Raccogliere i log di Microsoft Sentinel

Supportato in:

Google secops SIEM

Questo documento spiega come configurare Microsoft Sentinel per inviare incidenti e avvisi a Google Security Operations utilizzando Logic Apps e webhook.

Microsoft Sentinel è una soluzione SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) cloud-native. Fornisce analisi di sicurezza intelligenti e informazioni sulle minacce in tutta l'azienda.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

Un'istanza Google SecOps
Accesso con privilegi al portale Microsoft Azure con autorizzazioni per:
- Crea app per la logica
- Configurare le regole di automazione di Microsoft Sentinel
- Gestire le autorizzazioni del gruppo di risorse
- Crea e gestisci le entità di servizio
Accesso alla Google Cloud console (per la creazione di chiavi API)

Crea un feed webhook in Google SecOps

Creare il feed

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Microsoft Sentinel Incidents).
Seleziona Webhook come Tipo di origine.
Seleziona Microsoft Sentinel come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- Delimitatore di divisione (facoltativo): lascia vuoto (ogni incidente o avviso è un singolo evento).
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Genera e salva la chiave segreta

Dopo aver creato il feed, devi generare una chiave segreta per l'autenticazione:

Nella pagina dei dettagli del feed, fai clic su Genera chiave segreta.
Una finestra di dialogo mostra la chiave segreta.
Copia e salva la chiave segreta in modo sicuro.

Nota :la chiave segreta viene visualizzata una sola volta e non può essere recuperata in un secondo momento. Se la perdi, devi generare una nuova chiave segreta.

Recuperare l'URL dell'endpoint del feed

Vai alla scheda Dettagli del feed.
Nella sezione Endpoint Information (Informazioni sull'endpoint), copia l'URL dell'endpoint del feed.

Il formato dell'URL è:

https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

Salva questo URL per i passaggi successivi.
Fai clic su Fine.

Crea Google Cloud chiave API

Google SecOps richiede una chiave API per l'autenticazione. Crea una chiave API limitata nella console Google Cloud .

Crea la chiave API

Vai alla pagina Credenziali della consoleGoogle Cloud .
Seleziona il tuo progetto (quello associato alla tua istanza di Google SecOps).
Fai clic su Crea credenziali > Chiave API.
Viene creata una chiave API e visualizzata in una finestra di dialogo.
Fai clic su Modifica chiave API per limitare la chiave.

Limitare la chiave API

Nella pagina delle impostazioni Chiave API:
- Nome: inserisci un nome descrittivo (ad esempio, Google SecOps Webhook API Key).
In Limitazioni API:
- Seleziona Limita chiave.
- Nell'elenco Seleziona API, cerca e seleziona API Google SecOps (o API Chronicle).
Fai clic su Salva.
Copia il valore della chiave API dal campo Chiave API nella parte superiore della pagina.
Salva la chiave API in modo sicuro.

Nota :la limitazione della chiave API garantisce che possa essere utilizzata solo con l'API Google SecOps, riducendo il rischio per la sicurezza in caso di compromissione della chiave.

Configurare Logic App per gli incidenti di Microsoft Sentinel

Questa sezione configura un'app per la logica per inviare gli incidenti di Microsoft Sentinel a Google SecOps.

Crea app per la logica

Accedi al portale di Azure.
Fai clic su Crea una risorsa.
Cerca Logic App.
Fai clic su Crea per avviare il processo di creazione.
Specifica i valori per i seguenti parametri di input:
- Abbonamento: seleziona l'abbonamento.
- Gruppo di risorse: seleziona il gruppo di risorse.
- Nome: inserisci un nome per l'app per la logica (ad esempio, Sentinel-Incidents-to-SecOps).
- Regione: seleziona la regione.
- Spazio di lavoro Log Analytics: seleziona lo spazio di lavoro Log Analytics.
Fai clic su Review + create (Rivedi e crea).
Fai clic su Crea.
Dopo aver creato l'app per la logica, fai clic su Vai alla risorsa.

