

Conceder ao pool de identidades acesso à conta de serviço

1. Localize e selecione a conta de serviço criada anteriormente.

2. Localize a configuração das permissões da conta de serviço.

3. Conceda acesso à entidade de segurança que representa o pool de identidades e provedores de carga de trabalho criados na etapa anterior.

   • Use o seguinte formato para o nome de entidade de segurança:

     principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
     

   • Atribua a função Usuário de identidade de carga de trabalho e salve a configuração.

Para obter mais informações sobre como conceder acesso na Google Cloud Platform, consulte Gerenciar o acesso a projetos, pastas e organizações na documentação do Google Cloud.

Configuração dos logs de auditoria da GCP

As instruções nesta seção são para usar o conector de Logs de Auditoria de Pub/Sub da GCP do Microsoft Sentinel.

Consulte as instruções na próxima seção para usar o conector do Security Command Center de Pub/Sub da GCP do Microsoft Sentinel.

Configuração da API do Terraform

1. Copie o script de instalação do log de auditoria do Terraform fornecido pelo Microsoft Sentinel do repositório GitHub do Sentinel em uma pasta diferente no ambiente do Cloud Shell da GCP.

   1. Abra o arquivo de script GCPAuditLogsSetup e copie seu conteúdo.

      Observação

      Para ingerir dados da GCP em uma nuvem do Azure Governamental, use este script de instalação do log de auditoria.

   2. Crie outro diretório em seu ambiente do Cloud Shell, insira-o e crie um novo arquivo em branco.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Abra auditlog.tf no editor do Cloud Shell e cole o conteúdo do arquivo de script nele.

2. Inicialize o Terraform no novo diretório digitando o seguinte comando no terminal:

   terraform init 
   

3. Quando você receber a mensagem de confirmação que o Terraform foi inicializado, execute o script digitando o seguinte comando no terminal:

   terraform apply 
   

   Para ingerir os logs de uma organização inteira usando um único Pub/Sub, digite:

   terraform apply -var="organization-id= {organizationId} "
   

4. Quando perguntado se você deseja criar os recursos listados, digite sim.

Quando a saída do script for exibida, salve os parâmetros dos recursos para uso posterior.

Aguarde cinco minutos antes de passar para a próxima etapa.

Configuração manual

Criar um tópico de publicação

Use o serviço Pub/Sub da Google Cloud Platform para configurar a exportação de logs de auditoria.

Siga as instruções na documentação do Google Cloud para criar um tópico no qual publicar logs.

• Escolha uma ID de tópico que reflita a finalidade da coleta de logs para exportação para o Microsoft Sentinel.
• Adicione uma assinatura padrão.
• Use uma chave de criptografia gerenciada pelo Google para criptografia.

Criar um coletor de log

Use o serviço de roteador de logs da Google Cloud Platform para configurar a coleta de logs de auditoria.

Para coletar logs para recursos somente no projeto atual:

1. Verifique se seu projeto está selecionado no seletor de projetos.

2. Siga as instruções na documentação do Google Cloud para configurar um coletor para coletar logs.

   • Escolha um nome que reflita a finalidade da coleta de dados para exportação para o Microsoft Sentinel.
   • Selecione “Tópico Cloud Pub/Sub” como o tipo de destino e escolha o tópico criado na etapa anterior.

Para coletar logs para recursos em toda a organização:

1. Selecione sua organização no seletor de projetos.

2. Siga as instruções na documentação do Google Cloud para configurar um coletor para coletar logs.

   • Escolha um nome que reflita a finalidade da coleta de dados para exportação para o Microsoft Sentinel.
   • Selecione “Tópico Cloud Pub/Sub” como o tipo de destino e escolha o padrão “Usar um tópico Cloud Pub/Sub em um projeto”.
   • Insira o destino no seguinte formato: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. Em Escolher logs para incluir no coletor, selecione Incluir os logs ingeridos por esta organização e todos os recursos filho.

