Google Cloud Platform günlük verilerini Microsoft Sentinel'e alma

Kuruluşlar ister tasarım gereği ister devam eden gereksinimler nedeniyle çok bulutlu mimarilere giderek daha fazla geçiş yapmaktadır. Bu kuruluşların sayısı giderek artan bir şekilde google bulut platformu (GCP) dahil olmak üzere birden çok genel bulutta uygulama kullanıyor ve verileri depolar.

Bu makalede, tam güvenlik kapsamı elde etmek ve çoklu bulut ortamınızdaki saldırıları analiz etmek ve algılamak için GCP verilerinin Microsoft Sentinel'e nasıl alındığı açıklanır.

GcP Pub/Sub bağlayıcıları ile Kodsuz Bağlayıcı Platformu'nu (CCP) temel alarak GCP ortamınızdan GCP Pub/Sub özelliğini kullanarak günlükleri alabilirsiniz:

• Google Cloud Platform (GCP) Pub/Sub Audit Logs bağlayıcısı, GCP kaynaklarına erişimin denetim kayıtlarını toplar. Analistler kaynak erişim girişimlerini izlemek ve GCP ortamındaki olası tehditleri algılamak için bu günlükleri izleyebilir.

• Google Cloud Platform (GCP) Güvenlik Komut Merkezi bağlayıcısı, Google Cloud için sağlam bir güvenlik ve risk yönetimi platformu olan Google Güvenlik Komut Merkezi'nden bulguları toplar. Analistler varlık envanteri ve bulma, güvenlik açıklarının ve tehditlerin algılanması ve risk azaltma ve düzeltme dahil olmak üzere kuruluşun güvenlik duruşu hakkında içgörüler elde etmek için bu bulguları görüntüleyebilir.

Önemli

GCP Pub/Sub bağlayıcıları şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Önkoşullar

Başlamadan önce aşağıdakilere sahip olduğunuzu doğrulayın:

• Microsoft Sentinel çözümü etkinleştirildi.
• Tanımlı bir Microsoft Sentinel çalışma alanı var.
• GCP ortamı var ve almak istediğiniz aşağıdaki günlük türlerinden birini oluşturan kaynakları içerir:
  • GCP denetim günlükleri
  • Google Güvenlik Komut Merkezi bulguları
• Azure kullanıcınızın Microsoft Sentinel Katkıda Bulunanı rolü vardır.
• GCP kullanıcınızın GCP projesinde kaynak oluşturma ve düzenleme erişimi vardır.
• GCP Kimlik ve Erişim Yönetimi (IAM) API'sinin ve GCP Cloud Resource Manager API'sinin her ikisi de etkindir.

GCP ortamını ayarlama

GCP ortamınızda ayarlamanız gereken iki şey vardır:

1. GCP IAM hizmetinde aşağıdaki kaynakları oluşturarak GCP'de Microsoft Sentinel kimlik doğrulamasını ayarlayın:

   • İş yükü kimlik havuzu
   • İş yükü kimlik sağlayıcısı
   • Servis firması
   • Role

2. GCP Pub/Sub hizmetinde aşağıdaki kaynakları oluşturarak GCP'de günlük toplamayı ve Microsoft Sentinel'e alımını ayarlayın:

   • Konu
   • Konu için abonelik

Ortamı iki yoldan biriyle ayarlayabilirsiniz:

• Terraform API'sini kullanarak GCP kaynakları oluşturma: Terraform, kaynak oluşturma ve Kimlik ve Erişim Yönetimi için API'ler sağlar (bkz . Önkoşullar). Microsoft Sentinel, API'lere gerekli komutları veren Terraform betikleri sağlar.

• GCP ortamını el ile ayarlayın ve kaynakları GCP konsolunda kendiniz oluşturun.

  Not

  Güvenlik Komut Merkezi'nden günlük toplama için GCP Pub/Sub kaynakları oluşturmak için kullanılabilir terraform betiği yoktur. Bu kaynakları el ile oluşturmanız gerekir. Kimlik doğrulaması için GCP IAM kaynaklarını oluşturmak için Terraform betiğini kullanmaya devam edebilirsiniz.

  Önemli

  Kaynakları el ile oluşturuyorsanız, tüm kimlik doğrulama (IAM) kaynaklarını aynı GCP projesinde oluşturmanız gerekir, aksi takdirde çalışmaz. (Pub/Sub kaynakları farklı bir projede olabilir.)

GCP Kimlik Doğrulaması Kurulumu

Terraform API Kurulumu

1. GCP Cloud Shell'i açın.

2. Düzenleyicide aşağıdaki komutu yazarak çalışmak istediğiniz projeyi seçin:

   gcloud config set project {projectId}  
   

3. Microsoft Sentinel tarafından sağlanan Terraform kimlik doğrulama betiğini Sentinel GitHub deposundan GCP Cloud Shell ortamınıza kopyalayın.

