Ingerir dados de login do Google Cloud Platform no Microsoft Sentinel

As organizações estão migrando cada vez mais para arquiteturas multicloud, seja por design ou devido a requisitos contínuos. Um número crescente dessas organizações usa aplicativos e armazena dados em várias nuvens públicas, incluindo o Google Cloud Platform (GCP).

Este artigo descreve como ingerir dados GCP no Microsoft Sentinel para obter cobertura de segurança total e analisar e detetar ataques em seu ambiente multicloud.

Com os conectores GCP Pub/Sub, baseados no nosso Codeless Connector Framework (CCF), pode ingerir logs do seu ambiente GCP usando a capacidade GCP Pub/Sub:

O conector Google Cloud Platform (GCP) Pub/Sub Audit Logs recolhe trilhas de auditoria de acessos a recursos do GCP. Os analistas podem monitorizar estes registos para acompanhar tentativas de acesso a recursos e detetar potenciais ameaças em todo o ambiente GCP.
O conector do Centro de Comando de Segurança do Google Cloud Platform (GCP) coleta descobertas do Google Security Command Center, uma plataforma robusta de segurança e gerenciamento de riscos para o Google Cloud. Os analistas podem visualizar essas descobertas para obter informações sobre a postura de segurança da organização, incluindo inventário e descoberta de ativos, deteções de vulnerabilidades e ameaças e mitigação e remediação de riscos.
O conector do Google Kubernetes Engine recolhe os Registos do Google Kubernetes Engine (GKE). Os analistas podem monitorizar estes registos para acompanhar a atividade do cluster, o comportamento das cargas de trabalho e os eventos de segurança, permitindo que os analistas monitorizem cargas de trabalho do Kubernetes, analisem o desempenho e detetem potenciais ameaças em clusters GKE.

Pré-requisitos

Antes de começar, verifique se você tem o seguinte:

A solução Microsoft Sentinel está habilitada.
Existe um espaço de trabalho definido do Microsoft Sentinel.
Existe um ambiente GCP que contém recursos que produzem um dos seguintes tipos de log que você deseja ingerir:
- Logs de auditoria do GCP
- Descobertas do Centro de Comando de Segurança do Google
O seu utilizador do Azure tem o papel de Contribuidor Microsoft Sentinel.
O seu utilizador GCP tem acesso para criar e editar recursos no projeto GCP.
A API GCP Identity and Access Management (IAM) e a API GCP Cloud Resource Manager estão ambas ativadas.

Configurar o ambiente GCP

Há duas coisas que você precisa configurar em seu ambiente GCP:

Configure a autenticação do Microsoft Sentinel no GCP criando os seguintes recursos no serviço GCP IAM:
- Pool de identidades de carga de trabalho
- Provedor de identidade de carga de trabalho
- Conta de serviço
- Funções
Configure a coleta de logs no GCP e a ingestão no Microsoft Sentinel criando os seguintes recursos no serviço GCP Pub/Sub:
- Tópico
- Subscrição do tópico

Você pode configurar o ambiente de duas maneiras:

Criar recursos GCP através da API Terraform: O Terraform fornece APIs para criação de recursos e para Gestão de Identidade e Access (ver Pré-requisitos). O Microsoft Sentinel fornece scripts Terraform que emitem os comandos necessários para as APIs.
Configure o ambiente GCP manualmente, criando os recursos você mesmo no console do GCP.

Nota

Não há nenhum script Terraform disponível para criar recursos GCP Pub/Sub para coleta de logs do Security Command Center. Você deve criar esses recursos manualmente. Você ainda pode usar o script Terraform para criar os recursos do GCP IAM para autenticação.

Importante

Se estiveres a criar recursos manualmente, tens de criar todos os recursos de autenticação (IAM) no mesmo projeto do GCP, caso contrário, não vai funcionar. (Os recursos Pub/Sub podem estar num project diferente.)

Configuração de autenticação GCP

Obrigatório para todos os conectores GCP.

Configuração da API Terraform
Configuração manual

Abrir GCP Cloud Shell.
Selecione o project com que pretende trabalhar, escrevendo o seguinte comando no editor:
```
gcloud config set project {projectId}  
```
Copie o script de autenticação Terraform fornecido pelo Microsoft Sentinel do repositório Sentinel GitHub para o seu ambiente GCP Cloud Shell.
1. Abra o ficheiro Terraform GCPInitialAuthenticationSetup e copie o seu conteúdo.
  
