Соединитель IAM для Google Cloud Platform (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных Google Cloud Platform Identity and Access Management (IAM) предоставляет возможность приема журналов GCP IAM в Microsoft Sentinel с помощью API ведения журнала GCP. Дополнительные сведения см. в документации по API ведения журнала GCP.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Код приложения-функции Azure | https://aka.ms/sentinel-GCPIAMDataConnector-functionapp |
| Таблицы Log Analytics | GCP_IAM_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Все журналы IAM GCP
GCP_IAM_CL
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с Google Cloud Platform IAM (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетная запись службы GCP: для API ведения журнала GCP требуется учетная запись службы GCP с разрешениями на чтение журналов. Также требуется json-файл с ключом учетной записи службы. Дополнительные сведения о необходимых разрешениях, создании учетной записи службы и создании ключа учетной записи службы см. в документации.
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к API GCP для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом GCP_IAM , развернутой с помощью решения Microsoft Sentinel.
ШАГ 1. Настройка GCP и получение учетных данных
(Необязательно) Включение журналов аудита доступа к данным.
Создайте учетную запись службы с необходимыми разрешениями и получите файл json ключа учетной записи службы.
Подготовьте список ресурсов GCP (организации, папки, проекты), чтобы получить журналы. Дополнительные сведения о ресурсах GCP.
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО. Перед развертыванием соединителя данных укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также Хранилище BLOB-объектов Azure строка подключения и имя контейнера.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных с помощью tempate ARM.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите имена ресурсов Google Cloud Platform, содержимое файла учетных данных Google Cloud Platform, идентификатор рабочей области Microsoft Sentinel, общий ключ Microsoft Sentinel
Пометьте флажок, помеченный как я согласен с условиями, указанными выше.
Нажмите кнопку " Купить" , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Выполните следующие пошаговые инструкции по развертыванию соединителя данных вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).
1. Развертывание приложения-функции
ПРИМЕЧАНИЕ. Вам потребуется подготовить VS Code для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.
Введите следующие сведения по соответствующим запросам:
a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
b. Выберите подписку: выберите используемую подписку.
c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")
d. Введите глобально уникальное имя приложения-функции: введите допустимое имя в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure.
д) Выберите среду выполнения: выберите Python 3.11.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.
Перейдите на портал Azure для конфигурации приложения-функции.
2. Настройка приложения-функции
- В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
- На вкладке Параметры приложения выберите +Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_NAMES CREDENTIALS_FILE_CONTENT WORKSPACE_ID SHARED_KEY logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате:
https://WORKSPACE_ID.ods.opinsights.azure.us
- После ввода всех параметров приложения нажмите кнопку "Сохранить".
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.