Google Cloud Platform günlük verilerini Microsoft Sentinel alma

Kuruluşlar, ister tasarım gereği ister sürekli gereksinimlerden dolayı çok bulutlu mimarilere giderek daha fazla geçiş yapmaya devam ediyor. Bu kuruluşların sayısı giderek artan sayıda uygulama kullanıyor ve Google Bulut Platformu (GCP) dahil olmak üzere birden çok genel bulutta veri depolar.

Bu makalede, tam güvenlik kapsamı elde etmek ve çoklu bulut ortamınızdaki saldırıları analiz etmek ve algılamak için GCP verilerinin nasıl Microsoft Sentinel alındığı açıklanır.

GcP Pub/Sub bağlayıcıları ile Kodsuz Bağlayıcı Çerçevemize (CCF) bağlı olarak GCP Pub/Sub özelliğini kullanarak GCP ortamınızdan günlükleri alabilirsiniz:

• Google Cloud Platform (GCP) Pub/Sub Denetim Günlükleri bağlayıcısı GCP kaynaklarına erişimin denetim kayıtlarını toplar. Analistler, kaynak erişim girişimlerini izlemek ve GCP ortamı genelinde olası tehditleri algılamak için bu günlükleri izleyebilir.

• Google Cloud Platform (GCP) Güvenlik Komut Merkezi bağlayıcısı, Google Cloud için güçlü bir güvenlik ve risk yönetimi platformu olan Google Güvenlik Komut Merkezi'nden bulgular toplar. Analistler varlık envanteri ve bulma, güvenlik açıklarının ve tehditlerin algılanması ve risk azaltma ve düzeltme dahil olmak üzere kuruluşun güvenlik duruşu hakkında içgörüler elde etmek için bu bulguları görüntüleyebilir.

• Google Kubernetes Engine bağlayıcısı, Google Kubernetes Engine (GKE) Günlüklerini toplar. Analistler küme etkinliğini, iş yükü davranışını ve güvenlik olaylarını izlemek için bu günlükleri izleyebilir ve analistlerin Kubernetes iş yüklerini izlemesine, performansı analiz etmesine ve GKE kümelerindeki olası tehditleri algılamasına olanak sağlar.

Önkoşullar

Başlamadan önce aşağıdakilere sahip olduğunuzu doğrulayın:

• Microsoft Sentinel çözümü etkindir.
• Tanımlı bir Microsoft Sentinel çalışma alanı var.
• GcP ortamı var ve almak istediğiniz aşağıdaki günlük türünden birini oluşturan kaynaklar içeriyor:
  • GCP denetim günlükleri
  • Google Güvenlik Komut Merkezi bulguları
• Azure kullanıcınızın Microsoft Sentinel Katkıda Bulunan rolü vardır.
• GCP kullanıcınızın GCP projesinde kaynak oluşturma ve düzenleme erişimi vardır.
• GCP Kimlik ve Erişim Yönetimi (IAM) API'sinin ve GCP Bulut Resource Manager API'sinin her ikisi de etkindir.

GCP ortamını ayarlama

GCP ortamınızda ayarlamanız gereken iki şey vardır:

1. GCP IAM hizmetinde aşağıdaki kaynakları oluşturarak GCP'de Microsoft Sentinel kimlik doğrulamasını ayarlayın:

   • İş yükü kimlik havuzu
   • İş yükü kimlik sağlayıcısı
   • Hizmet hesabı
   • Rol

2. GCP Pub/Sub hizmetinde aşağıdaki kaynakları oluşturarak GCP'de günlük toplamayı ve Microsoft Sentinel alma işlemini ayarlayın:

   • Konu
   • Konu için abonelik

Ortamı iki yoldan biriyle ayarlayabilirsiniz:

• Terraform API'sini kullanarak GCP kaynakları oluşturma: Terraform, kaynak oluşturma ve Kimlik ve Erişim Yönetimi için API'ler sağlar (bkz . Önkoşullar). Microsoft Sentinel, API'lere gerekli komutları veren Terraform betikleri sağlar.