Configurare Progettazione app per la logica

Fai clic su Strumenti di sviluppo > Logic App Designer.
Fai clic su Aggiungi un attivatore.
Cerca Microsoft Sentinel.
Seleziona Incidente Microsoft Sentinel come trigger.
Se non hai ancora creato una connessione a Microsoft Sentinel, devi farlo ora.
Fai clic su Crea nuovo e segui le istruzioni per l'autenticazione:
- Seleziona Accedi con l'identità gestita (opzione consigliata) o Accedi per utilizzare le tue credenziali.
Fai clic su Inserisci un nuovo passaggio.
Fai clic su Aggiungi un'azione.
Cerca e seleziona HTTP come azione.
Specifica i valori per i seguenti parametri di input:
- URI: incolla l'URL dell'endpoint del feed dal feed Google SecOps.
- Metodo: seleziona POST.
- Intestazioni: aggiungi le seguenti intestazioni:
  - Nome intestazione: X-goog-api-key
  - Valore: incolla la chiave API creata in precedenza.
  - Nome intestazione: X-Webhook-Access-Key
  - Valore: incolla la chiave segreta dalla creazione del feed.
Fai clic sul campo Corpo.
Fai clic sulla scheda Espressione nel riquadro dei contenuti dinamici.
Inserisci @{triggerBody()} nel campo dell'espressione e fai clic su Ok.

Nota :l'espressione @{triggerBody()} invia il file JSON completo dell'incidente a Google SecOps. Questo parametro è obbligatorio. Senza di esso, il webhook riceve richieste vuote e non vengono inseriti dati.
Fai clic su Salva per salvare l'app per la logica.

Concedere le autorizzazioni a Microsoft Sentinel per eseguire l'app per la logica

Per attivare correttamente l'app per la logica, sono necessarie due assegnazioni di autorizzazioni separate per le regole di automazione.

Autorizzazione 1: concedi all'identità gestita dell'app logica l'accesso allo spazio di lavoro Sentinel

L'identità gestita dell'app per la logica deve disporre dell'autorizzazione per leggere gli incidenti dallo spazio di lavoro Microsoft Sentinel.

Abilita l'identità gestita per l'app logica

Nel portale Azure, vai alla risorsa dell'app logica (Sentinel-Incidents-to-SecOps).
Nel menu di navigazione a sinistra, seleziona Identità in Impostazioni.
Nella scheda Assegnato dal sistema, imposta Stato su On.
Fai clic su Salva.
Fai clic su Yes (Sì) per confermare.
Dopo l'attivazione, prendi nota dell'ID oggetto (entità) visualizzato.

Concedi il ruolo Microsoft Sentinel Responder all'app logica

Nel portale Azure, vai al tuo spazio di lavoro Microsoft Sentinel.
Nel menu di navigazione a sinistra, seleziona Controllo dell'accesso (IAM) in Impostazioni.
Fai clic su + Aggiungi > Aggiungi assegnazione ruolo.
Nella scheda Ruolo, cerca e seleziona Microsoft Sentinel Responder:
- Alternativa: se il playbook legge solo gli incidenti, utilizza il ruolo Lettore di Microsoft Sentinel.
Fai clic su Avanti.
Nella scheda Membri, configura quanto segue:
1. Assegna accesso a: seleziona Identità gestita.
2. Fai clic su + Seleziona membri.
3. Nell'elenco Identità gestita, seleziona Logic App.
4. Seleziona la tua app per la logica (Sentinel-Incidents-to-SecOps) dall'elenco.
Fai clic su Seleziona.
Fai clic su Rivedi e assegna.
Fai di nuovo clic su Rivedi e assegna per confermare.

Autorizzazione 2: concedi le autorizzazioni di automazione di Microsoft Sentinel sul gruppo di risorse

Microsoft Sentinel richiede il ruolo Collaboratore automazione Microsoft Sentinel nel gruppo di risorse contenente l'app per la logica. Senza questa autorizzazione, le regole di automazione non possono attivare i playbook.

Concedere le autorizzazioni di automazione tramite l'interfaccia utente di Sentinel

Nel portale Azure, vai al tuo spazio di lavoro Microsoft Sentinel.
Vai a Impostazioni > Automazione.
Fai clic su Gestisci autorizzazioni playbook nella parte superiore della pagina.
Nel riquadro Gestisci autorizzazioni, configura quanto segue:
1. Seleziona il gruppo di risorse contenente l'app per la logica (Sentinel-Incidents-to-SecOps).
Fai clic su Applica.

Nota: in questo modo viene concesso al service principal di Microsoft Sentinel (Azure Security Insights) il ruolo Collaboratore automazione Microsoft Sentinel nel gruppo di risorse selezionato.

(Facoltativo) Verifica le autorizzazioni di automazione

Nel portale Azure, vai al gruppo di risorse contenente la tua app per la logica.
Nel menu di navigazione a sinistra, seleziona Controllo dell'accesso (IAM).
Fai clic su Assegnazioni dei ruoli.
Cerca Azure Security Insights.
Verifica che Azure Security Insights disponga del ruolo Collaboratore dell'automazione di Microsoft Sentinel.

