Logboekgegevens van Google Cloud Platform opnemen in Microsoft Sentinel

Organisaties verplaatsen zich steeds vaker naar architecturen met meerdere clouds, hetzij per ontwerp of vanwege doorlopende vereisten. Een groeiend aantal van deze organisaties gebruikt toepassingen en slaat gegevens op in meerdere openbare clouds, waaronder het Google Cloud Platform (GCP).

In dit artikel wordt beschreven hoe u GCP-gegevens opneemt in Microsoft Sentinel om volledige beveiligingsdekking te krijgen en aanvallen in uw omgeving met meerdere clouds te analyseren en te detecteren.

Met de GCP Pub/Sub-connector, op basis van onze CTP (Codeless Verbinding maken or Platform), kunt u logboeken opnemen uit uw GCP-omgeving met behulp van de GCP Pub/Sub-functie.

Belangrijk

De connector voor GCP Pub/Sub Audit Logs is momenteel beschikbaar in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

In de cloudcontrolelogboeken van Google wordt een audittrail vastgelegd die analisten kunnen gebruiken om de toegang te bewaken en potentiële bedreigingen in GCP-resources te detecteren.

Vereisten

Controleer voordat u begint of u het volgende hebt:

• De Microsoft Sentinel-oplossing is ingeschakeld.
• Er bestaat een gedefinieerde Microsoft Sentinel-werkruimte.
• Er bestaat een GCP-omgeving (een project) en verzamelt GCP-auditlogboeken.
• Uw Azure-gebruiker heeft de rol Microsoft Sentinel-inzender.
• Uw GCP-gebruiker heeft toegang tot het bewerken en maken van resources in het GCP-project.
• De IAM-API (GCP Identity and Access Management) en de GCP Cloud Resource Manager-API zijn beide ingeschakeld.

GCP-omgeving instellen

Er zijn twee dingen die u moet instellen in uw GCP-omgeving:

1. Stel Microsoft Sentinel-verificatie in GCP in door de volgende resources te maken in de GCP IAM-service:

   • Pool van workloadidentiteit
   • Id-provider van workload
   • Serviceaccount
   • Rol

2. Stel logboekverzameling in GCP en opname in Microsoft Sentinel in door de volgende resources te maken in de GCP Pub/Sub-service:

   • Onderwerp
   • Abonnement op het onderwerp

U kunt de omgeving op twee manieren instellen:

• GCP-resources maken via de Terraform-API: Terraform biedt API's voor het maken van resources en voor identiteits- en toegangsbeheer (zie vereisten). Microsoft Sentinel biedt Terraform-scripts die de benodigde opdrachten aan de API's uitgeven.
• Stel de GCP-omgeving handmatig in en maak zelf de resources in de GCP-console.

GCP-verificatie instellen

Terraform-API instellen

1. Open GCP Cloud Shell.

2. Selecteer het project waarmee u wilt werken door de volgende opdracht in de editor te typen:

   gcloud config set project {projectId}  
   

3. Kopieer het Terraform-verificatiescript van Microsoft Sentinel vanuit de Sentinel GitHub-opslagplaats naar uw GCP Cloud Shell-omgeving.

   1. Open het scriptbestand Terraform GCPInitialAuthenticationSetup en kopieer de inhoud ervan.

      Notitie

      Als u GCP-gegevens wilt opnemen in een Azure Government-cloud, gebruikt u in plaats daarvan dit installatiescript voor verificatie.

   2. Maak een map in uw Cloud Shell-omgeving, voer deze in en maak een nieuw leeg bestand.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Open initauth.tf in de Cloud Shell-editor en plak de inhoud van het scriptbestand erin.

4. Initialiseer Terraform in de map die u hebt gemaakt door de volgende opdracht in de terminal te typen:

   terraform init 
   

5. Wanneer u het bevestigingsbericht ontvangt dat Terraform is geïnitialiseerd, voert u het script uit door de volgende opdracht in de terminal te typen:

   terraform apply 
   

6. Wanneer het script om uw Microsoft-tenant-id wordt gevraagd, kopieert en plakt u het in de terminal.

   Notitie

   U kunt uw tenant-id vinden en kopiëren op de connectorpagina GCP Pub/Sub Audit Logs in de Microsoft Sentinel-portal of in het scherm Portal-instellingen (overal in Azure Portal toegankelijk door het tandwielpictogram boven aan het scherm) te selecteren in de kolom Directory-id .

7. Wanneer u wordt gevraagd of er al een identiteitsgroep voor werkbelasting is gemaakt voor Azure, antwoordt u ja of nee dienovereenkomstig.

