Ingerir dados de login do Google Cloud Platform no Microsoft Sentinel

As organizações estão migrando cada vez mais para arquiteturas multicloud, seja por design ou devido a requisitos contínuos. Um número crescente dessas organizações usa aplicativos e armazena dados em várias nuvens públicas, incluindo o Google Cloud Platform (GCP).

Este artigo descreve como ingerir dados GCP no Microsoft Sentinel para obter cobertura de segurança total e analisar e detetar ataques em seu ambiente multicloud.

Com os conectores GCP Pub/Sub, com base em nossa Codeless Connector Platform (CCP), você pode ingerir logs do seu ambiente GCP usando o recurso GCP Pub/Sub:

• O conector Pub/Sub Audit Logs do Google Cloud Platform (GCP) coleta trilhas de auditoria de acesso aos recursos do GCP. Os analistas podem monitorar esses logs para rastrear tentativas de acesso a recursos e detetar ameaças potenciais em todo o ambiente GCP.

• O conector do Centro de Comando de Segurança do Google Cloud Platform (GCP) coleta descobertas do Google Security Command Center, uma plataforma robusta de segurança e gerenciamento de riscos para o Google Cloud. Os analistas podem visualizar essas descobertas para obter informações sobre a postura de segurança da organização, incluindo inventário e descoberta de ativos, deteções de vulnerabilidades e ameaças e mitigação e remediação de riscos.

Importante

Os conectores GCP Pub/Sub estão atualmente em visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Pré-requisitos

Antes de começar, verifique se você tem o seguinte:

• A solução Microsoft Sentinel está habilitada.
• Existe um espaço de trabalho definido do Microsoft Sentinel.
• Existe um ambiente GCP que contém recursos que produzem um dos seguintes tipos de log que você deseja ingerir:
  • Logs de auditoria do GCP
  • Descobertas do Centro de Comando de Segurança do Google
• Seu usuário do Azure tem a função de Colaborador do Microsoft Sentinel.
• Seu usuário GCP tem acesso para criar e editar recursos no projeto GCP.
• A API do GCP Identity and Access Management (IAM) e a API do GCP Cloud Resource Manager estão habilitadas.

Configurar o ambiente GCP

Há duas coisas que você precisa configurar em seu ambiente GCP:

1. Configure a autenticação do Microsoft Sentinel no GCP criando os seguintes recursos no serviço GCP IAM:

   • Pool de identidades de carga de trabalho
   • Provedor de identidade de carga de trabalho
   • Conta de serviço
   • Role

2. Configure a coleta de logs no GCP e a ingestão no Microsoft Sentinel criando os seguintes recursos no serviço GCP Pub/Sub:

   • Tópico
   • Subscrição do tópico

Você pode configurar o ambiente de duas maneiras:

• Crie recursos do GCP por meio da API do Terraform: o Terraform fornece APIs para a criação de recursos e para o Gerenciamento de Identidade e Acesso (consulte Pré-requisitos). O Microsoft Sentinel fornece scripts Terraform que emitem os comandos necessários para as APIs.

• Configure o ambiente GCP manualmente, criando os recursos você mesmo no console do GCP.

  Nota

  Não há nenhum script Terraform disponível para criar recursos GCP Pub/Sub para coleta de logs do Security Command Center. Você deve criar esses recursos manualmente. Você ainda pode usar o script Terraform para criar os recursos do GCP IAM para autenticação.

  Importante

  Se você estiver criando recursos manualmente, deverá criar todos os recursos de autenticação (IAM) no mesmo projeto GCP, caso contrário, ele não funcionará. (Os recursos Pub/Sub podem estar em um projeto diferente.)

Configuração de autenticação GCP

Configuração da API Terraform

1. Abra o GCP Cloud Shell.

2. Selecione o projeto com o qual deseja trabalhar, digitando o seguinte comando no editor:

   gcloud config set project {projectId}  
   

3. Copie o script de autenticação Terraform fornecido pelo Microsoft Sentinel do repositório GitHub do Sentinel para seu ambiente GCP Cloud Shell.

