Ingérer des données de journal Google Cloud Platform dans Microsoft Sentinel

1. Ouvrez le Cloud Shell GCP.

2. Sélectionnez le projet avec lequel vous souhaitez travailler, en saisissant la commande suivante dans l’éditeur :

   gcloud config set project {projectId}  
   

3. Copiez le script d’authentification Terraform fourni par Microsoft Sentinel à partir du référentiel GitHub Sentinel dans votre environnement GCP Cloud Shell.

   1. Ouvrez le fichier Terraform script GCPInitialAuthenticationSetup et copiez son contenu.

      Remarque

      Pour ingérer des données GCP dans un cloud Azure Government, utilisez ce script de configuration d’authentification à la place.

   2. Créez un répertoire dans votre environnement Cloud Shell, entrez-y et créez un nouveau fichier vierge.

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. Ouvrez initauth.tf dans l’éditeur Cloud Shell et collez le contenu du fichier de script.

4. Initialisez Terraform dans le répertoire que vous avez créé en saisissant la commande suivante dans le terminal :

   terraform init 
   

5. Lorsque vous recevez le message de confirmation que Terraform a été initialisé, exécutez le script en saisissant la commande suivante dans le terminal :

   terraform apply 
   

6. Lorsque le script vous invite à entrer votre ID de locataire Microsoft, copiez-le et collez-le dans le terminal.

   Remarque

   Vous pouvez trouver et copier votre ID de locataire sur la page du connecteur des Journaux d’audit GCP Pub/Sub dans le portail Microsoft Sentinel, ou dans l’écran Paramètres du portail (accessible à tout moment dans le portail Azure en sélectionnant l’icône d’engrenage en haut de l’écran), dans la colonne ID du répertoire.

7. Quand il vous est demandé si un pool d’identités de charge de travail a déjà été créé pour Azure, répondez oui ou non en conséquence.

8. Lorsque vous êtes invité à indiquer si vous souhaitez créer les ressources répertoriées, tapez oui.

Lorsque la sortie du script s’affiche, enregistrez les paramètres de ressources pour une utilisation ultérieure.

Créez et configurez les éléments suivants dans le service Gestion des identités et des accès (IAM) Google Cloud Platform.

Créer un rôle personnalisé

1. Suivez les instructions de la documentation Google Cloud pour créer un rôle. Conformément à ces instructions, créez un rôle personnalisé à partir de zéro.

2. Nommez le rôle afin qu’il soit reconnaissable en tant que rôle personnalisé Sentinel.

3. Renseignez les détails appropriés et ajoutez des autorisations si nécessaire :

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   Vous pouvez filtrer la liste des autorisations disponibles par rôles. Sélectionnez les rôlesPub/Sub Subscriber et Pub/Sub Viewer pour filtrer la liste.

Pour plus d’informations sur la création de rôles dans Google Cloud Platform, consultez Créer et gérer des rôles personnalisés dans la documentation Google Cloud.

Création d’un compte de service

1. Suivez les instructions de la documentation Google Cloud pour créer un compte de service.

2. Nommez le compte de service afin qu’il soit reconnaissable en tant que compte de service Sentinel.

3. Attribuez le rôle que vous avez créé dans la section précédente au compte de service.

Pour plus d’informations sur les comptes de service dans Google Cloud Platform, consultez la Vue d’ensemble des comptes de service dans la documentation Google Cloud.

Créer le pool et le fournisseur d’identités de charge de travail

1. Suivez les instructions de la documentation Google Cloud pour créer le pool et le fournisseur d’identités de charge de travail.

2. Pour le Nom et l’ID de pool, entrez votre ID de locataire Azure, avec les tirets supprimés.

   Remarque

   Vous pouvez rechercher et copier votre ID de locataire dans l’écran des Paramètres du portail, dans la colonne ID de répertoire. L’écran des paramètres du portail est accessible à tout moment dans le portail Azure en sélectionnant l’icône d’engrenage en haut de l’écran.

3. Ajoutez un fournisseur d’identité au pool. Choisissez Open ID Connect (OIDC) comme type de fournisseur.

4. Nommez le fournisseur d’identité de manière à ce qu’il soit reconnaissable pour l’usage auquel il est destiné.

5. Entrez les valeurs suivantes dans les paramètres du fournisseur (ce ne sont pas des exemples, utilisez ces valeurs) :

   • Émetteur (URL) : https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • Audience : l’URI d’ID d’application : api://2041288c-b303-4ca0-9076-9612db3beeb2
   • Mappage d’attributs : google.subject=assertion.sub

   Remarque

   Pour configurer le connecteur pour envoyer des journaux d’activité de GCP au Cloud Azure Government, utilisez les valeurs alternatives suivantes pour les paramètres du fournisseur au lieu de celles ci-dessus :

   • Émetteur (URL) : https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • Audience : api://e9885b54-fac0-4cd6-959f-a72066026929

Pour plus d’informations sur la fédération des identités de charge de travail dans Google Cloud Platform, consultez la Fédération des identités de charge de travail dans la documentation Google Cloud.

Accorder l’accès au pool d’identités au compte de service

1. Recherchez et sélectionnez le compte de service que vous avez créé précédemment.

2. Recherchez la configuration des autorisations du compte de service.

3. Accordez l’accès au principal qui représente le pool et le fournisseur d’identités de charge de travail que vous avez créés à l’étape précédente.

   • Utilisez le format suivant pour le nom du principal :

     principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
     

   • Attribuez le rôle Utilisateur d’identité de charge de travail et enregistrez la configuration.

Pour plus d’informations sur l’octroi d’accès dans Google Cloud Platform, consultez Gérer l’accès aux projets, dossiers et organisations dans la documentation de Google Cloud.

