Mata in Google Cloud Platform-loggdata i Microsoft Sentinel

Organisationer övergår i allt högre grad till arkitekturer med flera moln, oavsett om de utformas eller på grund av pågående krav. Ett växande antal av dessa organisationer använder program och lagrar data i flera offentliga moln, inklusive Google Cloud Platform (GCP).

Den här artikeln beskriver hur du matar in GCP-data i Microsoft Sentinel för att få fullständig säkerhetstäckning och analysera och identifiera attacker i din multimolnmiljö.

Med GCP Pub/Sub-anslutningsappen, baserat på vår codeless Anslut or Platform (CCP), kan du mata in loggar från din GCP-miljö med hjälp av GCP Pub/Sub-funktionen.

Viktigt!

GCP Pub/Sub Audit Logs-anslutningsappen är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Googles cloud audit logs registrerar en spårningslogg som analytiker kan använda för att övervaka åtkomst och identifiera potentiella hot mellan GCP-resurser.

Förutsättningar

Kontrollera att du har följande innan du börjar:

• Microsoft Sentinel-lösningen är aktiverad.
• Det finns en definierad Microsoft Sentinel-arbetsyta.
• En GCP-miljö (ett projekt) finns och samlar in GCP-granskningsloggar.
• Din Azure-användare har rollen Microsoft Sentinel-deltagare.
• GCP-användaren har åtkomst till att redigera och skapa resurser i GCP-projektet.
• API:et GCP Identity and Access Management (IAM) och GCP Cloud Resource Manager-API:et är båda aktiverade.

Konfigurera GCP-miljö

Det finns två saker du behöver konfigurera i din GCP-miljö:

1. Konfigurera Microsoft Sentinel-autentisering i GCP genom att skapa följande resurser i GCP IAM-tjänsten:

   • Identitetspool för arbetsbelastning
   • Arbetsbelastningsidentitetsprovider
   • Tjänstkonto
   • Role

2. Konfigurera loggsamling i GCP och inmatning i Microsoft Sentinel genom att skapa följande resurser i GCP Pub/Sub-tjänsten:

   • Område
   • Prenumeration för ämnet

Du kan konfigurera miljön på något av två sätt:

• Skapa GCP-resurser via Terraform API: Terraform tillhandahåller API:er för att skapa resurser och för identitets- och åtkomsthantering (se Krav). Microsoft Sentinel tillhandahåller Terraform-skript som utfärdar nödvändiga kommandon till API:erna.
• Konfigurera GCP-miljön manuellt och skapa resurserna själv i GCP-konsolen.

Konfiguration av GCP-autentisering

Installation av Terraform API

1. Öppna GCP Cloud Shell.

2. Välj det projekt som du vill arbeta med genom att skriva följande kommando i redigeraren:

   gcloud config set project {projectId}  
   

3. Kopiera Terraform-autentiseringsskriptet som tillhandahålls av Microsoft Sentinel från Sentinel GitHub-lagringsplatsen till din GCP Cloud Shell-miljö.

   1. Öppna skriptfilen Terraform GCPInitialAuthenticationSetup och kopiera innehållet.

      Kommentar

      Om du vill mata in GCP-data i ett Azure Government-moln använder du det här konfigurationsskriptet för autentisering i stället.

   2. Skapa en katalog i Cloud Shell-miljön, ange den och skapa en ny tom fil.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Öppna initauth.tf i Cloud Shell-redigeraren och klistra in innehållet i skriptfilen i den.

4. Initiera Terraform i katalogen som du skapade genom att skriva följande kommando i terminalen:

   terraform init 
   

5. När du får bekräftelsemeddelandet om att Terraform initierades kör du skriptet genom att skriva följande kommando i terminalen:

   terraform apply 
   

6. När skriptet frågar efter ditt Microsoft-klient-ID kopierar och klistrar du in det i terminalen.

   Kommentar

   Du kan hitta och kopiera ditt klient-ID på sidan för GCP Pub/Sub Audit Logs i Microsoft Sentinel-portalen eller på skärmen Portalinställningar (tillgänglig var som helst i Azure-portalen genom att välja kugghjulsikonen längst upp på skärmen) i kolumnen Katalog-ID .

7. På frågan om en arbetsbelastningsidentitetspool redan har skapats för Azure svarar du ja eller nej i enlighet med detta.

