Inserire i dati di log di Google Cloud Platform in Microsoft Sentinel

Le organizzazioni passano sempre più alle architetture multicloud, sia per progettazione che a causa di requisiti continui. Un numero crescente di queste organizzazioni usa applicazioni e archivia i dati in più cloud pubblici, tra cui Google Cloud Platform (GCP).

Questo articolo descrive come inserire dati GCP in Microsoft Sentinel per ottenere una copertura completa della sicurezza e analizzare e rilevare gli attacchi nell'ambiente multicloud.

Con i connettori GCP Pub/Sub, basati sul nostro Codeless Connector Framework (CCF), puoi raccogliere i log dal tuo ambiente GCP utilizzando la funzionalità Pub/Sub di GCP:

Il connettore Google Cloud Platform (GCP) Pub/Sub Audit Logs raccoglie percorsi di audit degli accessi alle risorse GCP. Gli analisti possono monitorare questi log per tracciare i tentativi di accesso alle risorse e rilevare potenziali minacce nell'ambiente GCP.
Il connettore Security Command Center di Google Cloud Platform (GCP) raccoglie i risultati ottenuti dal Security Command Center di Google, una solida piattaforma di gestione dei rischi e sicurezza per Google Cloud. Gli analisti possono visualizzare questi risultati per ottenere informazioni dettagliate sul comportamento di sicurezza dell'organizzazione, tra cui inventario e individuazione degli asset, rilevamenti di vulnerabilità e minacce e mitigazione e correzione dei rischi.
Il connettore google Kubernetes Engine raccoglie i log del motore di Google Kubernetes (GKE). Gli analisti possono monitorare questi log per tenere traccia dell'attività del cluster, del comportamento del carico di lavoro e degli eventi di sicurezza, consentendo agli analisti di monitorare i carichi di lavoro Kubernetes, analizzare le prestazioni e rilevare potenziali minacce nei cluster GKE.

Prerequisiti

Prima di iniziare, verificare di disporre degli elementi seguenti:

La soluzione Microsoft Sentinel è abilitata.
È presente un'area di lavoro di Microsoft Sentinel definita.
Esiste un ambiente GCP e contiene risorse che producono uno dei tipi di log seguenti da inserire:
- Log di controllo GCP
- Risultati di Google Security Command Center
L'utente Azure ha il ruolo collaboratore di Microsoft Sentinel.
L'utente GCP ha accesso per creare e modificare le risorse nel progetto GCP.
L'API GCP Identity e Access Management (IAM) e GCP Cloud Resource Manager API sono entrambe abilitate.

Configurare l'ambiente GCP

È necessario configurare due elementi nell'ambiente GCP:

Configurare l'autenticazione di Microsoft Sentinel in GCP creando le risorse seguenti nel servizio IAM GCP:
- Pool di identità del carico di lavoro
- Provider di identità del carico di lavoro
- Account di servizio
- Ruolo
Configurare la raccolta di log in GCP e l'inserimento in Microsoft Sentinel creando le risorse seguenti nel servizio GCP pub/sub:
- Argomento
- Sottoscrizione per l'argomento

È possibile configurare l'ambiente in uno dei due modi seguenti:

Creare risorse GCP tramite l'API Terraform: Terraform fornisce API per la creazione di risorse e per la Gestione delle Identità e degli Accessi (vedere Prerequisiti). Microsoft Sentinel fornisce script Terraform che emettono i comandi necessari alle API.
Configurare manualmente l'ambiente GCP creando manualmente le risorse nella console GCP.

Nota

Non è disponibile alcuno script Terraform per la creazione di risorse GCP Pub/Sub per la raccolta di log dal Centro comandi di sicurezza. È necessario creare queste risorse manualmente. È comunque possibile usare lo script Terraform per creare le risorse IAM GCP per l'autenticazione.

