你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

将 Google Cloud Platform 日志数据引入 Microsoft Sentinel

项目
02/05/2024

不论是出于精心计划还是持续的需求使然，组织正倾向于转向多云体系结构。 越来越多的此类组织在包括 Google Cloud Platform (GCP) 在内的多个公有云上使用应用程序和存储数据。

本文介绍如何将 GCP 数据引入 Microsoft Sentinel 以获取完整的安全覆盖范围，并分析和检测多云环境中的攻击。

借助 GCP Pub/Sub 连接器，再基于我们的无代码连接器平台 (CCP)，你可以使用 GCP Pub/Sub 功能从 GCP 环境引入日志。

重要

GCP Pub/Sub Audit Logs 连接器目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Google 的 Cloud Audit Logs 可记录审核日志，供分析师用于跨 GCP 资源监视访问情况和检测潜在威胁。

先决条件

在开始之前，请验证你具有以下各项：

已启用 Microsoft Sentinel 解决方案。
存在已定义的 Microsoft Sentinel 工作区。
存在 GCP 环境（项目）并正在收集 GCP 审核日志。
Azure 用户具有 Microsoft Sentinel 参与者角色。
GCP 用户具备在 GCP 项目中编辑和创建资源的权限。
同时启用了 GCP 身份验证和访问控制 (IAM) API 和 GCP 云资源管理器 API。

设置 GCP 环境

在 GCP 环境中需要设置两项内容：

通过在 GCP IAM 服务中创建以下资源，在 GCP 中设置 Microsoft Sentinel 身份验证：
- 工作负载标识池
- 工作负载标识提供者
- 服务帐户
- 角色
通过在 GCP Pub/Sub 服务中创建以下资源，在 GCP 中设置日志集合并将其引入 Microsoft Sentinel：
- 主题
- 主题订阅

可以通过以下两种方式之一设置环境：

通过 Terraform API 创建 GCP 资源：Terraform 提供用于资源创建以及身份验证和访问控制管理的 API（请参阅先决条件）。 Microsoft Sentinel 提供 Terraform 脚本，用于向 API 发出必要命令。
手动设置 GCP 环境，在 GCP 控制台中自行创建资源。

打开 GCP Cloud Shell。
通过在编辑器中输入以下命令，选择要使用的项目：
```
gcloud config set project {projectId}  
```
将 Microsoft Sentinel 提供的 Terraform 身份验证脚本从 Sentinel GitHub 存储库复制到 GCP Cloud Shell 环境中。
1. 打开 Terraform GCPInitialAuthenticationSetup 脚本文件并复制其内容。
  
  注意
  
  如要将 GCP 数据引入 Azure 政府云，请改用此身份验证设置脚本。
2. 在 Cloud Shell 环境中创建目录，进入该目录，并新建空白文件。
```
mkdir {directory-name} && cd {directory-name} && touch initauth.tf
```
3. 在 Cloud Shell 编辑器中打开 initauth.tf，并将脚本文件的内容粘贴到其中。
通过在终端中键入以下命令，在目录中初始化 Terraform：
```
terraform init 
```
收到 Terraform 已初始化的确认消息时，请在终端中键入以下命令来运行脚本：
```
terraform apply 
```
当脚本提示你输入 Microsoft 租户 ID 时，将其复制并粘贴到终端中。

注意

可以在 Microsoft Sentinel 门户中的 GCP Pub/Sub 审核日志连接器页面或门户设置屏幕的目录 ID 列中查找并复制你的租户 ID（通过选择屏幕顶部的齿轮图标可在 Azure 门户中的任意位置进行访问）。
当系统询问是否已为 Azure 创建工作负载标识池时，请回答“yes”或“no”。
当系统询问是否要创建列出的资源时，请键入“yes”。

系统显示脚本的输出时，请保存资源参数供以后使用。

在 Google Cloud Platform 身份验证和访问控制管理 (IAM) 服务中创建和配置以下项。

创建自定义角色

按照 Google Cloud 文档中的说明创建角色。根据这些说明，从头开始创建自定义角色。
为角色命名，以便将其识别为 Sentinel 自定义角色。
填写相关详细信息并根据需要添加权限：
- pubsub.subscriptions.consume
- pubsub.subscriptions.get
可以按角色筛选可用权限的列表。选择“Pub/Sub 服务器”和“Pub/Sub 查看器”角色以筛选列表。

有关在 Google Cloud Platform 中创建角色的详细信息，请参阅 Google Cloud 文档中的“创建和管理自定义角色”。

创建服务帐户

按照 Google Cloud 文档中的说明创建服务帐户。
为服务帐户命名，以便将其识别为 Sentinel 服务帐户。
将上一部分中创建的角色分配给服务帐户。

有关 Google Cloud Platform 中的服务帐户的详细信息，请参阅 Google Cloud 文档中的服务帐户概述。

创建工作负载标识池和提供程序

按照 Google Cloud 文档中的说明创建工作负载标识池和提供程序。
对于名称和池 ID，输入 Azure 租户 ID，删除其中的短划线。

注意

可以在“门户设置”屏幕上的“目录 ID”列中找到并复制租户 ID。通过选择屏幕顶部的齿轮图标，可以在 Azure 门户中的任意位置访问门户设置屏幕。
将标识提供者添加到池。选择“打开 ID 连接 (OIDC)”作为提供程序类型。
为标识提供者命名，以便其用途易于识别。
在提供程序设置中输入以下值（这些不是示例，请使用这些实际值）：
- 证书颁发者 URL：https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
- 受众：应用程序 ID URI：api://2041288c-b303-4ca0-9076-9612db3beeb2
- 属性映射：google.subject=assertion.sub
注意