   1. Abra o arquivo de script Terraform GCPInitialAuthenticationSetup e copie seu conteúdo.

      Nota

      Para ingerir dados GCP em uma nuvem do Azure Government, use este script de configuração de autenticação.

   2. Crie um diretório em seu ambiente Cloud Shell, insira-o e crie um novo arquivo em branco.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Abra initauth.tf no editor do Cloud Shell e cole o conteúdo do arquivo de script nele.

4. Inicialize Terraform no diretório que você criou digitando o seguinte comando no terminal:

   terraform init 
   

5. Quando você receber a mensagem de confirmação de que o Terraform foi inicializado, execute o script digitando o seguinte comando no terminal:

   terraform apply 
   

6. Quando o script solicitar sua ID de locatário da Microsoft, copie-a e cole-a no terminal.

   Nota

   Você pode encontrar e copiar sua ID de locatário na página do conector GCP Pub/Sub Audit Logs no portal do Microsoft Sentinel ou na tela Configurações do Portal (acessível em qualquer lugar no portal do Azure selecionando o ícone de engrenagem na parte superior da tela), na coluna ID do Diretório.

7. Quando perguntado se um Pool de Identidades de carga de trabalho já foi criado para o Azure, responda sim ou não de acordo.

8. Quando perguntado se você deseja criar os recursos listados, digite yes.

Quando a saída do script for exibida, salve os parâmetros de recursos para uso posterior.

Configuração manual

Crie e configure os seguintes itens no serviço Google Cloud Platform Identity and Access Management (IAM).

Criar uma função personalizada

1. Siga as instruções na documentação do Google Cloud para criar uma função. De acordo com essas instruções, crie uma função personalizada do zero.

2. Nomeie a função para que ela seja reconhecível como uma função personalizada do Sentinel.

3. Preencha os detalhes relevantes e adicione permissões conforme necessário:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Você pode filtrar a lista de permissões disponíveis por funções. Selecione as funções Pub/Sub Subscriber e Pub/Sub Viewer para filtrar a lista.

Para obter mais informações sobre como criar funções no Google Cloud Platform, consulte Criar e gerenciar funções personalizadas na documentação do Google Cloud.

Criar uma conta de serviço

1. Siga as instruções na documentação do Google Cloud para criar uma conta de serviço.

2. Nomeie a conta de serviço para que ela seja reconhecível como uma conta de serviço do Sentinel.

3. Atribua a função criada na seção anterior à conta de serviço.

Para obter mais informações sobre contas de serviço no Google Cloud Platform, consulte Visão geral de contas de serviço na documentação do Google Cloud.

Criar o pool de identidades e o provedor da carga de trabalho

1. Siga as instruções na documentação do Google Cloud para criar o pool de identidades e o provedor da carga de trabalho.

2. Para o Nome e a ID do Pool, insira sua ID de Locatário do Azure, com os traços removidos.

   Nota

   Você pode encontrar e copiar sua ID de locatário na tela Configurações do portal, na coluna ID do diretório. A tela de configurações do portal pode ser acessada em qualquer lugar do portal do Azure selecionando o ícone de engrenagem na parte superior da tela.

3. Adicione um provedor de identidade ao pool. Escolha Open ID Connect (OIDC) como o tipo de provedor.

4. Nomeie o provedor de identidade para que ele seja reconhecível por sua finalidade.

5. Insira os seguintes valores nas configurações do provedor (esses não são exemplos — use esses valores reais):

   • Emissor (URL):https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Público-alvo: o URI do ID do aplicativo: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Mapeamento de atributos: google.subject=assertion.sub

   Nota

   Para configurar o conector para enviar logs do GCP para a nuvem do Azure Government, use os seguintes valores alternativos para as configurações do provedor em vez dos valores acima:

   • Emissor (URL):https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Público-alvo: api://e9885b54-fac0-4cd6-959f-a72066026929

Para obter mais informações sobre a federação de identidades de carga de trabalho no Google Cloud Platform, consulte Federação de identidades de carga de trabalho na documentação do Google Cloud.