8. När du tillfrågas om du vill skapa resurserna i listan skriver du ja.

När utdata från skriptet visas sparar du resursparametrarna för senare användning.

Manuell installation

Skapa och konfigurera följande objekt i IAM-tjänsten (Google Cloud Platform Identity and Access Management).

Skapa en anpassad roll

1. Följ anvisningarna i Google Cloud-dokumentationen för att skapa en roll. Enligt dessa instruktioner skapar du en anpassad roll från grunden.

2. Namnge rollen så att den kan identifieras som en anpassad Sentinel-roll.

3. Fyll i relevant information och lägg till behörigheter efter behov:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Du kan filtrera listan över tillgängliga behörigheter efter roller. Välj rollerna Pub/Sub Subscriber och Pub/Sub Viewer för att filtrera listan.

Mer information om hur du skapar roller i Google Cloud Platform finns i Skapa och hantera anpassade roller i Google Cloud-dokumentationen.

Skapa ett tjänstkonto

1. Följ anvisningarna i Google Cloud-dokumentationen för att skapa ett tjänstkonto.

2. Namnge tjänstkontot så att det kan identifieras som ett Sentinel-tjänstkonto.

3. Tilldela rollen som du skapade i föregående avsnitt till tjänstkontot.

Mer information om tjänstkonton i Google Cloud Platform finns i Översikt över tjänstkonton i Google Cloud-dokumentationen.

Skapa arbetsbelastningsidentitetspoolen och providern

1. Följ anvisningarna i Google Cloud-dokumentationen för att skapa arbetsbelastningsidentitetspoolen och providern.

2. För namn och pool-ID anger du ditt Azure-klient-ID med bindestrecken borttagna.

   Kommentar

   Du hittar och kopierar ditt klient-ID på skärmen Portalinställningar i kolumnen Katalog-ID. Skärmen för portalinställningar är tillgänglig var som helst i Azure-portalen genom att välja kugghjulsikonen längst upp på skärmen.

3. Lägg till en identitetsprovider i poolen. Välj Öppna ID Anslut (OIDC) som providertyp.

4. Namnge identitetsprovidern så att den kan identifieras för sitt syfte.

5. Ange följande värden i providerinställningarna (dessa är inte exempel – använd dessa faktiska värden):

   • Utfärdare (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Målgrupp: program-ID:ts URI: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Attributmappning: google.subject=assertion.sub

   Kommentar

   Om du vill konfigurera anslutningsappen för att skicka loggar från GCP till Azure Government-molnet använder du följande alternativa värden för providerinställningarna i stället för de som anges ovan:

   • Utfärdare (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Målgrupp: api://e9885b54-fac0-4cd6-959f-a72066026929

Mer information om arbetsbelastningsidentitetsfederation i Google Cloud Platform finns i Arbetsbelastningsidentitetsfederation i Google Cloud-dokumentationen.

Ge identitetspoolen åtkomst till tjänstkontot

1. Leta upp och välj det tjänstkonto som du skapade tidigare.

2. Leta upp behörighetskonfigurationen för tjänstkontot.

3. Bevilja åtkomst till det huvudnamn som representerar arbetsbelastningsidentitetspoolen och providern som du skapade i föregående steg.

   • Använd följande format för huvudnamnet:

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • Tilldela rollen Arbetsbelastningsidentitetsanvändare och spara konfigurationen.

Mer information om hur du beviljar åtkomst i Google Cloud Platform finns i Hantera åtkomst till projekt, mappar och organisationer i Google Cloud-dokumentationen.

Konfiguration av GCP-granskningsloggar

Installation av Terraform API

1. Kopiera installationsskriptet för Terraform-granskningsloggen som tillhandahålls av Microsoft Sentinel från Sentinel GitHub-lagringsplatsen till en annan mapp i GCP Cloud Shell-miljön.

   1. Öppna terraform-skriptfilen GCPAuditLogsSetup och kopiera innehållet.

      Kommentar

      Om du vill mata in GCP-data i ett Azure Government-moln använder du det här konfigurationsskriptet för granskningsloggar i stället.

   2. Skapa en annan katalog i Cloud Shell-miljön, ange den och skapa en ny tom fil.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Öppna auditlog.tf i Cloud Shell-redigeraren och klistra in innehållet i skriptfilen i den.

