Mengumpulkan log Microsoft Sentinel

Dokumen ini menjelaskan cara mengonfigurasi Microsoft Sentinel untuk mengirim insiden dan pemberitahuan ke Google Security Operations menggunakan Logic Apps dan webhook.

Microsoft Sentinel adalah solusi informasi keamanan dan manajemen peristiwa (SIEM) serta orkestrasi, otomatisasi, dan respons keamanan (SOAR) berbasis cloud. Solusi ini menghadirkan analisis keamanan cerdas dan intelijen ancaman di seluruh perusahaan.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

• Instance Google SecOps
• Akses istimewa ke portal Microsoft Azure dengan izin untuk:
  • Membuat Logic Apps
  • Mengonfigurasi aturan otomatisasi Microsoft Sentinel
  • Mengelola izin grup resource
  • Membuat dan mengelola principal layanan
• Akses ke konsol Google Cloud (untuk pembuatan kunci API)

Membuat feed webhook di Google SecOps

Buat feed

1. Buka Setelan SIEM > Feed.
2. Klik Tambahkan Feed Baru.
3. Di halaman berikutnya, klik Konfigurasi satu feed.
4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Microsoft Sentinel Incidents).
5. Pilih Webhook sebagai Jenis sumber.
6. Pilih Microsoft Sentinel sebagai Jenis log.
7. Klik Berikutnya.
8. Tentukan nilai untuk parameter input berikut:
   • Pemisah pemisahan (opsional): Biarkan kosong (setiap insiden atau pemberitahuan adalah satu peristiwa).
   • Namespace aset: Namespace aset.
   • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
9. Klik Berikutnya.
10. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Buat dan simpan kunci rahasia

Setelah membuat feed, Anda harus membuat kunci rahasia untuk autentikasi:

1. Di halaman detail feed, klik Buat Kunci Rahasia.
2. Dialog akan menampilkan kunci rahasia.

3. Salin dan simpan kunci rahasia dengan aman.

Mendapatkan URL endpoint feed

1. Buka tab Detail untuk feed tersebut.
2. Di bagian Endpoint Information, salin Feed endpoint URL.

3. Format URL-nya adalah:

   https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate
   

   atau

   https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate
   

4. Simpan URL ini untuk langkah berikutnya.

5. Klik Done.

Membuat Google Cloud kunci API

Google SecOps memerlukan kunci API untuk autentikasi. Buat kunci API yang dibatasi di konsol Google Cloud .

Buat kunci API

1. Buka halaman Credentials konsolGoogle Cloud .
2. Pilih project Anda (project yang terkait dengan instance Google SecOps Anda).
3. Klik Create credentials > API key.
4. Kunci API dibuat dan ditampilkan dalam dialog.
5. Klik Edit API key untuk membatasi kunci.

Membatasi kunci API

1. Di halaman setelan kunci API:
   • Name: Masukkan nama deskriptif (misalnya, Google SecOps Webhook API Key).
2. Di bagian Pembatasan API:
   • Pilih Restrict key.
   • Di daftar Select APIs, telusuri dan pilih Google SecOps API (atau Chronicle API).
3. Klik Simpan.
4. Salin nilai kunci API dari kolom Kunci API di bagian atas halaman.

5. Simpan kunci API dengan aman.

Mengonfigurasi Aplikasi Logika untuk insiden Microsoft Sentinel

Bagian ini mengonfigurasi Aplikasi Logika untuk mengirim insiden Microsoft Sentinel ke Google SecOps.

Buat Aplikasi Logika

1. Login ke Azure Portal.
2. Klik Buat resource.
3. Telusuri Logic App.
4. Klik Buat untuk memulai proses pembuatan.
5. Tentukan nilai untuk parameter input berikut:
   • Langganan: Pilih langganan.
   • Grup resource: Pilih grup resource.
   • Name: Masukkan nama untuk Logic App (misalnya, Sentinel-Incidents-to-SecOps).
   • Region: Pilih wilayah.
   • Ruang kerja Log Analytics: Pilih ruang kerja Log Analytics.
6. Klik Review + create.
7. Klik Create.
8. Setelah Logic App dibuat, klik Go to resource.