Importante

Se si creano risorse manualmente, è necessario creare all le risorse di autenticazione (IAM) nel same GCP project altrimenti non funzionerà. Le risorse pub/sub possono trovarsi in un project diverso.

Configurazione dell'autenticazione GCP

Obbligatorio per tutti i connettori GCP.

Configurazione dell'API Terraform
Configurazione manuale

Aprire GCP Cloud Shell.
Selezionare il project da usare digitando il comando seguente nell'editor:
```
gcloud config set project {projectId}  
```
Copiare lo script di autenticazione Terraform fornito da Microsoft Sentinel dal repository di GitHub Sentinel nell'ambiente GCP Cloud Shell.
1. Aprire il file Terraform GCPInitialAuthenticationSetup e copiarne il contenuto.
  
  Nota
  
  Per inserire i dati GCP in un cloud Azure Government cloud, usare invece questo script di installazione dell'autenticazione.
2. Creare una directory nell'ambiente Cloud Shell, immetterla e creare un nuovo file vuoto.
```
mkdir {directory-name} && cd {directory-name} && touch initauth.tf
```
3. Aprire initauth.tf nell'editor Cloud Shell e incollarvi il contenuto del file di script.
Inizializzare Terraform nella directory creata digitando il comando seguente nel terminale:
```
terraform init 
```
Quando viene visualizzato il messaggio di conferma che Terraform è stato inizializzato, eseguire lo script digitando il comando seguente nel terminale:
```
terraform apply 
```
Quando lo script richiede l'ID tenant Microsoft, copiarlo e incollarlo nel terminale.

Nota

È possibile trovare e copiare l'ID tenant nella pagina del connettore GCP Pub/Sub Audit Logs nel portale di Microsoft Sentinel oppure nella schermata Portale (accessibile ovunque nel portale Azure selezionando l'icona dell'ingranaggio nella parte superiore dello schermo), nella colonna ID directory.
Quando viene chiesto se è già stato creato un pool di identità del carico di lavoro per Azure, rispondere yes o no di conseguenza.
Quando viene chiesto se si desidera creare le risorse elencate, digitare sì.

Quando viene visualizzato l'output dello script, salvare i parametri delle risorse per usarli in un secondo momento.

Creare e configurare gli elementi seguenti nel servizio Google Cloud Platform Identity e Access Management (IAM).

Creare un ruolo personalizzato

Seguire le istruzioni nella documentazione di Google Cloud per creare un ruolo. In base a queste istruzioni, creare un ruolo personalizzato da zero.
Assegnare un nome al ruolo in modo che sia riconoscibile come ruolo personalizzato di Sentinel.
Immettere i dettagli pertinenti e aggiungere le autorizzazioni in base alle esigenze:
- pubsub.subscriptions.consume
- pubsub.subscriptions.get
È possibile filtrare l'elenco delle autorizzazioni disponibili in base ai ruoli. Selezionare i ruoli Pub/Sub Subscriber e Pub/Sub Viewer per filtrare l'elenco.

Per altre informazioni sulla creazione di ruoli in Google Cloud Platform, vedere Creare e gestire ruoli personalizzati nella documentazione di Google Cloud.

Creare un account di servizio

Seguire le istruzioni nella documentazione di Google Cloud per creare un account del servizio.
Assegnare un nome all'account del servizio in modo che sia riconoscibile come account del servizio Sentinel.
Assegnare il ruolo creato nella sezione precedente all'account del servizio.

Per altre informazioni sugli account di servizio in Google Cloud Platform, vedere Panoramica degli account di servizio nella documentazione di Google Cloud.

Creare il pool di identità del carico di lavoro e il provider

Seguire le istruzioni nella documentazione di Google Cloud per creare il pool di identità del carico di lavoro e il provider.
Per Name e Pool ID, immettere l'ID Azure Tenant, con i trattini rimossi.

