Menyerap data log Google Cloud Platform ke Microsoft Azure Sentinel
Organisasi semakin beralih ke arsitektur multicloud, baik berdasarkan desain maupun karena persyaratan yang sedang berlangsung. Semakin banyak organisasi ini menggunakan aplikasi dan menyimpan data di beberapa cloud publik, termasuk Google Cloud Platform (GCP).
Artikel ini menjelaskan cara menyerap data GCP ke Microsoft Azure Sentinel untuk mendapatkan cakupan keamanan penuh dan menganalisis serta mendeteksi serangan di lingkungan multicloud Anda.
Dengan konektor GCP Pub/Sub, berdasarkan Codeless Koneksi or Platform (CCP), Anda dapat menyerap log dari lingkungan GCP Anda menggunakan kemampuan GCP Pub/Sub.
Penting
Konektor Log Audit GCP Pub/Sub saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Log Audit Cloud Google mencatat jejak audit yang dapat digunakan analis untuk memantau akses dan mendeteksi potensi ancaman di seluruh sumber daya GCP.
Prasyarat
Sebelum memulai, verifikasi bahwa Anda memiliki hal berikut:
- Solusi Microsoft Azure Sentinel diaktifkan.
- Ruang kerja Microsoft Azure Sentinel yang ditentukan ada.
- Lingkungan GCP ( proyek) ada dan mengumpulkan log audit GCP.
- Pengguna Azure Anda memiliki peran Kontributor Microsoft Sentinel.
- Pengguna GCP Anda memiliki akses untuk mengedit dan membuat sumber daya di proyek GCP.
- API GCP Identity and Access Management (IAM) dan GCP Cloud Resource Manager API keduanya diaktifkan.
Menyiapkan lingkungan GCP
Ada dua hal yang perlu Anda siapkan di lingkungan GCP Anda:
Siapkan autentikasi Microsoft Sentinel di GCP dengan membuat sumber daya berikut di layanan IAM GCP:
- Kumpulan identitas beban kerja
- Penyedia identitas beban kerja
- Akun layanan
- Role
Siapkan pengumpulan log di GCP dan penyerapan ke Microsoft Azure Sentinel dengan membuat sumber daya berikut di layanan GCP Pub/Sub:
- Topik
- Langganan untuk topik
Anda dapat menyiapkan lingkungan dengan salah satu dari dua cara:
- Buat sumber daya GCP melalui TERRAFORM API: Terraform menyediakan API untuk pembuatan sumber daya dan untuk Manajemen Identitas dan Akses (lihat Prasyarat). Microsoft Sentinel menyediakan skrip Terraform yang mengeluarkan perintah yang diperlukan ke API.
- Siapkan lingkungan GCP secara manual, buat sendiri sumber daya di konsol GCP.
Penyiapan Autentikasi GCP
Buka GCP Cloud Shell.
Pilih proyek yang ingin Anda kerjakan, dengan mengetik perintah berikut di editor:
gcloud config set project {projectId}
Salin skrip autentikasi Terraform yang disediakan oleh Microsoft Sentinel dari repositori GitHub Sentinel ke lingkungan GCP Cloud Shell Anda.
Buka file skrip Terraform GCPInitialAuthenticationSetup dan salin kontennya.
Catatan
Untuk menyerap data GCP ke cloud Azure Government, gunakan skrip penyiapan autentikasi ini sebagai gantinya.
Buat direktori di lingkungan Cloud Shell Anda, masukkan, dan buat file kosong baru.
mkdir {directory-name} && cd {directory-name} && touch initauth.tf
Buka initauth.tf di editor Cloud Shell dan tempelkan konten file skrip ke dalamnya.
Inisialisasi Terraform di direktori yang Anda buat dengan mengetik perintah berikut di terminal:
terraform init
Saat Anda menerima pesan konfirmasi bahwa Terraform diinisialisasi, jalankan skrip dengan mengetik perintah berikut di terminal:
terraform apply
Saat skrip meminta ID penyewa Microsoft Anda, salin dan tempelkan ke terminal.
Ketika ditanya apakah Kumpulan Identitas beban kerja telah dibuat untuk Azure, jawab ya atau tidak .
Saat ditanya apakah Anda ingin membuat sumber daya yang tercantum, ketik ya.
Saat output dari skrip ditampilkan, simpan parameter sumber daya untuk digunakan nanti.
Penyiapan Log Audit GCP
Salin skrip penyiapan log audit Terraform yang disediakan oleh Microsoft Sentinel dari repositori Sentinel GitHub ke dalam folder yang berbeda di lingkungan GCP Cloud Shell Anda.
Buka file skrip Terraform GCPAuditLogsSetup dan salin kontennya.
Catatan
Untuk menyerap data GCP ke cloud Azure Government, gunakan skrip penyiapan log audit ini sebagai gantinya.
Buat direktori lain di lingkungan Cloud Shell Anda, masukkan, dan buat file kosong baru.
mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
Buka auditlog.tf di editor Cloud Shell dan tempelkan konten file skrip ke dalamnya.
Inisialisasi Terraform di direktori baru dengan mengetik perintah berikut di terminal:
terraform init
Saat Anda menerima pesan konfirmasi bahwa Terraform diinisialisasi, jalankan skrip dengan mengetik perintah berikut di terminal:
terraform apply
Untuk menyerap log dari seluruh organisasi menggunakan satu Pub/Sub, ketik:
terraform apply -var="organization-id= {organizationId} "
Saat ditanya apakah Anda ingin membuat sumber daya yang tercantum, ketik ya.
Saat output dari skrip ditampilkan, simpan parameter sumber daya untuk digunakan nanti.
Tunggu lima menit sebelum pindah ke langkah berikutnya.
Menyiapkan konektor GCP Pub/Sub di Microsoft Azure Sentinel
Buka portal Microsoft Azure dan navigasikan ke layanan Microsoft Azure Sentinel.
Di hub Konten, di bilah pencarian, ketik Log Audit Google Cloud Platform.
Instal solusi Log Audit Google Cloud Platform.
Pilih Konektor data, dan di bilah pencarian, ketik Log GCP Pub/Sub Audit.
Pilih konektor GCP Pub/Sub Audit Logs (Pratinjau).
Di panel detail, pilih Buka halaman konektor.
Di area Konfigurasi, pilih Tambahkan kolektor baru.
Di panel Koneksi pengumpul baru, ketik parameter sumber daya yang Anda buat saat membuat sumber daya GCP.
Pastikan bahwa nilai di semua bidang cocok dengan rekan-rekannya di proyek GCP Anda, dan pilih Koneksi.
Verifikasi bahwa data GCP berada di lingkungan Microsoft Azure Sentinel
Untuk memastikan bahwa log GCP berhasil diserap ke Microsoft Sentinel, jalankan kueri berikut 30 menit setelah Anda selesai menyiapkan konektor.
GCPAuditLogs | take 10
Aktifkan fitur kesehatan untuk konektor data.
Langkah berikutnya
Dalam artikel ini, Anda mempelajari cara menyerap data GCP ke Microsoft Sentinel menggunakan konektor GCP Pub/Sub. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:
- Pelajari cara mendapatkan visibilitas ke dalam data Anda, dan potensi ancaman.
- Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.
- Gunakan buku kerja untuk memantau data Anda.