Интеграция данных журнала Google Cloud Platform в Microsoft Sentinel

Организации все чаще переходят на многооблачные архитектуры, будь то по проектированию или из-за текущих требований. Растущее число этих организаций использует приложения и хранит данные в нескольких общедоступных облаках, включая Google Cloud Platform (GCP).

В этой статье рассматривается, как интегрировать данные GCP в Microsoft Sentinel для обеспечения полной безопасности и анализа и обнаружения атак в многооблачной среде.

С помощью соединителей GCP Pub/Sub, созданных на основе нашей платформы Codeless Connector Framework (CCF), вы можете получать журналы из вашей среды GCP, используя функцию Pub/Sub.

• Соединитель Google Cloud Platform (GCP) Pub/Sub Audit Logs собирает следы аудита доступа к ресурсам GCP. Аналитики могут отслеживать эти журналы, чтобы контролировать попытки доступа к ресурсам и обнаруживать потенциальные угрозы в среде GCP.

• Соединитель Центра управления безопасностью Google Cloud Platform (GCP) собирает результаты из Центра управления безопасностью Google, надежной платформы управления безопасностью и рисками для Google Cloud. Аналитики могут просмотреть эти выводы, чтобы получить аналитические сведения о состоянии безопасности организации, включая инвентаризацию активов и их обнаружение, выявление уязвимостей и угроз, а также смягчение и устранение рисков.

• Соединитель модуля Google Kubernetes собирает журналы Google Kubernetes Engine (GKE). Аналитики могут отслеживать эти журналы для отслеживания активности кластера, поведения рабочей нагрузки и событий безопасности, позволяя аналитикам отслеживать рабочие нагрузки Kubernetes, анализировать производительность и обнаруживать потенциальные угрозы в кластерах GKE.

Необходимые компоненты

Прежде чем начать, убедитесь в наличии следующего:

• Решение Microsoft Sentinel включено.
• Определенная рабочая область Microsoft Sentinel существует.
• Среда GCP существует и содержит ресурсы, создающие один из следующих типов журналов, которые необходимо собрать:
  • Журналы аудита GCP
  • Выводы Центра управления безопасностью Google
• У пользователя Azure есть роль участника Microsoft Sentinel.
• Пользователь GCP имеет доступ для создания и изменения ресурсов в проекте GCP.
• API GCP Identity and Access Management (IAM) и API GCP Cloud Resource Manager включены.

Настройка среды GCP

В среде GCP необходимо настроить два способа.

1. Настройте проверку подлинности Microsoft Sentinel в GCP, создав следующие ресурсы в службе GCP IAM:

   • Пул идентификаций рабочей нагрузки
   • Поставщик удостоверений рабочей нагрузки
   • учетная запись службы
   • Роль

2. Настройте сбор журналов в GCP и их прием в Microsoft Sentinel создав следующие ресурсы в службе GCP Pub/Sub:

   • Тема
   • Подписка на раздел

Вы можете настроить среду одним из двух способов:

• Создание ресурсов GCP через API Terraform: Terraform предоставляет API для создания ресурсов и управления доступом и удостоверениями (см. Требования). Microsoft Sentinel предоставляет скрипты Terraform, которые выдают необходимые команды API.

• Настройте среду GCP вручную, создав ресурсы самостоятельно в консоли GCP.

  Примечание.

  Скрипт Terraform недоступен для создания ресурсов GCP Pub/Sub для сбора журналов из Центра командования безопасностью. Эти ресурсы необходимо создать вручную. Скрипт Terraform по-прежнему можно использовать для создания ресурсов GCP IAM для проверки подлинности.

  Внимание

  Если вы создаёте ресурсы вручную, необходимо создать все ресурсы проверки подлинности (IAM) в том же проекте GCP, в противном случае это не будет работать. (Ресурсы Pub/Sub могут находиться в другом проекте.)

