Google Cloud Platform günlük verilerini Microsoft Sentinel'e alma

Kuruluşlar ister tasarım gereği ister devam eden gereksinimler nedeniyle çok bulutlu mimarilere giderek daha fazla geçiş yapmaktadır. Bu kuruluşların sayısı giderek artan bir şekilde google bulut platformu (GCP) dahil olmak üzere birden çok genel bulutta uygulama kullanıyor ve verileri depolar.

Bu makalede, tam güvenlik kapsamı elde etmek ve çoklu bulut ortamınızdaki saldırıları analiz etmek ve algılamak için GCP verilerinin Microsoft Sentinel'e nasıl alındığı açıklanır.

Kodsuz Bağlan or Platformumuza (CCP) dayalı GCP Pub/Sub bağlayıcısı ile GCP Pub/Sub özelliğini kullanarak GCP ortamınızdan günlükleri alabilirsiniz.

Önemli

GCP Pub/Sub Denetim Günlükleri bağlayıcısı şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Google'ın Bulut Denetim Günlükleri, analistlerin GCP kaynakları genelinde erişimi izlemek ve olası tehditleri algılamak için kullanabileceği bir denetim kaydı kaydeder.

Önkoşullar

Başlamadan önce aşağıdakilere sahip olduğunuzu doğrulayın:

• Microsoft Sentinel çözümü etkinleştirildi.
• Tanımlı bir Microsoft Sentinel çalışma alanı var.
• GCP ortamı (proje) var ve GCP denetim günlüklerini topluyor.
• Azure kullanıcınızın Microsoft Sentinel Katkıda Bulunanı rolü vardır.
• GCP kullanıcınızın GCP projesindeki kaynakları düzenleme ve oluşturma erişimi vardır.
• GCP Kimlik ve Erişim Yönetimi (IAM) API'sinin ve GCP Cloud Resource Manager API'sinin her ikisi de etkindir.

GCP ortamını ayarlama

GCP ortamınızda ayarlamanız gereken iki şey vardır:

1. GCP IAM hizmetinde aşağıdaki kaynakları oluşturarak GCP'de Microsoft Sentinel kimlik doğrulamasını ayarlayın:

   • İş yükü kimlik havuzu
   • İş yükü kimlik sağlayıcısı
   • Servis firması
   • Role

2. GCP Pub/Sub hizmetinde aşağıdaki kaynakları oluşturarak GCP'de günlük toplamayı ve Microsoft Sentinel'e alımını ayarlayın:

   • Konu
   • Konu için abonelik

Ortamı iki yoldan biriyle ayarlayabilirsiniz:

• Terraform API'sini kullanarak GCP kaynakları oluşturma: Terraform, kaynak oluşturma ve Kimlik ve Erişim Yönetimi için API'ler sağlar (bkz . Önkoşullar). Microsoft Sentinel, API'lere gerekli komutları veren Terraform betikleri sağlar.
• GCP ortamını el ile ayarlayın ve kaynakları GCP konsolunda kendiniz oluşturun.

GCP Kimlik Doğrulaması Kurulumu

Terraform API Kurulumu

1. GCP Cloud Shell'i açın.

2. Düzenleyicide aşağıdaki komutu yazarak çalışmak istediğiniz projeyi seçin:

   gcloud config set project {projectId}  
   

3. Microsoft Sentinel tarafından sağlanan Terraform kimlik doğrulama betiğini Sentinel GitHub deposundan GCP Cloud Shell ortamınıza kopyalayın.

   1. Terraform GCPInitialAuthenticationSetup betik dosyasını açın ve içeriğini kopyalayın.

      Not

      GCP verilerini bir Azure Kamu buluta almak için bunun yerine bu kimlik doğrulama kurulum betiğini kullanın.

   2. Cloud Shell ortamınızda bir dizin oluşturun, bunu girin ve yeni bir boş dosya oluşturun.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Cloud Shell düzenleyicisinde initauth.tf açın ve betik dosyasının içeriğini dosyaya yapıştırın.

4. Terraform'ı oluşturduğunuz dizinde başlatmak için terminale aşağıdaki komutu yazın:

   terraform init 
   

5. Terraform'un başlatıldığını belirten onay iletisini aldığınızda, terminale aşağıdaki komutu yazarak betiği çalıştırın:

   terraform apply 
   

6. Betik Microsoft kiracı kimliğinizi sorarsa kopyalayıp terminale yapıştırın.

   Not

   Kiracı kimliğinizi Microsoft Sentinel portalındaki GCP Pub/Sub Denetim Günlükleri bağlayıcı sayfasında veya Portal ayarları ekranında (ekranın üst kısmındaki dişli simgesini seçerek Azure portalında herhangi bir yerde erişilebilir) Dizin Kimliği sütununda bulabilir ve kopyalayabilirsiniz.

7. Azure için zaten bir iş yükü Kimlik Havuzu oluşturulup oluşturulmadığı sorulduğunda, buna göre evet veya hayır yanıtını verin.

