Ingestování dat protokolů Google Cloud Platform do Služby Microsoft Sentinel

Organizace stále častěji přecházejí na vícecloudové architektury bez ohledu na to, jestli jsou navrženy, nebo kvůli průběžným požadavkům. Rostoucí počet těchto organizací používá aplikace a ukládá data do několika veřejných cloudů, včetně GCP (Google Cloud Platform).

Tento článek popisuje, jak ingestovat data GCP do Microsoft Sentinelu, abyste získali úplné pokrytí zabezpečení a analyzovali a detekují útoky ve vašem multicloudovém prostředí.

S konektory GCP Pub/Sub založené na naší platformě konektoru bez kódu (CCP) můžete ingestovat protokoly z prostředí GCP pomocí funkce GCP Pub/Sub:

• Konektor Google Cloud Platform (GCP) Pub/Sub Audit Logs shromažďuje záznamy auditu přístupu k prostředkům GCP. Analytici můžou tyto protokoly monitorovat, aby mohli sledovat pokusy o přístup k prostředkům a detekovat potenciální hrozby v prostředí GCP.

• Konektor Google Cloud Platform (GCP) Security Command Center shromažďuje závěry z Centra příkazů Google Security Command Center, robustní platformy pro správu zabezpečení a rizik pro Google Cloud. Analytici můžou tato zjištění zobrazit, aby získali přehled o stavu zabezpečení organizace, včetně inventáře prostředků a zjišťování, detekcí ohrožení zabezpečení a hrozeb a zmírnění rizik a nápravy.

Požadavky

Než začnete, ověřte, že máte následující:

• Řešení Microsoft Sentinel je povolené.
• Existuje definovaný pracovní prostor Služby Microsoft Sentinel.
• Prostředí GCP existuje a obsahuje prostředky, které vytvářejí jeden z následujících typů protokolů, které chcete ingestovat:
  • Protokoly auditu GCP
  • Zjištění služby Google Security Command Center
• Váš uživatel Azure má roli Přispěvatel Microsoft Sentinelu.
• Váš uživatel GCP má přístup k vytváření a úpravám prostředků v projektu GCP.
• Rozhraní API služby GCP Identity and Access Management (IAM) a rozhraní API GCP Cloud Resource Manageru jsou povolené.

Nastavení prostředí GCP

V prostředí GCP je potřeba nastavit dvě věci:

1. Nastavte ověřování Microsoft Sentinelu v GCP vytvořením následujících prostředků ve službě GCP IAM:

   • Fond identit úloh
   • Zprostředkovatel identity úlohy
   • Účet služby
   • Role

2. Nastavte shromažďování protokolů v GCP a příjem dat do Služby Microsoft Sentinel vytvořením následujících prostředků ve službě GCP Pub/Sub:

   • Téma
   • Odběr tématu

Prostředí můžete nastavit jedním ze dvou způsobů:

• Vytváření prostředků GCP prostřednictvím rozhraní Terraform API: Terraform poskytuje rozhraní API pro vytváření prostředků a správu identit a přístupu (viz Požadavky). Microsoft Sentinel poskytuje skripty Terraformu, které vydávají nezbytné příkazy pro rozhraní API.

• Nastavte prostředí GCP ručně a vytvořte prostředky sami v konzole GCP.

  Poznámka:

  Pro vytváření prostředků GCP Pub/Sub pro shromažďování protokolů ze služby Security Command Center není k dispozici žádný skript Terraformu. Tyto prostředky musíte vytvořit ručně. K vytvoření prostředků GCP IAM pro ověřování můžete stále použít skript Terraformu.

  Důležité

  Pokud vytváříte prostředky ručně, musíte vytvořit všechny prostředky ověřování (IAM) ve stejném projektu GCP, jinak nebude fungovat. (Pub/Sub resources can be in a different project.)

Nastavení ověřování GCP

Nastavení rozhraní API Terraformu

1. Otevřete GCP Cloud Shell.

2. Vyberte projekt, se kterým chcete pracovat, zadáním následujícího příkazu v editoru:

   gcloud config set project {projectId}  
   

3. Zkopírujte ověřovací skript Terraformu od Microsoft Sentinelu z úložiště GitHub služby Sentinel do prostředí GCP Cloud Shell.