• GCP ortamını el ile ayarlayarak gcp konsolunda kaynakları kendiniz oluşturun.

  Not

  Güvenlik Komut Merkezi'nden günlük toplama için GCP Pub/Sub kaynakları oluşturmak için kullanılabilir terraform betiği yoktur. Bu kaynakları el ile oluşturmanız gerekir. Terraform betiğini kullanarak kimlik doğrulaması için GCP IAM kaynaklarını oluşturabilirsiniz.

  Önemli

  Kaynakları el ile oluşturuyorsanız, tüm kimlik doğrulama (IAM) kaynaklarını aynı GCP projesinde oluşturmanız gerekir, aksi takdirde çalışmaz. (Pub/Sub kaynakları farklı bir projede olabilir.)

GCP Kimlik Doğrulaması Kurulumu

Tüm GCP bağlayıcıları için gereklidir.

Terraform API Kurulumu

1. GCP Cloud Shell açın.

2. Düzenleyicide aşağıdaki komutu yazarak çalışmak istediğiniz projeyi seçin:

   gcloud config set project {projectId}  
   

3. Sentinel GitHub deposundan Microsoft Sentinel tarafından sağlanan Terraform kimlik doğrulama betiğini GCP Cloud Shell ortamınıza kopyalayın.

   1. Terraform GCPInitialAuthenticationSetup betik dosyasını açın ve içeriğini kopyalayın.

      Not

      GCP verilerini bir Azure Kamu buluta almak için bunun yerine bu kimlik doğrulama kurulum betiğini kullanın.

   2. Cloud Shell ortamınızda bir dizin oluşturun, girin ve yeni bir boş dosya oluşturun.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Cloud Shell düzenleyicisinde initauth.tf açın ve betik dosyasının içeriğini dosyaya yapıştırın.

4. Terminale aşağıdaki komutu yazarak terraform'ı oluşturduğunuz dizinde başlatın:

   terraform init 
   

5. Terraform'un başlatıldığını belirten onay iletisini aldığınızda, terminale aşağıdaki komutu yazarak betiği çalıştırın:

   terraform apply 
   

6. Betik Microsoft kiracı kimliğinizi isterken kopyalayıp terminale yapıştırın.

   Not

   Kiracı kimliğinizi Microsoft Sentinel portalındaki GCP Pub/Sub Denetim Günlükleri bağlayıcı sayfasında veya Portal ayarları ekranında (ekranın üst kısmındaki dişli simgesini seçerek Azure portal herhangi bir yerde erişilebilir) Dizin Kimliği sütununda bulabilir ve kopyalayabilirsiniz.

7. Azure için zaten bir iş yükü Kimlik Havuzu oluşturulup oluşturulmadığı sorulduğunda, buna göre evet veya hayır yanıtını verin.

8. Listelenen kaynakları oluşturmak isteyip istemediğiniz sorulduğunda evet yazın.

Betikten çıktı görüntülendiğinde, daha sonra kullanmak üzere kaynak parametrelerini kaydedin.

El ile kurulum

Google Cloud Platform Identity and Access Management (IAM) hizmetinde aşağıdaki öğeleri oluşturun ve yapılandırın.

Özel rol oluşturma

1. Rol oluşturmak için Google Cloud belgelerindeki yönergeleri izleyin. Bu yönergelere göre sıfırdan özel bir rol oluşturun.

2. Rolü, Sentinel özel bir rol olarak tanınabilmesi için adlandırın.

3. İlgili ayrıntıları doldurun ve gereken izinleri ekleyin:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Kullanılabilir izinler listesini rollere göre filtreleyebilirsiniz. Listeyi filtrelemek için Pub/Sub Abonesi ve Pub/Sub Viewer rollerini seçin.

Google Cloud Platform'da rol oluşturma hakkında daha fazla bilgi için Google Cloud belgelerindeki Özel roller oluşturma ve yönetme bölümüne bakın.

