A Google Cloud Platform naplóadatainak betöltése a Microsoft Sentinelbe
A szervezetek egyre inkább áttérnek a többfelhős architektúrákra, akár a tervezés, akár a folyamatos követelmények miatt. Ezek a szervezetek egyre többen használnak alkalmazásokat, és több nyilvános felhőben, köztük a Google Cloud Platformon (GCP) tárolják az adatokat.
Ez a cikk bemutatja, hogyan lehet GCP-adatokat betöltésre a Microsoft Sentinelbe a teljes biztonsági lefedettség érdekében, valamint a többfelhős környezet támadásait elemezni és észlelni.
A GCP Pub/Sub összekötővel, a Kód nélküli Csatlakozás or platform (CCP) alapján a GCP-környezet naplóit a GCP Pub/Sub funkcióval lehet betöltésre.
Fontos
A GCP Pub/Sub Audit Logs összekötő jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A Google felhőalapú naplózási naplói naplói naplók egy naplót rögzítenek, amellyel az elemzők figyelhetik a hozzáférést, és észlelhetik a lehetséges fenyegetéseket a GCP-erőforrások között.
Előfeltételek
Mielőtt hozzákezdene, ellenőrizze, hogy rendelkezik-e az alábbiakval:
- A Microsoft Sentinel-megoldás engedélyezve van.
- Létezik egy definiált Microsoft Sentinel-munkaterület.
- GCP-környezet (projekt) létezik, és GCP-naplózási naplókat gyűjt.
- Az Azure-felhasználó a Microsoft Sentinel közreműködői szerepkörével rendelkezik.
- A GCP-felhasználónak hozzáférése van az erőforrások szerkesztéséhez és létrehozásához a GCP-projektben.
- A GCP Identity and Access Management (IAM) API és a GCP Cloud Resource Manager API egyaránt engedélyezve van.
GCP-környezet beállítása
A GCP-környezetben két dolgot kell beállítania:
A Microsoft Sentinel-hitelesítés beállítása a GCP-ben a következő erőforrások létrehozásával a GCP IAM szolgáltatásban:
- Számítási feladatok identitáskészlete
- Számítási feladat identitásszolgáltatója
- Szolgáltatásfiók
- Szerepkör
Állítsa be a naplógyűjteményt a GCP-ben, és a Microsoft Sentinelbe való betöltéshez hozza létre a következő erőforrásokat a GCP Pub/Sub szolgáltatásban:
- Téma
- Előfizetés a témakörhöz
A környezetet kétféleképpen állíthatja be:
- GCP-erőforrások létrehozása a Terraform API-n keresztül: A Terraform API-kat biztosít az erőforrások létrehozásához, valamint az identitás- és hozzáférés-kezeléshez (lásd az előfeltételeket). A Microsoft Sentinel Terraform-szkripteket biztosít, amelyek a szükséges parancsokat adják ki az API-knak.
- Állítsa be manuálisan a GCP-környezetet, és hozza létre az erőforrásokat saját maga a GCP-konzolon.
GCP-hitelesítés beállítása
Nyissa meg a GCP Cloud Shellt.
Válassza ki azt a projektet , amellyel dolgozni szeretne, írja be a következő parancsot a szerkesztőbe:
gcloud config set project {projectId}
Másolja a Microsoft Sentinel által biztosított Terraform hitelesítési szkriptet a Sentinel GitHub-adattárból a GCP Cloud Shell-környezetbe.
Nyissa meg a Terraform GCPInitialAuthenticationSetup szkriptfájlt , és másolja a tartalmát.
Feljegyzés
GCP-adatok Azure Government-felhőbe való betöltéséhez használja inkább ezt a hitelesítési beállítási szkriptet.
Hozzon létre egy könyvtárat a Cloud Shell-környezetben, írja be, és hozzon létre egy új üres fájlt.
mkdir {directory-name} && cd {directory-name} && touch initauth.tf
Nyissa meg initauth.tf a Cloud Shell-szerkesztőben, és illessze be a szkriptfájl tartalmát.