   1. Otevřete soubor skriptu Terraform GCPInitialAuthenticationSetup a zkopírujte jeho obsah.

      Poznámka:

      K ingestování dat GCP do cloudu Azure Government použijte místo toho tento skript nastavení ověřování.

   2. Vytvořte adresář v prostředí Cloud Shellu, zadejte ho a vytvořte nový prázdný soubor.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Otevřete initauth.tf v editoru Cloud Shell a vložte do něj obsah souboru skriptu.

4. Inicializace Terraformu v adresáři, který jste vytvořili, zadáním následujícího příkazu v terminálu:

   terraform init 
   

5. Když se zobrazí potvrzovací zpráva o inicializaci Terraformu, spusťte skript zadáním následujícího příkazu v terminálu:

   terraform apply 
   

6. Po zobrazení výzvy k zadání ID tenanta Microsoftu ho zkopírujte a vložte do terminálu.

   Poznámka:

   ID tenanta můžete najít a zkopírovat na stránce konektoru GCP Pub/Sub Audit Logs na portálu Microsoft Sentinel nebo na obrazovce nastavení portálu (přístupné kdekoli na webu Azure Portal výběrem ikony ozubeného kola v horní části obrazovky) ve sloupci ID adresáře.

7. Když se zobrazí dotaz, jestli už je pro Azure vytvořený fond identit úloh, odpovězte na to ano nebo ne .

8. Když se zobrazí dotaz, jestli chcete vytvořit uvedené prostředky, zadejte ano.

Po zobrazení výstupu skriptu uložte parametry prostředků pro pozdější použití.

Ruční nastavení

Ve službě Google Cloud Platform Identity and Access Management (IAM) vytvořte a nakonfigurujte následující položky.

Vytvoření vlastní role

1. Podle pokynů v dokumentaci ke službě Google Cloud vytvořte roli. Podle těchto pokynů vytvořte vlastní roli úplně od začátku.

2. Pojmenujte roli, aby byla rozpoznatelná jako vlastní role sentinelu.

3. Vyplňte příslušné podrobnosti a podle potřeby přidejte oprávnění:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Seznam dostupných oprávnění můžete filtrovat podle rolí. Vyberte role Pub/Sub Subscriber a Pub/Sub Viewer a vyfiltrujte seznam.

Další informace o vytváření rolí ve službě Google Cloud Platform najdete v tématu Vytváření a správa vlastních rolí v dokumentaci ke službě Google Cloud.

Vytvoření obchodního vztahu služby

1. Podle pokynů v dokumentaci ke službě Google Cloud vytvořte účet služby.

2. Pojmenujte účet služby, aby byl rozpoznatelný jako účet služby Sentinel.

3. Přiřaďte k účtu služby roli, kterou jste vytvořili v předchozí části .

Další informace o účtech služeb ve službě Google Cloud Platform najdete v přehledu účtů služeb v dokumentaci ke službě Google Cloud.

Vytvoření fondu identit a zprostředkovatele úloh

1. Postupujte podle pokynů v dokumentaci ke službě Google Cloud a vytvořte fond identit úloh a zprostředkovatele.

2. Jako ID názvu a fondu zadejte ID tenanta Azure s odebranými pomlčkami.

   Poznámka:

   ID tenanta můžete najít a zkopírovat na obrazovce Nastavení portálu ve sloupci ID adresáře. Obrazovka nastavení portálu je přístupná kdekoli na webu Azure Portal výběrem ikony ozubeného kola v horní části obrazovky.

3. Přidejte do fondu zprostředkovatele identity. Jako typ zprostředkovatele zvolte Open ID Connect (OIDC ).

4. Pojmenujte zprostředkovatele identity, aby byl rozpoznatelný pro jeho účel.

5. Do nastavení zprostředkovatele zadejte následující hodnoty (nejedná se o ukázky – použijte tyto skutečné hodnoty):

   • Vystavitel (ADRESA URL):https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Cílová skupina: identifikátor URI ID aplikace: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Mapování atributů: google.subject=assertion.sub

   Poznámka:

   Pokud chcete nastavit konektor pro odesílání protokolů z GCP do cloudu Azure Government, použijte místo výše uvedených hodnot následující alternativní hodnoty pro nastavení zprostředkovatele:

   • Vystavitel (ADRESA URL):https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Cílová skupina: api://e9885b54-fac0-4cd6-959f-a72066026929

Další informace o federaci identit úloh ve službě Google Cloud Platform najdete v tématu Federace identit úloh v dokumentaci ke službě Google Cloud.