Hizmet hesabı oluşturma

1. Hizmet hesabı oluşturmak için Google Cloud belgelerindeki yönergeleri izleyin.

2. Hizmet hesabını Sentinel hizmet hesabı olarak tanınabilmesi için adlandırın.

3. Önceki bölümde oluşturduğunuz rolü hizmet hesabına atayın.

Google Cloud Platform'daki hizmet hesapları hakkında daha fazla bilgi için Google Cloud belgelerindeki Hizmet hesaplarına genel bakış bölümüne bakın.

İş yükü kimlik havuzunu ve sağlayıcısını oluşturma

1. İş yükü kimlik havuzunu ve sağlayıcısını oluşturmak için Google Cloud belgelerindeki yönergeleri izleyin.

2. Ad ve Havuz Kimliği için, tirelerin kaldırıldığı Azure Kiracı Kimliğinizi girin.

   Not

   Kiracı kimliğinizi Portal ayarları ekranında, Dizin Kimliği sütununda bulabilir ve kopyalayabilirsiniz. Portal ayarları ekranına Azure portal herhangi bir yerde ekranın üst kısmındaki dişli simgesini seçerek erişilebilir.

3. Havuza bir kimlik sağlayıcısı ekleyin. Sağlayıcı türü olarak Açık Kimlik Bağlantısı (OIDC) seçeneğini belirleyin.

4. Kimlik sağlayıcısını amacına göre tanınabilir olacak şekilde adlandırın.

5. Sağlayıcı ayarlarına aşağıdaki değerleri girin (bunlar örnek değildir; şu gerçek değerleri kullanın):

   • Veren (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • hedef kitle: uygulama kimliği URI'si: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Öznitelik eşlemesi: google.subject=assertion.sub

   Not

   Bağlayıcıyı GCP'den Azure Kamu buluta günlük gönderecek şekilde ayarlamak için yukarıdakiler yerine sağlayıcı ayarları için aşağıdaki alternatif değerleri kullanın:

   • Veren (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • hedef kitle: api://e9885b54-fac0-4cd6-959f-a72066026929

Google Cloud Platform'da iş yükü kimlik federasyonu hakkında daha fazla bilgi için Google Cloud belgelerindeki İş yükü kimlik federasyonu bölümüne bakın.

Hizmet hesabına kimlik havuzu erişimi verme

1. Daha önce oluşturduğunuz hizmet hesabını bulun ve seçin.

2. Hizmet hesabının izin yapılandırmasını bulun.

3. Önceki adımda oluşturduğunuz iş yükü kimlik havuzunu ve sağlayıcıyı temsil eden sorumluya erişim izni verin.

   • Asıl ad için aşağıdaki biçimi kullanın:

     principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
     

   • İş Yükü Kimliği Kullanıcı rolünü atayın ve yapılandırmayı kaydedin.

Google Cloud Platform'da erişim verme hakkında daha fazla bilgi için Google Cloud belgelerindeki Projelere, klasörlere ve kuruluşlara erişimi yönetme bölümüne bakın.

GCP Denetim Günlükleri Kurulumu

Bu bölümdeki yönergeler, Microsoft Sentinel GCP Pub/Sub Denetim Günlükleri bağlayıcısını kullanmaya yönelik olarak hazırlanmıştır.

Microsoft Sentinel GCPPub/Sub Security Command Center bağlayıcısını kullanmak için bkz. GCP Güvenlik Komut Merkezi kurulumu.

Microsoft Sentinel Google Kubernetes Engine bağlayıcısını kullanmak için bkz. GKE Günlükleri kurulumu.

Terraform API Kurulumu

1. Sentinel GitHub deposundan Microsoft Sentinel tarafından sağlanan Terraform denetim günlüğü kurulum betiğini GCP Cloud Shell ortamınızda farklı bir klasöre kopyalayın.

   1. Terraform GCPAuditLogsSetup betik dosyasını açın ve içeriğini kopyalayın.

      Not

      GCP verilerini bir Azure Kamu buluta almak için bunun yerine bu denetim günlüğü kurulum betiğini kullanın.

