將 Google Cloud Platform 記錄資料擷取至 Microsoft Sentinel

無論是根據設計還是有持續的需求，各組織正逐漸轉移至多雲端架構。 其中有越來越多的組織在包括 Google Cloud Platform (GCP) 在內的多個公用雲端上使用應用程式和儲存資料。

本文會說明如何將 GCP 資料擷取至 Microsoft Sentinel，以獲得完整的安全性涵蓋範圍，並分析和偵測多雲端環境中的攻擊。

在使用 GCP Pub/Sub 連接器時，根據我們的無程式碼連接器平台 (CCP)，您可以使用 GCP Pub/Sub 功能從 GCP 環境中擷取記錄：

• Google Cloud Platform (GCP) Pub/Sub 稽核記錄連接器會收集 GCP 資源存取的稽核線索。 分析師可以監視這些記錄，以追蹤資源存取嘗試，並偵測 GCP 環境中的潛在威脅。

• Google Cloud Platform (GCP) Security Command Center 連接器會收集 Google Security Command Center (適用於 Google Cloud 的強固安全性和風險管理平台) 的結果。 分析師可以檢視這些結果，以深入解析組織的安全性態勢，包括資產清查和探索、弱點和威脅的偵測，以及風險降低和補救。

必要條件

開始之前，請驗證您具備下列項目：

• 已啟用 Microsoft Sentinel 解決方案。
• 存在已定義的 Microsoft Sentinel 工作區。
• 存在 GCP 環境，且其包含會產生您要擷取之下列其中一個記錄類型的資源：
  • GCP 稽核記錄
  • Google Security Command Center 結果
• 您的 Azure 使用者具有 Microsoft Sentinel 參與者角色。
• 您的 GCP 使用者具有在 GCP 專案中建立和編輯資源的權限。
• GCP Identity and Access Management (IAM) API 和 GCP Cloud Resource Manager API 皆已啟用。

設定 GCP 環境

您需要在 GCP 環境中進行兩項設定：

1. 在 GCP 中設定 Microsoft Sentinel 驗證，方法是在 GCP IAM 服務中建立下列資源：

   • 工作負載身分識別集區
   • 工作負載識別提供者
   • 服務帳戶
   • 角色

2. 在 GCP 中設定記錄收集和目的地為 Microsoft Sentinel 的擷取，方法是在 GCP Pub/Sub 服務中建立下列資源：

   • 主題
   • 主題的訂用帳戶

您可以使用下列兩種方式之一來設定環境：

• 透過 Terraform API 建立 GCP 資源：Terraform 提供用於資源建立和用於身分識別和存取權管理的 API (請參閱必要條件)。 Microsoft Sentinel 會提供向 API 發出必要命令的 Terraform 指令碼。

• 手動設定 GCP 環境，在 GCP 主控台中自行建立資源。

  注意

  沒有任何 Terraform 指令碼可用於從 Security Command Center 中建立用來收集記錄的 GCP Pub/Sub 資源。 您必須手動建立這些資源。 您仍然可以使用 Terraform 指令碼來建立用於驗證的 GCP IAM 資源。

  重要

  如果您要手動建立資源，則必須在相同的 GCP 專案中建立「所有」驗證 (IAM) 資源，否則其將無法運作。 (Pub/Sub 資源可以位於不同的專案中。)

GCP 驗證設定

Terraform API 設定

1. 開啟 GCP Cloud Shell。

2. 在編輯器中輸入下列命令，以選取您想要使用的專案：

   gcloud config set project {projectId}  
   

3. 將 Microsoft Sentinel 所提供的 Terraform 驗證指令碼從 Sentinel GitHub 存放庫複製到您的 GCP Cloud Shell 環境。

   1. 開啟 Terraform GCPInitialAuthenticationSetup 指令碼檔案，並複製其內容。

      注意

      若要將 GCP 資料擷取至 Azure Government 雲端，請改用此驗證設定指令碼。

   2. 在您的 Cloud Shell 環境中建立目錄、進入該目錄，然後建立新的空白檔案。

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. 在 Cloud Shell 編輯器中開啟「initauth.tf」，並於其中貼上指令檔的內容。

4. 在終端機中輸入下列命令，以在您建立的目錄中初始化 Terraform：

   terraform init 
   

5. 當您收到 Terraform 已初始化的確認訊息時，請在終端機中輸入下列命令來執行指令碼：

   terraform apply 
   

6. 當指令碼提示您輸入 Microsoft 租用戶識別碼時，請將其複製並貼到終端機。

   注意

   您可以在 Microsoft Sentinel 入口網站的 [GCP Pub/Sub 稽核記錄] 連接器頁面上，或在 [入口網站設定] 畫面 (可在 Azure 入口網站中的任何地方存取，方法是選取畫面頂端的齒輪圖示) 的 [目錄識別碼] 資料行中，尋找並複製您的租用戶識別碼。