Nota: se non vedi l'opzione Gestisci autorizzazioni playbook nella UI di Sentinel, puoi concedere le autorizzazioni manualmente:
Vai al gruppo di risorse contenente la tua app per la logica.
Seleziona Controllo dell'accesso (IAM) > Aggiungi assegnazione di ruolo.
Seleziona il ruolo Microsoft Sentinel Automation Contributor.
In Membri, seleziona Utente, gruppo o service principal.
Fai clic su + Seleziona membri e cerca Azure Security Insights.
Seleziona Azure Security Insights e fai clic su Seleziona.
Fai clic due volte su Rivedi e assegna per confermare.

Configurare l'app per la logica per gli avvisi di Microsoft Sentinel

Questa sezione configura un'app per la logica separata per inviare avvisi di Microsoft Sentinel a Google SecOps.

Crea un'app per la logica per gli avvisi

Vai alla home page del portale Azure.
Fai clic su Crea una risorsa.
Cerca Logic App.
Fai clic su Crea per avviare il processo di creazione.
Specifica i valori per i seguenti parametri di input:
- Abbonamento: seleziona l'abbonamento.
- Gruppo di risorse: seleziona il gruppo di risorse.
- Nome: inserisci un nome per l'app per la logica (ad esempio, Sentinel-Alerts-to-SecOps).
- Regione: seleziona la regione.
- Spazio di lavoro Log Analytics: seleziona lo spazio di lavoro Log Analytics.
Fai clic su Review + create (Rivedi e crea).
Fai clic su Crea.
Dopo aver creato l'app per la logica, fai clic su Vai alla risorsa.

Configura Logic App Designer per gli avvisi

Fai clic su Strumenti di sviluppo > Logic App Designer.
Fai clic su Aggiungi un attivatore.
Cerca Microsoft Sentinel.
Seleziona Avviso di Microsoft Sentinel come trigger.
Se non hai ancora creato una connessione a Microsoft Sentinel, devi farlo ora.
Fai clic su Crea nuovo e segui le istruzioni per l'autenticazione:
- Seleziona Accedi con l'identità gestita (opzione consigliata) o Accedi per utilizzare le tue credenziali.
Fai clic su Inserisci un nuovo passaggio.
Fai clic su Aggiungi un'azione.
Cerca e seleziona HTTP come azione.
Specifica i valori per i seguenti parametri di input:
- URI: incolla l'URL dell'endpoint del feed dal feed Google SecOps.
- Metodo: seleziona POST.
- Intestazioni: aggiungi le seguenti intestazioni:
  - Nome intestazione: X-goog-api-key
  - Valore: incolla la chiave API creata in precedenza.
  - Nome intestazione: X-Webhook-Access-Key
  - Valore: incolla la chiave segreta dalla creazione del feed.
Fai clic sul campo Corpo.
Fai clic sulla scheda Espressione nel riquadro dei contenuti dinamici.
Inserisci @{triggerBody()} nel campo dell'espressione e fai clic su Ok.

Nota :l'espressione @{triggerBody()} invia il JSON di avviso completo a Google SecOps. Questo parametro è obbligatorio. Senza di esso, il webhook riceve richieste vuote e non vengono inseriti dati.
Fai clic su Salva per salvare l'app per la logica.

Concedere le autorizzazioni a Microsoft Sentinel per eseguire l'app per la logica degli avvisi

Per l'app per la logica degli avvisi sono necessarie due assegnazioni di autorizzazioni separate, identiche alla configurazione dell'app per la logica degli incident.

Autorizzazione 1: concedi all'identità gestita dell'app logica l'accesso allo spazio di lavoro Sentinel

L'identità gestita dell'app logica degli avvisi deve disporre dell'autorizzazione per leggere gli avvisi dallo spazio di lavoro Microsoft Sentinel.

Abilita l'identità gestita per l'app per la logica degli avvisi

Nel portale di Azure, vai alla risorsa dell'app per la logica degli avvisi (Sentinel-Alerts-to-SecOps).
Nel menu di navigazione a sinistra, seleziona Identità in Impostazioni.
Nella scheda Assegnato dal sistema, imposta Stato su On.
Fai clic su Salva.
Fai clic su Yes (Sì) per confermare.
Dopo l'attivazione, prendi nota dell'ID oggetto (entità) visualizzato.