Udělení přístupu k účtu služby fondu identit

1. Vyhledejte a vyberte účet služby, který jste vytvořili dříve.

2. Vyhledejte konfiguraci oprávnění účtu služby.

3. Udělte přístup k objektu zabezpečení, který představuje fond identit úloh a zprostředkovatele, který jste vytvořili v předchozím kroku.

   • Pro hlavní název použijte následující formát:

     principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
     

   • Přiřaďte roli uživatele identity úlohy a uložte konfiguraci.

Další informace o udělení přístupu ve službě Google Cloud Platform najdete v tématu Správa přístupu k projektům, složkám a organizacím v dokumentaci ke službě Google Cloud.

Nastavení protokolů auditu GCP

Pokyny v této části jsou určené pro použití konektoru Microsoft Sentinel GCP Pub/Sub Audit Logs .

Pokyny najdete v další části používání konektoru Microsoft Sentinel GCP Pub/Sub Security Command Center .

Nastavení rozhraní API Terraformu

1. Zkopírujte instalační skript protokolu auditu Terraformu od Microsoft Sentinelu z úložiště GitHub služby Sentinel do jiné složky v prostředí GCP Cloud Shell.

   1. Otevřete soubor skriptu Terraform GCPAuditLogsSetup a zkopírujte jeho obsah.

      Poznámka:

      Pro příjem dat GCP do cloudu Azure Government použijte místo toho tento instalační skript protokolu auditu.

   2. Vytvořte ve svém prostředí Cloud Shell další adresář, zadejte ho a vytvořte nový prázdný soubor.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Otevřete auditlog.tf v editoru Cloud Shell a vložte do něj obsah souboru skriptu.

2. Inicializace Terraformu v novém adresáři zadáním následujícího příkazu v terminálu:

   terraform init 
   

3. Když se zobrazí potvrzovací zpráva o inicializaci Terraformu, spusťte skript zadáním následujícího příkazu v terminálu:

   terraform apply 
   

   Pokud chcete ingestovat protokoly z celé organizace pomocí jediného Pub/Sub, zadejte:

   terraform apply -var="organization-id= {organizationId} "
   

4. Když se zobrazí dotaz, jestli chcete vytvořit uvedené prostředky, zadejte ano.

Po zobrazení výstupu skriptu uložte parametry prostředků pro pozdější použití.

Než přejdete k dalšímu kroku, počkejte pět minut.

Ruční nastavení

Vytvoření tématu publikování

K nastavení exportu protokolů auditu použijte službu Google Cloud Platform Pub/Sub.

Postupujte podle pokynů v dokumentaci ke službě Google Cloud a vytvořte téma pro publikování protokolů do.

• Zvolte ID tématu, které odráží účel shromažďování protokolů pro export do Služby Microsoft Sentinel.
• Přidejte výchozí předplatné.
• K šifrování použijte šifrovací klíč spravovaný Googlem.

Vytvoření jímky protokolů

K nastavení shromažďování protokolů protokolů použijte službu Google Cloud Platform Log Router.

Shromažďování protokolů pro zdroje v aktuálním projektu:

1. Ověřte, že je projekt vybrán v selektoru projektu.

2. Postupujte podle pokynů v dokumentaci ke službě Google Cloud a nastavte jímku pro shromažďování protokolů.

   • Zvolte název, který odpovídá účelu shromažďování protokolů pro export do Služby Microsoft Sentinel.
   • Jako cílový typ vyberte "Cloud Pub/Sub topic" a zvolte téma, které jste vytvořili v předchozím kroku.

Shromažďování protokolů pro prostředky v celé organizaci:

1. Vyberte svoji organizaci v selektoru projektu.

2. Postupujte podle pokynů v dokumentaci ke službě Google Cloud a nastavte jímku pro shromažďování protokolů.

   • Zvolte název, který odpovídá účelu shromažďování protokolů pro export do Služby Microsoft Sentinel.
   • Jako typ cíle vyberte "Cloud Pub/Sub topic" (Téma Cloud Pub/Sub) a zvolte výchozí Téma Použít cloudovou pub/dílčí téma v projektu.
   • Zadejte cíl v následujícím formátu: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. V části Zvolit protokoly, které chcete zahrnout do jímky, vyberte Zahrnout protokoly ingestované touto organizací a všechny podřízené prostředky.