Nota

È possibile trovare e copiare l'ID tenant nella schermata impostazioni del portale nella colonna ID directory. La schermata delle impostazioni del portale è accessibile ovunque nella Azure portal selezionando l'icona a forma di ingranaggio nella parte superiore dello schermo.
Aggiungere un fornitore di identità al pool. Scegliere Open ID Connect (OIDC) come tipo di provider.
Denominare il provider di identità in modo che sia riconoscibile per il suo scopo.
Immettere i valori seguenti nelle impostazioni del provider (questi non sono esempi, usare questi valori effettivi):
- Issuer (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
- Gruppo di destinatari: URI ID applicazione: api://2041288c-b303-4ca0-9076-9612db3beeb2
- Mapping degli attributi: google.subject=assertion.sub
Nota

Per configurare il connettore per inviare i log da GCP al cloud Azure Government cloud, usare i valori alternativi seguenti per le impostazioni del provider anziché quelle precedenti:
- Issuer (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
- Gruppo di destinatari: api://e9885b54-fac0-4cd6-959f-a72066026929

Per altre informazioni sulla federazione delle identità del carico di lavoro in Google Cloud Platform, vedere Federazione delle identità del carico di lavoro nella documentazione di Google Cloud.

Concedere al pool di identità l'accesso all'account di servizio

Individuare e selezionare l'account del servizio creato in precedenza.
Individuare la configurazione delle autorizzazioni dell'account di servizio.
Concedere l'accesso al principale che rappresenta il pool di identità del carico di lavoro e il provider creati nel passaggio precedente.
- Usare il formato seguente per il nome dell'entità:
```
principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
```
- Assegna il ruolo Utente identità del carico di lavoro e salva la configurazione.

Per altre informazioni sulla concessione di accesso in Google Cloud Platform, vedere Gestire accesso a progetti, cartelle e organizzazioni nella documentazione di Google Cloud.

Configurazione dei log di controllo GCP

Le istruzioni riportate in questa sezione sono per utilizzare il connettore log di controllo GCP Pub/Sub di Microsoft Sentinel.

Vedere Configurazione del Centro di Comandi di Sicurezza GCP per l'uso del connettore GCP Pub/Sub Security Command Center di Microsoft Sentinel.

Vedere Configurazione dei log GKE per l'uso del connettore di Microsoft Sentinel Google Kubernetes Engine.

Configurazione dell'API Terraform
Configurazione manuale

Copiare il script di configurazione del log di controllo di Terraform fornito da Microsoft Sentinel dal repository GitHub di Sentinel in una cartella diversa nell'ambiente GCP Cloud Shell.
1. Aprire lo script Terraform GCPAuditLogsSetup e copiarne il contenuto.
  
  Nota
  
  Per l'inserimento di dati GCP in un Azure Government cloud, usare invece questo script di configurazione del log di controllo.
2. Creare un'altra directory nell'ambiente Cloud Shell, immetterla e creare un nuovo file vuoto.
```
mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
```
3. Aprire auditlog.tf nell'editor Cloud Shell e incollarvi il contenuto del file di script.
Inizializzare Terraform nella nuova directory digitando il comando seguente nel terminale:
```
terraform init 
```
Quando viene visualizzato il messaggio di conferma che Terraform è stato inizializzato, eseguire lo script digitando il comando seguente nel terminale:
```
terraform apply 
```
Per inserire i log da un'intera organizzazione usando un singolo pub/sub, digitare:
```
terraform apply -var="organization-id= {organizationId} "
```
Quando viene chiesto se si desidera creare le risorse elencate, digitare sì.

Quando viene visualizzato l'output dello script, salvare i parametri delle risorse per usarli in un secondo momento.

Attendere cinque minuti prima di passare al passaggio successivo.

Creare un argomento di pubblicazione

Usare il servizio pub/sub di Google Cloud Platform per configurare l'esportazione dei log di controllo.

Seguire le istruzioni nella documentazione di Google Cloud per creare un argomento per la pubblicazione dei log.