1. Copiez le script de configuration du journal d’audit Terraform fourni par Microsoft Sentinel depuis le référentiel GitHub Sentinel dans un autre dossier de votre environnement GCP Cloud Shell.

   1. Ouvrez le fichier Terraform script GCPAuditLogsSetup et copiez son contenu.

      Remarque

      Pour ingérer des données GCP dans un cloud Azure Government, utilisez ce script de configuration de journal d’audit à la place.

   2. Créez un autre répertoire dans votre environnement Cloud Shell, entrez-y et créez un nouveau fichier vierge.

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. Ouvrez auditlog.tf dans l’éditeur Cloud Shell et collez le contenu du fichier de script.

2. Initialisez Terraform dans le nouveau répertoire en saisissant la commande suivante dans le terminal :

   terraform init 
   

3. Lorsque vous recevez le message de confirmation que Terraform a été initialisé, exécutez le script en saisissant la commande suivante dans le terminal :

   terraform apply 
   

   Pour ingérer les journaux d’une organisation entière à l’aide d’un seul Pub/Sub, tapez :

   terraform apply -var="organization-id= {organizationId} "
   

4. Lorsque vous êtes invité à indiquer si vous souhaitez créer les ressources répertoriées, tapez oui.

Lorsque la sortie du script s’affiche, enregistrez les paramètres de ressources pour une utilisation ultérieure.

Patientez cinq minutes avant de passer à l'étape suivante.

Créer une rubrique de publication

Utilisez le Service Pub/Sub Google Cloud Platform pour configurer l’exportation des journaux d’audit.

Suivez les instructions de la documentation Google Cloud pour créer une rubrique vers laquelle publier les journaux.

• Choisissez un ID de rubrique qui reflète l’objectif de collecte de journaux pour l’exportation vers Microsoft Sentinel.
• Ajoutez un abonnement par défaut.
• Utilisez une clé de chiffrement gérée par Google pour le chiffrement.

Créer un récepteur de journal

Utilisez le service Google Cloud Platform Log Router pour configurer la collecte des journaux d’audit.

Pour collecter les journaux pour les ressources du projet actuel uniquement :

1. Vérifiez que votre projet est sélectionné dans le sélecteur de projet.

2. Suivez les instructions de la documentation Google Cloud pour configurer un récepteur pour la collecte des journaux.

   • Choisissez un Nom qui reflète l’objectif de la collecte de journaux pour l’exportation vers Microsoft Sentinel.
   • Sélectionnez « Rubrique Cloud Pub/Sub » comme type de destination, puis choisissez la rubrique que vous avez créée à l’étape précédente.

Pour collecter les journaux de ressources dans l’ensemble de l’organisation :

1. Sélectionnez votre organisation dans le sélecteur de projet.

2. Suivez les instructions de la documentation Google Cloud pour configurer un récepteur pour la collecte des journaux.

   • Choisissez un Nom qui reflète l’objectif de la collecte de journaux pour l’exportation vers Microsoft Sentinel.
   • Sélectionnez « Rubrique Cloud Pub/Sub » comme type de destination, puis choisissez la valeur par défaut « Utiliser une rubrique Cloud Pub/Sub dans un projet ».
   • Entrez la destination au format suivant : pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.

3. Sous Choisir les journaux à inclure dans le récepteur, sélectionnez Inclure les journaux ingérés par cette organisation et toutes les ressources enfants.

Vérifier que GCP peut recevoir des messages entrants

1. Dans la console GCP Pub/Sub, accédez à Abonnements.

2. Sélectionnez Messages, puis PULL pour lancer une extraction manuelle.

3. Vérifiez les messages entrants.

1. Ouvrez le portail Azure et accédez au service Microsoft Sentinel.

2. Dans le hub de contenu, dans la barre de recherche, tapez Journaux d’audit Google Cloud Platform.

3. Installez la solution Journaux d’audit Google Cloud Platform.

4. Sélectionnez Connecteurs de données et, dans la barre de recherche, tapez Journaux d’audit GCP Pub/Sub.

5. Sélectionnez le connecteur Journaux d’audit GCP Pub/Sub (préversion).

6. Dans le volet des détails, sélectionnez Ouvrir la page du connecteur.

7. Dans la zone Configuration, sélectionnez Ajouter nouveau collecteur.

   

8. Dans le panneau Connecter un nouveau collecteur, saisissez les paramètres de ressource que vous avez créés lors de la création des ressources GCP.

   

9. Assurez-vous que les valeurs de tous les champs correspondent à leurs équivalents dans votre projet GCP (les valeurs de la capture d’écran sont des exemples, et non des valeurs littérales), puis sélectionnez Connecter.

1. Ouvrez le portail Azure et accédez au service Microsoft Sentinel.

2. Dans le Hub de contenu, dans la barre de recherche, tapez Google Security Command Center.

3. Installez la solution Google Security Command Center.

4. Sélectionnez Connecteurs de données puis, dans la barre de recherche, tapez Google Security Command Center.

5. Sélectionnez le connecteur Google Security Command Center (préversion).

6. Dans le volet des détails, sélectionnez Ouvrir la page du connecteur.

7. Dans la zone Configuration, sélectionnez Ajouter nouveau collecteur.

   

8. Dans le panneau Connecter un nouveau collecteur, saisissez les paramètres de ressource que vous avez créés lors de la création des ressources GCP.

   

9. Assurez-vous que les valeurs de tous les champs correspondent à leurs équivalents dans votre projet GCP (les valeurs de la capture d’écran sont des exemples, et non des valeurs littérales), puis sélectionnez Connecter.