將 Google Cloud Platform 記錄資料擷取至 Microsoft Sentinel

1. 開啟 GCP Cloud Shell。

2. 在編輯器中輸入下列命令，以選取您想要使用的專案：

   gcloud config set project {projectId}  
   

3. 將 Microsoft Sentinel 所提供的 Terraform 驗證指令碼從 Sentinel GitHub 存放庫複製到您的 GCP Cloud Shell 環境。

   1. 開啟 Terraform GCPInitialAuthenticationSetup 指令碼檔案，並複製其內容。

      注意

      若要將 GCP 資料擷取至 Azure Government 雲端，請改用此驗證設定指令碼。

   2. 在您的 Cloud Shell 環境中建立目錄、進入該目錄，然後建立新的空白檔案。

      mkdir {directory-name} && cd {directory-name} && touch initauth.tf
      

   3. 在 Cloud Shell 編輯器中開啟「initauth.tf」，並於其中貼上指令檔的內容。

4. 在終端機中輸入下列命令，以在您建立的目錄中初始化 Terraform：

   terraform init 
   

5. 當您收到 Terraform 已初始化的確認訊息時，請在終端機中輸入下列命令來執行指令碼：

   terraform apply 
   

6. 當指令碼提示您輸入 Microsoft 租用戶識別碼時，請將其複製並貼到終端機。

   注意

   您可以在 Microsoft Sentinel 入口網站的 [GCP Pub/Sub 稽核記錄] 連接器頁面上，或在 [入口網站設定] 畫面 (可在 Azure 入口網站中的任何地方存取，方法是選取畫面頂端的齒輪圖示) 的 [目錄識別碼] 資料行中，尋找並複製您的租用戶識別碼。

7. 當系統詢問您是否已為 Azure 建立工作負載身分識別集區時，請據以回答「是」或「否」。

8. 當系統詢問您是否要建立所列出的資源時，請輸入「是」。

當系統顯示指令碼的輸出時，請儲存資源參數以供稍後使用。

在 Google Cloud Platform Identity and Access Management (IAM) 服務中建立及設定下列項目。

建立自訂角色

1. 遵循 Google Cloud 文件中的指示來建立角色。 按照這些指示，從頭開始建立自訂角色。

2. 為角色命名，使其可辨識為 Sentinel 自訂角色。

3. 填寫相關詳細資料，並視需要新增權限：

   • pubsub.subscriptions.consume
   • pubsub.subscriptions.get

   您可以依角色來篩選可用權限的清單。 選取 [Pub/Sub 訂閱者] 和 [Pub/Sub 檢視者] 角色以篩選清單。

如需如何在 Google Cloud Platform 中建立角色的詳細資訊，請參閱 Google Cloud 文件中的建立和管理自訂角色。

建立服務帳戶

1. 遵循 Google Cloud 文件中的指示來建立服務帳戶。

2. 為服務帳戶命名，使其可辨識為 Sentinel 服務帳戶。

3. 將您在上一節建立的角色指派給服務帳戶。

如需 Google Cloud Platform 中服務帳戶的詳細資訊，請參閱 Google Cloud 文件中的服務帳戶概觀。

建立工作負載身分識別集區和提供者

1. 遵循 Google Cloud 文件中的指示來建立工作負載身分識別集區和提供者。

2. 針對 [名稱] 和 [集區識別碼]，輸入您的 Azure 租用戶識別碼，並移除虛線。

   注意

   您可以在 [入口網站設定] 畫面的 [目錄識別碼] 資料行中找到並複製您的租用戶識別碼。 [入口網站設定] 可在 Azure 入口網站中的任何地方存取，方法是選取畫面頂端的齒輪圖示。

3. 將識別提供者新增至集區。 選擇 [Open ID Connect (OIDC)] 作為提供者類型。

4. 為識別提供者命名，以便能夠辨識其用途。

5. 在提供者設定中輸入下列值 (這些值並非範例—請使用這些實際值)：

   • 簽發者 (URL)：https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
   • 對象：應用程式識別碼 URI：api://2041288c-b303-4ca0-9076-9612db3beeb2
   • 屬性對應：google.subject=assertion.sub

   注意

   若要設定連接器以將記錄從 GCP 傳送至 Azure Government 雲端，請針對提供者設定使用下列替代值，而不是上面的值：

   • 簽發者 (URL)：https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
   • 對象：api://e9885b54-fac0-4cd6-959f-a72066026929

如需 Google Cloud Platform 中工作負載身分識別同盟的詳細資訊，請參閱 Google Cloud 文件中的工作負載身分識別同盟。

向服務帳戶授與身分識別集區的存取權

1. 找出並選取您稍早建立的服務帳戶。

2. 找出服務帳戶的權限設定。

3. 向代表上一個步驟所建立工作負載身分識別集區和提供者的主體授與存取權。

   • 針對主體名稱使用下列格式：

     principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
     

   • 指派工作負載身分識別使用者角色並儲存設定。

如需在 Google Cloud Platform 中授與存取權的詳細資訊，請參閱 Google Cloud 文件中的管理專案、資料夾和組織的存取權。

1. 將 Microsoft Sentinel 所提供的 Terraform 稽核記錄設定指令碼從 Sentinel GitHub 存放庫複製到您 GCP Cloud Shell 環境中的不同資料夾。