Настройка проверки подлинности GCP

Требуется для всех соединителей GCP.

Настройка API Terraform

1. Откройте GCP Cloud Shell.

2. Выберите project, с которыми вы хотите работать, введя следующую команду в редакторе:

   gcloud config set project {projectId}  
   

3. Скопируйте скрипт проверки подлинности Terraform, предоставленный Microsoft Sentinel из репозитория Sentinel GitHub в среду GCP Cloud Shell.

   1. Откройте скрипт Terraform GCPInitialAuthenticationSetup и скопируйте его содержимое.

      Примечание.

      Для приема данных GCP в облако Azure Government, вместо этого используйте скрипт настройки аутентификации.

   2. Создайте каталог в среде Cloud Shell, введите его и создайте пустой файл.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Откройте initauth.tf в редакторе Cloud Shell и вставьте в него содержимое файла скрипта.

4. Инициализируйте Terraform в созданном вами каталоге, введя следующую команду в терминале:

   terraform init 
   

5. При получении сообщения подтверждения о инициализации Terraform запустите скрипт, введя следующую команду в терминале:

   terraform apply 
   

6. Когда скрипт запрашивает идентификатор клиента Майкрософт, скопируйте и вставьте его в терминал.

   Примечание.

   Вы можете найти и скопировать идентификатор арендатора на странице соединителя GCP Pub/Sub Audit Logs на портале Microsoft Sentinel, или в экране настройки портала (доступно из любого места в портале Azure, выбрав значок шестеренки в верхней части экрана), в столбце Directory ID.

7. Если для Azure уже создан пул идентификации рабочей нагрузки, ответьте да или нет соответственно.

8. Если вы хотите создать перечисленные ресурсы, введите "да".

При отображении выходных данных из скрипта сохраните параметры ресурсов для последующего использования.

Настройка вручную

Создайте и настройте следующие элементы на платформе Google Cloud в службе управления доступом и идентификацией (IAM).

Создайте пользовательскую роль

1. Следуйте инструкциям в документации по Google Cloud, чтобы создать роль. В соответствии с этими инструкциями создайте настраиваемую роль с нуля.

2. Присвойте роли имя, чтобы она распознавалось как пользовательская роль Sentinel.

3. Заполните соответствующие сведения и добавьте разрешения по мере необходимости:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Список доступных разрешений можно отфильтровать по ролям. Чтобы отфильтровать список, выберите роли подписчика pub/sub иpub/Sub Viewer.

Дополнительные сведения о создании ролей в Google Cloud Platform см. в документации по Google Cloud и управлению ими.

Создание учетной записи службы

1. Следуйте инструкциям в документации Google Cloud, чтобы создать учетную запись службы.

2. Присвойте учетной записи службы имя узнаваемой учетной записи службы Sentinel.

3. Назначьте роль, созданную в предыдущем разделе , учетной записи службы.

Для получения дополнительной информации об учетных записях служб в Google Cloud Platform см. Обзор учетных записей служб в документации Google Cloud.

Создание пула удостоверений рабочей нагрузки и поставщика

1. Следуйте инструкциям в документации Google Cloud, чтобы создать пул рабочих удостоверений и провайдера.

2. В поле Name и Pool ID введите идентификатор Azure Tenant ID с удаленными дефисами.

   Примечание.

   Идентификатор клиента можно найти и скопировать на экране параметров портала в столбце идентификатора каталога. Экран параметров портала доступен в любой точке портала Azure, нажав на значок шестеренки на верхней панели экрана.

3. Добавьте поставщика идентификаций в пул. Выберите Open ID Connect (OIDC) в качестве типа поставщика.

4. Назовите поставщика удостоверений так, чтобы его назначение было очевидным.

5. Введите следующие значения в параметрах поставщика (это не примеры— используйте эти фактические значения):

   • Issuer (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Аудитория: URI идентификатора приложения: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Сопоставление атрибутов: google.subject=assertion.sub

   Примечание.

