Прием данных журнала Google Cloud Platform в Microsoft Sentinel

Организации все чаще переходят на многооблачные архитектуры, будь то по проектированию или из-за текущих требований. Растущее число этих организаций использует приложения и хранит данные в нескольких общедоступных облаках, включая Google Cloud Platform (GCP).

В этой статье описывается прием данных GCP в Microsoft Sentinel для получения полного покрытия безопасности и анализа и обнаружения атак в многооблачной среде.

С помощью соединителя GCP Pub/Sub на основе нашей платформы без кода Подключение or Platform (CCP) вы можете получать журналы из среды GCP с помощью возможности GCP Pub/Sub.

Важно!

Соединитель журналов аудита GCP pub/sub в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Журналы облачного аудита Google записывают путь аудита, который аналитики могут использовать для мониторинга доступа и обнаружения потенциальных угроз в ресурсах GCP.

Необходимые компоненты

Прежде чем начать, убедитесь в наличии следующего:

• Решение Microsoft Sentinel включено.
• Определенная рабочая область Microsoft Sentinel существует.
• Существует среда GCP ( проект) и собирает журналы аудита GCP.
• У пользователя Azure есть роль участника Microsoft Sentinel.
• У пользователя GCP есть доступ к редактированию и созданию ресурсов в проекте GCP.
• API GCP Identity and Access Management (IAM) и API GCP Cloud Resource Manager включены.

Настройка среды GCP

В среде GCP необходимо настроить два способа.

1. Настройте проверку подлинности Microsoft Sentinel в GCP, создав следующие ресурсы в службе GCP IAM:

   • Пул удостоверений рабочей нагрузки
   • Поставщик удостоверений рабочей нагрузки
   • Организация сервиса
   • Role

2. Настройте коллекцию журналов в GCP и приеме в Microsoft Sentinel , создав следующие ресурсы в службе GCP Pub/Sub:

   • Раздел
   • Подписка на раздел

Вы можете настроить среду одним из двух способов:

• Создание ресурсов GCP с помощью API Terraform: Terraform предоставляет API для создания ресурсов и управления удостоверениями и доступом (см . предварительные требования). Microsoft Sentinel предоставляет скрипты Terraform, которые выдают необходимые команды API.
• Настройте среду GCP вручную, создав ресурсы самостоятельно в консоли GCP.

Настройка проверки подлинности GCP

Настройка API Terraform

1. Откройте GCP Cloud Shell.

2. Выберите проект, с которым вы хотите работать, введя следующую команду в редакторе:

   gcloud config set project {projectId}  
   

3. Скопируйте скрипт проверки подлинности Terraform, предоставленный Microsoft Sentinel из репозитория GitHub Sentinel, в среду GCP Cloud Shell.

   1. Откройте файл скрипта Terraform GCPInitialAuthenticationSetup и скопируйте его содержимое.

      Примечание.

      Для приема данных GCP в облако Azure для государственных организаций используйте этот сценарий установки проверки подлинности.

   2. Создайте каталог в среде Cloud Shell, введите его и создайте пустой файл.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Откройте initauth.tf в редакторе Cloud Shell и вставьте в него содержимое файла скрипта.

4. Инициализировать Terraform в каталоге, созданном путем ввода следующей команды в терминале:

   terraform init 
   

5. При получении сообщения подтверждения о инициализации Terraform запустите скрипт, введя следующую команду в терминале:

   terraform apply 
   

6. Когда скрипт запрашивает идентификатор клиента Майкрософт, скопируйте и вставьте его в терминал.

   Примечание.

   Вы можете найти и скопировать идентификатор клиента на странице соединителя GCP Pub/Sub Audit Logs на портале Microsoft Sentinel или на экране параметров портала (доступно в любом месте портал Azure, выбрав значок шестеренки в верхней части экрана) в столбце идентификатора каталога.

7. Отвечая на вопрос, был ли пул удостоверений рабочей нагрузки уже создан для Azure, ответьте да или нет соответствующим образом.

8. Если вы хотите создать перечисленные ресурсы, введите "да".