   2. Cloud Shell ortamınızda başka bir dizin oluşturun, girin ve yeni bir boş dosya oluşturun.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Cloud Shell düzenleyicisinde auditlog.tf açın ve betik dosyasının içeriğini dosyaya yapıştırın.

2. Terminale aşağıdaki komutu yazarak Terraform'ı yeni dizinde başlatın:

   terraform init 
   

3. Terraform'un başlatıldığını belirten onay iletisini aldığınızda, terminale aşağıdaki komutu yazarak betiği çalıştırın:

   terraform apply 
   

   Tek bir Pub/Sub kullanarak kuruluşun tamamından günlük almak için şunu yazın:

   terraform apply -var="organization-id= {organizationId} "
   

4. Listelenen kaynakları oluşturmak isteyip istemediğiniz sorulduğunda evet yazın.

Betikten çıktı görüntülendiğinde, daha sonra kullanmak üzere kaynak parametrelerini kaydedin.

Sonraki adıma geçmeden önce beş dakika bekleyin.

El ile kurulum

Yayımlama konusu oluşturma

Denetim günlüklerinin dışarı aktarılmasını ayarlamak için Google Cloud Platform Pub/Sub hizmetini kullanın.

Günlükleri yayımlamaya yönelik bir konu oluşturmak için Google Cloud belgelerindeki yönergeleri izleyin.

• Microsoft Sentinel dışarı aktarmak için günlük koleksiyonunun amacını yansıtan bir Konu Kimliği seçin.
• Varsayılan bir abonelik ekleyin.
• Şifreleme için Google tarafından yönetilen bir şifreleme anahtarı kullanın.

Günlük havuzu oluşturma

Denetim günlüklerinin koleksiyonunu ayarlamak için Google Cloud Platform Günlük Yönlendiricisi hizmetini kullanın.

Yalnızca geçerli projedeki kaynakların günlüklerini toplamak için:

1. Proje seçicide projenizin seçili olduğunu doğrulayın.

2. Günlükleri toplamak üzere bir havuz ayarlamak için Google Cloud belgelerindeki yönergeleri izleyin.

   • Microsoft Sentinel dışarı aktarmak için günlük toplamanın amacını yansıtan bir Ad seçin.
   • Hedef türü olarak "Cloud Pub/Sub topic" öğesini seçin ve önceki adımda oluşturduğunuz konuyu seçin.

Kuruluşun tamamında kaynakların günlüklerini toplamak için:

1. Proje seçicide kuruluşunuzu seçin.

2. Günlükleri toplamak üzere bir havuz ayarlamak için Google Cloud belgelerindeki yönergeleri izleyin.

   • Microsoft Sentinel dışarı aktarmak için günlük toplamanın amacını yansıtan bir Ad seçin.
   • Hedef türü olarak "Cloud Pub/Sub topic" öğesini seçin ve varsayılan "Projede Cloud Pub/Sub konu başlığı kullan" seçeneğini belirleyin.
   • Hedefi şu biçimde girin: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. Havuza eklenecek günlükleri seçin altında, Bu kuruluş tarafından alınan günlükleri ve tüm alt kaynakları ekle'yi seçin.

GCP'nin gelen iletileri alabildiğini doğrulayın

1. GCP Pub/Sub konsolunda Abonelikler'e gidin.

2. İletiler'i seçin ve el ile çekme işlemi başlatmak için ÇEKME'yi seçin.

3. Gelen iletileri denetleyin.

GCP Pub/Sub Security Command Center bağlayıcısını da ayarlanıyorsa sonraki bölümle devam edin.

Aksi takdirde, Microsoft Sentinel'de GCP Pub/Sub bağlayıcısını ayarlama bölümüne atlayın.

GCP Güvenlik Komut Merkezi kurulumu

Bu bölümdeki yönergeler, Microsoft Sentinel GCP Pub/Sub Security Command Center bağlayıcısını kullanmaya yönelik olarak hazırlanmıştır.

