Google Cloud Platform günlük verilerini Microsoft Sentinel'e alma
Kuruluşlar ister tasarım gereği ister devam eden gereksinimler nedeniyle çok bulutlu mimarilere giderek daha fazla geçiş yapmaktadır. Bu kuruluşların sayısı giderek artan bir şekilde google bulut platformu (GCP) dahil olmak üzere birden çok genel bulutta uygulama kullanıyor ve verileri depolar.
Bu makalede, tam güvenlik kapsamı elde etmek ve çoklu bulut ortamınızdaki saldırıları analiz etmek ve algılamak için GCP verilerinin Microsoft Sentinel'e nasıl alındığı açıklanır.
Kodsuz Bağlan or Platformumuza (CCP) dayalı GCP Pub/Sub bağlayıcısı ile GCP Pub/Sub özelliğini kullanarak GCP ortamınızdan günlükleri alabilirsiniz.
Önemli
GCP Pub/Sub Denetim Günlükleri bağlayıcısı şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Google'ın Bulut Denetim Günlükleri, analistlerin GCP kaynakları genelinde erişimi izlemek ve olası tehditleri algılamak için kullanabileceği bir denetim kaydı kaydeder.
Önkoşullar
Başlamadan önce aşağıdakilere sahip olduğunuzu doğrulayın:
- Microsoft Sentinel çözümü etkinleştirildi.
- Tanımlı bir Microsoft Sentinel çalışma alanı var.
- GCP ortamı (proje) var ve GCP denetim günlüklerini topluyor.
- Azure kullanıcınızın Microsoft Sentinel Katkıda Bulunanı rolü vardır.
- GCP kullanıcınızın GCP projesindeki kaynakları düzenleme ve oluşturma erişimi vardır.
- GCP Kimlik ve Erişim Yönetimi (IAM) API'sinin ve GCP Cloud Resource Manager API'sinin her ikisi de etkindir.
GCP ortamını ayarlama
GCP ortamınızda ayarlamanız gereken iki şey vardır:
GCP IAM hizmetinde aşağıdaki kaynakları oluşturarak GCP'de Microsoft Sentinel kimlik doğrulamasını ayarlayın:
- İş yükü kimlik havuzu
- İş yükü kimlik sağlayıcısı
- Servis firması
- Role
GCP Pub/Sub hizmetinde aşağıdaki kaynakları oluşturarak GCP'de günlük toplamayı ve Microsoft Sentinel'e alımını ayarlayın:
- Konu
- Konu için abonelik
Ortamı iki yoldan biriyle ayarlayabilirsiniz:
- Terraform API'sini kullanarak GCP kaynakları oluşturma: Terraform, kaynak oluşturma ve Kimlik ve Erişim Yönetimi için API'ler sağlar (bkz . Önkoşullar). Microsoft Sentinel, API'lere gerekli komutları veren Terraform betikleri sağlar.
- GCP ortamını el ile ayarlayın ve kaynakları GCP konsolunda kendiniz oluşturun.
GCP Kimlik Doğrulaması Kurulumu
GCP Cloud Shell'i açın.
Düzenleyicide aşağıdaki komutu yazarak çalışmak istediğiniz projeyi seçin:
gcloud config set project {projectId}
Microsoft Sentinel tarafından sağlanan Terraform kimlik doğrulama betiğini Sentinel GitHub deposundan GCP Cloud Shell ortamınıza kopyalayın.
Terraform GCPInitialAuthenticationSetup betik dosyasını açın ve içeriğini kopyalayın.
Not
GCP verilerini bir Azure Kamu buluta almak için bunun yerine bu kimlik doğrulama kurulum betiğini kullanın.
Cloud Shell ortamınızda bir dizin oluşturun, bunu girin ve yeni bir boş dosya oluşturun.
mkdir {directory-name} && cd {directory-name} && touch initauth.tf
Cloud Shell düzenleyicisinde initauth.tf açın ve betik dosyasının içeriğini dosyaya yapıştırın.