   1. 開啟 Terraform GCPAuditLogsSetup 指令碼檔案，並複製其內容。

      注意

      若要將 GCP 資料擷取至 Azure Government 雲端，請改用此稽核記錄設定指令碼。

   2. 在您的 Cloud Shell 環境中建立另一個目錄、進入該目錄，然後建立新的空白檔案。

      mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
      

   3. 在 Cloud Shell 編輯器中開啟「auditlog.tf」，並於其中貼上指令檔的內容。

2. 在終端機中輸入下列命令，以在新的目錄中初始化 Terraform：

   terraform init 
   

3. 當您收到 Terraform 已初始化的確認訊息時，請在終端機中輸入下列命令來執行指令碼：

   terraform apply 
   

   若要使用單一 Pub/Sub 從整個組織擷取記錄，請輸入：

   terraform apply -var="organization-id= {organizationId} "
   

4. 當系統詢問您是否要建立所列出的資源時，請輸入「是」。

當系統顯示指令碼的輸出時，請儲存資源參數以供稍後使用。

先等候五分鐘，再進入下一個步驟。

建立發佈主題

使用 Google Cloud Platform Pub/Sub 服務來設定稽核記錄的匯出。

遵循 Google Cloud 文件中的指示來建立主題以作為記錄的發佈目的地。

• 選擇主題識別碼，此識別碼要反映出收集記錄是要匯出至 Microsoft Sentinel 的目的。
• 新增預設訂用帳戶。
• 使用 Google 管理的加密金鑰來進行加密。

建立記錄接收

使用 Google Cloud Platform Log Router 服務來設定稽核記錄的收集。

若只要收集目前專案的資源記錄：

1. 驗證您已在專案選取器中選取您的專案。

2. 遵循 Google Cloud 文件中的指示來設定接收以收集記錄。

   • 選擇名稱，此名稱要反映出收集記錄是要匯出至 Microsoft Sentinel 的目的。
   • 選取 [Cloud Pub/Sub 主題] 作為目的地類型，然後選擇您在上一個步驟中建立的主題。

若要收集整個組織的資源記錄：

1. 在專案選取器中選取您的組織。

2. 遵循 Google Cloud 文件中的指示來設定接收以收集記錄。

   • 選擇名稱，此名稱要反映出收集記錄是要匯出至 Microsoft Sentinel 的目的。
   • 選取 [Cloud Pub/Sub 主題] 作為目的地類型，然後選擇預設的 [使用專案中的 Cloud Pub/Sub 主題]。
   • 以下列格式輸入目的地：pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}。

3. 在 [選擇要包含在接收中的記錄] 下，選取 [包含此組織和所有子資源所擷取的記錄]。

驗證 GCP 可以收到傳入的訊息

1. 在 GCP Pub/Sub 主控台中，瀏覽至 [訂用帳戶]。

2. 選取 [訊息]，然後選取 [提取] 以起始手動提取。

3. 檢查傳入的訊息。

1. 開啟 Azure 入口網站，然後瀏覽至 Microsoft Sentinel 服務。

2. 在 [內容中樞] 的搜尋列中，輸入「Google Cloud Platform 稽核記錄」。

3. 安裝 Google Cloud Platform 稽核記錄解決方案。

4. 選取 [資料連接器]，然後在搜尋列中輸入「GCP Pub/Sub 稽核記錄」。

5. 選取 [GCP Pub/Sub 稽核記錄 (預覽)] 連接器。

6. 在詳細資料窗格中，選取 [Open connector page] \(開啟連接器頁面\)。

7. 在 [設定] 區域中，選取 [新增收集器]。

   

8. 在 [連接新的收集器] 面板中，輸入您在建立 GCP 資源時所建立的資源參數。

   

9. 確定所有欄位中的值都符合 GCP 專案中的對應項目 (螢幕擷取畫面中的值是範例，不是常值)，然後選取 [連線]。

1. 開啟 Azure 入口網站，然後瀏覽至 Microsoft Sentinel 服務。

2. 在 [內容中樞] 的搜尋列中，輸入「Google Security Command Center」。

3. 安裝 Google Security Command Center 解決方案。

4. 選取 [資料連接器]，然後在搜尋列中輸入「Google Security Command Center」。

5. 選取 [Google Security Command Center (預覽)] 連接器。

6. 在詳細資料窗格中，選取 [Open connector page] \(開啟連接器頁面\)。

7. 在 [設定] 區域中，選取 [新增收集器]。

   

8. 在 [連接新的收集器] 面板中，輸入您在建立 GCP 資源時所建立的資源參數。

   

9. 確定所有欄位中的值都符合 GCP 專案中的對應項目 (螢幕擷取畫面中的值是範例，不是常值)，然後選取 [連線]。