將Google Cloud Platform 記錄數據內嵌至 Microsoft Sentinel

組織正逐漸移至多雲端架構，無論是根據設計還是持續的需求。 越來越多的組織使用應用程式和將數據儲存在多個公用雲端上，包括Google Cloud Platform（GCP）。

本文說明如何將 GCP 數據內嵌至 Microsoft Sentinel，以取得完整的安全性涵蓋範圍，並分析和偵測多雲端環境中的攻擊。

使用 GCP Pub/Sub 連接器，根據我們的無程式代碼連接器平臺 （CCP），您可以使用 GCP Pub/Sub 功能從 GCP 環境內嵌記錄：

• Google Cloud Platform （GCP） Pub/Sub Audit Logs 連接器會收集 GCP 資源的存取稽核線索。 分析師可以監視這些記錄，以追蹤資源存取嘗試，並偵測 GCP 環境中的潛在威脅。

• Google Cloud Platform （GCP） Security Command Center 連接器會收集 Google Security Command Center 的結果，這是 Google Cloud 的強大安全性和風險管理平臺。 分析師可以檢視這些結果，以深入瞭解組織的安全性狀態，包括資產清查和探索、弱點和威脅的偵測，以及風險降低和補救。

重要

GCP Pub/Sub 連接器目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未發行的版本) 的其他法律條款。

必要條件

開始之前，請確認您有下列專案：

• 已啟用Microsoft Sentinel 解決方案。
• 已定義Microsoft Sentinel 工作區存在。
• GCP 環境存在，並包含產生您要內嵌之下列其中一個記錄類型的資源：
  • GCP 稽核記錄
  • Google Security Command Center 結果
• 您的 Azure 使用者具有Microsoft Sentinel 參與者角色。
• 您的 GCP 用戶有權在 GCP 專案中建立和編輯資源。
• 同時啟用 GCP 身分識別和存取管理 （IAM） API 和 GCP 雲端資源管理員 API。

設定 GCP 環境

您需要在 GCP 環境中設定兩件事：

1. 在 GCP IAM 服務中建立下列資源，在 GCP 中設定 Microsoft Sentinel 驗證：

   • 工作負載身分識別集區
   • 工作負載識別提供者
   • 服務帳戶
   • 角色

2. 在 GCP Pub/Sub 服務中建立下列資源，以在 GCP 中設定記錄收集，並擷取至 Microsoft Sentinel ：

   • 主題
   • 主題的訂用帳戶

您可以使用下列兩種方式之一來設定環境：

• 透過 Terraform API 建立 GCP 資源：Terraform 提供用於資源建立和身分識別和存取管理的 API（請參閱 必要條件）。 Microsoft Sentinel 提供向 API 發出必要命令的 Terraform 腳本。

• 手動設定 GCP 環境，在 GCP 控制台中自行建立資源。

  注意

  沒有 Terraform 腳本可用來從 資訊安全命令中心建立用於記錄收集的 GCP Pub/Sub 資源。 您必須手動建立這些資源。 您仍然可以使用 Terraform 腳本來建立 GCP IAM 資源以進行驗證。

  重要

  如果您要手動建立資源，則必須在相同的 GCP 專案中建立所有驗證 （IAM） 資源，否則將無法運作。 （Pub/Sub 資源可以位於不同的專案中。

GCP 驗證設定

Terraform API 設定

1. 開啟 GCP Cloud Shell。

2. 在編輯器中輸入下列命令，以選取您想要使用的專案：

   gcloud config set project {projectId}  
   

3. 將 sentinel GitHub 存放庫Microsoft Sentinel 所提供的 Terraform 驗證腳本複製到您的 GCP Cloud Shell 環境。

   1. 開啟 Terraform GCPInitialAuthenticationSetup 腳本 檔案，並複製其內容。

      注意

      若要將 GCP 資料內嵌至 Azure Government 雲端， 請改用此驗證設定腳本。

   2. 在您的 Cloud Shell 環境中建立目錄、輸入目錄，然後建立新的空白檔案。

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. 在 Cloud Shell 編輯器中開啟 initauth.tf ，並將腳本檔案的內容貼入其中。

4. 在終端機中輸入下列命令，在目錄中初始化 Terraform：

   terraform init 
   

5. 當您收到 Terraform 已初始化的確認訊息時，請在終端機中輸入下列命令來執行腳本：

   terraform apply 
   

6. 當文稿提示您輸入Microsoft租使用者識別碼時，請將它複製並貼到終端機。

   注意

   您可以在 Microsoft Sentinel 入口網站的 [GCP 發佈/子稽核記錄] 連接器頁面上，或在 [入口網站設定] 畫面中找到並複製您的租用戶識別碼。在 [目錄標識符] 數據行中選取齒輪圖示，即可存取 Azure 入口網站 的任何位置。