  Nota
  
  Para ingerir dados GCP numa cloud Azure Government, use este script de configuração de autenticação.
2. Crie um diretório no seu ambiente Cloud Shell, introduza-o e crie um novo ficheiro em branco.
```
mkdir {directory-name} && cd {directory-name} && touch initauth.tf
```
3. Abre initauth.tf no editor de Cloud Shell e cola o conteúdo do ficheiro de script nele.
Inicialize Terraform no diretório que você criou digitando o seguinte comando no terminal:
```
terraform init 
```
Quando você receber a mensagem de confirmação de que o Terraform foi inicializado, execute o script digitando o seguinte comando no terminal:
```
terraform apply 
```
Quando o script solicitar sua ID de locatário da Microsoft, copie-a e cole-a no terminal.

Nota

Pode encontrar e copiar o seu tenant ID na página do conector GCP Pub/Sub Audit Logs no portal Microsoft Sentinel, ou no ecrã de definições do portal (acessível em qualquer parte do portal Azure selecionando o ícone de engrenagem no topo do ecrã), na coluna ID de Diretório.
Quando perguntado se já foi criado um Pool de Identidade de carga de trabalho para Azure, responda sim ou não conforme corresponde.
Quando perguntado se você deseja criar os recursos listados, digite yes.

Quando a saída do script for exibida, salve os parâmetros de recursos para uso posterior.

Crie e configure os seguintes itens no serviço Google Cloud Platform Identity and Access Management (IAM).

Criar uma função personalizada

Siga as instruções na documentação do Google Cloud para criar uma função. De acordo com essas instruções, crie uma função personalizada do zero.
Nomeie a função para que ela seja reconhecível como uma função personalizada do Sentinel.
Preencha os detalhes relevantes e adicione permissões conforme necessário:
- pubsub.subscriptions.consume
- pubsub.subscriptions.get
Você pode filtrar a lista de permissões disponíveis por funções. Selecione as funções Pub/Sub Subscriber e Pub/Sub Viewer para filtrar a lista.

Para obter mais informações sobre como criar funções no Google Cloud Platform, consulte Criar e gerenciar funções personalizadas na documentação do Google Cloud.

Criar uma conta de serviço

Siga as instruções na documentação do Google Cloud para criar uma conta de serviço.
Nomeie a conta de serviço para que ela seja reconhecível como uma conta de serviço do Sentinel.
Atribua a função criada na seção anterior à conta de serviço.

Para obter mais informações sobre contas de serviço no Google Cloud Platform, consulte Visão geral de contas de serviço na documentação do Google Cloud.

Criar o pool de identidades e o provedor da carga de trabalho

Siga as instruções na documentação do Google Cloud para criar o pool de identidades e o provedor da carga de trabalho.
Para o Nome e o ID do Pool, introduza o seu ID de arrendatário do Azure, sem os traços.

Nota

Você pode encontrar e copiar sua ID de locatário na tela Configurações do portal, na coluna ID do diretório. O ecrã de definições do portal está acessível em qualquer parte do Azure portal, selecionando o ícone de engrenagem no topo do ecrã.
Adicione um provedor de identidade ao pool. Escolha Open ID Connect (OIDC) como o tipo de provedor.
Nomeie o provedor de identidade para que ele seja reconhecível por sua finalidade.
Insira os seguintes valores nas configurações do provedor (esses não são exemplos — use esses valores reais):
- Emissor (URL): https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
- Público-alvo: o URI do ID do aplicativo: api://2041288c-b303-4ca0-9076-9612db3beeb2
- Mapeamento de atributos: google.subject=assertion.sub
Nota

Para configurar o conector para enviar registos do GCP para a cloud Azure Government, use os seguintes valores alternativos para as configurações de provedor em vez dos mencionados acima:
- Emissor (URL): https://sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e
- Público-alvo: api://e9885b54-fac0-4cd6-959f-a72066026929

Para obter mais informações sobre a federação de identidades de carga de trabalho no Google Cloud Platform, consulte Federação de identidades de carga de trabalho na documentação do Google Cloud.

Conceda ao pool de identidade acesso à conta de serviço

Localize e selecione a conta de serviço criada anteriormente.
Localize a configuração de permissões da conta de serviço.
Conceda acesso à entidade principal que representa o grupo de identidade de carga de trabalho e o fornecedor que foi criada na etapa anterior.
- Use o seguinte formato para o nome principal:
```
principalSet://iam.googleapis.com/projects/{PROJECT_NUMBER}/locations/global/workloadIdentityPools/{WORKLOAD_IDENTITY_POOL_ID}/*
```
- Atribua a função Utilizador de Identidade da Carga de Trabalho e salve a configuração.

Para mais informações sobre como conceder acesso no Google Cloud Platform, consulte Gerir acesso a projetos, pastas e organizações na documentação do Google Cloud.

Configuração dos logs de auditoria da Google Cloud Platform

As instruções desta secção destinam-se ao uso do conector Microsoft Sentinel GCP Pub/Sub Audit Logs.