Mengonfigurasi perancang Aplikasi Logika

1. Klik Development Tools > Logic App Designer.
2. Klik Tambahkan pemicu.
3. Telusuri Microsoft Sentinel.
4. Pilih Insiden Microsoft Sentinel sebagai pemicu.
5. Jika belum membuat koneksi ke Microsoft Sentinel, Anda harus melakukannya sekarang.
6. Klik Buat baru dan ikuti perintah untuk melakukan autentikasi:
   • Pilih Login dengan identitas terkelola (direkomendasikan) atau Login untuk menggunakan kredensial Anda.
7. Klik Sisipkan langkah baru.
8. Klik Tambahkan tindakan.
9. Telusuri dan pilih HTTP sebagai tindakan.
10. Tentukan nilai untuk parameter input berikut:
    • URI: Tempelkan URL endpoint feed dari feed Google SecOps.
    • Metode: Pilih POST.
    • Header: Tambahkan header berikut:
      • Nama header: X-goog-api-key
      • Nilai: Tempelkan kunci API yang dibuat sebelumnya.
      • Nama header: X-Webhook-Access-Key
      • Nilai: Tempelkan kunci rahasia dari pembuatan feed.
11. Klik di kolom Body.
12. Klik tab Ekspresi di panel konten dinamis.

13. Masukkan @{triggerBody()} di kolom ekspresi, lalu klik OK.

14. Klik Simpan untuk menyimpan Logic App.

Memberikan izin Microsoft Sentinel untuk menjalankan Aplikasi Logika

Dua penetapan izin terpisah diperlukan agar aturan otomatisasi berhasil memicu Aplikasi Logika.

Izin 1: Beri akses identitas terkelola Aplikasi Logika ke ruang kerja Sentinel

Managed identity Logic App memerlukan izin untuk membaca insiden dari ruang kerja Microsoft Sentinel.

Mengaktifkan identitas terkelola untuk Logic App

1. Di Azure Portal, buka resource Logic App Anda (Sentinel-Incidents-to-SecOps).
2. Di navigasi kiri, pilih Identitas di bagian Setelan.
3. Di tab System assigned, setel Status ke On.
4. Klik Simpan.
5. Klik Yes untuk konfirmasi.
6. Setelah mengaktifkan, catat ID Objek (principal) yang ditampilkan.

Memberikan peran Microsoft Sentinel Responder ke Logic App

1. Di Azure Portal, buka ruang kerja Microsoft Sentinel Anda.
2. Di panel navigasi kiri, pilih Kontrol akses (IAM) di bagian Setelan.
3. Klik + Tambahkan > Tambahkan penetapan peran.
4. Di tab Role, telusuri dan pilih Microsoft Sentinel Responder:
   • Alternatif: Jika playbook hanya membaca insiden, gunakan peran Microsoft Sentinel Reader.
5. Klik Berikutnya.
6. Di tab Anggota, konfigurasikan hal berikut:
   1. Tetapkan akses ke: Pilih Managed identity.
   2. Klik + Pilih anggota.
   3. Dalam daftar Managed identity, pilih Logic App.
   4. Pilih Aplikasi Logika (Sentinel-Incidents-to-SecOps) Anda dari daftar.
7. Klik Pilih.
8. Klik Tinjau + tetapkan.
9. Klik Tinjau + tetapkan lagi untuk mengonfirmasi.

Izin 2: Berikan izin otomatisasi Microsoft Sentinel pada grup resource

Microsoft Sentinel memerlukan peran Microsoft Sentinel Automation Contributor di grup resource yang berisi Logic App. Tanpa izin ini, aturan otomatisasi tidak dapat memicu playbook.

Memberikan izin otomatisasi melalui UI Sentinel

1. Di Azure Portal, buka ruang kerja Microsoft Sentinel Anda.
2. Buka Setelan > Otomatisasi.
3. Klik Kelola izin playbook di bagian atas halaman.
4. Di panel Kelola izin, konfigurasi hal berikut:
   1. Pilih grup resource yang berisi Logic App Anda (Sentinel-Incidents-to-SecOps).

5. Klik Terapkan.

Verifikasi izin otomatisasi (Opsional)

1. Di Azure Portal, buka grup resource yang berisi Logic App Anda.
2. Di navigasi kiri, pilih Kontrol akses (IAM).
3. Klik Penetapan peran.
4. Telusuri Azure Security Insights.