Ověření, že GCP může přijímat příchozí zprávy

1. V konzole GCP Pub/Sub přejděte na Předplatná.

2. Vyberte Zprávy a výběrem možnosti PULL zahajte ruční přijetí změn.

3. Zkontrolujte příchozí zprávy.

Pokud také nastavujete konektor GCP Pub/Sub Security Command Center , pokračujte další částí.

V opačném případě přejděte na Nastavení konektoru GCP Pub/Sub v Microsoft Sentinelu.

Nastavení GCP Security Command Center

Pokyny v této části jsou určené pro použití konektoru Microsoft Sentinel GCP Pub/Sub Security Command Center .

Pokyny pro použití konektoru Microsoft Sentinel GCP Pub/Sub Audit Logs najdete v předchozí části.

Konfigurace průběžného exportu zjištění

Podle pokynů v dokumentaci ke službě Google Cloud nakonfigurujte pub/subexportování budoucích zjištění SCC do služby GCP Pub/Sub.

1. Když se zobrazí výzva k výběru projektu pro export, vyberte projekt, který jste pro tento účel vytvořili, nebo vytvořte nový projekt.

2. Po zobrazení výzvy k výběru tématu Pub/Sub, ve kterém chcete exportovat svá zjištění, vytvořte nové téma podle výše uvedených pokynů.

Nastavení konektoru GCP Pub/Sub v Microsoft Sentinelu

Protokoly auditu GCP

1. Otevřete Azure Portal a přejděte do služby Microsoft Sentinel .

2. Do centra obsahu na panelu hledání zadejte protokoly auditu Google Cloud Platform.

3. Nainstalujte řešení protokolů auditu google cloudových platforem.

4. Vyberte Datové konektory a na panelu hledání zadejte protokoly auditu GCP Pub/Sub.

5. Vyberte konektor GCP Pub/Sub Audit Logs.

6. V podokně podrobností vyberte Otevřít stránku konektoru.

7. V oblasti Konfigurace vyberte Přidat nový kolektor.

   

8. Na panelu Připojit nový kolektor zadejte parametry prostředku, které jste vytvořili při vytváření prostředků GCP.

   

9. Ujistěte se, že hodnoty ve všech polích odpovídají jejich protějškům v projektu GCP (hodnoty na snímku obrazovky jsou ukázky, ne literály) a vyberte Připojit.

Centrum příkazů zabezpečení Google

1. Otevřete Azure Portal a přejděte do služby Microsoft Sentinel .

2. Do centra obsahu na panelu hledání zadejte Google Security Command Center.

3. Nainstalujte řešení Google Security Command Center.

4. Vyberte Datové konektory a na panelu hledání zadejte Google Security Command Center.

5. Vyberte konektor Google Security Command Center.

6. V podokně podrobností vyberte Otevřít stránku konektoru.

7. V oblasti Konfigurace vyberte Přidat nový kolektor.

   

8. Na panelu Připojit nový kolektor zadejte parametry prostředku, které jste vytvořili při vytváření prostředků GCP.

   

9. Ujistěte se, že hodnoty ve všech polích odpovídají jejich protějškům v projektu GCP (hodnoty na snímku obrazovky jsou ukázky, ne literály) a vyberte Připojit.

Ověření, že data GCP jsou v prostředí Microsoft Sentinelu

1. Pokud chcete zajistit úspěšné ingestování protokolů GCP do Microsoft Sentinelu, spusťte následující dotaz 30 minut po dokončení nastavení konektoru.

   Protokoly auditu GCP

   GCPAuditLogs 
   | take 10 
   

   Centrum příkazů zabezpečení Google

   GoogleSCC 
   | take 10 
   

2. Povolte funkci stavu pro datové konektory.

Další kroky

V tomto článku jste se dozvěděli, jak ingestovat data GCP do Služby Microsoft Sentinel pomocí konektorů GCP Pub/Sub. Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Zjistěte, jak získat přehled o datech a potenciální hrozby.
  • Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.
  • Pomocí sešitů můžete monitorovat data.