Consulte a configuração do GCP Security Command Center para usar o conector GCP Pub/Sub Security Command Center do Microsoft Sentinel.

Veja a configuração dos registos do GKE para usar o conector Microsoft Sentinel Google Kubernetes Engine.

Configuração da API Terraform
Configuração manual

Copie o script de configuração do registo de auditoria do Terraform fornecido pelo Microsoft Sentinel a partir do repositório Sentinel GitHub para uma pasta diferente no seu ambiente GCP Cloud Shell.
1. Abra o ficheiro GCPAuditLogsSetup do Terraform e copie o conteúdo.
  
  Nota
  
  Para ingerir dados GCP numa cloud Azure Government, use este script de configuração de registo de auditoria.
2. Crie outro diretório no seu ambiente Cloud Shell, introduza-o e crie um novo ficheiro em branco.
```
mkdir {other-directory-name} && cd {other-directory-name} && touch auditlog.tf
```
3. Abre auditlog.tf no editor de Cloud Shell e cola o conteúdo do ficheiro de script nele.
Inicialize Terraform no novo diretório digitando o seguinte comando no terminal:
```
terraform init 
```
Quando você receber a mensagem de confirmação de que o Terraform foi inicializado, execute o script digitando o seguinte comando no terminal:
```
terraform apply 
```
Para ingerir logs de uma organização inteira usando um único Pub/Sub, digite:
```
terraform apply -var="organization-id= {organizationId} "
```
Quando perguntado se você deseja criar os recursos listados, digite yes.

Quando a saída do script for exibida, salve os parâmetros de recursos para uso posterior.

Aguarde cinco minutos antes de passar para a próxima etapa.

Criar um tópico de publicação

Use o serviço Pub/Sub do Google Cloud Platform para configurar a exportação de logs de auditoria.

Siga as instruções na documentação do Google Cloud para criar um tópico para a publicação de logs.

Escolha uma ID de tópico que reflita a finalidade da coleta de logs para exportação para o Microsoft Sentinel.
Adicione uma assinatura padrão.
Use uma chave de criptografia gerenciada pelo Google para criptografia.

Criar um coletor de log

Use o serviço Google Cloud Platform Log Router para configurar a coleção de logs de auditoria.

Para recolher apenas os registos de recursos no projeto atual:

Verifique se o seu projeto está selecionado no seletor de projetos.
Siga as instruções na documentação do Google Cloud para configurar um coletor para coletar logs.
- Escolha um Nome que reflita a finalidade da coleta de logs para exportação para o Microsoft Sentinel.
- Selecione "Cloud Pub/Sub topic" como o tipo de destino e escolha o tópico que você criou na etapa anterior.

Para recolher registos de recursos em toda a organização:

Selecione a sua organização no seletor de projetos.
Siga as instruções na documentação do Google Cloud para configurar um coletor para coletar logs.
- Escolha um Nome que reflita a finalidade da coleta de logs para exportação para o Microsoft Sentinel.
- Selecione "Tópico de Cloud Pub/Sub" como o tipo de destino e escolha a opção padrão "Usar um tópico de Cloud Pub/Sub num projeto".
- Insira o destino no seguinte formato: pubsub.googleapis.com/projects/{PROJECT_ID}/topics/{TOPIC_ID}.
Em Escolher logs para incluir no coletor, selecione Incluir logs ingeridos por esta organização e todos os recursos filhos.

Verifique se o GCP pode receber mensagens de entrada

No console GCP Pub/Sub, navegue até Assinaturas.
Selecione Mensagens e selecione PULL para iniciar um pull manual.
Verifique as mensagens recebidas.

Se também estiver a configurar o conector do GCP Pub/Sub Security Command Center, continua com a próxima seção.

Caso contrário, pule para Configurar o conector GCP Pub/Sub no Microsoft Sentinel.

Configuração do Centro de Comando de Segurança do GCP

As instruções na presente seção são destinadas a usar o conector do Microsoft Sentinel GCP Pub/Sub Security Command Center.

Consulte as instruções na secção anterior para utilizar o conector Microsoft Sentinel GCP Pub/Sub Audit Logs.

Veja a configuração dos registos do GKE para usar o conector Microsoft Sentinel Google Kubernetes Engine.

Configurar a exportação contínua de descobertas

Siga as instruções na documentação do Google Cloud para configurar as exportações de Pub/Sub das descobertas futuras do SCC para o serviço GCP Pub/Sub.

Quando lhe pedirem para selecionar um project para exportar, selecione um project que criou para esse fim, ou crie um novo project.
Quando solicitado a selecionar um tópico Pub/Sub para o qual você deseja exportar suas descobertas, siga as instruções acima para criar um novo tópico.