Microsoft Sentinel GCP Pub/Sub Audit Logs bağlayıcısını kullanmak için önceki bölümdeki yönergelere bakın.

Microsoft Sentinel Google Kubernetes Engine bağlayıcısını kullanmak için bkz. GKE Günlükleri kurulumu.

Bulguların sürekli dışarı aktarımını yapılandırma

Gelecekteki SCC bulgularının GCP Pub /Sub hizmetine Pub/Sub dışarı aktarmalarını yapılandırmak için Google Cloud belgelerindeki yönergeleri izleyin.

1. Dışarı aktarmanız için bir proje seçmeniz istendiğinde, bu amaçla oluşturduğunuz bir projeyi seçin veya yeni bir proje oluşturun.

2. Bulgularınızı dışarı aktarmak istediğiniz bir Pub/Sub konusu seçmeniz istendiğinde, yeni bir konu oluşturmak için yukarıdaki yönergeleri izleyin.

Google Kubernetes Engine Bağlayıcısı Kurulumu

Bu bölümdeki yönergeler, Microsoft Sentinel Google Kubernetes Engine bağlayıcısını kullanmaya yöneliktir.

Microsoft Sentinel GCPPub/Sub Security Command Center bağlayıcısını kullanmak için bkz. GCP Güvenlik Komut Merkezi kurulumu.

Microsoft Sentinel GCP Pub/Sub Audit Logs bağlayıcısını kullanmak için bkz. GCP Denetim Günlükleri kurulumu.

Terraform API Kurulumu

1. Sentinel GitHub deposundan Microsoft Sentinel tarafından sağlanan Terraform denetim günlüğü kurulum betiğini GCP Cloud Shell ortamınızda farklı bir klasöre kopyalayın.

   1. Terraform GoogleKubernetesEngineLogSetup betik dosyasını açın ve içeriğini kopyalayın.

   2. Cloud Shell ortamınızda başka bir dizin oluşturun, girin ve yeni bir boş dosya oluşturun.

      mkdir {other-directory-name} && cd {other-directory-name} && touch gkelog.tf
      

   3. Cloud Shell düzenleyicisinde gkelog.tf açın ve betik dosyasının içeriğini dosyaya yapıştırın.

2. Terminale aşağıdaki komutu yazarak Terraform'ı yeni dizinde başlatın:

   terraform init 
   

3. Terraform'un başlatıldığını belirten onay iletisini aldığınızda, terminale aşağıdaki komutu yazarak betiği çalıştırın:

   terraform apply 
   

   Tek bir Pub/Sub kullanarak kuruluşun tamamından günlük almak için şunu yazın:

   terraform apply -var="organization-id= {organizationId} "
   

4. Listelenen kaynakları oluşturmak isteyip istemediğiniz sorulduğunda evet yazın.

Betikten çıktı görüntülendiğinde, daha sonra kullanmak üzere kaynak parametrelerini kaydedin.

Sonraki adıma geçmeden önce beş dakika bekleyin.

Microsoft Sentinel'de GCP Pub/Sub bağlayıcısını ayarlama

GCP Denetim Günlükleri

1. Azure portal açın ve Microsoft Sentinel hizmetine gidin.

2. İçerik hub'ında, arama çubuğuna Google Cloud Platform Denetim Günlükleri yazın.

3. Google Cloud Platform Denetim Günlükleri çözümünü yükleyin.

4. Veri bağlayıcıları'nı seçin ve arama çubuğuna GCP Pub/Sub Audit Logs yazın.

5. GCP Pub/Sub Denetim Günlükleri bağlayıcısını seçin.

6. Ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.

7. Yapılandırma alanında Yeni toplayıcı ekle'yi seçin.

   

8. Yeni toplayıcıyı bağla panelinde GCP kaynaklarını oluştururken oluşturduğunuz kaynak parametrelerini yazın.

   

9. Tüm alanlardaki değerlerin GCP projenizdeki karşılıklarıyla eşleştiğinden emin olun (ekran görüntüsündeki değerler değişmez değerler değil örneklerdir) ve Bağlan'ı seçin.