При отображении выходных данных из скрипта сохраните параметры ресурсов для последующего использования.

Настройка вручную

Создайте и настройте следующие элементы в службе Google Cloud Platform Identity and Access Management (IAM).

Создание пользовательской роли

1. Следуйте инструкциям в документации по Google Cloud, чтобы создать роль. Для этих инструкций создайте настраиваемую роль с нуля.

2. Присвойте роли имя, чтобы она распознавалось как пользовательская роль Sentinel.

3. Заполните соответствующие сведения и добавьте разрешения по мере необходимости:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Список доступных разрешений можно отфильтровать по ролям. Чтобы отфильтровать список, выберите роли подписчика pub/sub иpub/Sub Viewer.

Дополнительные сведения о создании ролей в Google Cloud Platform см. в документации по Google Cloud и управлению ими.

Создание учетной записи службы

1. Следуйте инструкциям в документации Google Cloud, чтобы создать учетную запись службы.

2. Присвойте учетной записи службы имя узнаваемой учетной записи службы Sentinel.

3. Назначьте роль, созданную в предыдущем разделе , учетной записи службы.

Дополнительные сведения об учетных записях служб в Google Cloud Platform см . в обзоре учетных записей служб в документации по Google Cloud.

Создание пула удостоверений рабочей нагрузки и поставщика

1. Следуйте инструкциям в документации Google Cloud, чтобы создать пул удостоверений рабочей нагрузки и поставщика.

2. Для идентификатора имени и пула введите идентификатор клиента Azure с удаленными дефисами.

   Примечание.

   Идентификатор клиента можно найти и скопировать на экране параметров портала в столбце идентификатора каталога. Экран параметров портала доступен в любом месте портал Azure, выбрав значок шестеренки в верхней части экрана.

3. Добавьте поставщика удостоверений в пул. В качестве типа поставщика выберите open ID Подключение (OIDC).

4. Присвойте поставщику удостоверений имя, чтобы узнать его цель.

5. Введите следующие значения в параметрах поставщика (это не примеры— используйте эти фактические значения):

   • Издатель (URL-адрес):https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Аудитория: URI идентификатора приложения: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Сопоставление атрибутов: google.subject=assertion.sub

   Примечание.

   Чтобы настроить соединитель для отправки журналов из GCP в облако Azure для государственных организаций, используйте следующие альтернативные значения для параметров поставщика вместо указанных выше:

   • Издатель (URL-адрес):https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Аудитория: api://e9885b54-fac0-4cd6-959f-a72066026929

Дополнительные сведения о федерации удостоверений рабочей нагрузки в Google Cloud Platform см . в статье "Федерация удостоверений рабочей нагрузки" в документации по Google Cloud.

Предоставление пулу удостоверений доступа к учетной записи службы

1. Найдите и выберите созданную ранее учетную запись службы.

2. Найдите конфигурацию разрешений учетной записи службы.

3. Предоставьте субъекту доступ , который представляет пул удостоверений рабочей нагрузки и поставщик, созданный на предыдущем шаге.

   • Используйте следующий формат для имени субъекта:

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • Назначьте роль пользователя удостоверений рабочей нагрузки и сохраните конфигурацию.

Дополнительные сведения о предоставлении доступа в Google Cloud Platform см. в разделе "Управление доступом к проектам, папкам и организациям " в документации Google Cloud.

Настройка журналов аудита GCP

Настройка API Terraform

1. Скопируйте скрипт настройки журнала аудита Terraform, предоставленный Microsoft Sentinel из репозитория GitHub Sentinel, в другую папку в среде GCP Cloud Shell.

   1. Откройте файл скрипта Terraform GCPAuditLogsSetup и скопируйте его содержимое.

      Примечание.

      Для приема данных GCP в облако Azure для государственных организаций используйте этот скрипт настройки журнала аудита.

   2. Создайте другой каталог в среде Cloud Shell, введите его и создайте пустой файл.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Откройте auditlog.tf в редакторе Cloud Shell и вставьте в него содержимое файла скрипта.

