Logboekgegevens van Google Cloud Platform opnemen in Microsoft Sentinel
Organisaties verplaatsen zich steeds vaker naar architecturen met meerdere clouds, hetzij per ontwerp of vanwege doorlopende vereisten. Een groeiend aantal van deze organisaties gebruikt toepassingen en slaat gegevens op in meerdere openbare clouds, waaronder het Google Cloud Platform (GCP).
In dit artikel wordt beschreven hoe u GCP-gegevens opneemt in Microsoft Sentinel om volledige beveiligingsdekking te krijgen en aanvallen in uw omgeving met meerdere clouds te analyseren en te detecteren.
Met de GCP Pub/Sub-connector, op basis van onze CTP (Codeless Verbinding maken or Platform), kunt u logboeken opnemen uit uw GCP-omgeving met behulp van de GCP Pub/Sub-functie.
Belangrijk
De connector voor GCP Pub/Sub Audit Logs is momenteel beschikbaar in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
In de cloudcontrolelogboeken van Google wordt een audittrail vastgelegd die analisten kunnen gebruiken om de toegang te bewaken en potentiële bedreigingen in GCP-resources te detecteren.
Vereisten
Controleer voordat u begint of u het volgende hebt:
- De Microsoft Sentinel-oplossing is ingeschakeld.
- Er bestaat een gedefinieerde Microsoft Sentinel-werkruimte.
- Er bestaat een GCP-omgeving (een project) en verzamelt GCP-auditlogboeken.
- Uw Azure-gebruiker heeft de rol Microsoft Sentinel-inzender.
- Uw GCP-gebruiker heeft toegang tot het bewerken en maken van resources in het GCP-project.
- De IAM-API (GCP Identity and Access Management) en de GCP Cloud Resource Manager-API zijn beide ingeschakeld.
GCP-omgeving instellen
Er zijn twee dingen die u moet instellen in uw GCP-omgeving:
Stel Microsoft Sentinel-verificatie in GCP in door de volgende resources te maken in de GCP IAM-service:
- Pool van workloadidentiteit
- Id-provider van workload
- Serviceaccount
- Rol
Stel logboekverzameling in GCP en opname in Microsoft Sentinel in door de volgende resources te maken in de GCP Pub/Sub-service:
- Onderwerp
- Abonnement op het onderwerp
U kunt de omgeving op twee manieren instellen:
- GCP-resources maken via de Terraform-API: Terraform biedt API's voor het maken van resources en voor identiteits- en toegangsbeheer (zie vereisten). Microsoft Sentinel biedt Terraform-scripts die de benodigde opdrachten aan de API's uitgeven.
- Stel de GCP-omgeving handmatig in en maak zelf de resources in de GCP-console.
GCP-verificatie instellen
Open GCP Cloud Shell.
Selecteer het project waarmee u wilt werken door de volgende opdracht in de editor te typen:
gcloud config set project {projectId}
Kopieer het Terraform-verificatiescript van Microsoft Sentinel vanuit de Sentinel GitHub-opslagplaats naar uw GCP Cloud Shell-omgeving.
Open het scriptbestand Terraform GCPInitialAuthenticationSetup en kopieer de inhoud ervan.
Notitie
Als u GCP-gegevens wilt opnemen in een Azure Government-cloud, gebruikt u in plaats daarvan dit installatiescript voor verificatie.
Maak een map in uw Cloud Shell-omgeving, voer deze in en maak een nieuw leeg bestand.
mkdir {directory-name} && cd {directory-name} && touch initauth.tf
Open initauth.tf in de Cloud Shell-editor en plak de inhoud van het scriptbestand erin.
Initialiseer Terraform in de map die u hebt gemaakt door de volgende opdracht in de terminal te typen:
terraform init
Wanneer u het bevestigingsbericht ontvangt dat Terraform is geïnitialiseerd, voert u het script uit door de volgende opdracht in de terminal te typen:
terraform apply
Wanneer het script om uw Microsoft-tenant-id wordt gevraagd, kopieert en plakt u het in de terminal.
Wanneer u wordt gevraagd of er al een identiteitsgroep voor werkbelasting is gemaakt voor Azure, antwoordt u ja of nee dienovereenkomstig.
Wanneer u wordt gevraagd of u de vermelde resources wilt maken, typt u ja.
Wanneer de uitvoer van het script wordt weergegeven, slaat u de resourcesparameters op voor later gebruik.
GCP-auditlogboeken instellen
Kopieer het installatiescript voor terraform-auditlogboeken dat door Microsoft Sentinel is geleverd vanuit de Sentinel GitHub-opslagplaats naar een andere map in uw GCP Cloud Shell-omgeving.
Open het Terraform GCPAuditLogsSetup-scriptbestand en kopieer de inhoud ervan.
Notitie
Als u GCP-gegevens wilt opnemen in een Azure Government-cloud, gebruikt u in plaats daarvan dit installatiescript voor auditlogboeken.
Maak een andere map in uw Cloud Shell-omgeving, voer deze in en maak een nieuw leeg bestand.
mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
Open auditlog.tf in de Cloud Shell-editor en plak de inhoud van het scriptbestand erin.
Initialiseer Terraform in de nieuwe map door de volgende opdracht in de terminal te typen:
terraform init
Wanneer u het bevestigingsbericht ontvangt dat Terraform is geïnitialiseerd, voert u het script uit door de volgende opdracht in de terminal te typen:
terraform apply
Als u logboeken van een hele organisatie wilt opnemen met één pub/sub, typt u:
terraform apply -var="organization-id= {organizationId} "
Wanneer u wordt gevraagd of u de vermelde resources wilt maken, typt u ja.
Wanneer de uitvoer van het script wordt weergegeven, slaat u de resourcesparameters op voor later gebruik.
Wacht vijf minuten voordat u naar de volgende stap gaat.
De GCP Pub/Sub-connector instellen in Microsoft Sentinel
Open Azure Portal en navigeer naar de Microsoft Sentinel-service .
Typ in de inhoudshub in de zoekbalk auditlogboeken van Google Cloud Platform.
Installeer de oplossing Google Cloud Platform-auditlogboeken .
Selecteer Gegevensconnectors en typ in de zoekbalk GCP Pub/Sub AuditLogboeken.
Selecteer de connector GCP Pub/Sub Audit Logs (preview).
Selecteer in het detailvenster Connectorpagina openen.
Selecteer In het gebied Configuratie de optie Nieuwe collector toevoegen.
Typ in het Verbinding maken een nieuw collectorpaneel de resourceparameters die u hebt gemaakt toen u de GCP-resources maakte.
Zorg ervoor dat de waarden in alle velden overeenkomen met hun tegenhangers in uw GCP-project en selecteer Verbinding maken.
Controleer of de GCP-gegevens zich in de Microsoft Sentinel-omgeving bevinden
Voer de volgende query 30 minuten nadat u de connector hebt ingesteld, uit om ervoor te zorgen dat de GCP-logboeken zijn opgenomen in Microsoft Sentinel.
GCPAuditLogs | take 10
Schakel de statusfunctie in voor gegevensconnectors.
Volgende stappen
In dit artikel hebt u geleerd hoe u GCP-gegevens opneemt in Microsoft Sentinel met behulp van de GCP Pub/Sub-connectors. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
- Werkmappen gebruiken om uw gegevens te bewaken.