Ingesta de datos de registro de Google Cloud Platform en Microsoft Sentinel
Las organizaciones se mueven cada vez más a arquitecturas multinube, ya sea por diseño o por los requisitos continuos. Un número cada vez mayor de estas organizaciones usan aplicaciones y almacenan datos en varias nubes públicas, como Google Cloud Platform (GCP).
En este artículo se describe cómo ingerir datos de GCP en Microsoft Sentinel para obtener una cobertura de seguridad completa y analizar y detectar ataques en el entorno multinube.
Con los conectores GCP Pub/Sub, basados en nuestra Plataforma de conector sin código (CCP), puede ingerir registros desde el entorno de GCP mediante la funcionalidad GCP Pub/Sub:
El Conector Google Cloud Platform (GCP) Pub/Sub Audit Logs recopila pistas de auditoría de acceso a los recursos de GCP. Los analistas pueden supervisar estos registros para realizar un seguimiento de los intentos de acceso a los recursos y detectar posibles amenazas en el entorno de GCP.
El Conector del Centro de comandos de seguridad de Google Cloud Platform (GCP) recopila conclusiones de Google Security Command Center, una sólida plataforma de administración de riesgos y seguridad para Google Cloud. Los analistas pueden ver estos hallazgos para obtener información sobre la posición de seguridad de la organización, incluido el inventario y la detección de activos, las detecciones de vulnerabilidades y amenazas, y la mitigación y corrección de riesgos.
Requisitos previos
Antes de comenzar, verifique que dispone de lo siguiente:
- La solución de Microsoft Sentinel está habilitada.
- Existe un área de trabajo de Microsoft Sentinel definida.
- Existe un entorno de GCP y contiene recursos que generan uno de los siguientes tipos de registro que desea ingerir:
- Registros de auditoría de GCP
- Hallazgos de Google Security Command Center
- El usuario de Azure tiene el rol Colaborador de Microsoft Sentinel.
- El usuario de GCP tiene acceso para crear y editar recursos en el proyecto de GCP.
- La API de administración de identidad y acceso (IAM) de GCP y la API del administrador de recursos en la nube de GCP están habilitadas.
Configuración del entorno de GCP
Hay dos cosas que debe configurar en el entorno de GCP:
Configure la autenticación de Microsoft Sentinel en GCP mediante la creación de los siguientes recursos en el servicio IAM de GCP:
- Grupo de identidad de carga de trabajo
- Proveedor de identidades de carga de trabajo
- Cuenta de servicio
- Role
Configure la recopilación de registros en GCP y la ingesta en Microsoft Sentinel mediante la creación de los siguientes recursos en el servicio Pub/Sub de GCP:
- Tema
- Suscripción al tema
Puede configurar el entorno de una de estas dos maneras:
Crear recursos de GCP mediante la API de Terraform: Terraform proporciona API para la creación de recursos y para la administración de identidades y accesos (consulte Requisitos previos). Microsoft Sentinel proporciona scripts de Terraform que emiten los comandos necesarios para las API.
Configure el entorno GCP manualmente, creando los recursos usted mismo en la consola GCP.
Nota:
No hay ningún script de Terraform disponible para crear recursos de GCP Pub/Sub para la recopilación de registros desde Security Command Center. Debe crear estos recursos manualmente. Todavía puede usar el script de Terraform para crear los recursos de IAM de GCP para la autenticación.
Importante
Si va a crear recursos manualmente, debe crear todos los recursos de autenticación (IAM) de el mismo proyecto de GCP; de lo contrario, no funcionará. (Los recursos pub/sub pueden estar en un proyecto diferente.)
Configuración de la autenticación de GCP
Abra Cloud Shell de GCP.
Seleccione el proyecto con el que desea trabajar; para ello, escriba el siguiente comando en el editor:
gcloud config set project {projectId}
Copie el script de autenticación Terraform proporcionado por Microsoft Sentinel del repositorio Sentinel GitHub en su entorno GCP Cloud Shell.
Abra el archivo de script Terraform GCPInitialAuthenticationSetup y copie su contenido.
Nota:
Para ingerir datos de GCP en una nube Azure Government, utilice este script de configuración de autenticación en su lugar.
Cree un directorio en el entorno de Cloud Shell, escríbalo y cree un nuevo archivo en blanco.
mkdir {directory-name} && cd {directory-name} && touch initauth.tf
Abra initauth.tf en el editor de Cloud Shell y pegue el contenido del archivo de script en él.
Inicializa Terraform en el directorio que creó escribiendo el siguiente comando en el terminal:
terraform init
Cuando reciba el mensaje de confirmación de que Terraform se ha inicializado, ejecute el script escribiendo el siguiente comando en el terminal:
terraform apply
Cuando el script solicite el Id. de inquilino de Microsoft, copie y péguelo en el terminal.