5. Pastikan Azure Security Insights memiliki peran Microsoft Sentinel Automation Contributor.

6. Buka grup resource yang berisi Logic App Anda.

7. Pilih Access control (IAM) > Add role assignment.

8. Pilih peran Microsoft Sentinel Automation Contributor.

9. Di Anggota, pilih Pengguna, grup, atau akun utama layanan.

10. Klik + Pilih anggota dan cari Azure Security Insights.

11. Pilih Azure Security Insights, lalu klik Pilih.

12. Klik Tinjau + tetapkan dua kali untuk mengonfirmasi.

Mengonfigurasi Aplikasi Logika untuk pemberitahuan Microsoft Sentinel

Bagian ini mengonfigurasi Aplikasi Logika terpisah untuk mengirimkan pemberitahuan Microsoft Sentinel ke Google SecOps.

Membuat Aplikasi Logika untuk pemberitahuan

1. Buka Halaman Beranda Azure Portal.
2. Klik Buat resource.
3. Telusuri Logic App.
4. Klik Buat untuk memulai proses pembuatan.
5. Tentukan nilai untuk parameter input berikut:
   • Langganan: Pilih langganan.
   • Grup resource: Pilih grup resource.
   • Name: Masukkan nama untuk Logic App (misalnya, Sentinel-Alerts-to-SecOps).
   • Region: Pilih wilayah.
   • Ruang kerja Log Analytics: Pilih ruang kerja Log Analytics.
6. Klik Review + create.
7. Klik Create.
8. Setelah Logic App dibuat, klik Go to resource.

Mengonfigurasi perancang Logic App untuk pemberitahuan

1. Klik Development Tools > Logic App Designer.
2. Klik Tambahkan pemicu.
3. Telusuri Microsoft Sentinel.
4. Pilih Pemberitahuan Microsoft Sentinel sebagai pemicu.
5. Jika belum membuat koneksi ke Microsoft Sentinel, Anda harus melakukannya sekarang.
6. Klik Buat baru dan ikuti perintah untuk melakukan autentikasi:
   • Pilih Login dengan identitas terkelola (direkomendasikan) atau Login untuk menggunakan kredensial Anda.
7. Klik Sisipkan langkah baru.
8. Klik Tambahkan tindakan.
9. Telusuri dan pilih HTTP sebagai tindakan.
10. Tentukan nilai untuk parameter input berikut:
    • URI: Tempelkan URL endpoint feed dari feed Google SecOps.
    • Metode: Pilih POST.
    • Header: Tambahkan header berikut:
      • Nama header: X-goog-api-key
      • Nilai: Tempelkan kunci API yang dibuat sebelumnya.
      • Nama header: X-Webhook-Access-Key
      • Nilai: Tempelkan kunci rahasia dari pembuatan feed.
11. Klik di kolom Body.
12. Klik tab Ekspresi di panel konten dinamis.

13. Masukkan @{triggerBody()} di kolom ekspresi, lalu klik OK.

14. Klik Simpan untuk menyimpan Logic App.

Memberikan izin Microsoft Sentinel untuk menjalankan Logic App pemberitahuan

Dua penetapan izin terpisah diperlukan untuk Logic App pemberitahuan, yang identik dengan konfigurasi Logic App insiden.

Izin 1: Berikan akses identitas terkelola Aplikasi Logika untuk ruang kerja Sentinel

Managed identity Aplikasi Logika pemberitahuan memerlukan izin untuk membaca pemberitahuan dari ruang kerja Microsoft Sentinel.

Mengaktifkan identitas terkelola untuk Logic App pemberitahuan

1. Di Azure Portal, buka resource Logic App pemberitahuan Anda (Sentinel-Alerts-to-SecOps).
2. Di navigasi kiri, pilih Identitas di bagian Setelan.
3. Di tab System assigned, setel Status ke On.
4. Klik Simpan.
5. Klik Yes untuk konfirmasi.
6. Setelah mengaktifkan, catat ID Objek (principal) yang ditampilkan.