7. 當系統詢問是否已為 Azure 建立工作負載身分識別集區時，請據以回答 是 或 否 。

8. 當系統詢問您是否要建立列出的資源時，請輸入 yes。

顯示文稿的輸出時，請儲存資源參數以供稍後使用。

手動設定

在Google Cloud Platform Identity and Access Management （IAM） 服務中建立及設定下列專案。

建立自訂角色

1. 請遵循Google Cloud檔中的指示來建立角色。 根據這些指示，從頭開始建立自定義角色。

2. 將角色命名為 ，使其可辨識為 Sentinel 自定義角色。

3. 填寫相關詳細數據，並視需要新增許可權：

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   您可以依角色篩選可用權限的清單。 選取 [ 發行/訂閱者 ] 和 [發佈/子查看器 ] 角色以篩選清單。

如需在Google Cloud Platform 中建立角色的詳細資訊，請參閱 在Google Cloud 檔中建立和管理自定義角色 。

建立服務帳戶

1. 請遵循Google Cloud檔中的指示來 建立服務帳戶。

2. 將服務帳戶命名為 ，使其可辨識為 Sentinel 服務帳戶。

3. 將您在上一節中建立的角色指派給服務帳戶。

如需Google Cloud Platform中服務帳戶的詳細資訊，請參閱 Google Cloud檔中的服務帳戶概觀 。

建立工作負載身分識別集區和提供者

1. 請遵循Google Cloud檔中的指示來 建立工作負載身分識別集區和提供者。

2. 針對 [名稱] 和 [集區標識符]，輸入您的 Azure 租使用者標識符，並移除虛線。

   注意

   您可以在 [入口網站設定] 畫面的 [目錄標識符] 資料行中找到並複製您的租使用者識別碼。 藉由選取畫面頂端的齒輪圖示，即可在 Azure 入口網站 的任何位置存取入口網站設定畫面。

3. 將識別提供者新增至集區。 選擇 [開啟標識符連線]（OIDC） 作為提供者類型。

4. 將識別提供者命名為 ，使其可辨識其用途。

5. 在提供者設定中輸入下列值（這些不是範例—使用這些實際值）：

   • 簽發者 （URL）： https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • 物件：應用程式識別碼 URI： api://2041288c-b303-4ca0-9076-9612db3beeb2
   • 屬性對應： google.subject=assertion.sub

   注意

   若要設定連接器以將記錄從 GCP 傳送至 Azure Government 雲端，請針對提供者設定使用下列替代值，而不是上述值：

   • 簽發者 （URL）： https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • 物件： api://e9885b54-fac0-4cd6-959f-a72066026929

如需 Google Cloud Platform 中工作負載身分識別同盟的詳細資訊，請參閱 Google Cloud 檔中的工作負載身分識別同盟 。

授與服務帳戶的身分識別集區存取權

1. 找出並選取您稍早建立的服務帳戶。

2. 找出服務帳戶的許可權設定。

3. 授與主體的存取 權，此主體代表您在上一個步驟中建立的工作負載身分識別集區和提供者。

   • 針對主體名稱使用下列格式：

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • 指派工作負載身分識別使用者角色並儲存設定。

如需在Google Cloud Platform 中授與存取權的詳細資訊，請參閱 Google Cloud 檔中管理專案、資料夾和組織 存取權。

GCP 稽核記錄設定

本節中的指示是使用 Microsoft Sentinel GCP Pub/Sub Audit Logs 連接器。

請參閱 下一節 中的指示，以瞭解如何使用 Microsoft Sentinel GCP Pub/Sub Security Command Center 連接器。

Terraform API 設定

1. 將 Sentinel GitHub 存放庫中Microsoft Sentinel 所提供的 Terraform 稽核記錄設定腳本複製到 GCP Cloud Shell 環境中的不同資料夾。

   1. 開啟 Terraform GCPAuditLogsSetup 腳本 檔案，並複製其內容。

      注意

      若要將 GCP 資料內嵌至 Azure Government 雲端， 請改用此稽核記錄設定腳本。

   2. 在您的 Cloud Shell 環境中建立另一個目錄、輸入該目錄，然後建立新的空白檔案。

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. 在 Cloud Shell 編輯器中開啟 auditlog.tf ，並將腳本檔案的內容貼入其中。

2. 在終端機中輸入下列命令，在新的目錄中初始化 Terraform：

   terraform init 
   

3. 當您收到 Terraform 已初始化的確認訊息時，請在終端機中輸入下列命令來執行腳本：

   terraform apply 
   

   若要使用單一 Pub/Sub 從整個組織內嵌記錄，請輸入：

   terraform apply -var="organization-id= {organizationId} "
   