2. Initiera Terraform i den nya katalogen genom att skriva följande kommando i terminalen:

   terraform init 
   

3. När du får bekräftelsemeddelandet om att Terraform initierades kör du skriptet genom att skriva följande kommando i terminalen:

   terraform apply 
   

   Om du vill mata in loggar från en hel organisation med en enda Pub/Sub skriver du:

   terraform apply -var="organization-id= {organizationId} "
   

4. När du tillfrågas om du vill skapa resurserna i listan skriver du ja.

När utdata från skriptet visas sparar du resursparametrarna för senare användning.

Vänta fem minuter innan du går vidare till nästa steg.

Manuell installation

Skapa ett publiceringsämne

Använd Google Cloud Platform Pub/Sub-tjänsten för att konfigurera export av granskningsloggar.

Följ anvisningarna i Google Cloud-dokumentationen för att skapa ett ämne för publicering av loggar till.

• Välj ett ämnes-ID som återspeglar syftet med logginsamling för export till Microsoft Sentinel.
• Lägg till en standardprenumeration.
• Använd en Google-hanterad krypteringsnyckel för kryptering.

Skapa en loggmottagare

Använd Tjänsten Google Cloud Platform Log Router för att konfigurera en samling granskningsloggar.

Så här samlar du endast in loggar för resurser i det aktuella projektet:

1. Kontrollera att projektet är markerat i projektväljaren.

2. Följ anvisningarna i Google Cloud-dokumentationen för att konfigurera en mottagare för insamling av loggar.

   • Välj ett namn som återspeglar syftet med loggsamlingen för export till Microsoft Sentinel.
   • Välj "Cloud Pub/Sub topic" som måltyp och välj det ämne som du skapade i föregående steg.

Så här samlar du in loggar för resurser i hela organisationen:

1. Välj din organisation i projektväljaren.

2. Följ anvisningarna i Google Cloud-dokumentationen för att konfigurera en mottagare för insamling av loggar.

   • Välj ett namn som återspeglar syftet med loggsamlingen för export till Microsoft Sentinel.
   • Välj "Cloud Pub/Sub topic" som måltyp och välj standardämnet "Use a Cloud Pub/Sub topic in a project".
   • Ange målet i följande format: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. Under Välj loggar som ska inkluderas i mottagaren väljer du Inkludera loggar som matas in av den här organisationen och alla underordnade resurser.

Kontrollera att GCP kan ta emot inkommande meddelanden

1. I GCP Pub/Sub-konsolen går du till Prenumerationer.

2. Välj Meddelanden och välj PULL för att initiera en manuell hämtning.

3. Kontrollera inkommande meddelanden.

Konfigurera GCP Pub/Sub-anslutningsappen i Microsoft Sentinel

1. Öppna Azure-portalen och gå till Microsoft Sentinel-tjänsten.

2. I innehållshubben i sökfältet skriver du Granskningsloggar för Google Cloud Platform.

3. Installera lösningen Granskningsloggar för Google Cloud Platform.

4. Välj Dataanslutningar och skriv GCP Pub/Undergranskningsloggar i sökfältet.

5. Välj anslutningsappen GCP Pub/Sub Audit Logs (förhandsversion).

6. I informationsfönstret väljer du Öppna anslutningsprogramssidan.

7. I området Konfiguration väljer du Lägg till ny insamlare.

   

8. I Anslut en ny insamlare skriver du de resursparametrar som du skapade när du skapade GCP-resurserna.

   

9. Kontrollera att värdena i alla fält matchar deras motsvarigheter i ditt GCP-projekt och välj Anslut.

Kontrollera att GCP-data finns i Microsoft Sentinel-miljön

1. För att säkerställa att GCP-loggarna har matats in i Microsoft Sentinel kör du följande fråga 30 minuter efter att du har slutfört konfigurationen av anslutningsappen.

   GCPAuditLogs 
   | take 10 
   

2. Aktivera hälsofunktionen för dataanslutningar.

Nästa steg

I den här artikeln har du lärt dig hur du matar in GCP-data i Microsoft Sentinel med hjälp av GCP Pub/Sub-anslutningsappar. Mer information om Microsoft Sentinel finns i följande artiklar:

• Lär dig hur du får insyn i dina data och potentiella hot.
• Kom igång med att identifiera hot med Microsoft Sentinel.
• Använd arbetsböcker för att övervaka dina data.