Configuração do Conector do Google Kubernetes Engine

As instruções nesta secção são para usar o conector Microsoft Sentinel Google Kubernetes Engine .

Consulte a configuração do GCP Security Command Center para usar o conector GCP Pub/Sub Security Command Center do Microsoft Sentinel.

Consulte a configuração dos Registos de Auditoria GCP para utilizar o conector GCP Pub/Sub Audit Logs do Microsoft Sentinel.

Configuração da API Terraform

Copie o script de configuração do registo de auditoria do Terraform fornecido pelo Microsoft Sentinel a partir do repositório Sentinel GitHub para uma pasta diferente no seu ambiente GCP Cloud Shell.
1. Abra o ficheiro GoogleKubernetesEngineLogSetup do Terraform e copie o conteúdo.
2. Crie outro diretório no seu ambiente Cloud Shell, introduza-o e crie um novo ficheiro em branco.
```
mkdir {other-directory-name} && cd {other-directory-name} && touch gkelog.tf
```
3. Abre gkelog.tf no editor Cloud Shell e cola o conteúdo do ficheiro de script nele.
Inicialize Terraform no novo diretório digitando o seguinte comando no terminal:
```
terraform init 
```
Quando você receber a mensagem de confirmação de que o Terraform foi inicializado, execute o script digitando o seguinte comando no terminal:
```
terraform apply 
```
Para ingerir logs de uma organização inteira usando um único Pub/Sub, digite:
```
terraform apply -var="organization-id= {organizationId} "
```
Quando perguntado se você deseja criar os recursos listados, digite yes.

Quando a saída do script for exibida, salve os parâmetros de recursos para uso posterior.

Aguarde cinco minutos antes de passar para a próxima etapa.

Configurar o conector GCP Pub/Sub no Microsoft Sentinel

Abra o Azure portal e navegue até ao serviço Microsoft Sentinel.
No Centro de Conteúdos, digite Logs de auditoria do Google Cloud Platform na barra de pesquisa.
Instale a solução Google Cloud Platform Audit Logs .
Selecione Conectores de Dados e, na barra de pesquisa, digite GCP Pub/Sub Audit Logs.
Selecione o conector GCP Pub/Sub Audit Logs .
No painel de detalhes, selecione Abrir página do conector.
Na área Configuração, selecione Adicionar novo coletor.
No painel Connect new collector , escreve os parâmetros de recursos que criaste quando criaste os recursos do GCP.
Certifique-se de que os valores em todos os campos correspondem aos seus equivalentes no seu project GCP (os valores na captura de ecrã são amostras, não literais) e selecione Conectar.

Verifique se os dados do GCP estão no ambiente do Microsoft Sentinel

Para garantir que os logs do GCP foram ingeridos com êxito no Microsoft Sentinel, execute a seguinte consulta 30 minutos após concluir a configuração do conector.
```
GCPAuditLogs 
| take 10 
```
```
GoogleSCC 
| take 10 
```
```
GKEAudit 
| take 10 
```
Ative a funcionalidade de monitorização de saúde para os conectores de dados.

Solução de problemas

"Erro 409: Entidade solicitada já existe" Ao executar scripts de terraform: importa esses recursos GCP existentes para o estado Terraform para que o Terraform os gere em vez de tentar recriá-los. Por exemplo, com a mensagem de erro: "Erro ao criar WorkloadIdentityPool: googleapi: Erro 409: Entidade solicitada já existe", por favor encontre o ID do pool e o ID do project, execute:

terraform import google_iam_workload_identity_pool.<POOL_RESOURCE_NAME> projects/<PROJECT_ID>/locations/global/workloadIdentityPools/<POOL_ID>

Próximos passos

Neste artigo, você aprendeu como ingerir dados GCP no Microsoft Sentinel usando os conectores GCP Pub/Sub. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

Saiba como obter visibilidade dos seus dados e potenciais ameaças.
- Comece a detetar ameaças com o Microsoft Sentinel.
- Use livros de trabalho para monitorizar os seus dados.

Comentários

Esta página foi útil?

Last updated on 2026-03-11

Partilhar via

Ingerir dados de login do Google Cloud Platform no Microsoft Sentinel

Pré-requisitos

Configurar o ambiente GCP

Configuração de autenticação GCP

Configuração dos logs de auditoria da Google Cloud Platform

Configuração do Centro de Comando de Segurança do GCP

Configurar a exportação contínua de descobertas

Configuração do Conector do Google Kubernetes Engine

Configurar o conector GCP Pub/Sub no Microsoft Sentinel

Verifique se os dados do GCP estão no ambiente do Microsoft Sentinel

Solução de problemas

Próximos passos

Comentários

Recursos adicionais