2. Инициализировать Terraform в новом каталоге, введя следующую команду в терминале:

   terraform init 
   

3. При получении сообщения подтверждения о инициализации Terraform запустите скрипт, введя следующую команду в терминале:

   terraform apply 
   

   Чтобы принять журналы из всей организации с помощью одного pub/Sub, введите следующее:

   terraform apply -var="organization-id= {organizationId} "
   

4. Если вы хотите создать перечисленные ресурсы, введите "да".

При отображении выходных данных из скрипта сохраните параметры ресурсов для последующего использования.

Подождите пять минут, прежде чем перейти к следующему шагу.

Настройка вручную

Создание раздела публикации

Используйте службу Google Cloud Platform Pub/Sub для настройки экспорта журналов аудита.

Следуйте инструкциям в документации по Google Cloud, чтобы создать раздел для публикации журналов.

• Выберите идентификатор раздела, который отражает цель сбора журналов для экспорта в Microsoft Sentinel.
• Добавьте подписку по умолчанию.
• Используйте управляемый Google ключ шифрования для шифрования.

Создание приемника журналов

Используйте службу маршрутизатора журналов Google Cloud Platform для настройки коллекции журналов аудита.

Чтобы собирать журналы только для ресурсов в текущем проекте, выполните следующие действия.

1. Убедитесь, что проект выбран в селекторе проекта.

2. Следуйте инструкциям в документации Google Cloud, чтобы настроить приемник для сбора журналов.

   • Выберите имя, которое отражает цель сбора журналов для экспорта в Microsoft Sentinel.
   • Выберите "Cloud Pub/Sub topic" в качестве типа назначения и выберите тему, созданную на предыдущем шаге.

Чтобы собрать журналы для ресурсов во всей организации, выполните следующие действия.

1. Выберите организацию в селекторе проекта.

2. Следуйте инструкциям в документации Google Cloud, чтобы настроить приемник для сбора журналов.

   • Выберите имя, которое отражает цель сбора журналов для экспорта в Microsoft Sentinel.
   • Выберите "Cloud Pub/Sub topic" в качестве типа назначения и выберите в проекте значение по умолчанию "Использование облачного pub/sub раздела".
   • Введите назначение в следующем формате: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}

3. В разделе " Выбор журналов" для включения в приемник выберите "Включить журналы", принятые этой организацией и всеми дочерними ресурсами.

Убедитесь, что GCP может получать входящие сообщения

1. В консоли GCP Pub/Sub перейдите к подпискам.

2. Выберите "Сообщения" и нажмите кнопку PULL, чтобы инициировать вытягивание вручную.

3. Проверьте входящие сообщения.

Настройка соединителя GCP Pub/Sub в Microsoft Sentinel

1. Войдите на портал Azure и перейдите к службе Microsoft Sentinel.

2. В центре контента в строке поиска введите журналы аудита Google Cloud Platform.

3. Установите решение журналов аудита Google Cloud Platform.

4. Выберите соединители данных и в строке поиска введите журналы аудита GCP Pub/Sub.

5. Выберите соединитель журналов аудита (предварительная версия) GCP Pub/Sub Audit Logs.

6. В области сведений выберите Открыть страницу соединителя.

7. В области конфигурации выберите "Добавить новый сборщик".

   

8. В Подключение новой панели сборщика введите параметры ресурса, созданные при создании ресурсов GCP.

   

9. Убедитесь, что значения во всех полях соответствуют их аналогам в проекте GCP и выберите Подключение.

Убедитесь, что данные GCP в среде Microsoft Sentinel

1. Чтобы обеспечить успешное прием журналов GCP в Microsoft Sentinel, выполните следующий запрос через 30 минут после завершения настройки соединителя.

   GCPAuditLogs 
   | take 10 
   

2. Включите функцию работоспособности соединителей данных.

Следующие шаги

В этой статье вы узнали, как принять данные GCP в Microsoft Sentinel с помощью соединителей GCP Pub/Sub. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Узнайте, как отслеживать свои данные и потенциальные угрозы.
• Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
• Используйте книги для мониторинга данных.