   1. Terraform GCPInitialAuthenticationSetup betik dosyasını açın ve içeriğini kopyalayın.

      Not

      GCP verilerini bir Azure Kamu buluta almak için bunun yerine bu kimlik doğrulama kurulum betiğini kullanın.

   2. Cloud Shell ortamınızda bir dizin oluşturun, bunu girin ve yeni bir boş dosya oluşturun.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Cloud Shell düzenleyicisinde initauth.tf açın ve betik dosyasının içeriğini dosyaya yapıştırın.

4. Terraform'ı oluşturduğunuz dizinde başlatmak için terminale aşağıdaki komutu yazın:

   terraform init 
   

5. Terraform'un başlatıldığını belirten onay iletisini aldığınızda, terminale aşağıdaki komutu yazarak betiği çalıştırın:

   terraform apply 
   

6. Betik Microsoft kiracı kimliğinizi sorarsa kopyalayıp terminale yapıştırın.

   Not

   Kiracı kimliğinizi Microsoft Sentinel portalındaki GCP Pub/Sub Denetim Günlükleri bağlayıcı sayfasında veya Portal ayarları ekranında (ekranın üst kısmındaki dişli simgesini seçerek Azure portalında herhangi bir yerde erişilebilir) Dizin Kimliği sütununda bulabilir ve kopyalayabilirsiniz.

7. Azure için zaten bir iş yükü Kimlik Havuzu oluşturulup oluşturulmadığı sorulduğunda, buna göre evet veya hayır yanıtını verin.

8. Listelenen kaynakları oluşturmak isteyip istemediğiniz sorulduğunda evet yazın.

Betiğin çıktısı görüntülendiğinde, daha sonra kullanmak üzere kaynak parametrelerini kaydedin.

El ile kurulum

Google Cloud Platform Kimlik ve Erişim Yönetimi (IAM) hizmetinde aşağıdaki öğeleri oluşturun ve yapılandırın.

Özel rol oluşturma

1. Rol oluşturmak için Google Cloud belgelerindeki yönergeleri izleyin. Bu yönergelere göre sıfırdan özel bir rol oluşturun.

2. Rolü Sentinel özel rolü olarak tanınabilmesi için adlandırın.

3. İlgili ayrıntıları doldurun ve gerektiğinde izinleri ekleyin:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Kullanılabilir izinler listesini rollere göre filtreleyebilirsiniz. Listeyi filtrelemek için Pub/Sub Abonesi ve Pub/Sub Viewer rollerini seçin.

Google Cloud Platform'da rol oluşturma hakkında daha fazla bilgi için Google Cloud belgelerindeki Özel roller oluşturma ve yönetme bölümüne bakın.

Servis hesabı oluşturma

1. Hizmet hesabı oluşturmak için Google Cloud belgelerindeki yönergeleri izleyin.

2. Hizmet hesabını Sentinel hizmet hesabı olarak tanınabilmesi için adlandırın.

3. Önceki bölümde oluşturduğunuz rolü hizmet hesabına atayın.

Google Cloud Platform'daki hizmet hesapları hakkında daha fazla bilgi için Google Cloud belgelerindeki Hizmet hesaplarına genel bakış bölümüne bakın.

İş yükü kimlik havuzunu ve sağlayıcısını oluşturma

1. İş yükü kimlik havuzunu ve sağlayıcısını oluşturmak için Google Cloud belgelerindeki yönergeleri izleyin.

2. Ad ve Havuz Kimliği için, tireler kaldırılmış olarak Azure Kiracı Kimliğinizi girin.

   Not

   Kiracı kimliğinizi Portal ayarları ekranında, Dizin Kimliği sütununda bulabilir ve kopyalayabilirsiniz. Portal ayarları ekranına Azure portalının herhangi bir yerinde ekranın üst kısmındaki dişli simgesini seçerek erişebilirsiniz.

3. Havuza bir kimlik sağlayıcısı ekleyin. Sağlayıcı türü olarak Open ID Connect (OIDC) öğesini seçin.

4. Kimlik sağlayıcısını, amacına uygun olarak tanınabilmesi için adlandırın.

5. Sağlayıcı ayarlarına aşağıdaki değerleri girin (bunlar örnek değildir; şu gerçek değerleri kullanın):

   • Veren (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • hedef kitle: uygulama kimliği URI'si: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Öznitelik eşlemesi: google.subject=assertion.sub

   Not

   Bağlayıcıyı GCP'den Azure Kamu buluta günlük gönderecek şekilde ayarlamak için yukarıdakiler yerine sağlayıcı ayarları için aşağıdaki alternatif değerleri kullanın:

   • Veren (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • hedef kitle: api://e9885b54-fac0-4cd6-959f-a72066026929

Google Cloud Platform'da iş yükü kimlik federasyonu hakkında daha fazla bilgi için Google Cloud belgelerindeki İş yükü kimlik federasyonu bölümüne bakın.