Concedi il ruolo di risponditore di Microsoft Sentinel all'app per la logica degli avvisi

Nel portale Azure, vai al tuo spazio di lavoro Microsoft Sentinel.
Nel menu di navigazione a sinistra, seleziona Controllo dell'accesso (IAM) in Impostazioni.
Fai clic su + Aggiungi > Aggiungi assegnazione ruolo.
Nella scheda Ruolo, cerca e seleziona Microsoft Sentinel Responder:
- Alternativa: se il playbook legge solo gli avvisi, utilizza il ruolo Lettore Microsoft Sentinel.
Fai clic su Avanti.
Nella scheda Membri, configura quanto segue:
1. Assegna accesso a: seleziona Identità gestita.
2. Fai clic su + Seleziona membri.
3. Nell'elenco Identità gestita, seleziona Logic App.
4. Seleziona l'app per la logica degli avvisi (Sentinel-Alerts-to-SecOps) dall'elenco.
Fai clic su Seleziona.
Fai clic su Rivedi e assegna.
Fai di nuovo clic su Rivedi e assegna per confermare.

Autorizzazione 2: concedi le autorizzazioni di automazione di Microsoft Sentinel al gruppo di risorse per gli avvisi

Microsoft Sentinel richiede il ruolo Collaboratore automazione Microsoft Sentinel nel gruppo di risorse contenente l'app per la logica degli avvisi.

Concedere le autorizzazioni di automazione tramite l'interfaccia utente di Sentinel

Nel portale Azure, vai al tuo spazio di lavoro Microsoft Sentinel.
Vai a Impostazioni > Automazione.
Fai clic su Gestisci autorizzazioni playbook nella parte superiore della pagina.
Nel riquadro Gestisci autorizzazioni, configura quanto segue:
1. Seleziona il gruppo di risorse contenente l'app per la logica degli avvisi (Sentinel-Alerts-to-SecOps).
  - Se si tratta dello stesso gruppo di risorse dell'app per la logica degli incidenti, potrebbe essere già selezionato.
Fai clic su Applica.

Nota: se il gruppo di risorse è già stato configurato per l'app per la logica degli incidenti, questo passaggio concede le stesse autorizzazioni per l'app per la logica degli avvisi.

(Facoltativo) Verifica delle autorizzazioni di automazione per l'app logica degli avvisi

Nel portale Azure, vai al gruppo di risorse contenente l'app per la logica degli avvisi.
Nel menu di navigazione a sinistra, seleziona Controllo dell'accesso (IAM).
Fai clic su Assegnazioni dei ruoli.
Cerca Azure Security Insights.
Verifica che Azure Security Insights disponga del ruolo Collaboratore dell'automazione di Microsoft Sentinel.

Configurare le regole di automazione per Microsoft Sentinel

Le regole di Automation attivano Logic Apps quando vengono creati o aggiornati incidenti in Microsoft Sentinel.

Crea una regola di automazione per la creazione di incidenti

Vai al tuo spazio di lavoro Microsoft Sentinel.
Fai clic su Configurazione > Automazione.
Fai clic su Crea.
Seleziona Regola di automazione.
Specifica i valori per i seguenti parametri di input:
- Nome: inserisci un nome per la regola di automazione (ad esempio, Send New Incidents to SecOps).
- Trigger: seleziona Quando viene creato l'incidente.
- Azioni: seleziona Esegui playbook dall'elenco.
- Seleziona l'app per la logica creata per gli incidenti (Sentinel-Incidents-to-SecOps).
Fai clic su Applica.

Crea una regola di automazione per gli aggiornamenti degli incidenti

Vai al tuo spazio di lavoro Microsoft Sentinel.
Fai clic su Configurazione > Automazione.
Fai clic su Crea.
Seleziona Regola di automazione.
Specifica i valori per i seguenti parametri di input:
- Nome: inserisci un nome per la regola di automazione (ad esempio, Send Updated Incidents to SecOps).
- Trigger: seleziona Quando l'incidente viene aggiornato.
- Condizione: fai clic su Aggiungi > Condizione (e) > Stato > Modificato.
Nella sezione Azioni, configura quanto segue:
1. Seleziona Esegui playbook dall'elenco.
2. Seleziona l'app per la logica creata per gli incidenti (Sentinel-Incidents-to-SecOps).
Fai clic su Applica.

Creare una regola di automazione per gli avvisi

Vai al tuo spazio di lavoro Microsoft Sentinel.
Fai clic su Configurazione > Automazione.
Fai clic su Crea.
Seleziona Regola di automazione.
Specifica i valori per i seguenti parametri di input:
- Nome: inserisci un nome per la regola di automazione (ad esempio, Send Alerts to SecOps).
- Attivatore: seleziona Quando viene creato l'avviso.
- Azioni: seleziona Esegui playbook dall'elenco.
- Seleziona l'app per la logica creata per gli avvisi (Sentinel-Alerts-to-SecOps).
Fai clic su Applica.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.