Scegliere un ID argomento che rifletta lo scopo della raccolta di log per l'esportazione in Microsoft Sentinel.
Aggiungere una sottoscrizione predefinita.
Usare una chiave di crittografia gestita da Google per la crittografia.

Creare un sink di log

Usare il servizio Router di log di Google Cloud Platform per configurare la raccolta dei log di controllo.

Per raccogliere i log delle risorse solo nel progetto corrente:

Verifica che il progetto sia selezionato nel selettore progetto.
Seguire le istruzioni nella documentazione di Google Cloud per configurare un sink per la raccolta dei log.
- Scegliere un nome che rifletta lo scopo della raccolta di log per l'esportazione in Microsoft Sentinel.
- Selezionare "Cloud Pub/Sub topic" come tipo di destinazione e scegliere l'argomento creato nel passaggio precedente.

Per raccogliere i log delle risorse nell'intera organizzazione:

Seleziona la organizzazione nel selettore progetto.
Seguire le istruzioni nella documentazione di Google Cloud per configurare un sink per la raccolta dei log.
- Scegliere un nome che rifletta lo scopo della raccolta di log per l'esportazione in Microsoft Sentinel.
- Selezionare "Cloud Pub/Sub topic" come tipo di destinazione e scegliere l'opzione predefinita "Use a Cloud Pub/Sub topic in a project".
- Immettere la destinazione nel formato seguente: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.
In Scegliere i log da includere nel sink selezionare Includi log acquisiti dall'organizzazione e da tutte le risorse figlie.

Verificare che GCP possa ricevere messaggi in arrivo

Nella console GCP pub/sub passare a Sottoscrizioni.
Selezionare Messaggi e selezionare PULL per avviare un pull manuale.
Controllare i messaggi in arrivo.

Se stai configurando anche il connettore del GCP Pub/Sub Security Command Center, continua con la sezione successiva.

In caso contrario, passare a Configurare il connettore GCP Pub/Sub in Microsoft Sentinel.

GCP Security Command Center configurazione

Le istruzioni contenute in questa sezione sono relative all'uso del connettore del Centro comandi di sicurezza GCP pub/sub di Microsoft Sentinel.

Vedere le istruzioni nella sezione precedente per l'uso del connettore Log di controllo Pub/Sub GCP di Microsoft Sentinel.

Vedere Configurazione dei log GKE per l'uso del connettore di Microsoft Sentinel Google Kubernetes Engine.

Configurare l'esportazione continua dei risultati

Seguire le istruzioni nella documentazione di Google Cloud per configurare le esportazioni pub/sub dei futuri risultati SCC nel servizio GCP pub/sub.

Quando viene chiesto di selezionare un project per l'esportazione, selezionare un project creato a questo scopo oppure creare un nuovo project.
Quando viene chiesto di selezionare un argomento pub/sub in cui si desidera esportare i risultati, seguire le istruzioni riportate sopra per creare un nuovo argomento.

Configurazione del connettore del motore di Google Kubernetes

Le istruzioni contenute in questa sezione riguardano l'uso del connettore di Google Kubernetes Engine per Microsoft Sentinel.

Vedere Configurazione del Centro di Comandi di Sicurezza GCP per l'uso del connettore GCP Pub/Sub Security Command Center di Microsoft Sentinel.

Consultare Configurazione dei log di controllo GCP per utilizzare il connettore Microsoft Sentinel GCP Pub/Sub Audit Logs.