7. 當系統詢問您是否已為 Azure 建立工作負載身分識別集區時，請據以回答「是」或「否」。

8. 當系統詢問您是否要建立所列出的資源時，請輸入「是」。

當系統顯示指令碼的輸出時，請儲存資源參數以供稍後使用。

手動設定

在 Google Cloud Platform Identity and Access Management (IAM) 服務中建立及設定下列項目。

建立自訂角色

1. 遵循 Google Cloud 文件中的指示來建立角色。 按照這些指示，從頭開始建立自訂角色。

2. 為角色命名，使其可辨識為 Sentinel 自訂角色。

3. 填寫相關詳細資料，並視需要新增權限：

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   您可以依角色來篩選可用權限的清單。 選取 [Pub/Sub 訂閱者] 和 [Pub/Sub 檢視者] 角色以篩選清單。

如需如何在 Google Cloud Platform 中建立角色的詳細資訊，請參閱 Google Cloud 文件中的建立和管理自訂角色。

建立服務帳戶

1. 遵循 Google Cloud 文件中的指示來建立服務帳戶。

2. 為服務帳戶命名，使其可辨識為 Sentinel 服務帳戶。

3. 將您在上一節建立的角色指派給服務帳戶。

如需 Google Cloud Platform 中服務帳戶的詳細資訊，請參閱 Google Cloud 文件中的服務帳戶概觀。

建立工作負載身分識別集區和提供者

1. 遵循 Google Cloud 文件中的指示來建立工作負載身分識別集區和提供者。

2. 針對 [名稱] 和 [集區識別碼]，輸入您的 Azure 租用戶識別碼，並移除虛線。

   注意

   您可以在 [入口網站設定] 畫面的 [目錄識別碼] 資料行中找到並複製您的租用戶識別碼。 [入口網站設定] 可在 Azure 入口網站中的任何地方存取，方法是選取畫面頂端的齒輪圖示。

3. 將識別提供者新增至集區。 選擇 [Open ID Connect (OIDC)] 作為提供者類型。

4. 為識別提供者命名，以便能夠辨識其用途。

5. 在提供者設定中輸入下列值 (這些值並非範例—請使用這些實際值)：

   • 簽發者 (URL)：https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • 對象：應用程式識別碼 URI：api://2041288c-b303-4ca0-9076-9612db3beeb2
   • 屬性對應：google.subject=assertion.sub

   注意

   若要設定連接器以將記錄從 GCP 傳送至 Azure Government 雲端，請針對提供者設定使用下列替代值，而不是上面的值：

   • 簽發者 (URL)：https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • 對象：api://e9885b54-fac0-4cd6-959f-a72066026929

如需 Google Cloud Platform 中工作負載身分識別同盟的詳細資訊，請參閱 Google Cloud 文件中的工作負載身分識別同盟。

向服務帳戶授與身分識別集區的存取權

1. 找出並選取您稍早建立的服務帳戶。

2. 找出服務帳戶的權限設定。

3. 向代表上一個步驟所建立工作負載身分識別集區和提供者的主體授與存取權。

   • 針對主體名稱使用下列格式：

     principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
     

   • 指派工作負載身分識別使用者角色並儲存設定。

如需在 Google Cloud Platform 中授與存取權的詳細資訊，請參閱 Google Cloud 文件中的管理專案、資料夾和組織的存取權。

GCP 稽核記錄設定

本節中的指示適用於使用 Microsoft Sentinel GCP Pub/Sub 稽核記錄連接器。

請參閱下一節中的指示，以了解如何使用 Microsoft Sentinel GCP Pub/Sub Security Command Center 連接器。

Terraform API 設定

1. 將 Microsoft Sentinel 所提供的 Terraform 稽核記錄設定指令碼從 Sentinel GitHub 存放庫複製到您 GCP Cloud Shell 環境中的不同資料夾。

   1. 開啟 Terraform GCPAuditLogsSetup 指令碼檔案，並複製其內容。

      注意

      若要將 GCP 資料擷取至 Azure Government 雲端，請改用此稽核記錄設定指令碼。

   2. 在您的 Cloud Shell 環境中建立另一個目錄、進入該目錄，然後建立新的空白檔案。

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. 在 Cloud Shell 編輯器中開啟「auditlog.tf」，並於其中貼上指令檔的內容。

2. 在終端機中輸入下列命令，以在新的目錄中初始化 Terraform：

   terraform init 
   

3. 當您收到 Terraform 已初始化的確認訊息時，請在終端機中輸入下列命令來執行指令碼：

   terraform apply 
   

   若要使用單一 Pub/Sub 從整個組織擷取記錄，請輸入：

   terraform apply -var="organization-id= {organizationId} "
   

4. 當系統詢問您是否要建立所列出的資源時，請輸入「是」。

當系統顯示指令碼的輸出時，請儲存資源參數以供稍後使用。

先等候五分鐘，再進入下一個步驟。

手動設定

建立發佈主題

使用 Google Cloud Platform Pub/Sub 服務來設定稽核記錄的匯出。

遵循 Google Cloud 文件中的指示來建立主題以作為記錄的發佈目的地。

• 選擇主題識別碼，此識別碼要反映出收集記錄是要匯出至 Microsoft Sentinel 的目的。
• 新增預設訂用帳戶。
• 使用 Google 管理的加密金鑰來進行加密。