8. Listelenen kaynakları oluşturmak isteyip istemediğiniz sorulduğunda evet yazın.

Betiğin çıktısı görüntülendiğinde, daha sonra kullanmak üzere kaynak parametrelerini kaydedin.

El ile kurulum

Google Cloud Platform Kimlik ve Erişim Yönetimi (IAM) hizmetinde aşağıdaki öğeleri oluşturun ve yapılandırın.

Özel rol oluşturma

1. Rol oluşturmak için Google Cloud belgelerindeki yönergeleri izleyin. Bu yönergelere göre sıfırdan özel bir rol oluşturun.

2. Rolü Sentinel özel rolü olarak tanınabilmesi için adlandırın.

3. İlgili ayrıntıları doldurun ve gerektiğinde izinleri ekleyin:

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Kullanılabilir izinler listesini rollere göre filtreleyebilirsiniz. Listeyi filtrelemek için Pub/Sub Abonesi ve Pub/Sub Viewer rollerini seçin.

Google Cloud Platform'da rol oluşturma hakkında daha fazla bilgi için Google Cloud belgelerindeki Özel roller oluşturma ve yönetme bölümüne bakın.

Servis hesabı oluşturma

1. Hizmet hesabı oluşturmak için Google Cloud belgelerindeki yönergeleri izleyin.

2. Hizmet hesabını Sentinel hizmet hesabı olarak tanınabilmesi için adlandırın.

3. Önceki bölümde oluşturduğunuz rolü hizmet hesabına atayın.

Google Cloud Platform'daki hizmet hesapları hakkında daha fazla bilgi için Google Cloud belgelerindeki Hizmet hesaplarına genel bakış bölümüne bakın.

İş yükü kimlik havuzunu ve sağlayıcısını oluşturma

1. İş yükü kimlik havuzunu ve sağlayıcısını oluşturmak için Google Cloud belgelerindeki yönergeleri izleyin.

2. Ad ve Havuz Kimliği için, tireler kaldırılmış olarak Azure Kiracı Kimliğinizi girin.

   Not

   Kiracı kimliğinizi Portal ayarları ekranında, Dizin Kimliği sütununda bulabilir ve kopyalayabilirsiniz. Portal ayarları ekranına Azure portalının herhangi bir yerinde ekranın üst kısmındaki dişli simgesini seçerek erişebilirsiniz.

3. Havuza bir kimlik sağlayıcısı ekleyin. Sağlayıcı türü olarak Açık Kimlik Bağlan (OIDC) seçeneğini belirleyin.

4. Kimlik sağlayıcısını, amacına uygun olarak tanınabilmesi için adlandırın.

5. Sağlayıcı ayarlarına aşağıdaki değerleri girin (bunlar örnek değildir; şu gerçek değerleri kullanın):

   • Veren (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • hedef kitle: uygulama kimliği URI'si: api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Öznitelik eşlemesi: google.subject=assertion.sub

   Not

   Bağlayıcıyı GCP'den Azure Kamu buluta günlük gönderecek şekilde ayarlamak için yukarıdakiler yerine sağlayıcı ayarları için aşağıdaki alternatif değerleri kullanın:

   • Veren (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • hedef kitle: api://e9885b54-fac0-4cd6-959f-a72066026929

Google Cloud Platform'da iş yükü kimlik federasyonu hakkında daha fazla bilgi için Google Cloud belgelerindeki İş yükü kimlik federasyonu bölümüne bakın.

Hizmet hesabına kimlik havuzu erişimi verme

1. Daha önce oluşturduğunuz hizmet hesabını bulun ve seçin.

2. Hizmet hesabının izin yapılandırmasını bulun.

3. Önceki adımda oluşturduğunuz iş yükü kimlik havuzunu ve sağlayıcıyı temsil eden sorumluya erişim izni verin.

   • Asıl ad için aşağıdaki biçimi kullanın:

     principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
     

   • İş Yükü Kimliği Kullanıcı rolünü atayın ve yapılandırmayı kaydedin.

Google Cloud Platform'da erişim verme hakkında daha fazla bilgi için Google Cloud belgelerindeki Projelere, klasörlere ve kuruluşlara erişimi yönetme bölümüne bakın.

GCP Denetim Günlükleri Kurulumu

Terraform API Kurulumu

1. Microsoft Sentinel tarafından sağlanan Terraform denetim günlüğü kurulum betiğini Sentinel GitHub deposundan GCP Cloud Shell ortamınızdaki farklı bir klasöre kopyalayın.

   1. Terraform GCPAuditLogsSetup betik dosyasını açın ve içeriğini kopyalayın.

      Not

      GCP verilerini bir Azure Kamu buluta almak için bunun yerine bu denetim günlüğü kurulum betiğini kullanın.

   2. Cloud Shell ortamınızda başka bir dizin oluşturun, bu dizini girin ve yeni bir boş dosya oluşturun.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Cloud Shell düzenleyicisinde auditlog.tf açın ve betik dosyasının içeriğini dosyaya yapıştırın.

