Mata in Google Cloud Platform-loggdata i Microsoft Sentinel
Organisationer övergår i allt högre grad till arkitekturer med flera moln, oavsett om de utformas eller på grund av pågående krav. Ett växande antal av dessa organisationer använder program och lagrar data i flera offentliga moln, inklusive Google Cloud Platform (GCP).
Den här artikeln beskriver hur du matar in GCP-data i Microsoft Sentinel för att få fullständig säkerhetstäckning och analysera och identifiera attacker i din multimolnmiljö.
Med GCP Pub/Sub-anslutningsappen, baserat på vår codeless Anslut or Platform (CCP), kan du mata in loggar från din GCP-miljö med hjälp av GCP Pub/Sub-funktionen.
Viktigt!
GCP Pub/Sub Audit Logs-anslutningsappen är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Googles cloud audit logs registrerar en spårningslogg som analytiker kan använda för att övervaka åtkomst och identifiera potentiella hot mellan GCP-resurser.
Förutsättningar
Kontrollera att du har följande innan du börjar:
- Microsoft Sentinel-lösningen är aktiverad.
- Det finns en definierad Microsoft Sentinel-arbetsyta.
- En GCP-miljö (ett projekt) finns och samlar in GCP-granskningsloggar.
- Din Azure-användare har rollen Microsoft Sentinel-deltagare.
- GCP-användaren har åtkomst till att redigera och skapa resurser i GCP-projektet.
- API:et GCP Identity and Access Management (IAM) och GCP Cloud Resource Manager-API:et är båda aktiverade.
Konfigurera GCP-miljö
Det finns två saker du behöver konfigurera i din GCP-miljö:
Konfigurera Microsoft Sentinel-autentisering i GCP genom att skapa följande resurser i GCP IAM-tjänsten:
- Identitetspool för arbetsbelastning
- Arbetsbelastningsidentitetsprovider
- Tjänstkonto
- Role
Konfigurera loggsamling i GCP och inmatning i Microsoft Sentinel genom att skapa följande resurser i GCP Pub/Sub-tjänsten:
- Område
- Prenumeration för ämnet
Du kan konfigurera miljön på något av två sätt:
- Skapa GCP-resurser via Terraform API: Terraform tillhandahåller API:er för att skapa resurser och för identitets- och åtkomsthantering (se Krav). Microsoft Sentinel tillhandahåller Terraform-skript som utfärdar nödvändiga kommandon till API:erna.
- Konfigurera GCP-miljön manuellt och skapa resurserna själv i GCP-konsolen.
Konfiguration av GCP-autentisering
Öppna GCP Cloud Shell.
Välj det projekt som du vill arbeta med genom att skriva följande kommando i redigeraren:
gcloud config set project {projectId}
Kopiera Terraform-autentiseringsskriptet som tillhandahålls av Microsoft Sentinel från Sentinel GitHub-lagringsplatsen till din GCP Cloud Shell-miljö.
Öppna skriptfilen Terraform GCPInitialAuthenticationSetup och kopiera innehållet.
Kommentar
Om du vill mata in GCP-data i ett Azure Government-moln använder du det här konfigurationsskriptet för autentisering i stället.
Skapa en katalog i Cloud Shell-miljön, ange den och skapa en ny tom fil.
mkdir {directory-name} && cd {directory-name} && touch initauth.tf
Öppna initauth.tf i Cloud Shell-redigeraren och klistra in innehållet i skriptfilen i den.
Initiera Terraform i katalogen som du skapade genom att skriva följande kommando i terminalen:
terraform init
När du får bekräftelsemeddelandet om att Terraform initierades kör du skriptet genom att skriva följande kommando i terminalen:
terraform apply
När skriptet frågar efter ditt Microsoft-klient-ID kopierar och klistrar du in det i terminalen.
På frågan om en arbetsbelastningsidentitetspool redan har skapats för Azure svarar du ja eller nej i enlighet med detta.
När du tillfrågas om du vill skapa resurserna i listan skriver du ja.
När utdata från skriptet visas sparar du resursparametrarna för senare användning.
Konfiguration av GCP-granskningsloggar
Kopiera installationsskriptet för Terraform-granskningsloggen som tillhandahålls av Microsoft Sentinel från Sentinel GitHub-lagringsplatsen till en annan mapp i GCP Cloud Shell-miljön.
Öppna terraform-skriptfilen GCPAuditLogsSetup och kopiera innehållet.
Kommentar
Om du vill mata in GCP-data i ett Azure Government-moln använder du det här konfigurationsskriptet för granskningsloggar i stället.
Skapa en annan katalog i Cloud Shell-miljön, ange den och skapa en ny tom fil.
mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
Öppna auditlog.tf i Cloud Shell-redigeraren och klistra in innehållet i skriptfilen i den.
Initiera Terraform i den nya katalogen genom att skriva följande kommando i terminalen:
terraform init
När du får bekräftelsemeddelandet om att Terraform initierades kör du skriptet genom att skriva följande kommando i terminalen:
terraform apply
Om du vill mata in loggar från en hel organisation med en enda Pub/Sub skriver du:
terraform apply -var="organization-id= {organizationId} "
När du tillfrågas om du vill skapa resurserna i listan skriver du ja.
När utdata från skriptet visas sparar du resursparametrarna för senare användning.
Vänta fem minuter innan du går vidare till nästa steg.
Konfigurera GCP Pub/Sub-anslutningsappen i Microsoft Sentinel
Öppna Azure-portalen och gå till Microsoft Sentinel-tjänsten.
I innehållshubben i sökfältet skriver du Granskningsloggar för Google Cloud Platform.
Installera lösningen Granskningsloggar för Google Cloud Platform.
Välj Dataanslutningar och skriv GCP Pub/Undergranskningsloggar i sökfältet.
Välj anslutningsappen GCP Pub/Sub Audit Logs (förhandsversion).
I informationsfönstret väljer du Öppna anslutningsprogramssidan.
I området Konfiguration väljer du Lägg till ny insamlare.
I Anslut en ny insamlare skriver du de resursparametrar som du skapade när du skapade GCP-resurserna.
Kontrollera att värdena i alla fält matchar deras motsvarigheter i ditt GCP-projekt och välj Anslut.
Kontrollera att GCP-data finns i Microsoft Sentinel-miljön
För att säkerställa att GCP-loggarna har matats in i Microsoft Sentinel kör du följande fråga 30 minuter efter att du har slutfört konfigurationen av anslutningsappen.
GCPAuditLogs | take 10
Aktivera hälsofunktionen för dataanslutningar.
Nästa steg
I den här artikeln har du lärt dig hur du matar in GCP-data i Microsoft Sentinel med hjälp av GCP Pub/Sub-anslutningsappar. Mer information om Microsoft Sentinel finns i följande artiklar:
- Lär dig hur du får insyn i dina data och potentiella hot.
- Kom igång med att identifiera hot med Microsoft Sentinel.
- Använd arbetsböcker för att övervaka dina data.