Terraform'ı oluşturduğunuz dizinde başlatmak için terminale aşağıdaki komutu yazın:
terraform init
Terraform'un başlatıldığını belirten onay iletisini aldığınızda, terminale aşağıdaki komutu yazarak betiği çalıştırın:
terraform apply
Betik Microsoft kiracı kimliğinizi sorarsa kopyalayıp terminale yapıştırın.
Azure için zaten bir iş yükü Kimlik Havuzu oluşturulup oluşturulmadığı sorulduğunda, buna göre evet veya hayır yanıtını verin.
Listelenen kaynakları oluşturmak isteyip istemediğiniz sorulduğunda evet yazın.
Betiğin çıktısı görüntülendiğinde, daha sonra kullanmak üzere kaynak parametrelerini kaydedin.
GCP Denetim Günlükleri Kurulumu
Microsoft Sentinel tarafından sağlanan Terraform denetim günlüğü kurulum betiğini Sentinel GitHub deposundan GCP Cloud Shell ortamınızdaki farklı bir klasöre kopyalayın.
Terraform GCPAuditLogsSetup betik dosyasını açın ve içeriğini kopyalayın.
Not
GCP verilerini bir Azure Kamu buluta almak için bunun yerine bu denetim günlüğü kurulum betiğini kullanın.
Cloud Shell ortamınızda başka bir dizin oluşturun, bu dizini girin ve yeni bir boş dosya oluşturun.
mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
Cloud Shell düzenleyicisinde auditlog.tf açın ve betik dosyasının içeriğini dosyaya yapıştırın.
Terminale aşağıdaki komutu yazarak Terraform'ı yeni dizinde başlatın:
terraform init
Terraform'un başlatıldığını belirten onay iletisini aldığınızda, terminale aşağıdaki komutu yazarak betiği çalıştırın:
terraform apply
Tek bir Pub/Sub kullanarak kuruluşun tamamından günlük almak için şunu yazın:
terraform apply -var="organization-id= {organizationId} "
Listelenen kaynakları oluşturmak isteyip istemediğiniz sorulduğunda evet yazın.
Betiğin çıktısı görüntülendiğinde, daha sonra kullanmak üzere kaynak parametrelerini kaydedin.
Sonraki adıma geçmeden önce beş dakika bekleyin.
Microsoft Sentinel'de GCP Pub/Sub bağlayıcısını ayarlama
İçerik hub'ında, arama çubuğuna Google Cloud Platform Denetim Günlükleri yazın.
Google Cloud Platform Denetim Günlükleri çözümünü yükleyin.
Veri bağlayıcıları'nı seçin ve arama çubuğuna GCP Pub/Sub Denetim Günlükleri yazın.
GCP Pub/Alt Denetim Günlükleri (Önizleme) bağlayıcısını seçin.
Ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.
Yapılandırma alanında Yeni toplayıcı ekle'yi seçin.
Yeni bir toplayıcı paneli Bağlan GCP kaynaklarını oluştururken oluşturduğunuz kaynak parametrelerini yazın.
Tüm alanlardaki değerlerin GCP projenizdeki karşılıklarıyla eşleştiğinden emin olun ve Bağlan seçin.
GCP verilerinin Microsoft Sentinel ortamında olduğunu doğrulayın
GCP günlüklerinin Microsoft Sentinel'e başarıyla alındığından emin olmak için bağlayıcıyı ayarlamayı tamamladıktan 30 dakika sonra aşağıdaki sorguyu çalıştırın.
GCPAuditLogs | take 10
Veri bağlayıcıları için sistem durumu özelliğini etkinleştirin.
Sonraki adımlar
Bu makalede GCP Pub/Sub bağlayıcılarını kullanarak GCP verilerini Microsoft Sentinel'e nasıl alabileceğinizi öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:
- Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
- Microsoft Sentinel ile tehditleri algılamaya başlayın.
- Verilerinizi izlemek için çalışma kitaplarını kullanın.