Hizmet hesabına kimlik havuzu erişimi verme

1. Daha önce oluşturduğunuz hizmet hesabını bulun ve seçin.

2. Hizmet hesabının izin yapılandırmasını bulun.

3. Önceki adımda oluşturduğunuz iş yükü kimlik havuzunu ve sağlayıcıyı temsil eden sorumluya erişim izni verin.

   • Asıl ad için aşağıdaki biçimi kullanın:

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • İş Yükü Kimliği Kullanıcı rolünü atayın ve yapılandırmayı kaydedin.

Google Cloud Platform'da erişim verme hakkında daha fazla bilgi için Google Cloud belgelerindeki Projelere, klasörlere ve kuruluşlara erişimi yönetme bölümüne bakın.

GCP Denetim Günlükleri Kurulumu

Bu bölümdeki yönergeler Microsoft Sentinel GCP Pub/Sub Audit Logs bağlayıcısını kullanmaya yönelik olarak hazırlanmıştır.

Microsoft Sentinel GCP Pub/Sub Security Command Center bağlayıcısını kullanmaya yönelik sonraki bölümdeki yönergelere bakın.

Terraform API Kurulumu

1. Microsoft Sentinel tarafından sağlanan Terraform denetim günlüğü kurulum betiğini Sentinel GitHub deposundan GCP Cloud Shell ortamınızdaki farklı bir klasöre kopyalayın.

   1. Terraform GCPAuditLogsSetup betik dosyasını açın ve içeriğini kopyalayın.

      Not

      GCP verilerini bir Azure Kamu buluta almak için bunun yerine bu denetim günlüğü kurulum betiğini kullanın.

   2. Cloud Shell ortamınızda başka bir dizin oluşturun, bu dizini girin ve yeni bir boş dosya oluşturun.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Cloud Shell düzenleyicisinde auditlog.tf açın ve betik dosyasının içeriğini dosyaya yapıştırın.

2. Terminale aşağıdaki komutu yazarak Terraform'ı yeni dizinde başlatın:

   terraform init 
   

3. Terraform'un başlatıldığını belirten onay iletisini aldığınızda, terminale aşağıdaki komutu yazarak betiği çalıştırın:

   terraform apply 
   

   Tek bir Pub/Sub kullanarak kuruluşun tamamından günlük almak için şunu yazın:

   terraform apply -var="organization-id= {organizationId} "
   

4. Listelenen kaynakları oluşturmak isteyip istemediğiniz sorulduğunda evet yazın.

Betiğin çıktısı görüntülendiğinde, daha sonra kullanmak üzere kaynak parametrelerini kaydedin.

Sonraki adıma geçmeden önce beş dakika bekleyin.

El ile kurulum

Yayımlama konusu oluşturma

Denetim günlüklerinin dışarı aktarılmasını ayarlamak için Google Cloud Platform Pub/Sub hizmetini kullanın.

Günlükleri yayımlama konusu oluşturmak için Google Cloud belgelerindeki yönergeleri izleyin.

• Microsoft Sentinel'e dışarı aktarmak için günlük toplamanın amacını yansıtan bir Konu Kimliği seçin.
• Varsayılan bir abonelik ekleyin.
• Şifreleme için Google tarafından yönetilen bir şifreleme anahtarı kullanın.

Günlük havuzu oluşturma

Denetim günlüklerinin koleksiyonunu ayarlamak için Google Cloud Platform Günlük Yönlendiricisi hizmetini kullanın.

Yalnızca geçerli projedeki kaynakların günlüklerini toplamak için:

1. Proje seçicide projenizin seçili olduğunu doğrulayın.

2. Günlükleri toplamak üzere havuz ayarlamak için Google Cloud belgelerindeki yönergeleri izleyin.

   • Microsoft Sentinel'e dışarı aktarmak için günlük toplamanın amacını yansıtan bir Ad seçin.
   • Hedef türü olarak "Cloud Pub/Sub topic" öğesini seçin ve önceki adımda oluşturduğunuz konuyu seçin.

Kuruluşun tamamında kaynakların günlüklerini toplamak için:

1. Proje seçicide kuruluşunuzu seçin.

2. Günlükleri toplamak üzere havuz ayarlamak için Google Cloud belgelerindeki yönergeleri izleyin.

   • Microsoft Sentinel'e dışarı aktarmak için günlük toplamanın amacını yansıtan bir Ad seçin.
   • Hedef türü olarak "Cloud Pub/Sub topic" öğesini seçin ve varsayılan "Projede Cloud Pub/Sub konu başlığı kullan" seçeneğini belirleyin.
   • Hedefi şu biçimde girin: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. Havuza eklenecek günlükleri seçin altında, Bu kuruluş tarafından alınan günlükleri ve tüm alt kaynakları ekle'yi seçin.