4. 當系統詢問您是否要建立列出的資源時，請輸入 yes。

顯示文稿的輸出時，請儲存資源參數以供稍後使用。

請等候五分鐘，再移至下一個步驟。

手動設定

建立發佈主題

使用Google Cloud Platform Pub/Sub服務來設定稽核記錄的導出。

請遵循Google Cloud檔中的指示，建立 發佈記錄的主題 。

• 選擇主題標識碼，以反映記錄收集的目的，以導出至 Microsoft Sentinel。
• 新增預設訂用帳戶。
• 使用Google管理的加密金鑰進行加密。

建立記錄接收

使用Google Cloud Platform Log Router服務來設定稽核記錄的收集。

只收集目前項目中資源的記錄：

1. 確認已在項目選取器中選取您的專案。

2. 請遵循Google Cloud 檔中的指示來設定接收以收集記錄。

   • 選擇 [名稱] 以反映記錄收集的目的，以便導出至 Microsoft Sentinel。
   • 選取 [Cloud Pub/Sub 主題] 作為目的地類型，然後選擇您在上一個步驟中建立的主題。

若要收集整個組織的資源記錄：

1. 在項目選取器中選取您的 組織 。

2. 請遵循Google Cloud 檔中的指示來設定接收以收集記錄。

   • 選擇 [名稱] 以反映記錄收集的目的，以便導出至 Microsoft Sentinel。
   • 選取 [Cloud Pub/Sub 主題] 作為目的地類型，然後選擇預設的 [在專案中使用 Cloud Pub/Sub 主題]。
   • 以下列格式輸入目的地： pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}。

3. 在 [選擇要包含在接收中的記錄] 下，選取 [包含此組織所擷取的記錄和所有子資源]。

確認 GCP 可以接收傳入訊息

1. 在 GCP Pub/Sub 控制台中，流覽至 [ 訂用帳戶]。

2. 選取 [訊息]，然後選取 [ PULL ] 以起始手動提取。

3. 檢查傳入訊息。

如果您也正在設定 GCP Pub/Sub Security Command Center 連接器，請繼續進行下一節。

否則，請跳至 在 Sentinel Microsoft 設定 GCP Pub/Sub 連接器。

GCP 安全性命令中心設定

本節中的指示是使用 Microsoft Sentinel GCP Pub/Sub Security Command Center 連接器。

請參閱 上一節 中的指示，以瞭解如何使用 Microsoft Sentinel GCP Pub/Sub Audit Logs 連接器。

設定結果的連續匯出

請遵循 Google Cloud 檔中的指示，將 未來 SCC 結果的 Pub/Sub 匯出 設定為 GCP Pub/Sub 服務。

1. 當系統要求您選取匯出的專案時，請選取您為此目的建立的專案，或 建立新的專案。

2. 當系統要求您選取要匯出結果的 Pub/Sub 主題時，請遵循上述指示來 建立新的主題。

在 Microsoft Sentinel 中設定 GCP Pub/Sub 連接器

GCP 稽核記錄

1. 開啟 Azure 入口網站，並流覽至Microsoft Sentinel 服務。

2. 在內容中 樞的搜尋列中，輸入 Google Cloud Platform Audit Logs。

3. 安裝Google Cloud Platform Audit Logs 解決方案。

4. 選取 [數據連接器]，然後在搜尋列中輸入 GCP Pub/Sub Audit Logs。

5. 選取 GCP 發佈/子稽核記錄 （預覽） 連接器。

6. 在詳細資料窗格中，選取 [Open connector page] \(開啟連接器頁面\)。

7. 在 [ 組態 ] 區域中，選取 [ 新增收集器]。

   

8. 在 [ 連接新的收集器 ] 面板中，輸入您在建立 GCP 資源時 所建立的資源參數。

   

9. 請確定所有欄位中的值都符合 GCP 專案中的對應專案（螢幕快照中的值為範例，而非常值），然後選取 [ 連線]。

Google Security Command Center

1. 開啟 Azure 入口網站，並流覽至Microsoft Sentinel 服務。

2. 在內容中 樞的搜尋列中，輸入 Google Security Command Center。

3. 安裝Google Security Command Center 解決方案。

4. 選取 [數據連接器]，然後在搜尋列中輸入 Google Security Command Center。

5. 選取 Google Security Command Center （預覽） 連接器。

6. 在詳細資料窗格中，選取 [Open connector page] \(開啟連接器頁面\)。

7. 在 [ 組態 ] 區域中，選取 [ 新增收集器]。

   

8. 在 [ 連接新的收集器 ] 面板中，輸入您在建立 GCP 資源時 所建立的資源參數。

   

9. 請確定所有欄位中的值都符合 GCP 專案中的對應專案（螢幕快照中的值為範例，而非常值），然後選取 [ 連線]。

確認 GCP 數據位於 Microsoft Sentinel 環境中

1. 若要確保 GCP 記錄已成功內嵌至 Microsoft Sentinel，請在完成 設定連接器之後 30 分鐘執行下列查詢。

   GCP 稽核記錄

   GCPAuditLogs 
   | take 10 
   

   Google Security Command Center

   GoogleSCC 
   | take 10 
   

2. 啟用數據連接器的健康情況功能。

下一步

在本文中，您已瞭解如何使用 GCP Pub/Sub 連接器將 GCP 數據內嵌至 Microsoft Sentinel。 若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 深入了解如何取得資料的可見度以及潛在威脅。
• 開始 使用 Microsoft Sentinel 來偵測威脅。
• 使用活頁簿監視資料。