Verifique se o GCP pode receber mensagens de entrada

1. No console Pub/Sub da GCP, navegue até Assinaturas.

2. Selecione Mensagens e, em seguida, selecione PULL para iniciar um pull manual.

3. Verifique as mensagens de entrada.

Se você também estiver configurando o conector do Security Command Center de Pub/Sub da GCP, continue com a próxima seção.

Caso contrário, vá direto para Configurar o conector Pub/Sub do GCP no Microsoft Sentinel.

Configuração do Security Command Center da GCP

As instruções nesta seção são para usar o conector do Security Command Center de Pub/Sub do GCP do Microsoft Sentinel.

Consulte as instruções na seção anterior para usar o conector de Logs de Auditoria de Pub/Sub da GCP do Microsoft Sentinel.

Configurar a exportação contínua de descobertas

Siga as instruções na documentação do Google Cloud para configurar as exportações de Pub/Sub de futuras descobertas de SCC para o serviço Pub/Sub da GCP.

1. Quando solicitado a selecionar um projeto para sua exportação, selecione um projeto criado para essa finalidade ou crie um projeto.

2. Quando solicitado a selecionar um tópico Pub/Sub onde você deseja exportar suas descobertas, siga as instruções acima para criar um tópico.

Configurar o conector Pub/Sub do GCP no Microsoft Sentinel

Logs de auditoria da GCP

1. Abra o portal do Azure, navegue até o serviço Microsoft Azure Sentinel.

2. No Hub de conteúdo, na barra de pesquisa, digite Logs de auditoria da Google Cloud Platform.

3. Instale a solução Logs de auditoria da Google Cloud Platform.

4. Selecione Conectores de dados e, na barra de pesquisa, digite Logs de Auditoria Pub/Sub do GCP.

5. Selecione o conector Registros de Auditoria do GCP Pub/Sub.

6. No painel de detalhes, selecione Abrir a página do conector.

7. Na área Configuração, selecione Adicionar novo coletor.

   

8. No painel Conectar um novo coletor, digite os parâmetros do recurso criado quando você criou os recursos da GCP.

   

9. Verifique se os valores em todos os campos correspondem aos respectivos equivalentes em seu projeto da GCP (os valores na captura de tela são exemplos, não literais) e selecione Conectar.

Google Security Command Center

1. Abra o portal do Azure, navegue até o serviço Microsoft Azure Sentinel.

2. No Hub de conteúdo, na barra de pesquisa, digite Google Security Command Center.

3. Instale a solução Google Security Command Center.

4. Selecione Conectores de dados e, na barra de pesquisa, digite Google Security Command Center.

5. Selecione o conector Google Security Command Center.

6. No painel de detalhes, selecione Abrir a página do conector.

7. Na área Configuração, selecione Adicionar novo coletor.

   

8. No painel Conectar um novo coletor, digite os parâmetros do recurso criado quando você criou os recursos da GCP.

   

9. Verifique se os valores em todos os campos correspondem aos respectivos equivalentes em seu projeto da GCP (os valores na captura de tela são exemplos, não literais) e selecione Conectar.

Verifique se os dados do GCP estão no ambiente do Microsoft Sentinel

1. Para garantir que os logs do GCP foram ingeridos com êxito no Microsoft Sentinel, execute a seguinte consulta 30 minutos depois de terminar para configurar o conector.

   Logs de auditoria da GCP

   GCPAuditLogs 
   | take 10 
   

   Google Security Command Center

   GoogleSCC 
   | take 10 
   

2. Habilitar o recurso de integridade para conectores de dados.

Próximas etapas

Neste artigo, você aprendeu a ingerir dados da GCP no Microsoft Sentinel usando os conectores Pub/Sub da GCP. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir:

• Saiba como obter visibilidade dos seus dados e possíveis ameaças.
  • Introdução à detecção de ameaças com o Microsoft Sentinel.
  • Use pastas de trabalho para monitorar seus dados.