   Чтобы настроить соединитель для отправки журналов из GCP в облако Azure Government, используйте следующие альтернативные значения для параметров поставщика, а не указанные выше:

   • Issuer (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Аудитория: api://e9885b54-fac0-4cd6-959f-a72066026929

Дополнительные сведения о федерации удостоверений для рабочей нагрузки в Google Cloud Platform см. в статье "Федерация удостоверений для рабочей нагрузки" в документации по Google Cloud.

Предоставьте пулу удостоверений доступ к учетной записи службы

1. Найдите и выберите созданную ранее учетную запись службы.

2. Найдите конфигурацию разрешений учетной записи службы.

3. Grant access субъекту, представляющему пул удостоверений рабочей нагрузки и поставщика, созданных на предыдущем шаге.

   • Используйте следующий формат для основного имени:

     principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
     

   • Назначьте роль Workload Identity User и сохраните конфигурацию.

Дополнительные сведения о предоставлении доступа в Google Cloud Platform см. в разделе Управление доступом к проектам, папкам и организациям документации Google Cloud.

Настройка журналов аудита GCP

Инструкции, описанные в этом разделе, предназначены для использования соединителя журналов аудита GCP Pub/Sub в Microsoft Sentinel GCP Pub/Sub Audit Logs .

См. настройку Центра управления безопасностью GCP для использования соединителя Microsoft Sentinel GCP Pub/Sub Security Command Center.

См. настройку журналов GKE для использования соединителя Microsoft Sentinel Google Kubernetes Engine.

Настройка API Terraform

1. Скопируйте скрипт установки журнала аудита Terraform, предоставленный Microsoft Sentinel из репозитория Sentinel GitHub в другую папку в среде GCP Cloud Shell.

   1. Откройте скрипт Terraform GCPAuditLogsSetup и скопируйте его содержимое.

      Примечание.

      Для приема данных GCP в облако Azure Government используйте этот скрипт настройки журнала аудита вместо этого.

   2. Создайте другой каталог в среде Cloud Shell, введите его и создайте пустой файл.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Откройте auditlog.tf в редакторе Cloud Shell и вставьте в него содержимое файла скрипта.

2. Инициализировать Terraform в новом каталоге, введя следующую команду в терминале:

   terraform init 
   

3. При получении сообщения подтверждения о инициализации Terraform запустите скрипт, введя следующую команду в терминале:

   terraform apply 
   

   Чтобы собирать журналы из всей организации с помощью одного Pub/Sub, введите следующее:

   terraform apply -var="organization-id= {organizationId} "
   

4. Если вы хотите создать перечисленные ресурсы, введите "да".

При отображении выходных данных из скрипта сохраните параметры ресурсов для последующего использования.

Подождите пять минут, прежде чем перейти к следующему шагу.

Настройка вручную

Создание раздела публикации

Используйте службу Google Cloud Platform Pub/Sub для настройки экспорта журналов аудита.

Следуйте инструкциям в документации по Google Cloud, чтобы создать раздел для публикации журналов.

• Выберите идентификатор раздела, который отражает цель сбора журналов для экспорта в Microsoft Sentinel.
• Добавьте подписку по умолчанию.
• Используйте управляемый Google ключ шифрования для шифрования.

Создание приемника журналов

Используйте службу маршрутизатора журналов Google Cloud Platform для настройки коллекции журналов аудита.

Собирать журналы для ресурсов только в текущем проекте:

1. Убедитесь, что ваш проект выбран в селекторе проектов.

2. Следуйте инструкциям в документации Google Cloud, чтобы настроить приемник для сбора журналов.

   • Выберите имя, которое отражает цель сбора журналов для экспорта в Microsoft Sentinel.
   • Выберите "Cloud Pub/Sub topic" в качестве типа назначения и выберите тему, созданную на предыдущем шаге.