8. Wanneer u wordt gevraagd of u de vermelde resources wilt maken, typt u ja.

Wanneer de uitvoer van het script wordt weergegeven, slaat u de resourcesparameters op voor later gebruik.

Handmatige installatie

Maak en configureer de volgende items in de IAM-service (Google Cloud Platform Identity and Access Management).

Een aangepaste rol maken

1. Volg de instructies in de Google Cloud-documentatie om een rol te maken. Maak volgens deze instructies een volledig nieuwe aangepaste rol.

2. Geef de rol een naam zodat deze herkenbaar is als een aangepaste Sentinel-rol.

3. Vul de relevante details in en voeg zo nodig machtigingen toe:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   U kunt de lijst met beschikbare machtigingen filteren op rollen. Selecteer de rollen Pub/Subabonnee en Pub/Subviewer om de lijst te filteren.

Zie Aangepaste rollen maken en beheren in de Google Cloud-documentatie voor meer informatie over het maken van rollen in Google Cloud Platform.

Een serviceaccount maken

1. Volg de instructies in de Google Cloud-documentatie om een serviceaccount te maken.

2. Geef het serviceaccount een naam zodat het kan worden herkend als een Sentinel-serviceaccount.

3. Wijs de rol toe die u in de vorige sectie hebt gemaakt aan het serviceaccount.

Zie het overzicht van serviceaccounts in de Google Cloud-documentatie voor meer informatie over serviceaccounts in Google Cloud Platform.

De workload-id-pool en -provider maken

1. Volg de instructies in de Google Cloud-documentatie om de pool en provider voor workloadidentiteit te maken.

2. Voer voor de naam en pool-id uw Azure-tenant-id in, waarbij de streepjes zijn verwijderd.

   Notitie

   U kunt uw tenant-id vinden en kopiëren in het scherm Portalinstellingen , in de kolom Directory-id . Het scherm met portalinstellingen is overal in Azure Portal toegankelijk door het tandwielpictogram boven aan het scherm te selecteren.

3. Voeg een id-provider toe aan de pool. Kies Open ID Verbinding maken (OIDC) als providertype.

4. Geef de id-provider een naam zodat deze herkenbaar is voor het doel ervan.

5. Voer de volgende waarden in de providerinstellingen in (dit zijn geen voorbeelden: gebruik deze werkelijke waarden):

   • Verlener (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Doelgroep: de URI voor de toepassings-id: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Kenmerktoewijzing: google.subject=assertion.sub

   Notitie

   Als u de connector wilt instellen voor het verzenden van logboeken van GCP naar de Azure Government-cloud, gebruikt u de volgende alternatieve waarden voor de providerinstellingen in plaats van de bovenstaande waarden:

   • Verlener (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Doelgroep: api://e9885b54-fac0-4cd6-959f-a72066026929

Zie de documentatie van Google Cloud Platform voor meer informatie over federatie van workloadidentiteiten in Google Cloud Platform.

De identiteitsgroep toegang verlenen tot het serviceaccount

1. Zoek en selecteer het serviceaccount dat u eerder hebt gemaakt.

2. Zoek de machtigingsconfiguratie van het serviceaccount.

3. Verdeel toegang tot de principal die de identiteitsgroep en provider van de workload vertegenwoordigt die u in de vorige stap hebt gemaakt.

   • Gebruik de volgende indeling voor de principal-naam:

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • Wijs de gebruikersrol workloadidentiteit toe en sla de configuratie op.

Zie De toegang tot projecten, mappen en organisaties beheren in de Google Cloud-documentatie voor meer informatie over het verlenen van toegang in Google Cloud Platform.

GCP-auditlogboeken instellen

Terraform-API instellen

1. Kopieer het installatiescript voor terraform-auditlogboeken dat door Microsoft Sentinel is geleverd vanuit de Sentinel GitHub-opslagplaats naar een andere map in uw GCP Cloud Shell-omgeving.

   1. Open het Terraform GCPAuditLogsSetup-scriptbestand en kopieer de inhoud ervan.

      Notitie

      Als u GCP-gegevens wilt opnemen in een Azure Government-cloud, gebruikt u in plaats daarvan dit installatiescript voor auditlogboeken.

   2. Maak een andere map in uw Cloud Shell-omgeving, voer deze in en maak een nieuw leeg bestand.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Open auditlog.tf in de Cloud Shell-editor en plak de inhoud van het scriptbestand erin.