Inicializálja a Terraformot a létrehozott könyvtárban a következő parancs beírásával a terminálban:
terraform init
Amikor megkapja a Terraform inicializálását megerősítő üzenetet, futtassa a szkriptet az alábbi parancs beírásával a terminálban:
terraform apply
Amikor a szkript kéri a Microsoft-bérlő azonosítóját, másolja és illessze be a terminálba.
Amikor a rendszer megkérdezi, hogy már létrehozott-e számítási feladat-identitáskészletet az Azure-hoz, ennek megfelelően válaszoljon igennel vagy nemnel .
Amikor a rendszer megkérdezi, hogy létre szeretné-e hozni a felsorolt erőforrásokat, írja be az igent.
Amikor megjelenik a szkript kimenete, mentse az erőforrások paramétereit későbbi használatra.
GCP-naplózási naplók beállítása
Másolja a Microsoft Sentinel által biztosított Terraform naplóbeállítási szkriptet a Sentinel GitHub-adattárból a GCP Cloud Shell-környezet egy másik mappájába.
Nyissa meg a Terraform GCPAuditLogsSetup szkriptfájlt , és másolja annak tartalmát.
Feljegyzés
GCP-adatok Azure Government-felhőbe való betöltéséhez használja inkább ezt a naplóbeállítási szkriptet.
Hozzon létre egy másik könyvtárat a Cloud Shell-környezetben, írja be, és hozzon létre egy új üres fájlt.
mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
Nyissa meg auditlog.tf a Cloud Shell-szerkesztőben, és illessze be a szkriptfájl tartalmát.
Inicializálja a Terraformot az új könyvtárban a következő parancs beírásával a terminálban:
terraform init
Amikor megkapja a Terraform inicializálását megerősítő üzenetet, futtassa a szkriptet az alábbi parancs beírásával a terminálban:
terraform apply
Ha egyetlen Pub/Sub használatával szeretne naplókat beszedni egy teljes szervezetből, írja be a következőt:
terraform apply -var="organization-id= {organizationId} "
Amikor a rendszer megkérdezi, hogy létre szeretné-e hozni a felsorolt erőforrásokat, írja be az igent.
Amikor megjelenik a szkript kimenete, mentse az erőforrások paramétereit későbbi használatra.
Várjon öt percet, mielőtt továbblépne a következő lépésre.
A GCP Pub/Sub connector beállítása a Microsoft Sentinelben
Nyissa meg az Azure Portalt , és lépjen a Microsoft Sentinel szolgáltatáshoz.
A Tartalomközpont keresősávjában írja be a Google Cloud Platform naplózási naplóit.
Telepítse a Google Cloud Platform Audit Logs megoldását .
Válassza ki az Adatösszekötőket, és a keresősávon írja be a GCP Pub/Sub Audit Logs kifejezést.
Válassza ki a GCP Pub/Sub Audit Logs (Előzetes verzió) összekötőt.
A részletek panelen válassza az Összekötő-oldal megnyitása lehetőséget.
A Konfiguráció területen válassza az Új gyűjtő hozzáadása lehetőséget.
Az új gyűjtőpanel Csatlakozás írja be a GCP-erőforrások létrehozásakor létrehozott erőforrásparamétereket.
Győződjön meg arról, hogy az összes mező értékei egyeznek a GCP-projektben szereplő megfelelőkkel, és válassza a Csatlakozás.
Ellenőrizze, hogy a GCP-adatok a Microsoft Sentinel környezetben találhatóak-e
Annak érdekében, hogy a GCP-naplók sikeresen be legyenek osztva a Microsoft Sentinelbe, futtassa a következő lekérdezést 30 perccel az összekötő beállítása után.
GCPAuditLogs | take 10
Engedélyezze az adatösszekötők állapotfunkcióját .
Következő lépések
Ebben a cikkben megtanulhatta, hogyan lehet GCP-adatokat beszedni a Microsoft Sentinelbe a GCP Pub/Sub összekötők használatával. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:
- Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
- Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.
- Munkafüzetek használatával monitorozza az adatokat.