Google Güvenlik Komut Merkezi

1. Azure portal açın ve Microsoft Sentinel hizmetine gidin.

2. İçerik hub'ında, arama çubuğuna Google Güvenlik Komut Merkezi yazın.

3. Google Güvenlik Komut Merkezi çözümünü yükleyin.

4. Veri bağlayıcıları'nı seçin ve arama çubuğuna Google Güvenlik Komut Merkezi yazın.

5. Google Güvenlik Komut Merkezi bağlayıcısını seçin.

6. Ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.

7. Yapılandırma alanında Yeni toplayıcı ekle'yi seçin.

   

8. Yeni toplayıcıyı bağla panelinde GCP kaynaklarını oluştururken oluşturduğunuz kaynak parametrelerini yazın.

   

9. Tüm alanlardaki değerlerin GCP projenizdeki karşılıklarıyla eşleştiğinden emin olun (ekran görüntüsündeki değerler değişmez değerler değil örneklerdir) ve Bağlan'ı seçin.

GKE Günlükleri

1. Azure portal açın ve Microsoft Sentinel hizmetine gidin.

2. İçerik hub'ında, arama çubuğuna Google Cloud Platform Denetim Günlükleri yazın.

3. Google Kubernetes Engine çözümünü yükleyin.

4. Veri bağlayıcıları'nı seçin ve arama çubuğuna Google Kubernetes Engine (Codeless Connector Framework aracılığıyla) yazın.

5. Google Kubernetes Engine (Codeless Connector Framework aracılığıyla) bağlayıcısını seçin.

6. Ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.

7. Yapılandırma alanında Yeni toplayıcı ekle'yi seçin.

   

8. Yeni toplayıcıyı bağla panelinde GCP kaynaklarını oluştururken oluşturduğunuz kaynak parametrelerini yazın.

   

9. Tüm alanlardaki değerlerin GCP projenizdeki karşılıklarıyla eşleştiğinden emin olun (ekran görüntüsündeki değerler değişmez değerler değil örneklerdir) ve Bağlan'ı seçin.

GCP verilerinin Microsoft Sentinel ortamında olduğunu doğrulayın

1. GCP günlüklerinin Microsoft Sentinel başarıyla alındığından emin olmak için, bağlayıcıyı ayarlamayı tamamladıktan 30 dakika sonra aşağıdaki sorguyu çalıştırın.

   GCP Denetim Günlükleri

   GCPAuditLogs 
   | take 10 
   

   Google Güvenlik Komut Merkezi

   GoogleSCC 
   | take 10 
   

   GKE Günlükleri

   GKEAudit 
   | take 10 
   

2. Veri bağlayıcıları için sistem durumu özelliğini etkinleştirin.

Sorun giderme

1. "Hata 409: İstenen varlık zaten var" Terraform betiklerini çalıştırırken: Mevcut GCP kaynaklarını Terraform durumuna aktararak Terraform'un bunları yeniden oluşturmaya çalışmak yerine yönetmesini sağlayın. Örneğin, şu hata iletisiyle: "WorkloadIdentityPool oluşturulurken hata oluştu: googleapi: Hata 409: İstenen varlık zaten var", lütfen havuz kimliğini ve proje kimliğini bulun, komutunu çalıştırın:

terraform import google_iam_workload_identity_pool.<POOL_RESOURCE_NAME> projects/<PROJECT_ID>/locations/global/workloadIdentityPools/<POOL_ID>

---

Sonraki adımlar

Bu makalede GCP Pub/Sub bağlayıcılarını kullanarak GCP verilerini Microsoft Sentinel alma hakkında bilgi edindiyseniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Verilerinize ve olası tehditlere nasıl göz atacağınızı öğrenin.
  • Microsoft Sentinel ile tehditleri algılamaya başlayın.
  • Verilerinizi izlemek için çalışma kitaplarını kullanın.