2. Initialiseer Terraform in de nieuwe map door de volgende opdracht in de terminal te typen:

   terraform init 
   

3. Wanneer u het bevestigingsbericht ontvangt dat Terraform is geïnitialiseerd, voert u het script uit door de volgende opdracht in de terminal te typen:

   terraform apply 
   

   Als u logboeken van een hele organisatie wilt opnemen met één pub/sub, typt u:

   terraform apply -var="organization-id= {organizationId} "
   

4. Wanneer u wordt gevraagd of u de vermelde resources wilt maken, typt u ja.

Wanneer de uitvoer van het script wordt weergegeven, slaat u de resourcesparameters op voor later gebruik.

Wacht vijf minuten voordat u naar de volgende stap gaat.

Handmatige installatie

Een publicatieonderwerp maken

Gebruik de Google Cloud Platform Pub/Sub-service om export van auditlogboeken in te stellen.

Volg de instructies in de Google Cloud-documentatie om een onderwerp te maken waarin logboeken kunnen worden gepubliceerd.

• Kies een onderwerp-id die het doel van het verzamelen van logboeken weerspiegelt voor export naar Microsoft Sentinel.
• Voeg een standaardabonnement toe.
• Gebruik een door Google beheerde versleutelingssleutel voor versleuteling.

Een logboeksink maken

Gebruik de Google Cloud Platform Log Router-service om een verzameling auditlogboeken in te stellen.

Alleen logboeken voor resources in het huidige project verzamelen:

1. Controleer of uw project is geselecteerd in de projectkiezer.

2. Volg de instructies in de Google Cloud-documentatie om een sink in te stellen voor het verzamelen van logboeken.

   • Kies een naam die overeenkomt met het doel van logboekverzameling voor export naar Microsoft Sentinel.
   • Selecteer Cloud Pub/Sub-onderwerp als doeltype en kies het onderwerp dat u in de vorige stap hebt gemaakt.

Logboeken verzamelen voor resources in de hele organisatie:

1. Selecteer uw organisatie in de projectkiezer.

2. Volg de instructies in de Google Cloud-documentatie om een sink in te stellen voor het verzamelen van logboeken.

   • Kies een naam die overeenkomt met het doel van logboekverzameling voor export naar Microsoft Sentinel.
   • Selecteer Cloud Pub/Sub-onderwerp als doeltype en kies het standaardonderwerp 'Een Cloud Pub/Sub-onderwerp gebruiken in een project'.
   • Voer de bestemming in de volgende indeling in: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. Selecteer onder Kies logboeken die u wilt opnemen in de sink de optie Logboeken opnemen die door deze organisatie en alle onderliggende resources zijn opgenomen.

Controleren of GCP binnenkomende berichten kan ontvangen

1. Navigeer in de GCP Pub/Sub-console naar Abonnementen.

2. Selecteer Berichten en selecteer PULL om een handmatige pull te starten.

3. Controleer de inkomende berichten.

De GCP Pub/Sub-connector instellen in Microsoft Sentinel

1. Open Azure Portal en navigeer naar de Microsoft Sentinel-service .

2. Typ in de inhoudshub in de zoekbalk auditlogboeken van Google Cloud Platform.

3. Installeer de oplossing Google Cloud Platform-auditlogboeken .

4. Selecteer Gegevensconnectors en typ in de zoekbalk GCP Pub/Sub AuditLogboeken.

5. Selecteer de connector GCP Pub/Sub Audit Logs (preview).

6. Selecteer in het detailvenster Connectorpagina openen.

7. Selecteer In het gebied Configuratie de optie Nieuwe collector toevoegen.

   

8. Typ in het Verbinding maken een nieuw collectorpaneel de resourceparameters die u hebt gemaakt toen u de GCP-resources maakte.

   

9. Zorg ervoor dat de waarden in alle velden overeenkomen met hun tegenhangers in uw GCP-project en selecteer Verbinding maken.

Controleer of de GCP-gegevens zich in de Microsoft Sentinel-omgeving bevinden

1. Voer de volgende query 30 minuten nadat u de connector hebt ingesteld, uit om ervoor te zorgen dat de GCP-logboeken zijn opgenomen in Microsoft Sentinel.

   GCPAuditLogs 
   | take 10 
   

2. Schakel de statusfunctie in voor gegevensconnectors.

Volgende stappen

In dit artikel hebt u geleerd hoe u GCP-gegevens opneemt in Microsoft Sentinel met behulp van de GCP Pub/Sub-connectors. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
• Werkmappen gebruiken om uw gegevens te bewaken.