收集 Microsoft Sentinel 記錄

支援的國家/地區:

本文說明如何設定 Microsoft Sentinel,透過 Logic Apps 和 Webhook 將事件和快訊傳送至 Google Security Operations。

Microsoft Sentinel 是雲端原生安全資訊與事件管理 (SIEM) 解決方案,也是安全調度管理、自動化和應變 (SOAR) 解決方案。在整個企業中提供智慧型安全分析和威脅情報。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • 具備下列權限的 Microsoft Azure 入口網站特殊存取權:
    • 建立 Logic Apps
    • 設定 Microsoft Sentinel 自動化規則
    • 管理資源群組權限
    • 建立及管理服務主體
  • 存取 Google Cloud 控制台 (用於建立 API 金鑰)

在 Google SecOps 中建立 Webhook 動態饋給

建立動態饋給

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Microsoft Sentinel Incidents)。
  5. 選取「Webhook」做為「來源類型」
  6. 選取「Microsoft Sentinel」做為「記錄類型」
  7. 點選「下一步」
  8. 指定下列輸入參數的值:
    • 分隔符 (選填):留空 (每起事件或快訊都是單一事件)。
    • 資產命名空間資產命名空間
    • 擷取標籤:要套用至這個動態饋給事件的標籤。
  9. 點選「下一步」
  10. 在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)

產生並儲存密鑰

建立動態饋給後,您必須產生驗證用的密鑰:

  1. 在動態消息詳細資料頁面中,按一下「產生密鑰」
  2. 對話方塊會顯示密鑰。

  3. 複製並妥善儲存密鑰。

取得動態饋給端點網址

  1. 前往動態消息的「詳細資料」分頁。
  2. 在「端點資訊」部分,複製「動態消息端點網址」

  3. 網址格式為:

    https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate


    https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

  4. 請儲存這個網址,以供後續步驟使用。

  5. 按一下 [完成]

建立 Google Cloud API 金鑰

Google SecOps 需要 API 金鑰才能進行驗證。在 Google Cloud 控制台中建立受限制的 API 金鑰。

建立 API 金鑰

  1. 前往Google Cloud 控制台的「憑證」頁面
  2. 選取專案 (與 Google SecOps 執行個體相關聯的專案)。
  3. 依序按一下「建立憑證」>「API 金鑰」
  4. 系統會建立 API 金鑰,並在對話方塊中顯示。
  5. 按一下「編輯 API 金鑰」即可限制金鑰。

限制 API 金鑰

  1. 在「API 金鑰」設定頁面中:
    • 名稱:輸入描述性名稱 (例如 Google SecOps Webhook API Key)。
  2. 在「API 限制」下方:
    • 選取「Restrict key」(限制金鑰)
    • 在「選取 API」清單中,搜尋並選取「Google SecOps API」 (或「Chronicle API」)。
  3. 按一下 [儲存]
  4. 從頁面頂端的「API key」(API 金鑰) 欄位複製 API 金鑰值

  5. 安全儲存 API 金鑰。

設定 Microsoft Sentinel 事件的 Logic App

本節將設定 Logic App,將 Microsoft Sentinel 事件傳送至 Google SecOps。

建立 Logic App

  1. 登入 Azure 入口網站
  2. 按一下「建立資源」
  3. 搜尋「Logic App」
  4. 按一下「建立」即可開始建立程序。
  5. 指定下列輸入參數的值:
    • 「訂閱」:選取訂閱方案。
    • 資源群組:選取資源群組。
    • 名稱:輸入 Logic App 的名稱 (例如 Sentinel-Incidents-to-SecOps)。
    • 區域:選取區域。
    • 記錄檔分析工作區:選取記錄檔分析工作區。
  6. 按一下「Review + create」
  7. 點選「建立」
  8. 建立 Logic App 後,按一下「Go to resource」

設定 Logic Apps 設計工具

  1. 依序點選「開發工具」>「邏輯應用程式設計工具」
  2. 按一下「新增觸發條件」
  3. 搜尋「Microsoft Sentinel」
  4. 選取「Microsoft Sentinel 事件」做為觸發條件。
  5. 如果尚未建立與 Microsoft Sentinel 的連線,請立即建立。
  6. 按一下「建立新項目」,然後按照提示進行驗證:
    • 選取「使用受管理的身分登入」(建議) 或「登入」,即可使用您的憑證。
  7. 按一下「插入新步驟」
  8. 按一下「新增動作」
  9. 搜尋並選取「HTTP」HTTP做為動作。
  10. 指定下列輸入參數的值:
    • URI:貼上 Google SecOps 動態饋給的動態饋給端點網址。
    • 方法:選取「POST」
    • 標頭:新增下列標頭:
      • 標頭名稱X-goog-api-key
      • :貼上先前建立的 API 金鑰。
      • 標頭名稱X-Webhook-Access-Key
      • :貼上動態饋給建立作業中的密鑰。
  11. 按一下「Body」欄位。
  12. 在動態內容面板中,按一下「運算式」分頁。

  13. 在運算式欄位中輸入 @{triggerBody()},然後按一下「確定」

  14. 按一下「儲存」,儲存邏輯應用程式。

授予 Microsoft Sentinel 權限來執行 Logic App

如要讓自動化規則成功觸發 Logic App,必須分別指派兩種權限。

權限 1:授予 Logic App 受管理的身分存取權給 Sentinel 工作區

邏輯應用程式的受管理身分必須具備從 Microsoft Sentinel 工作區讀取事件的權限。

為 Logic App 啟用受控識別資訊

  1. Azure 入口網站中,前往 Logic App 資源 (Sentinel-Incidents-to-SecOps)。
  2. 在左側導覽選單中,選取「設定」下方的「身分」
  3. 在「系統指派」分頁中,將「狀態」設為「開啟」
  4. 按一下 [儲存]
  5. 按一下 [Yes] (是) 加以確認。
  6. 啟用後,請記下顯示的物件 (主體) ID

將 Microsoft Sentinel 回應者角色授予 Logic App

  1. Azure 入口網站中,前往 Microsoft Sentinel 工作區
  2. 在左側導覽面板中,選取「設定」下方的「存取權控制 (IAM)」
  3. 依序點選「+ 新增」>「新增角色指派」。
  4. 在「角色」分頁中,搜尋並選取「Microsoft Sentinel Responder」
    • 替代方案:如果劇本只會讀取事件,請使用 Microsoft Sentinel 讀者角色。
  5. 點選「下一步」
  6. 在「成員」分頁中,設定下列項目:
    1. 「指派存取權給」:選取「受管理的身分」
    2. 按一下「+ 選取成員」
    3. 在「受管理識別項」清單中,選取「Logic App」
    4. 從清單中選取 Logic App (Sentinel-Incidents-to-SecOps)。
  7. 按一下「選取」
  8. 按一下「Review + assign」
  9. 再次點選「審查並指派」確認。

權限 2:在資源群組中授予 Microsoft Sentinel 自動化權限

Microsoft Sentinel 需要資源群組的 Microsoft Sentinel Automation Contributor 角色 (內含 Logic App)。如果沒有這項權限,自動化規則就無法觸發劇本。

透過 Sentinel UI 授予自動化權限

  1. Azure 入口網站中,前往 Microsoft Sentinel 工作區
  2. 依序前往「設定」>「自動化」
  3. 按一下頁面頂端的「管理 Playbook 權限」
  4. 在「管理權限」窗格中,設定下列項目:
    1. 選取包含 Logic App 的資源群組 (Sentinel-Incidents-to-SecOps)。

  5. 按一下「套用」

驗證自動化權限 (選用)

  1. Azure 入口網站中,前往包含 Logic App 的資源群組
  2. 在左側導覽面板中,選取「存取權控管 (IAM)」
  3. 按一下「角色指派」
  4. 搜尋「Azure Security Insights」

  5. 確認 Azure Security Insights 具有 Microsoft Sentinel Automation Contributor 角色。

  6. 前往包含 Logic App 的資源群組

  7. 依序選取「存取權控管 (IAM)」>「新增角色指派」

  8. 選取「Microsoft Sentinel Automation Contributor」角色。

  9. 在「成員」中,選取「使用者、群組或服務主體」

  10. 按一下「+ 選取成員」,然後搜尋「Azure Security Insights」

  11. 選取「Azure Security Insights」,然後按一下「選取」

  12. 按兩下「檢閱 + 指派」確認操作。

設定 Microsoft Sentinel 警報的 Logic App

這個區段會設定個別的 Logic App,將 Microsoft Sentinel 快訊傳送至 Google SecOps。

建立快訊的 Logic App

  1. 前往 Azure 入口網站首頁
  2. 按一下「建立資源」
  3. 搜尋「Logic App」
  4. 按一下「建立」即可開始建立程序。
  5. 指定下列輸入參數的值:
    • 「訂閱」:選取訂閱方案。
    • 資源群組:選取資源群組。
    • 名稱:輸入 Logic App 的名稱 (例如 Sentinel-Alerts-to-SecOps)。
    • 區域:選取區域。
    • 記錄檔分析工作區:選取記錄檔分析工作區。
  6. 按一下「Review + create」
  7. 點選「建立」
  8. 建立 Logic App 後,按一下「Go to resource」

設定警報適用的 Logic App 設計工具

  1. 依序點選「開發工具」>「邏輯應用程式設計工具」
  2. 按一下「新增觸發條件」
  3. 搜尋「Microsoft Sentinel」
  4. 選取「Microsoft Sentinel 快訊」做為觸發條件。
  5. 如果尚未建立與 Microsoft Sentinel 的連線,請立即建立。
  6. 按一下「建立新項目」,然後按照提示進行驗證:
    • 選取「使用受管理的身分登入」(建議) 或「登入」,即可使用您的憑證。
  7. 按一下「插入新步驟」
  8. 按一下「新增動作」
  9. 搜尋並選取「HTTP」HTTP做為動作。
  10. 指定下列輸入參數的值:
    • URI:貼上 Google SecOps 動態饋給的動態饋給端點網址。
    • 方法:選取「POST」
    • 標頭:新增下列標頭:
      • 標頭名稱X-goog-api-key
      • :貼上先前建立的 API 金鑰。
      • 標頭名稱X-Webhook-Access-Key
      • :貼上動態饋給建立作業中的密鑰。
  11. 按一下「Body」欄位。
  12. 在動態內容面板中,按一下「運算式」分頁。

  13. 在運算式欄位中輸入 @{triggerBody()},然後按一下「確定」

  14. 按一下「儲存」,儲存邏輯應用程式。

授予 Microsoft Sentinel 權限,以執行快訊 Logic App

警報 Logic App 需要兩項不同的權限指派,與事件 Logic App 設定相同。

權限 1:授予警報邏輯應用程式受管理的身分,存取 Sentinel 工作區的權限

警報 Logic App 的受管理身分需要有權從 Microsoft Sentinel 工作區讀取警報。

為警報 Logic App 啟用受管理的身分

  1. Azure 入口網站中,前往警報 Logic App 資源 (Sentinel-Alerts-to-SecOps)。
  2. 在左側導覽選單中,選取「設定」下方的「身分」
  3. 在「系統指派」分頁中,將「狀態」設為「開啟」
  4. 按一下 [儲存]
  5. 按一下 [Yes] (是) 加以確認。
  6. 啟用後,請記下顯示的物件 (主體) ID

將 Microsoft Sentinel 回應者角色授予警報 Logic App

  1. Azure 入口網站中,前往 Microsoft Sentinel 工作區
  2. 在左側導覽面板中,選取「設定」下方的「存取權控制 (IAM)」
  3. 依序點選「+ 新增」>「新增角色指派」。
  4. 在「角色」分頁中,搜尋並選取「Microsoft Sentinel Responder」
    • 替代做法:如果劇本只會讀取快訊,請使用 Microsoft Sentinel Reader 角色。
  5. 點選「下一步」
  6. 在「成員」分頁中,設定下列項目:
    1. 「指派存取權給」:選取「受管理的身分」
    2. 按一下「+ 選取成員」
    3. 在「受管理識別項」清單中,選取「Logic App」
    4. 從清單中選取警報 Logic App (Sentinel-Alerts-to-SecOps)。
  7. 按一下「選取」
  8. 按一下「Review + assign」
  9. 再次點選「審查並指派」確認。

權限 2:授予資源群組的 Microsoft Sentinel 自動化權限 (適用於快訊)

Microsoft Sentinel 需要資源群組中警示 Logic App 的「Microsoft Sentinel Automation Contributor」角色。

透過 Sentinel UI 授予自動化權限

  1. Azure 入口網站中,前往 Microsoft Sentinel 工作區
  2. 依序前往「設定」>「自動化」
  3. 按一下頁面頂端的「管理 Playbook 權限」
  4. 在「管理權限」窗格中,設定下列項目:
    1. 選取包含快訊 Logic App 的資源群組 (Sentinel-Alerts-to-SecOps)。
      • 如果這個資源群組與事件的 Logic App 相同,系統可能已選取該群組。

  5. 按一下「套用」

驗證警報 Logic App 的自動化權限 (選用)

  1. Azure 入口網站中,前往包含警報 Logic App 的資源群組
  2. 在左側導覽面板中,選取「存取權控管 (IAM)」
  3. 按一下「角色指派」
  4. 搜尋「Azure Security Insights」
  5. 確認 Azure Security Insights 具有 Microsoft Sentinel Automation Contributor 角色。

設定 Microsoft Sentinel 的自動化規則

當 Microsoft Sentinel 中建立或更新事件時,自動化規則會觸發 Logic Apps。

建立事件建立自動化規則

  1. 前往 Microsoft Sentinel Workspace
  2. 依序點選「設定」>「自動化」
  3. 點選「建立」
  4. 選取「自動化規則」
  5. 指定下列輸入參數的值:
    • 名稱:輸入自動化規則的名稱 (例如 Send New Incidents to SecOps)。
    • 觸發條件:選取「When incident is created」(建立事件時)
    • 動作:從清單中選取「執行劇本」
    • 選取為事件建立的 Logic App (Sentinel-Incidents-to-SecOps)。
  6. 按一下「套用」

建立事件更新的自動化規則

  1. 前往 Microsoft Sentinel Workspace
  2. 依序點選「設定」>「自動化」
  3. 點選「建立」
  4. 選取「自動化規則」
  5. 指定下列輸入參數的值:
    • 名稱:輸入自動化規則的名稱 (例如 Send Updated Incidents to SecOps)。
    • 觸發條件:選取「事件更新時」
    • 條件:依序點選「新增」>「條件 (AND)」>「狀態」>「已變更」
  6. 在「動作」部分,設定下列項目:
    1. 從清單中選取「執行劇本」
    2. 選取為事件建立的 Logic App (Sentinel-Incidents-to-SecOps)。
  7. 按一下「套用」

為快訊建立自動化規則

  1. 前往 Microsoft Sentinel Workspace
  2. 依序點選「設定」>「自動化」
  3. 點選「建立」
  4. 選取「自動化規則」
  5. 指定下列輸入參數的值:
    • 名稱:輸入自動化規則的名稱 (例如 Send Alerts to SecOps)。
    • 觸發條件:選取「建立快訊時」
    • 動作:從清單中選取「執行劇本」
    • 選取為快訊建立的 Logic App (Sentinel-Alerts-to-SecOps)。
  6. 按一下「套用」

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。