將Google Cloud Platform 記錄數據內嵌至 Microsoft Sentinel
組織正逐漸移至多雲端架構,無論是根據設計還是持續的需求。 越來越多的組織使用應用程式和將數據儲存在多個公用雲端上,包括Google Cloud Platform(GCP)。
本文說明如何將 GCP 數據內嵌至 Microsoft Sentinel,以取得完整的安全性涵蓋範圍,並分析和偵測多雲端環境中的攻擊。
使用 GCP Pub/Sub 連接器,根據我們的無程式代碼 連線 or 平臺 (CCP),您可以使用 GCP Pub/Sub 功能從 GCP 環境擷取記錄。
重要
GCP 發行/子稽核記錄連接器目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
Google 的雲端稽核記錄會記錄一個稽核線索,分析師可用來監視 GCP 資源之間的存取和偵測潛在威脅。
必要條件
開始之前,請確認您有下列專案:
- 已啟用 Microsoft Sentinel 解決方案。
- 定義的 Microsoft Sentinel 工作區存在。
- GCP 環境( 專案)存在,並正在收集 GCP 稽核記錄。
- 您的 Azure 使用者具有 Microsoft Sentinel 參與者角色。
- 您的 GCP 使用者可以存取 GCP 專案中的編輯和建立資源。
- 同時啟用 GCP 身分識別和存取管理 (IAM) API 和 GCP 雲端資源管理員 API。
設定 GCP 環境
您需要在 GCP 環境中設定兩件事:
在 GCP IAM 服務中建立下列資源,在 GCP 中設定 Microsoft Sentinel 驗證:
- 工作負載身分識別集區
- 工作負載識別提供者
- 服務帳戶
- 角色
在 GCP Pub/Sub 服務中建立下列資源,以設定 GCP 中的記錄收集,並擷取至 Microsoft Sentinel :
- 主題
- 主題的訂用帳戶
您可以使用下列兩種方式之一來設定環境:
- 透過 Terraform API 建立 GCP 資源:Terraform 提供用於資源建立和身分識別和存取管理的 API(請參閱 必要條件)。 Microsoft Sentinel 提供向 API 發出必要命令的 Terraform 腳本。
- 手動設定 GCP 環境,在 GCP 控制台中自行建立資源。
GCP 驗證設定
開啟 GCP Cloud Shell。
在編輯器中輸入下列命令,以選取您想要使用的專案:
gcloud config set project {projectId}
將 Microsoft Sentinel 提供的 Terraform 驗證腳本從 Sentinel GitHub 存放庫複製到您的 GCP Cloud Shell 環境。
開啟 Terraform GCPInitialAuthenticationSetup 腳本 檔案,並複製其內容。
注意
若要將 GCP 資料內嵌至 Azure Government 雲端, 請改用此驗證設定腳本。
在您的 Cloud Shell 環境中建立目錄、輸入目錄,然後建立新的空白檔案。
mkdir {directory-name} && cd {directory-name} && touch initauth.tf
在 Cloud Shell 編輯器中開啟 initauth.tf ,並將腳本檔案的內容貼入其中。
在終端機中輸入下列命令,在目錄中初始化 Terraform:
terraform init
當您收到 Terraform 已初始化的確認訊息時,請在終端機中輸入下列命令來執行腳本:
terraform apply
當文稿提示您輸入 Microsoft 租使用者識別碼時,請將它複製並貼到終端機。
當系統詢問是否已為 Azure 建立工作負載身分識別集區時,請據以回答 是 或 否 。
當系統詢問您是否要建立列出的資源時,請輸入 yes。
顯示文稿的輸出時,請儲存資源參數以供稍後使用。
GCP 稽核記錄設定
將 Microsoft Sentinel 提供的 Terraform 稽核記錄設定腳本從 Sentinel GitHub 存放庫複製到 GCP Cloud Shell 環境中的不同資料夾。
開啟 Terraform GCPAuditLogsSetup 腳本 檔案,並複製其內容。
注意
若要將 GCP 資料內嵌至 Azure Government 雲端, 請改用此稽核記錄設定腳本。
在您的 Cloud Shell 環境中建立另一個目錄、輸入該目錄,然後建立新的空白檔案。
mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
在 Cloud Shell 編輯器中開啟 auditlog.tf ,並將腳本檔案的內容貼入其中。
在終端機中輸入下列命令,在新的目錄中初始化 Terraform:
terraform init
當您收到 Terraform 已初始化的確認訊息時,請在終端機中輸入下列命令來執行腳本:
terraform apply
若要使用單一 Pub/Sub 從整個組織內嵌記錄,請輸入:
terraform apply -var="organization-id= {organizationId} "
當系統詢問您是否要建立列出的資源時,請輸入 yes。
顯示文稿的輸出時,請儲存資源參數以供稍後使用。
請等候五分鐘,再移至下一個步驟。
在 Microsoft Sentinel 中設定 GCP Pub/Sub 連接器
開啟 Azure 入口網站 並流覽至 Microsoft Sentinel 服務。
在內容中 樞的搜尋列中,輸入 Google Cloud Platform Audit Logs。
安裝Google Cloud Platform Audit Logs 解決方案。
選取 [數據連接器],然後在搜尋列中輸入 GCP Pub/Sub Audit Logs。
選取 GCP 發佈/子稽核記錄 (預覽) 連接器。
在詳細資料窗格中,選取 [Open connector page] \(開啟連接器頁面\)。
在 [ 組態 ] 區域中,選取 [ 新增收集器]。
在 連線 新的收集器面板中,輸入您在建立 GCP 資源時所建立的資源參數。
請確定所有欄位中的值都符合 GCP 專案中的對應項目,然後選取 [連線]。
確認 GCP 數據位於 Microsoft Sentinel 環境中
若要確保 GCP 記錄已成功內嵌至 Microsoft Sentinel,請在完成 設定連接器之後 30 分鐘執行下列查詢。
GCPAuditLogs | take 10
下一步
在本文中,您已瞭解如何使用 GCP Pub/Sub 連接器將 GCP 數據內嵌至 Microsoft Sentinel。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 瞭解如何 瞭解您的數據和潛在威脅。
- 開始使用 Microsoft Sentinel 偵測威脅。
- 使用活頁簿 來監視您的數據。