2. Terminale aşağıdaki komutu yazarak Terraform'ı yeni dizinde başlatın:

   terraform init 
   

3. Terraform'un başlatıldığını belirten onay iletisini aldığınızda, terminale aşağıdaki komutu yazarak betiği çalıştırın:

   terraform apply 
   

   Tek bir Pub/Sub kullanarak kuruluşun tamamından günlük almak için şunu yazın:

   terraform apply -var="organization-id= {organizationId} "
   

4. Listelenen kaynakları oluşturmak isteyip istemediğiniz sorulduğunda evet yazın.

Betiğin çıktısı görüntülendiğinde, daha sonra kullanmak üzere kaynak parametrelerini kaydedin.

Sonraki adıma geçmeden önce beş dakika bekleyin.

El ile kurulum

Yayımlama konusu oluşturma

Denetim günlüklerinin dışarı aktarılmasını ayarlamak için Google Cloud Platform Pub/Sub hizmetini kullanın.

Günlükleri yayımlama konusu oluşturmak için Google Cloud belgelerindeki yönergeleri izleyin.

• Microsoft Sentinel'e dışarı aktarmak için günlük toplamanın amacını yansıtan bir Konu Kimliği seçin.
• Varsayılan bir abonelik ekleyin.
• Şifreleme için Google tarafından yönetilen bir şifreleme anahtarı kullanın.

Günlük havuzu oluşturma

Denetim günlüklerinin koleksiyonunu ayarlamak için Google Cloud Platform Günlük Yönlendiricisi hizmetini kullanın.

Yalnızca geçerli projedeki kaynakların günlüklerini toplamak için:

1. Proje seçicide projenizin seçili olduğunu doğrulayın.

2. Günlükleri toplamak üzere havuz ayarlamak için Google Cloud belgelerindeki yönergeleri izleyin.

   • Microsoft Sentinel'e dışarı aktarmak için günlük toplamanın amacını yansıtan bir Ad seçin.
   • Hedef türü olarak "Cloud Pub/Sub topic" öğesini seçin ve önceki adımda oluşturduğunuz konuyu seçin.

Kuruluşun tamamında kaynakların günlüklerini toplamak için:

1. Proje seçicide kuruluşunuzu seçin.

2. Günlükleri toplamak üzere havuz ayarlamak için Google Cloud belgelerindeki yönergeleri izleyin.

   • Microsoft Sentinel'e dışarı aktarmak için günlük toplamanın amacını yansıtan bir Ad seçin.
   • Hedef türü olarak "Cloud Pub/Sub topic" öğesini seçin ve varsayılan "Projede Cloud Pub/Sub konu başlığı kullan" seçeneğini belirleyin.
   • Hedefi şu biçimde girin: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. Havuza eklenecek günlükleri seçin altında, Bu kuruluş tarafından alınan günlükleri ve tüm alt kaynakları ekle'yi seçin.

GCP'nin gelen iletileri alabildiğini doğrulayın

1. GCP Pub/Sub konsolunda Abonelikler'e gidin.

2. İletiler'i seçin ve el ile çekme işlemi başlatmak için ÇEKME'yi seçin.

3. Gelen iletileri denetleyin.

Microsoft Sentinel'de GCP Pub/Sub bağlayıcısını ayarlama

1. Azure portalını açın ve Microsoft Sentinel hizmetine gidin.

2. İçerik hub'ında, arama çubuğuna Google Cloud Platform Denetim Günlükleri yazın.

3. Google Cloud Platform Denetim Günlükleri çözümünü yükleyin.

4. Veri bağlayıcıları'nı seçin ve arama çubuğuna GCP Pub/Sub Denetim Günlükleri yazın.

5. GCP Pub/Alt Denetim Günlükleri (Önizleme) bağlayıcısını seçin.

6. Ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.

7. Yapılandırma alanında Yeni toplayıcı ekle'yi seçin.

   

8. Yeni bir toplayıcı paneli Bağlan GCP kaynaklarını oluştururken oluşturduğunuz kaynak parametrelerini yazın.

   

9. Tüm alanlardaki değerlerin GCP projenizdeki karşılıklarıyla eşleştiğinden emin olun ve Bağlan seçin.

GCP verilerinin Microsoft Sentinel ortamında olduğunu doğrulayın

1. GCP günlüklerinin Microsoft Sentinel'e başarıyla alındığından emin olmak için bağlayıcıyı ayarlamayı tamamladıktan 30 dakika sonra aşağıdaki sorguyu çalıştırın.

   GCPAuditLogs 
   | take 10 
   

2. Veri bağlayıcıları için sistem durumu özelliğini etkinleştirin.

Sonraki adımlar

Bu makalede GCP Pub/Sub bağlayıcılarını kullanarak GCP verilerini Microsoft Sentinel'e nasıl alabileceğinizi öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
• Microsoft Sentinel ile tehditleri algılamaya başlayın.
• Verilerinizi izlemek için çalışma kitaplarını kullanın.