Memberikan peran Microsoft Sentinel Responder ke aplikasi logika pemberitahuan

1. Di Azure Portal, buka ruang kerja Microsoft Sentinel Anda.
2. Di panel navigasi kiri, pilih Kontrol akses (IAM) di bagian Setelan.
3. Klik + Tambahkan > Tambahkan penetapan peran.
4. Di tab Role, telusuri dan pilih Microsoft Sentinel Responder:
   • Alternatif: Jika playbook hanya membaca pemberitahuan, gunakan peran Pembaca Microsoft Sentinel.
5. Klik Berikutnya.
6. Di tab Anggota, konfigurasikan hal berikut:
   1. Tetapkan akses ke: Pilih Managed identity.
   2. Klik + Pilih anggota.
   3. Dalam daftar Managed identity, pilih Logic App.
   4. Pilih Aplikasi Logika pemberitahuan Anda (Sentinel-Alerts-to-SecOps) dari daftar.
7. Klik Pilih.
8. Klik Tinjau + tetapkan.
9. Klik Tinjau + tetapkan lagi untuk mengonfirmasi.

Izin 2: Berikan izin otomatisasi Microsoft Sentinel pada grup resource untuk pemberitahuan

Microsoft Sentinel memerlukan peran Microsoft Sentinel Automation Contributor di grup resource yang berisi Logic App pemberitahuan.

Memberikan izin otomatisasi melalui UI Sentinel

1. Di Azure Portal, buka ruang kerja Microsoft Sentinel Anda.
2. Buka Setelan > Otomatisasi.
3. Klik Kelola izin playbook di bagian atas halaman.
4. Di panel Kelola izin, konfigurasi hal berikut:
   1. Pilih grup resource yang berisi Logic App pemberitahuan Anda (Sentinel-Alerts-to-SecOps).
      • Jika grup resource ini sama dengan grup resource Aplikasi Logika insiden, grup resource ini mungkin sudah dipilih.

5. Klik Terapkan.

Memverifikasi izin otomatisasi untuk Logic App pemberitahuan (Opsional)

1. Di Azure Portal, buka grup resource yang berisi Logic App pemberitahuan Anda.
2. Di navigasi kiri, pilih Kontrol akses (IAM).
3. Klik Penetapan peran.
4. Telusuri Azure Security Insights.
5. Pastikan Azure Security Insights memiliki peran Microsoft Sentinel Automation Contributor.

Mengonfigurasi aturan otomatisasi untuk Microsoft Sentinel

Aturan otomatisasi memicu Logic Apps saat insiden dibuat atau diperbarui di Microsoft Sentinel.

Membuat aturan otomatisasi untuk pembuatan insiden

1. Buka Microsoft Sentinel Workspace Anda.
2. Klik Konfigurasi > Otomatisasi.
3. Klik Create.
4. Pilih Aturan otomatisasi.
5. Tentukan nilai untuk parameter input berikut:
   • Nama: Masukkan nama untuk aturan otomatisasi (misalnya, Send New Incidents to SecOps).
   • Pemicu: Pilih Saat insiden dibuat.
   • Tindakan: Pilih Jalankan playbook dari daftar.
   • Pilih Aplikasi Logika yang dibuat untuk insiden (Sentinel-Incidents-to-SecOps).
6. Klik Terapkan.

Membuat aturan otomatisasi untuk pembaruan insiden

1. Buka Microsoft Sentinel Workspace Anda.
2. Klik Konfigurasi > Otomatisasi.
3. Klik Create.
4. Pilih Aturan otomatisasi.
5. Tentukan nilai untuk parameter input berikut:
   • Nama: Masukkan nama untuk aturan otomatisasi (misalnya, Send Updated Incidents to SecOps).
   • Pemicu: Pilih Saat insiden diperbarui.
   • Kondisi: Klik Tambahkan > Kondisi (Dan) > Status > Berubah.
6. Di bagian Tindakan, konfigurasikan hal berikut:
   1. Pilih Run playbook dari daftar.
   2. Pilih Aplikasi Logika yang dibuat untuk insiden (Sentinel-Incidents-to-SecOps).
7. Klik Terapkan.

Membuat aturan otomatisasi untuk pemberitahuan

1. Buka Microsoft Sentinel Workspace Anda.
2. Klik Konfigurasi > Otomatisasi.
3. Klik Create.
4. Pilih Aturan otomatisasi.
5. Tentukan nilai untuk parameter input berikut:
   • Nama: Masukkan nama untuk aturan otomatisasi (misalnya, Send Alerts to SecOps).
   • Pemicu: Pilih Saat pemberitahuan dibuat.
   • Tindakan: Pilih Jalankan playbook dari daftar.
   • Pilih Aplikasi Logika yang dibuat untuk pemberitahuan (Sentinel-Alerts-to-SecOps).
6. Klik Terapkan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.