將Google Cloud Platform 記錄數據內嵌至 Microsoft Sentinel

發行項
02/01/2024

組織正逐漸移至多雲端架構，無論是根據設計還是持續的需求。 越來越多的組織使用應用程式和將數據儲存在多個公用雲端上，包括Google Cloud Platform（GCP）。

本文說明如何將 GCP 數據內嵌至 Microsoft Sentinel，以取得完整的安全性涵蓋範圍，並分析和偵測多雲端環境中的攻擊。

使用 GCP Pub/Sub 連接器，根據我們的無程式代碼連線 or 平臺（CCP），您可以使用 GCP Pub/Sub 功能從 GCP 環境擷取記錄。

重要

GCP 發行/子稽核記錄連接器目前處於預覽狀態。 Azure 預覽補充條款包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未發行的版本) 的其他法律條款。

Google 的雲端稽核記錄會記錄一個稽核線索，分析師可用來監視 GCP 資源之間的存取和偵測潛在威脅。

必要條件

開始之前，請確認您有下列專案：

已啟用 Microsoft Sentinel 解決方案。
定義的 Microsoft Sentinel 工作區存在。
GCP 環境（專案）存在，並正在收集 GCP 稽核記錄。
您的 Azure 使用者具有 Microsoft Sentinel 參與者角色。
您的 GCP 使用者可以存取 GCP 專案中的編輯和建立資源。
同時啟用 GCP 身分識別和存取管理（IAM） API 和 GCP 雲端資源管理員 API。

設定 GCP 環境

您需要在 GCP 環境中設定兩件事：

在 GCP IAM 服務中建立下列資源，在 GCP 中設定 Microsoft Sentinel 驗證：
- 工作負載身分識別集區
- 工作負載識別提供者
- 服務帳戶
- 角色
在 GCP Pub/Sub 服務中建立下列資源，以設定 GCP 中的記錄收集，並擷取至 Microsoft Sentinel ：
- 主題
- 主題的訂用帳戶

您可以使用下列兩種方式之一來設定環境：

透過 Terraform API 建立 GCP 資源：Terraform 提供用於資源建立和身分識別和存取管理的 API（請參閱必要條件）。 Microsoft Sentinel 提供向 API 發出必要命令的 Terraform 腳本。
手動設定 GCP 環境，在 GCP 控制台中自行建立資源。

開啟 GCP Cloud Shell。
在編輯器中輸入下列命令，以選取您想要使用的專案：
```
gcloud config set project {projectId}  
```
將 Microsoft Sentinel 提供的 Terraform 驗證腳本從 Sentinel GitHub 存放庫複製到您的 GCP Cloud Shell 環境。
1. 開啟 Terraform GCPInitialAuthenticationSetup 腳本檔案，並複製其內容。
  
  注意
  
  若要將 GCP 資料內嵌至 Azure Government 雲端，請改用此驗證設定腳本。
2. 在您的 Cloud Shell 環境中建立目錄、輸入目錄，然後建立新的空白檔案。
```
mkdir {directory-name} && cd {directory-name} && touch initauth.tf
```
3. 在 Cloud Shell 編輯器中開啟 initauth.tf ，並將腳本檔案的內容貼入其中。
在終端機中輸入下列命令，在目錄中初始化 Terraform：
```
terraform init 
```
當您收到 Terraform 已初始化的確認訊息時，請在終端機中輸入下列命令來執行腳本：
```
terraform apply 
```
當文稿提示您輸入 Microsoft 租使用者識別碼時，請將它複製並貼到終端機。

注意

您可以在 Microsoft Sentinel 入口網站的 [GCP 發佈/子稽核記錄] 連接器頁面上，或在入口網站設定畫面中找到並複製您的租使用者標識碼（可透過選取畫面頂端的齒輪圖示，在 [目錄標識符] 數據行的 [Azure 入口網站任何地方存取]。
當系統詢問是否已為 Azure 建立工作負載身分識別集區時，請據以回答是或否。
當系統詢問您是否要建立列出的資源時，請輸入 yes。