Чтобы собрать журналы для ресурсов во всей организации, выполните следующие действия.

1. Выберите организацию в селекторе проекта.

2. Следуйте инструкциям в документации Google Cloud, чтобы настроить приемник для сбора журналов.

   • Выберите имя, которое отражает цель сбора журналов для экспорта в Microsoft Sentinel.
   • Выберите "Cloud Pub/Sub topic" в качестве типа назначения и выберите значение по умолчанию "Использовать Cloud Pub/Sub topic в проекте".
   • Введите пункт назначения в следующем формате: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. В разделе «Выберите журналы для включения в приемник» выберите «Включить журналы, полученные этой организацией и всеми дочерними ресурсами».

Убедитесь, что GCP может получать входящие сообщения

1. В консоли GCP Pub/Sub перейдите к подпискам.

2. Выберите "Сообщения" и нажмите кнопку PULL, чтобы инициировать вытягивание вручную.

3. Проверьте входящие сообщения.

Если вы также настраиваете соединитель GCP Pub/Sub Security Command Center , перейдите к следующему разделу.

В противном случае перейдите к настройке соединителя GCP Pub/Sub в Microsoft Sentinel.

Настройка центра управления безопасностью GCP

Инструкции в этом разделе предназначены для использования соединителя Microsoft Sentinel GCP Pub/Sub Security Command Center .

См. инструкции в предыдущем разделе по использованию соединителя Microsoft Sentinel для журналов аудита GCP Pub/Sub.

См. настройку журналов GKE для использования соединителя Microsoft Sentinel Google Kubernetes Engine.

Настройка непрерывного экспорта результатов

Следуйте инструкциям в документации Google Cloud, чтобы настроить экспорт pub/Sub будущих результатов SCC в службу GCP Pub/Sub.

1. Когда будет предложено выбрать project для экспорта, выберите project, созданную для этой цели, или создайте новый project.

2. При запросе выбрать раздел Pub/Sub, где вы хотите экспортировать результаты, следуйте приведенным выше инструкциям, чтобы создать новый раздел.

Настройка соединителя подсистемы Google Kubernetes

Инструкции в этом разделе предназначены для использования соединителя microsoft Sentinel Google Kubernetes Engine .

См. настройку Центра управления безопасностью GCP для использования соединителя Microsoft Sentinel GCP Pub/Sub Security Command Center.

См. настройку журналов аудита GCP для использования соединителя журналов аудита Microsoft Sentinel GCP Pub/Sub Audit Logs.

Настройка API Terraform

1. Скопируйте скрипт установки журнала аудита Terraform, предоставленный Microsoft Sentinel из репозитория Sentinel GitHub в другую папку в среде GCP Cloud Shell.

   1. Откройте скрипт Terraform GoogleKubernetesEngineLogSetup и скопируйте его содержимое.

   2. Создайте другой каталог в среде Cloud Shell, введите его и создайте пустой файл.

      mkdir {other-directory-name} && cd {other-directory-name} && touch gkelog.tf
      

   3. Откройте gkelog.tf в редакторе Cloud Shell и вставьте в него содержимое файла скрипта.

2. Инициализировать Terraform в новом каталоге, введя следующую команду в терминале:

   terraform init 
   

3. При получении сообщения подтверждения о инициализации Terraform запустите скрипт, введя следующую команду в терминале:

   terraform apply 
   

   Чтобы собирать журналы из всей организации с помощью одного Pub/Sub, введите следующее:

   terraform apply -var="organization-id= {organizationId} "
   

4. Если вы хотите создать перечисленные ресурсы, введите "да".

При отображении выходных данных из скрипта сохраните параметры ресурсов для последующего использования.

Подождите пять минут, прежде чем перейти к следующему шагу.

Настройка соединителя GCP Pub/Sub в Microsoft Sentinel

Журналы аудита GCP

1. Откройте Azure portal и перейдите к службе Microsoft Sentinel.