GCP'nin gelen iletileri alabildiğini doğrulayın

1. GCP Pub/Sub konsolunda Abonelikler'e gidin.

2. İletiler'i seçin ve el ile çekme işlemi başlatmak için ÇEKME'yi seçin.

3. Gelen iletileri denetleyin.

GCP Pub/Sub Security Komut Merkezi bağlayıcısını da ayarlanıyorsanız sonraki bölümle devam edin.

Aksi takdirde, Microsoft Sentinel'de GCP Pub/Sub bağlayıcısını ayarlama bölümüne atlayın.

GCP Güvenlik Komut Merkezi kurulumu

Bu bölümdeki yönergeler Microsoft Sentinel GCP Pub/Sub Security Command Center bağlayıcısını kullanmaya yönelik olarak hazırlanmıştır.

Microsoft Sentinel GCP Pub/Sub Audit Logs bağlayıcısını kullanmaya yönelik önceki bölümdeki yönergelere bakın.

Bulguların sürekli dışarı aktarmayı yapılandırma

Gelecekteki SCC bulgularının GcP Pub/Sub hizmetine Pub/Sub dışarı aktarmalarını yapılandırmak için Google Cloud belgelerindeki yönergeleri izleyin.

1. Dışarı aktarmanız için bir proje seçmeniz istendiğinde, bu amaçla oluşturduğunuz bir projeyi seçin veya yeni bir proje oluşturun.

2. Bulgularınızı dışarı aktarmak istediğiniz Bir Pub/Sub konusu seçmeniz istendiğinde, yeni bir konu oluşturmak için yukarıdaki yönergeleri izleyin.

Microsoft Sentinel'de GCP Pub/Sub bağlayıcısını ayarlama

GCP Denetim Günlükleri

1. Azure portalını açın ve Microsoft Sentinel hizmetine gidin.

2. İçerik hub'ında, arama çubuğuna Google Cloud Platform Denetim Günlükleri yazın.

3. Google Cloud Platform Denetim Günlükleri çözümünü yükleyin.

4. Veri bağlayıcıları'nı seçin ve arama çubuğuna GCP Pub/Sub Denetim Günlükleri yazın.

5. GCP Pub/Alt Denetim Günlükleri (Önizleme) bağlayıcısını seçin.

6. Ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.

7. Yapılandırma alanında Yeni toplayıcı ekle'yi seçin.

   

8. Yeni toplayıcı bağla panelinde GCP kaynaklarını oluştururken oluşturduğunuz kaynak parametrelerini yazın.

   

9. Tüm alanlardaki değerlerin GCP projenizdeki karşılıklarıyla eşleştiğinden emin olun (ekran görüntüsündeki değerler değişmez değerler değil örneklerdir) ve Bağlan'ı seçin.

Google Güvenlik Komut Merkezi

1. Azure portalını açın ve Microsoft Sentinel hizmetine gidin.

2. İçerik hub'ında, arama çubuğuna Google Güvenlik Komut Merkezi yazın.

3. Google Güvenlik Komut Merkezi çözümünü yükleyin.

4. Veri bağlayıcıları'nı seçin ve arama çubuğuna Google Güvenlik Komut Merkezi yazın.

5. Google Güvenlik Komut Merkezi (Önizleme) bağlayıcısını seçin.

6. Ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.

7. Yapılandırma alanında Yeni toplayıcı ekle'yi seçin.

   

8. Yeni toplayıcı bağla panelinde GCP kaynaklarını oluştururken oluşturduğunuz kaynak parametrelerini yazın.

   

9. Tüm alanlardaki değerlerin GCP projenizdeki karşılıklarıyla eşleştiğinden emin olun (ekran görüntüsündeki değerler değişmez değerler değil örneklerdir) ve Bağlan'ı seçin.

GCP verilerinin Microsoft Sentinel ortamında olduğunu doğrulayın

1. GCP günlüklerinin Microsoft Sentinel'e başarıyla alındığından emin olmak için bağlayıcıyı ayarlamayı tamamladıktan 30 dakika sonra aşağıdaki sorguyu çalıştırın.

   GCP Denetim Günlükleri

   GCPAuditLogs 
   | take 10 
   

   Google Güvenlik Komut Merkezi

   GoogleSCC 
   | take 10 
   

2. Veri bağlayıcıları için sistem durumu özelliğini etkinleştirin.

Sonraki adımlar

Bu makalede GCP Pub/Sub bağlayıcılarını kullanarak GCP verilerini Microsoft Sentinel'e nasıl alabileceğinizi öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
• Microsoft Sentinel ile tehditleri algılamaya başlayın.
• Verilerinizi izlemek için çalışma kitaplarını kullanın.