Conceder acesso ao pool de identidades à conta de serviço

1. Localize e selecione a conta de serviço criada anteriormente.

2. Localize a configuração de permissões da conta de serviço.

3. Conceda acesso à entidade de segurança que representa o pool de identidades de carga de trabalho e o provedor que você criou na etapa anterior.

   • Use o seguinte formato para o nome principal:

     principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
     

   • Atribua a função Usuário de Identidade da Carga de Trabalho e salve a configuração.

Para obter mais informações sobre como conceder acesso no Google Cloud Platform, consulte Gerenciar acesso a projetos, pastas e organizações na documentação do Google Cloud.

Configuração de logs de auditoria do GCP

As instruções nesta seção são para usar o conector Microsoft Sentinel GCP Pub/Sub Audit Logs .

Consulte as instruções na próxima seção para usar o conector do Microsoft Sentinel GCP Pub/Sub Security Command Center .

Configuração da API Terraform

1. Copie o script de configuração do log de auditoria Terraform fornecido pelo Microsoft Sentinel do repositório GitHub do Sentinel para uma pasta diferente em seu ambiente GCP Cloud Shell.

   1. Abra o arquivo de script Terraform GCPAuditLogsSetup e copie seu conteúdo.

      Nota

      Para ingerir dados do GCP em uma nuvem do Azure Government, use este script de configuração do log de auditoria.

   2. Crie outro diretório em seu ambiente Cloud Shell, insira-o e crie um novo arquivo em branco.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Abra auditlog.tf no editor do Cloud Shell e cole o conteúdo do arquivo de script nele.

2. Inicialize Terraform no novo diretório digitando o seguinte comando no terminal:

   terraform init 
   

3. Quando você receber a mensagem de confirmação de que o Terraform foi inicializado, execute o script digitando o seguinte comando no terminal:

   terraform apply 
   

   Para ingerir logs de uma organização inteira usando um único Pub/Sub, digite:

   terraform apply -var="organization-id= {organizationId} "
   

4. Quando perguntado se você deseja criar os recursos listados, digite yes.

Quando a saída do script for exibida, salve os parâmetros de recursos para uso posterior.

Aguarde cinco minutos antes de passar para a próxima etapa.

Configuração manual

Criar um tópico de publicação

Use o serviço Pub/Sub do Google Cloud Platform para configurar a exportação de logs de auditoria.

Siga as instruções na documentação do Google Cloud para criar um tópico para publicar logs.

• Escolha uma ID de tópico que reflita a finalidade da coleta de logs para exportação para o Microsoft Sentinel.
• Adicione uma assinatura padrão.
• Use uma chave de criptografia gerenciada pelo Google para criptografia.

Criar um coletor de log

Use o serviço Google Cloud Platform Log Router para configurar a coleção de logs de auditoria.

Para coletar logs para recursos somente no projeto atual:

1. Verifique se o seu projeto está selecionado no seletor de projetos.

2. Siga as instruções na documentação do Google Cloud para configurar um coletor para coletar logs.

   • Escolha um Nome que reflita a finalidade da coleta de logs para exportação para o Microsoft Sentinel.
   • Selecione "Cloud Pub/Sub topic" como o tipo de destino e escolha o tópico que você criou na etapa anterior.

Para coletar logs para recursos em toda a organização:

1. Selecione sua organização no seletor de projetos.

2. Siga as instruções na documentação do Google Cloud para configurar um coletor para coletar logs.

   • Escolha um Nome que reflita a finalidade da coleta de logs para exportação para o Microsoft Sentinel.
   • Selecione "Cloud Pub/Sub topic" como o tipo de destino e escolha o padrão "Use a Cloud Pub/Sub topic in a project".
   • Insira o destino no seguinte formato: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. Em Escolher logs para incluir no coletor, selecione Incluir logs ingeridos por esta organização e todos os recursos filho.