Nota:
Puede encontrar y copiar su Id. de inquilino en la página del conector registro de auditoría GCP Pub/Sub en el portal de Microsoft Sentinel, o en la pantalla de configuración del portal (accesible desde cualquier lugar del portal de Azure seleccionando el icono de engranaje en la parte superior de la pantalla), en la columna Id. de directorio.
Cuando se le pregunte si ya se ha creado un grupo de identidades de carga de trabajo para Azure, responda sí o no en consecuencia.
Cuando se le pregunte si desea crear los recursos enumerados, escriba sí.
Cuando se muestre la salida del script, guarde los parámetros de recursos para su uso posterior.
Configuración de registros de auditoría de GCP
Las instrucciones de esta sección son para usar el conector de Registros de auditoría GCP Pub/Sub de Microsoft Sentinel.
Vea las instrucciones de la sección siguiente para usar el conector del Centro de comandos de GCP/Sub Security de Microsoft Sentinel.
Copie el script de configuración del registro de auditoría de Terraform proporcionado por Microsoft Sentinel desde el repositorio de GitHub de Sentinel en una carpeta diferente en el entorno de GCP Cloud Shell.
Abra el archivo de script GCPAuditLogsSetup de Terraform y copie su contenido.
Nota:
Para ingerir datos de GCP en una nubede Azure Government, use este script de configuración del registro de auditoría en su lugar.
Cree otro directorio en el entorno de Cloud Shell, escríbalo y cree un nuevo archivo en blanco.
mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
Abra auditlog.tf en el editor de Cloud Shell y pegue el contenido del archivo de script en él.
Para inicializar Terraform en el nuevo directorio, escriba el siguiente comando en el terminal:
terraform init
Cuando reciba el mensaje de confirmación de que Terraform se ha inicializado, ejecute el script escribiendo el siguiente comando en el terminal:
terraform apply
Para ingerir registros de toda una organización con un solo Pub/Sub, escriba:
terraform apply -var="organization-id= {organizationId} "
Cuando se le pregunte si desea crear los recursos enumerados, escriba sí.
Cuando se muestre la salida del script, guarde los parámetros de recursos para su uso posterior.
Espere cinco minutos antes de continuar con el paso siguiente.
Si también va a configurar el conector del Centro de comandos de GCP Pub/Sub Security, continúe con la sección siguiente.
De lo contrario, vaya a Configurar el conector GCP Pub/Sub en Microsoft Sentinel.
Configuración del Centro de comandos de seguridad de GCP
Las instrucciones de esta sección son para usar el conector del Centro de comandos GCP Pub/Sub Security de Microsoft Sentinel.
Vea las instrucciones de la sección anterior para usar el conector GCP Pub/Sub Audit Logs de Microsoft Sentinel.
Configuración de la exportación continua de los resultados
Siga las instrucciones de la documentación de Google Cloud para configurar las exportaciones de Pub/Sub de futuros hallazgos de SCC al servicio GCP Pub/Sub.
Cuando se le pida que seleccione un proyecto para la exportación, seleccione un proyecto que creó para este propósito o crear un nuevo proyecto.
Cuando se le pida que seleccione un tema Pub/Sub en el que desea exportar los resultados, siga las instrucciones anteriores para crear un tema nuevo.
Configuración del conector Pub/Sub de GCP en Microsoft Sentinel
Abra Azure Portal y vaya al servicio Microsoft Sentinel.
En el centro de contenido, en la barra de búsqueda, escriba Registros de auditoría de Google Cloud Platform.
Instale la solución Registros de auditoría de Google Cloud Platform.
Seleccione Conectores de datos y, en la barra de búsqueda, escriba GCP Pub/Sub Audit Logs.
Seleccione el conector GCP Pub/Sub Audit Logs.
En el panel de detalles, seleccione Abrir página del conector.
En el área Configuración, seleccione Agregar nuevo recopilador.
En el panel Conectar un nuevo recopilador, escriba los parámetros de recurso que creó al crear los recursos de GCP.
Asegúrese de que los valores de todos los campos coinciden con sus homólogos en el proyecto de GCP (los valores de la captura de pantalla son ejemplos, no literales) y seleccione Conectar.
Comprobación de que los datos de GCP están en el entorno de Microsoft Sentinel
Para asegurarse de que los registros de GCP se hayan ingerido correctamente en Microsoft Sentinel, ejecute la siguiente consulta 30 minutos después de finalizar para configurar el conector.
GCPAuditLogs | take 10
Habilite la característica de mantenimiento para los conectores de datos.
Pasos siguientes
En este artículo, ha aprendido a ingerir datos de GCP en Microsoft Sentinel mediante los conectores Pub/Sub de GCP. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos:
- Aprenda a obtener visibilidad de los datos y de posibles amenazas.
- Empiece a detectar amenazas con Microsoft Sentinel.
- Use libros para supervisar los datos.