如要设置连接器以将日志从 GCP 发送到 Azure 政府云，请对提供程序设置使用以下备用值，而不是上述值：
- 证书颁发者 URL：https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
- 受众：api://e9885b54-fac0-4cd6-959f-a72066026929

有关 Google Cloud Platform 中的工作负载标识联合的详细信息，请参阅 Google Cloud 文档中的工作负载标识联合。

授予标识池对服务帐户的访问权限

找到并选择之前创建的服务帐户。
找到服务帐户的权限配置。
授予对表示在上一步中创建的工作负载标识池和提供程序的主体的访问权限。
- 对主体名称使用以下格式：
```
principal://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/subject/{WORKLOAD_IDENTITY_PROVIDER_ID}
```
- 分配工作负荷标识用户角色并保存配置。

有关在 Google Cloud Platform 中授予访问权限的详细信息，请参阅 Google Cloud 文档中的管理对项目、文件夹和组织的访问权限。

GCP 审核日志设置

Terraform API 设置
手动设置

将 Microsoft Sentinel 提供的 Terraform 审核日志设置脚本从 Sentinel GitHub 存储库复制到 GCP Cloud Shell 环境中。
1. 打开 Terraform GCPAuditLogsSetup 脚本文件并复制其内容。
  
  注意
  
  如要将 GCP 数据引入 Azure 政府云，请改用此审核日志设置脚本。
2. 在 Cloud Shell 环境中创建另一个目录，进入该目录，并新建空白文件。
```
mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
```
3. 在 Cloud Shell 编辑器中打开 auditlog.tf，并将脚本文件的内容粘贴到其中。
通过在终端中键入以下命令，在新目录中初始化 Terraform：
```
terraform init 
```
收到 Terraform 已初始化的确认消息时，请在终端中键入以下命令来运行脚本：
```
terraform apply 
```
若要使用单个 Pub/Sub 从整个组织引入日志，请键入：
```
terraform apply -var="organization-id= {organizationId} "
```
当系统询问是否要创建列出的资源时，请键入“yes”。

系统显示脚本的输出时，请保存资源参数供以后使用。

等待五分钟，然后再进入下一步。

创建发布主题

使用 Google Cloud Platform Pub/Sub 服务设置审核日志的导出。

按照 Google Cloud 文档中的说明创建用于发布日志的主题。

选择一个主题 ID，该主题 ID 需能体现要导出到 Microsoft Sentinel 的日志集合的目的。
添加默认订阅。
使用 Google 管理的加密密钥进行加密。

创建日志接收器

使用 Google Cloud Platform 日志路线服务设置审核日志集合。

仅收集当前项目中资源的日志：

验证是否已在项目选择器中选择项目。
按照 Google Cloud 文档中的说明设置用于收集日志的接收器。
- 选择一个名称，该名称需能体现要导出到 Microsoft Sentinel 的日志集合的目的。
- 将“Cloud Pub/Sub 主题”选作目标类型，然后选择在上一步中创建的主题。

如要收集整个组织的资源日志，请执行以下操作：

在项目选择器中选择组织。
按照 Google Cloud 文档中的说明设置用于收集日志的接收器。
- 选择一个名称，该名称需能体现要导出到 Microsoft Sentinel 的日志集合的目的。
- 将“Cloud Pub/Sub 主题”选作目标类型，然后选择默认项“在项目中使用 Cloud Pub/Sub 主题”。
- 按以下格式输入目标：pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}。
在“选择要包含在接收器中的日志”下，选择“包括组织引入的日志和所有子资源”。

验证 GCP 是否可以接收传入消息

在 GCP Pub/Sub 控制台中，导航到“订阅”。
选择“消息”，然后选择“拉取”以启动手动拉取。
检查传入消息。

在 Microsoft Sentinel 中设置 GCP Pub/Sub 连接器

打开 Azure 门户，导航到 Microsoft Sentinel 服务。
在搜索栏的“内容中心”，键入“Google Cloud Platform Audit Logs”。
安装 Google Cloud Platform Audit Logs 解决方案。
选择“数据连接器”，然后在搜索栏中键入“GCP Pub/Sub Audit Logs”。
选择 GCP Pub/Sub Audit Logs（预览版）连接器。
在详细内容窗格中，选择“打开连接器页面”。
在“配置”区域中，选择“添加新收集器”。
在“连接新的收集器”面板中，键入创建 GCP 资源时创建的资源参数。
确保所有字段中的值都与 GCP 项目中的对应项匹配，然后选择“连接”。

验证 GCP 数据是否在 Microsoft Sentinel 环境中

若要确保 GCP 日志已成功引入到 Microsoft Sentinel，请在完成连接器设置 30 分钟后运行以下查询。
```
GCPAuditLogs 
| take 10 
```
为数据连接器启用运行状况功能。

后续步骤

本文介绍了如何使用 GCP Pub/Sub 连接器将 GCP 数据引入 Microsoft Sentinel。若要详细了解 Microsoft Sentinel，请参阅以下文章：

Share via