Configurazione dell'API Terraform

Copiare lo script di configurazione del log di controllo Terraform fornito da Microsoft Sentinel dal repository GitHub di Sentinel in una cartella differente all'interno dell'ambiente Cloud Shell di GCP.
1. Aprire il file di script Terraform GoogleKubernetesEngineLogSetup e copiarne il contenuto.
2. Creare un'altra directory nell'ambiente Cloud Shell, immetterla e creare un nuovo file vuoto.
```
mkdir {other-directory-name} && cd {other-directory-name} && touch gkelog.tf
```
3. Aprire gkelog.tf nell'editor Cloud Shell e incollarvi il contenuto del file di script.
Inizializzare Terraform nella nuova directory digitando il comando seguente nel terminale:
```
terraform init 
```
Quando viene visualizzato il messaggio di conferma che Terraform è stato inizializzato, eseguire lo script digitando il comando seguente nel terminale:
```
terraform apply 
```
Per inserire i log da un'intera organizzazione usando un singolo pub/sub, digitare:
```
terraform apply -var="organization-id= {organizationId} "
```
Quando viene chiesto se si desidera creare le risorse elencate, digitare sì.

Quando viene visualizzato l'output dello script, salvare i parametri delle risorse per usarli in un secondo momento.

Attendere cinque minuti prima di passare al passaggio successivo.

Configurare il connettore GCP Pub/Sub in Microsoft Sentinel

Aprire il Azure portal e passare al servizio Microsoft Sentinel.
Nella barra di ricerca dell'Hub dei contenuti digitare Log di controllo di Google Cloud Platform.
Installa la soluzione Log di controllo di Google Cloud Platform.
Selezionare Connettori dati e nella barra di ricerca digitare GCP Pub/Sub Audit Logs.
Selezionare il connettore GCP Pub/Sub Audit Logs.
Nel riquadro dei dettagli selezionare Apri pagina del connettore.
Nell'area Configurazione selezionare Aggiungi nuovo agente di raccolta.
Nel pannello Connetti nuovo agente di raccolta, digitare i parametri di risorsa creati al momento della creazione delle risorse GCP.
Assicurarsi che i valori in tutti i campi corrispondano alle rispettive controparti nel project GCP (i valori nello screenshot sono esempi, non valori letterali) e selezionare Connect.

Verificare che i dati GCP si trovano nell'ambiente di Microsoft Sentinel

Per assicurarsi che i log GCP siano stati inseriti correttamente in Microsoft Sentinel, eseguire la query seguente 30 minuti dopo aver completato la configurazione del connettore.
```
GCPAuditLogs 
| take 10 
```
```
GoogleSCC 
| take 10 
```
```
GKEAudit 
| take 10 
```
Abilitare la funzionalità di integrità per i connettori dati.

Risoluzione dei problemi

"Errore 409: L'entità richiesta esiste già" Quando si eseguono script terraform: importare le risorse GCP esistenti nello stato terraform in modo che Terraform le gestisca invece di provare a ricrearle. Ad esempio, con un messaggio di errore: "Errore durante la creazione di WorkloadIdentityPool: googleapi: Errore 409: L'entità richiesta esiste già", trovare l'ID del pool e l'ID progetto, ed eseguire:

terraform import google_iam_workload_identity_pool.<POOL_RESOURCE_NAME> projects/<PROJECT_ID>/locations/global/workloadIdentityPools/<POOL_ID>

Passaggi successivi

In questo articolo è stato illustrato come inserire dati GCP in Microsoft Sentinel usando i connettori GCP Pub/Sub. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Inizia il rilevamento delle minacce con Microsoft Sentinel.
- Usare le cartelle di lavoro per monitorare i dati.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-03-10

Condividi tramite

Inserire i dati di log di Google Cloud Platform in Microsoft Sentinel

Prerequisiti

Configurare l'ambiente GCP

Configurazione dell'autenticazione GCP

Configurazione dei log di controllo GCP

GCP Security Command Center configurazione

Configurare l'esportazione continua dei risultati

Configurazione del connettore del motore di Google Kubernetes

Configurare il connettore GCP Pub/Sub in Microsoft Sentinel

Verificare che i dati GCP si trovano nell'ambiente di Microsoft Sentinel

Risoluzione dei problemi

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive