收集 Microsoft Sentinel 日志

支持的平台:

本文档介绍了如何使用 Logic Apps 和 Webhook 配置 Microsoft Sentinel,以将事件和提醒发送到 Google Security Operations。

Microsoft Sentinel 是一种云原生安全信息和事件管理 (SIEM) 以及安全编排、自动化和响应 (SOAR) 解决方案。它可在整个企业范围内提供智能安全分析和威胁情报。

准备工作

确保您满足以下前提条件:

  • Google SecOps 实例
  • Microsoft Azure 门户拥有特权访问权限,并具有以下权限:
    • 创建逻辑应用
    • 配置 Microsoft Sentinel 自动化规则
    • 管理资源组权限
    • 创建和管理服务正文
  • 访问 Google Cloud 控制台(用于创建 API 密钥)

在 Google SecOps 中创建 Webhook Feed

创建 Feed

  1. 依次前往 SIEM 设置 > Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称(例如 Microsoft Sentinel Incidents)。
  5. 选择 Webhook 作为来源类型
  6. 选择 Microsoft Sentinel 作为日志类型
  7. 点击下一步
  8. 为以下输入参数指定值:
    • 拆分分隔符(可选):留空(每个突发事件或提醒都是一个单独的事件)。
    • 资产命名空间资产命名空间
    • 注入标签:要应用于此 Feed 中事件的标签。
  9. 点击下一步
  10. 最终确定界面中查看新的 Feed 配置,然后点击提交

生成并保存密钥

创建 Feed 后,您必须生成用于身份验证的密钥:

  1. 在 Feed 详情页面上,点击生成密钥
  2. 系统会显示一个包含密钥的对话框。

  3. 复制并妥善保存密钥。

获取 Feed 端点网址

  1. 前往 Feed 的详细信息标签页。
  2. 端点信息部分,复制 Feed 端点网址

  3. 网址格式为:

    https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate


    https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

  4. 保存此网址以供后续步骤使用。

  5. 点击完成

创建 Google Cloud API 密钥

Google SecOps 需要使用 API 密钥进行身份验证。在 Google Cloud 控制台中创建受限 API 密钥。

创建 API 密钥

  1. 前往 Google Cloud 控制台的“凭据”页面
  2. 选择您的项目(与您的 Google SecOps 实例关联的项目)。
  3. 依次点击创建凭据> API 密钥
  4. 系统会创建一个 API 密钥,并在对话框中显示该密钥。
  5. 点击修改 API 密钥以限制密钥。

限制 API 密钥

  1. API 密钥设置页面中:
    • 名称:输入一个描述性名称(例如 Google SecOps Webhook API Key)。
  2. API 限制下:
    • 选择限制密钥
    • 选择 API 列表中,搜索并选择 Google SecOps API(或 Chronicle API)。
  3. 点击保存
  4. 从页面顶部的 API 密钥字段复制 API 密钥值。

  5. 安全地保存 API 密钥。

为 Microsoft Sentinel 事件配置逻辑应用

此部分配置了一个逻辑应用,用于将 Microsoft Sentinel 事件发送到 Google SecOps。

创建逻辑应用

  1. 登录 Azure 门户
  2. 点击创建资源
  3. 搜索 Logic App
  4. 点击创建以开始创建流程。
  5. 为以下输入参数指定值:
    • 订阅:选择相应订阅。
    • 资源组:选择资源组。
    • 名称:输入逻辑应用的名称(例如 Sentinel-Incidents-to-SecOps)。
    • 地区:选择区域。
    • Log Analytics 工作区:选择 Log Analytics 工作区。
  6. 点击 Review + create(检查 + 创建)。
  7. 点击创建
  8. 创建逻辑应用后,点击前往资源

配置逻辑应用设计器

  1. 依次点击开发工具 > 逻辑应用设计器
  2. 点击添加触发器
  3. 搜索 Microsoft Sentinel
  4. 选择 Microsoft Sentinel 事件作为触发器。
  5. 如果您尚未创建与 Microsoft Sentinel 的连接,则需要立即创建。
  6. 点击创建新账号,然后按照提示进行身份验证:
    • 选择使用受管理的身份登录(推荐)或登录以使用您的凭据。
  7. 点击插入新步骤
  8. 点击添加操作
  9. 搜索并选择 HTTP 作为操作。
  10. 为以下输入参数指定值:
    • URI:粘贴 Google SecOps Feed 中的 Feed 端点网址。
    • 方法:选择 POST
    • 标头:添加以下标头:
      • 标头名称X-goog-api-key
      • :粘贴之前创建的 API 密钥。
      • 标头名称X-Webhook-Access-Key
      • :粘贴在创建 Feed 时生成的密钥。
  11. 点击正文字段。
  12. 点击动态内容面板中的表达式标签页。

  13. 在表达式字段中输入 @{triggerBody()},然后点击确定

  14. 点击保存以保存逻辑应用。

授予 Microsoft Sentinel 运行逻辑应用的权限

需要分别分配两项权限,自动化规则才能成功触发 Logic App。

权限 1:授予逻辑应用托管标识对 Sentinel 工作区的访问权限

逻辑应用的受管身份需要获得从 Microsoft Sentinel 工作区读取事件的权限。

为逻辑应用启用托管式身份

  1. Azure 门户中,前往您的逻辑应用资源 (Sentinel-Incidents-to-SecOps)。
  2. 在左侧导航栏中,选择设置下的身份
  3. 系统分配标签页中,将状态设置为开启
  4. 点击保存
  5. 点击进行确认。
  6. 启用后,记下显示的对象(正文)ID。

向逻辑应用授予 Microsoft Sentinel Responder 角色

  1. Azure 门户中,前往 Microsoft Sentinel 工作区
  2. 在左侧导航栏中,选择设置下的访问权限控制 (IAM)
  3. 依次点击 + 添加 > 添加角色分配
  4. 角色标签页中,搜索并选择 Microsoft Sentinel Responder
    • 替代方案:如果剧本仅读取事件,请使用 Microsoft Sentinel 读取者角色。
  5. 点击下一步
  6. 成员标签页中,配置以下内容:
    1. 分配访问权限:选择托管式身份
    2. 点击 + 选择成员
    3. 托管式身份列表中,选择 Logic App
    4. 从列表中选择您的逻辑应用 (Sentinel-Incidents-to-SecOps)。
  7. 点击选择
  8. 点击检查并分配
  9. 再次点击审核并分配进行确认。

权限 2:授予资源组的 Microsoft Sentinel 自动化权限

Microsoft Sentinel 需要在包含逻辑应用的资源组上具有 Microsoft Sentinel Automation Contributor 角色。如果没有此权限,自动化规则将无法触发剧本。

通过 Sentinel 界面授予自动化权限

  1. Azure 门户中,前往 Microsoft Sentinel 工作区
  2. 前往设置 > 自动化
  3. 点击页面顶部的管理 playbook 权限
  4. 管理权限窗格中,配置以下内容:
    1. 选择包含您的逻辑应用 (Sentinel-Incidents-to-SecOps) 的资源组

  5. 点击应用

验证自动化权限(可选)

  1. Azure 门户中,前往包含逻辑应用的资源组
  2. 在左侧导航栏中,选择访问权限控制 (IAM)
  3. 点击角色分配
  4. 搜索 Azure Security Insights

  5. 验证 Azure 安全洞察是否具有 Microsoft Sentinel 自动化参与者角色。

  6. 前往包含逻辑应用的资源组

  7. 依次选择 Access control (IAM) > Add role assignment

  8. 选择 Microsoft Sentinel Automation Contributor 角色。

  9. 成员中,选择用户、群组或服务主账号

  10. 点击 + 选择成员,然后搜索 Azure Security Insights

  11. 选择 Azure Security Insights,然后点击选择

  12. 点击审核并分配两次以进行确认。

为 Microsoft Sentinel 提醒配置逻辑应用

此部分配置了一个单独的逻辑应用,用于将 Microsoft Sentinel 提醒发送到 Google SecOps。

为提醒创建逻辑应用

  1. 前往 Azure 门户首页
  2. 点击创建资源
  3. 搜索 Logic App
  4. 点击创建以开始创建流程。
  5. 为以下输入参数指定值:
    • 订阅:选择相应订阅。
    • 资源组:选择资源组。
    • 名称:输入逻辑应用的名称(例如 Sentinel-Alerts-to-SecOps)。
    • 地区:选择区域。
    • Log Analytics 工作区:选择 Log Analytics 工作区。
  6. 点击 Review + create(检查 + 创建)。
  7. 点击创建
  8. 创建逻辑应用后,点击前往资源

为提醒配置逻辑应用设计器

  1. 依次点击开发工具 > 逻辑应用设计器
  2. 点击添加触发器
  3. 搜索 Microsoft Sentinel
  4. 选择 Microsoft Sentinel 提醒作为触发器。
  5. 如果您尚未创建与 Microsoft Sentinel 的连接,则需要立即创建。
  6. 点击创建新账号,然后按照提示进行身份验证:
    • 选择使用受管理的身份登录(推荐)或登录以使用您的凭据。
  7. 点击插入新步骤
  8. 点击添加操作
  9. 搜索并选择 HTTP 作为操作。
  10. 为以下输入参数指定值:
    • URI:粘贴 Google SecOps Feed 中的 Feed 端点网址。
    • 方法:选择 POST
    • 标头:添加以下标头:
      • 标头名称X-goog-api-key
      • :粘贴之前创建的 API 密钥。
      • 标头名称X-Webhook-Access-Key
      • :粘贴在创建 Feed 时生成的密钥。
  11. 点击正文字段。
  12. 点击动态内容面板中的表达式标签页。

  13. 在表达式字段中输入 @{triggerBody()},然后点击确定

  14. 点击保存以保存逻辑应用。

授予 Microsoft Sentinel 权限以运行警报逻辑应用

与事件逻辑应用配置类似,提醒逻辑应用需要两项单独的权限分配。

权限 1:向警报逻辑应用托管身份授予对 Sentinel 工作区的访问权限

提醒逻辑应用的托管身份需要获得从 Microsoft Sentinel 工作区读取提醒的权限。

为提醒逻辑应用启用托管身份

  1. Azure 门户中,前往您的提醒逻辑应用资源 (Sentinel-Alerts-to-SecOps)。
  2. 在左侧导航栏中,选择设置下的身份
  3. 系统分配标签页中,将状态设置为开启
  4. 点击保存
  5. 点击进行确认。
  6. 启用后,记下显示的对象(正文)ID。

向提醒逻辑应用授予 Microsoft Sentinel Responder 角色

  1. Azure 门户中,前往 Microsoft Sentinel 工作区
  2. 在左侧导航栏中,选择设置下的访问权限控制 (IAM)
  3. 依次点击 + 添加 > 添加角色分配
  4. 角色标签页中,搜索并选择 Microsoft Sentinel Responder
    • 替代方案:如果 playbook 仅读取提醒,请使用 Microsoft Sentinel Reader 角色。
  5. 点击下一步
  6. 成员标签页中,配置以下内容:
    1. 分配访问权限:选择托管式身份
    2. 点击 + 选择成员
    3. 托管式身份列表中,选择 Logic App
    4. 从列表中选择您的提醒逻辑应用 (Sentinel-Alerts-to-SecOps)。
  7. 点击选择
  8. 点击检查并分配
  9. 再次点击审核并分配进行确认。

权限 2:授予资源组的 Microsoft Sentinel 自动化权限,以便接收提醒

Microsoft Sentinel 需要在包含提醒逻辑应用的资源组上具有 Microsoft Sentinel Automation Contributor 角色。

通过 Sentinel 界面授予自动化权限

  1. Azure 门户中,前往 Microsoft Sentinel 工作区
  2. 前往设置 > 自动化
  3. 点击页面顶部的管理 playbook 权限
  4. 管理权限窗格中,配置以下内容:
    1. 选择包含提醒逻辑应用的资源组 (Sentinel-Alerts-to-SecOps)。
      • 如果此资源组与事件逻辑应用是同一资源组,则可能已选中。

  5. 点击应用

验证警报逻辑应用的自动化权限(可选)

  1. Azure 门户中,前往包含提醒逻辑应用的资源组
  2. 在左侧导航栏中,选择访问权限控制 (IAM)
  3. 点击角色分配
  4. 搜索 Azure Security Insights
  5. 验证 Azure 安全洞察是否具有 Microsoft Sentinel 自动化参与者角色。

为 Microsoft Sentinel 配置自动化规则

当 Microsoft Sentinel 中创建或更新了突发事件时,Automation 规则会触发逻辑应用。

为突发事件创建创建自动化规则

  1. 前往 Microsoft Sentinel 工作区
  2. 依次点击配置 > 自动化
  3. 点击创建
  4. 选择自动化规则
  5. 为以下输入参数指定值:
    • 名称:输入自动化规则的名称(例如 Send New Incidents to SecOps)。
    • 触发条件:选择当创建突发事件时
    • 操作:从列表中选择运行剧本
    • 选择为突发事件创建的逻辑应用 (Sentinel-Incidents-to-SecOps)。
  6. 点击应用

为突发事件更新创建自动化规则

  1. 前往 Microsoft Sentinel 工作区
  2. 依次点击配置 > 自动化
  3. 点击创建
  4. 选择自动化规则
  5. 为以下输入参数指定值:
    • 名称:输入自动化规则的名称(例如 Send Updated Incidents to SecOps)。
    • 触发条件:选择当突发事件更新时
    • 条件:依次点击添加 > 条件(与)> 状态 > 已更改
  6. 操作部分中,配置以下内容:
    1. 从列表中选择运行剧本
    2. 选择为突发事件创建的逻辑应用 (Sentinel-Incidents-to-SecOps)。
  7. 点击应用

为提醒创建自动化规则

  1. 前往 Microsoft Sentinel 工作区
  2. 依次点击配置 > 自动化
  3. 点击创建
  4. 选择自动化规则
  5. 为以下输入参数指定值:
    • 名称:输入自动化规则的名称(例如 Send Alerts to SecOps)。
    • 触发条件:选择创建提醒时
    • 操作:从列表中选择运行剧本
    • 选择为提醒创建的逻辑应用 (Sentinel-Alerts-to-SecOps)。
  6. 点击应用

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。