Verifique se o GCP pode receber mensagens de entrada

1. No console GCP Pub/Sub, navegue até Assinaturas.

2. Selecione Mensagens e selecione PULL para iniciar um pull manual.

3. Verifique as mensagens recebidas.

Se você também estiver configurando o conector do GCP Pub/Sub Security Command Center , continue com a próxima seção.

Caso contrário, pule para Configurar o conector GCP Pub/Sub no Microsoft Sentinel.

Configuração do Centro de Comando de Segurança do GCP

As instruções nesta seção são para usar o conector do Microsoft Sentinel GCP Pub/Sub Security Command Center .

Consulte as instruções na seção anterior para usar o conector Microsoft Sentinel GCP Pub/Sub Audit Logs .

Configurar a exportação contínua de descobertas

Siga as instruções na documentação do Google Cloud para configurar as exportações Pub/Sub de descobertas futuras do SCC para o serviço GCP Pub/Sub.

1. Quando solicitado a selecionar um projeto para sua exportação, selecione um projeto criado para essa finalidade ou crie um novo projeto.

2. Quando solicitado a selecionar um tópico Pub/Sub para o qual você deseja exportar suas descobertas, siga as instruções acima para criar um novo tópico.

Configurar o conector GCP Pub/Sub no Microsoft Sentinel

Logs de auditoria do GCP

1. Abra o portal do Azure e navegue até o serviço Microsoft Sentinel.

2. No hub Conteúdo, na barra de pesquisa, digite Logs de auditoria do Google Cloud Platform.

3. Instale a solução Google Cloud Platform Audit Logs .

4. Selecione Conectores de dados e, na barra de pesquisa, digite GCP Pub/Sub Audit Logs.

5. Selecione o conector GCP Pub/Sub Audit Logs (Preview).

6. No painel de detalhes, selecione Abrir página do conector.

7. Na área Configuração, selecione Adicionar novo coletor.

   

8. No painel Conectar um novo coletor, digite os parâmetros de recurso criados quando você criou os recursos do GCP.

   

9. Certifique-se de que os valores em todos os campos correspondam às suas contrapartes em seu projeto GCP (os valores na captura de tela são exemplos, não literais) e selecione Conectar.

Centro de Comando de Segurança do Google

1. Abra o portal do Azure e navegue até o serviço Microsoft Sentinel.

2. No hub Conteúdo, na barra de pesquisa, digite Centro de Comando de Segurança do Google.

3. Instale a solução Google Security Command Center .

4. Selecione Conectores de dados e, na barra de pesquisa, digite Centro de Comando de Segurança do Google.

5. Selecione o conector do Google Security Command Center (Preview ).

6. No painel de detalhes, selecione Abrir página do conector.

7. Na área Configuração, selecione Adicionar novo coletor.

   

8. No painel Conectar um novo coletor, digite os parâmetros de recurso criados quando você criou os recursos do GCP.

   

9. Certifique-se de que os valores em todos os campos correspondam às suas contrapartes em seu projeto GCP (os valores na captura de tela são exemplos, não literais) e selecione Conectar.

Verifique se os dados do GCP estão no ambiente do Microsoft Sentinel

1. Para garantir que os logs do GCP foram ingeridos com êxito no Microsoft Sentinel, execute a seguinte consulta 30 minutos após concluir para configurar o conector.

   Logs de auditoria do GCP

   GCPAuditLogs 
   | take 10 
   

   Centro de Comando de Segurança do Google

   GoogleSCC 
   | take 10 
   

2. Habilite o recurso de integridade para conectores de dados.

Próximos passos

Neste artigo, você aprendeu como ingerir dados GCP no Microsoft Sentinel usando os conectores GCP Pub/Sub. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Saiba como obter visibilidade dos seus dados e potenciais ameaças.
  • Comece a detetar ameaças com o Microsoft Sentinel.
  • Use pastas de trabalho para monitorar seus dados.