建立記錄接收

使用 Google Cloud Platform Log Router 服務來設定稽核記錄的收集。

若只要收集目前專案的資源記錄：

1. 驗證您已在專案選取器中選取您的專案。

2. 遵循 Google Cloud 文件中的指示來設定接收以收集記錄。

   • 選擇名稱，此名稱要反映出收集記錄是要匯出至 Microsoft Sentinel 的目的。
   • 選取 [Cloud Pub/Sub 主題] 作為目的地類型，然後選擇您在上一個步驟中建立的主題。

若要收集整個組織的資源記錄：

1. 在專案選取器中選取您的組織。

2. 遵循 Google Cloud 文件中的指示來設定接收以收集記錄。

   • 選擇名稱，此名稱要反映出收集記錄是要匯出至 Microsoft Sentinel 的目的。
   • 選取 [Cloud Pub/Sub 主題] 作為目的地類型，然後選擇預設的 [使用專案中的 Cloud Pub/Sub 主題]。
   • 以下列格式輸入目的地：pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}。

3. 在 [選擇要包含在接收中的記錄] 下，選取 [包含此組織和所有子資源所擷取的記錄]。

驗證 GCP 可以收到傳入的訊息

1. 在 GCP Pub/Sub 主控台中，瀏覽至 [訂用帳戶]。

2. 選取 [訊息]，然後選取 [提取] 以起始手動提取。

3. 檢查傳入的訊息。

如果您也要設定 GCP Pub/Sub Security Command Center 連接器，請繼續進行下一節。

否則，請跳至在 Microsoft Sentinel 中設定 GCP Pub/Sub 連接器。

GCP Security Command Center 設定

本節中的指示適用於使用 Microsoft Sentinel GCP Pub/Sub Security Command Center 連接器。

請參閱上一節中的指示，以了解如何使用 Microsoft Sentinel GCP Pub/Sub 稽核記錄連接器。

設定結果的連續匯出

請遵循 Google Cloud 文件中的指示來設定 Pub/Sub 匯出，以將未來的 SCC 結果匯出至 GCP Pub/Sub 服務。

1. 當系統要求您選取用於匯出的專案時，請選取您為了此目的而建立的專案，或建立新的專案。

2. 當系統要求您選取要作為結果匯出目的地的 Pub/Sub 主題時，請遵循上述指示來建立新的主題。

在 Microsoft Sentinel 中設定 GCP Pub/Sub 連接器

GCP 稽核記錄

1. 開啟 Azure 入口網站，然後瀏覽至 Microsoft Sentinel 服務。

2. 在 [內容中樞] 的搜尋列中，輸入「Google Cloud Platform 稽核記錄」。

3. 安裝 Google Cloud Platform 稽核記錄解決方案。

4. 選取 [資料連接器]，然後在搜尋列中輸入「GCP Pub/Sub 稽核記錄」。

5. 選取 [GCP Pub/Sub 稽核記錄] 連接器。

6. 在詳細資料窗格中，選取 [Open connector page] \(開啟連接器頁面\)。

7. 在 [設定] 區域中，選取 [新增收集器]。

   

8. 在 [連接新的收集器] 面板中，輸入您在建立 GCP 資源時所建立的資源參數。

   

9. 確定所有欄位中的值都符合 GCP 專案中的對應項目 (螢幕擷取畫面中的值是範例，不是常值)，然後選取 [連線]。

Google Security Command Center

1. 開啟 Azure 入口網站，然後瀏覽至 Microsoft Sentinel 服務。

2. 在 [內容中樞] 的搜尋列中，輸入「Google Security Command Center」。

3. 安裝 Google Security Command Center 解決方案。

4. 選取 [資料連接器]，然後在搜尋列中輸入「Google Security Command Center」。

5. 選取 [Google Security Command Center] 連接器。

6. 在詳細資料窗格中，選取 [Open connector page] \(開啟連接器頁面\)。

7. 在 [設定] 區域中，選取 [新增收集器]。

   

8. 在 [連接新的收集器] 面板中，輸入您在建立 GCP 資源時所建立的資源參數。

   

9. 確定所有欄位中的值都符合 GCP 專案中的對應項目 (螢幕擷取畫面中的值是範例，不是常值)，然後選取 [連線]。

驗證 GCP 資料位於 Microsoft Sentinel 環境中

1. 若要確保 GCP 記錄已成功擷取至 Microsoft Sentinel，請在完成設定連接器 30 分鐘後，執行下列查詢。

   GCP 稽核記錄

   GCPAuditLogs 
   | take 10 
   

   Google Security Command Center

   GoogleSCC 
   | take 10 
   

2. 啟用資料連接器的健康情況功能。

下一步

在本文中，您已了解如何使用 GCP Pub/Sub 連接器將 GCP 資料擷取至 Microsoft Sentinel。 若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 深入了解如何取得資料的可見度以及潛在威脅。
  • 開始 使用 Microsoft Sentinel 來偵測威脅。
  • 使用活頁簿監視資料。