顯示文稿的輸出時，請儲存資源參數以供稍後使用。

在Google Cloud Platform Identity and Access Management （IAM）服務中建立及設定下列專案。

建立自訂角色

請遵循Google Cloud檔中的指示來建立角色。根據這些指示，從頭開始建立自定義角色。
將角色命名為，使其可辨識為 Sentinel 自定義角色。
填寫相關詳細數據，並視需要新增許可權：
- pubsub.subscriptions.consume
- pubsub.subscriptions.get
您可以依角色篩選可用權限的清單。選取 [ 發行/訂閱者 ] 和 [發佈/子查看器 ] 角色以篩選清單。

如需在Google Cloud Platform 中建立角色的詳細資訊，請參閱在Google Cloud 檔中建立和管理自定義角色。

建立服務帳戶

請遵循Google Cloud檔中的指示來 建立服務帳戶。
將服務帳戶命名為，使其可辨識為 Sentinel 服務帳戶。
將您在上一節中建立的角色指派給服務帳戶。

如需Google Cloud Platform中服務帳戶的詳細資訊，請參閱 Google Cloud檔中的服務帳戶概觀。

建立工作負載身分識別集區和提供者

請遵循Google Cloud檔中的指示來 建立工作負載身分識別集區和提供者。
針對 [名稱] 和 [集區標識符]，輸入您的 Azure 租使用者標識符，並移除虛線。

注意

您可以在 [入口網站設定] 畫面的 [目錄標識符] 資料行中找到並複製您的租使用者識別碼。藉由選取畫面頂端的齒輪圖示，即可在 Azure 入口網站的任何位置存取入口網站設定畫面。
將識別提供者新增至集區。選擇 [開啟標識子連線（OIDC） 作為提供者類型。
將識別提供者命名為，使其可辨識其用途。
在提供者設定中輸入下列值（這些不是範例—使用這些實際值）：
- 簽發者（URL）： https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
- 物件：應用程式識別碼 URI： api://2041288c-b303-4ca0-9076-9612db3beeb2
- 屬性對應： google.subject=assertion.sub
注意

若要設定連接器以將記錄從 GCP 傳送至 Azure Government 雲端，請針對提供者設定使用下列替代值，而不是上述值：
- 簽發者（URL）： https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
- 物件： api://e9885b54-fac0-4cd6-959f-a72066026929

如需 Google Cloud Platform 中工作負載身分識別同盟的詳細資訊，請參閱 Google Cloud 檔中的工作負載身分識別同盟。

授與服務帳戶的身分識別集區存取權

找出並選取您稍早建立的服務帳戶。
找出服務帳戶的許可權設定。
授與主體的存取 權，此主體代表您在上一個步驟中建立的工作負載身分識別集區和提供者。
- 針對主體名稱使用下列格式：
```
principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
```
- 指派工作負載身分識別使用者角色並儲存設定。

如需在Google Cloud Platform 中授與存取權的詳細資訊，請參閱 Google Cloud 檔中管理專案、資料夾和組織存取權。

GCP 稽核記錄設定

Terraform API 設定
手動設定

將 Microsoft Sentinel 提供的 Terraform 稽核記錄設定腳本從 Sentinel GitHub 存放庫複製到 GCP Cloud Shell 環境中的不同資料夾。
1. 開啟 Terraform GCPAuditLogsSetup 腳本檔案，並複製其內容。
  