2. В центре контента в строке поиска введите Журналы аудита Google Cloud Platform.

3. Установите решение журналов аудита Google Cloud Platform.

4. Выберите соединители данных и в строке поиска введите журналы аудита GCP Pub/Sub.

5. Выберите соединитель журналов аудита GCP Pub/Sub.

6. В области сведений выберите Открыть страницу соединителя.

7. В области конфигурации выберите "Добавить новый сборщик".

   

8. На панели "Подключение нового сборщика" введите параметры ресурса, созданные при создании ресурсов GCP.

   

9. Убедитесь, что значения во всех полях соответствуют их аналогам в project GCP (значения на снимке экрана являются примерами, а не литералами) и выберите Connect.

Центр управления безопасностью Google

1. Откройте Azure portal и перейдите к службе Microsoft Sentinel.

2. В центре контента в строке поиска введите Центр командной строки Google Security.

3. Установите решение Центра управления безопасностью Google.

4. Выберите коннекторы данных и в строке поиска введите Google Security Command Center.

5. Выберите соединитель Центра командной строки Google Security.

6. В области сведений выберите Открыть страницу соединителя.

7. В области конфигурации выберите "Добавить новый сборщик".

   

8. На панели "Подключение нового сборщика" введите параметры ресурса, созданные при создании ресурсов GCP.

   

9. Убедитесь, что значения во всех полях соответствуют их аналогам в project GCP (значения на снимке экрана являются примерами, а не литералами) и выберите Connect.

Журналы GKE

1. Откройте Azure portal и перейдите к службе Microsoft Sentinel.

2. В центре контента в строке поиска введите Журналы аудита Google Cloud Platform.

3. Установите решение Google Kubernetes Engine .

4. Выберите соединители данных и в строке поиска введите google Kubernetes Engine (с помощью Codeless Connector Framework).

5. Выберите соединитель Google Kubernetes Engine (через Codeless Connector Framework).

6. В области сведений выберите Открыть страницу соединителя.

7. В области конфигурации выберите "Добавить новый сборщик".

   

8. На панели "Подключение нового сборщика" введите параметры ресурса, созданные при создании ресурсов GCP.

   

9. Убедитесь, что значения во всех полях соответствуют их аналогам в project GCP (значения на снимке экрана являются примерами, а не литералами) и выберите Connect.

Убедитесь, что данные GCP в среде Microsoft Sentinel

1. Чтобы обеспечить успешное прием журналов GCP в Microsoft Sentinel, выполните следующий запрос через 30 минут после завершения настройки соединителя.

   Журналы аудита GCP

   GCPAuditLogs 
   | take 10 
   

   Центр управления безопасностью Google

   GoogleSCC 
   | take 10 
   

   Журналы GKE

   GKEAudit 
   | take 10 
   

2. Включите функцию проверки состояния для соединителей данных.

Устранение неполадок

1. "Ошибка 409: запрошенная сущность уже существует" При выполнении скриптов terraform: импортируйте существующие ресурсы GCP в состояние Terraform, чтобы Terraform управлял ими, а не пытаясь повторно создать их. Например, с сообщением об ошибке: "Ошибка создания WorkloadIdentityPool: googleapi: Error 409: Запрошенная сущность уже существует", найдите идентификатор пула и идентификатор проекта, выполните команду:

terraform import google_iam_workload_identity_pool.<POOL_RESOURCE_NAME> projects/<PROJECT_ID>/locations/global/workloadIdentityPools/<POOL_ID>

---

Следующие шаги

В этой статье вы узнали, как импортировать данные GCP в Microsoft Sentinel, используя коннекторы GCP Pub/Sub. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Узнайте, как отслеживать свои данные и потенциальные угрозы.
  • Начните обнаруживать угрозы с помощью Microsoft Sentinel.
  • Используйте рабочие тетради чтобы отслеживать данные.