  注意
  
  若要將 GCP 資料內嵌至 Azure Government 雲端，請改用此稽核記錄設定腳本。
2. 在您的 Cloud Shell 環境中建立另一個目錄、輸入該目錄，然後建立新的空白檔案。
```
mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
```
3. 在 Cloud Shell 編輯器中開啟 auditlog.tf ，並將腳本檔案的內容貼入其中。
在終端機中輸入下列命令，在新的目錄中初始化 Terraform：
```
terraform init 
```
當您收到 Terraform 已初始化的確認訊息時，請在終端機中輸入下列命令來執行腳本：
```
terraform apply 
```
若要使用單一 Pub/Sub 從整個組織內嵌記錄，請輸入：
```
terraform apply -var="organization-id= {organizationId} "
```
當系統詢問您是否要建立列出的資源時，請輸入 yes。

顯示文稿的輸出時，請儲存資源參數以供稍後使用。

請等候五分鐘，再移至下一個步驟。

建立發佈主題

使用Google Cloud Platform Pub/Sub服務來設定稽核記錄的導出。

請遵循Google Cloud檔中的指示，建立 發佈記錄的主題 。

選擇反映記錄收集目的的主題標識碼，以導出至 Microsoft Sentinel。
新增預設訂用帳戶。
使用Google管理的加密金鑰進行加密。

建立記錄接收

使用Google Cloud Platform Log Router服務來設定稽核記錄的收集。

只收集目前項目中資源的記錄：

確認已在項目選取器中選取您的專案。
請遵循Google Cloud 檔中的指示來設定接收以收集記錄。
- 選擇 [名稱] 以反映記錄收集的目的，以導出至 Microsoft Sentinel。
- 選取 [Cloud Pub/Sub 主題] 作為目的地類型，然後選擇您在上一個步驟中建立的主題。

若要收集整個組織的資源記錄：

在項目選取器中選取您的組織。
請遵循Google Cloud 檔中的指示來設定接收以收集記錄。
- 選擇 [名稱] 以反映記錄收集的目的，以導出至 Microsoft Sentinel。
- 選取 [Cloud Pub/Sub 主題] 作為目的地類型，然後選擇預設的 [在專案中使用 Cloud Pub/Sub 主題]。
- 以下列格式輸入目的地： pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}。
在 [選擇要包含在接收中的記錄] 下，選取 [包含此組織所擷取的記錄和所有子資源]。

確認 GCP 可以接收傳入訊息

在 GCP Pub/Sub 控制台中，流覽至 [ 訂用帳戶]。
選取 [訊息]，然後選取 [ PULL ] 以起始手動提取。
檢查傳入訊息。

在 Microsoft Sentinel 中設定 GCP Pub/Sub 連接器

開啟 Azure 入口網站並流覽至 Microsoft Sentinel 服務。
在內容中樞的搜尋列中，輸入 Google Cloud Platform Audit Logs。
安裝Google Cloud Platform Audit Logs 解決方案。
選取 [數據連接器]，然後在搜尋列中輸入 GCP Pub/Sub Audit Logs。
選取 GCP 發佈/子稽核記錄（預覽） 連接器。
在詳細資料窗格中，選取 [Open connector page] \(開啟連接器頁面\)。
在 [ 組態 ] 區域中，選取 [ 新增收集器]。
在 連線新的收集器面板中，輸入您在建立 GCP 資源時所建立的資源參數。
請確定所有欄位中的值都符合 GCP 專案中的對應項目，然後選取 [連線]。

確認 GCP 數據位於 Microsoft Sentinel 環境中

若要確保 GCP 記錄已成功內嵌至 Microsoft Sentinel，請在完成設定連接器之後 30 分鐘執行下列查詢。
```
GCPAuditLogs 
| take 10 
```
啟用數據連接器的健康情況功能。

下一步

在本文中，您已瞭解如何使用 GCP Pub/Sub 連接器將 GCP 數據內嵌至 Microsoft Sentinel。若要深入了解 Microsoft Sentinel，請參閱下列文章：

瞭解如何瞭解您的數據和潛在威脅。
開始使用 Microsoft Sentinel 偵測威脅。
使用活頁簿來監視您的數據。

Share via