Esta página se ha traducido con Cloud Translation API.

Recoger registros de dispositivos de Cloud Identity

Disponible en:

SecOps de Google SIEM

En esta guía se explica cómo exportar los registros de dispositivos de Cloud Identity a Google Security Operations mediante Cloud Storage. El analizador extrae campos de los registros JSON, transforma campos específicos, como deviceType y las fechas, y los asigna al UDM, lo que crea un asset_entity que representa el dispositivo y lo enriquece con información de hardware y metadatos.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Google Cloud Identity está habilitado en tu Google Cloud proyecto.
Instancia de Google SecOps.
Acceso privilegiado a Google Cloud Identity y Cloud Logging.

Crea un segmento de Cloud Storage

Inicia sesión en la consolaGoogle Cloud .
Ve a la página Segmentos de Cloud Storage.

Ir a Contenedores
Haz clic en Crear.
En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:
1. En la sección Empezar, haz lo siguiente:
  1. Introduce un nombre único que cumpla los requisitos de nombres de segmentos. Por ejemplo, gcp-cloudidentity-devices-logs.
  2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este bucket.
    
    Nota: No puedes habilitar el espacio de nombres jerárquico en un bucket que ya tengas.
  3. Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.
  4. Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.
2. En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:
  1. Selecciona un Tipo de ubicación.
  2. Usa el menú de tipo de ubicación para seleccionar una Ubicación donde se almacenarán de forma permanente los datos de los objetos de tu segmento.
    
    Nota: Si selecciona el tipo de ubicación de dos regiones, también puede habilitar la replicación turbo marcando la casilla correspondiente.
  3. Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.
3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.
4. En la sección Elige cómo controlar el acceso a los objetos, desmarca Impedir el acceso público y selecciona un modelo de control de acceso para los objetos del segmento.
  
  Nota: Si la política de organización de tu proyecto ya aplica la medida para impedir el acceso público, la casilla Aplicar la medida para impedir el acceso público a este segmento estará bloqueada.
5. En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:
  1. Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
  2. Para elegir cómo se cifrarán los datos de los objetos, haga clic en la flecha del desplegable Cifrado de datos y seleccione un método de cifrado de datos.
Haz clic en Crear.

Configurar la exportación de registros de dispositivos de Cloud Identity

Inicia sesión en la consolaGoogle Cloud .
Ve a Logging > Log Router.
Haz clic en Crear sumidero.
Proporcione los siguientes parámetros de configuración:
- Nombre del sumidero: introduce un nombre descriptivo; por ejemplo, cloud-identity-devices-logs-sink.
- Destino del receptor: selecciona Cloud Storage e introduce el URI de tu segmento. Por ejemplo, gs://gcp-cloudidentity-devices-logs/.
- Filtro de registro:
```
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_device"
```
- Definir opciones de exportación: incluye todas las entradas de registro.
Haz clic en Crear.

Configurar permisos de Cloud Storage

Ve a IAM y administración > IAM.
Busca la cuenta de servicio Cloud Logging.
Concede el rol roles/storage.admin en el segmento.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

Configuración de SIEM > Feeds > Añadir nuevo feed
Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed Google Cloud Identity Devices

Haz clic en el paquete Plataforma de computación de Google Cloud.
Busca el tipo de registro Google Cloud Dispositivos de identidad y haz clic en Añadir nuevo feed.
Especifique los valores de los siguientes campos:
- Tipo de fuente: API de terceros
- Endpoint de JWT de OAuth: endpoint para obtener el JSON Web Token (JWT) de OAuth.
- Emisor de las reclamaciones de JWT: suele ser el ID de cliente.
- Asunto de las reclamaciones de JWT: suele ser una dirección de correo electrónico.
- Audiencia de las reclamaciones de JWT: audiencia de las reclamaciones de JWT.
- Clave privada RSA: introdúcela en formato PEM.

Opciones avanzadas

Nombre del feed: un valor rellenado automáticamente que identifica el feed.
Espacio de nombres del recurso: espacio de nombres asociado al feed.
Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.

Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`createTime`	`entity.metadata.creation_timestamp`	El valor de `createTime` se analiza como una marca de tiempo y se asigna.
`deviceId`	`entity.entity.asset.asset_id`	Asignación directa.
`deviceType`	`entity.entity.asset.platform_software.platform`	Se asigna a `MAC` si el valor original es `MAC_OS` o `IOS`. Se asigna a `WINDOWS`, `MAC` o `LINUX` si el valor original coincide. De lo contrario, asigna el valor `UNKNOWN_PLATFORM`.
`encryptionState`	`entity.entity.asset.attribute.labels.key`	El valor se ha definido como `encryptionState`. Se usa como parte de una etiqueta.
`encryptionState`	`entity.entity.asset.attribute.labels.value`	Asignación directa. Se usa como parte de una etiqueta.
`lastSyncTime`	`entity.entity.asset.system_last_update_time`	El valor de `lastSyncTime` se analiza como una marca de tiempo y se asigna.
`managementState`	`entity.entity.asset.attribute.labels.key`	El valor se ha definido como `managementState`. Se usa como parte de una etiqueta.
`managementState`	`entity.entity.asset.attribute.labels.value`	Asignación directa. Se usa como parte de una etiqueta.
`model`	`entity.entity.asset.hardware.model`	Asignación directa.
`name`	`entity.entity.asset.product_object_id`	Se extrae y se asigna la parte que va después de `devices/`.
`name`	`entity.entity.resource.name`	Asignación directa.
`osVersion`	`entity.entity.asset.platform_software.platform_version`	Asignación directa.
`securityPatchTime`	`entity.entity.asset.attribute.labels.key`	El valor se ha definido como `securityPatchTime`. Se usa como parte de una etiqueta.
`securityPatchTime`	`entity.entity.asset.attribute.labels.value`	Asignación directa. Se usa como parte de una etiqueta.
`serialNumber`	`entity.entity.asset.hardware.serial_number`	Asignación directa. Copiado del campo `create_time` de nivel superior del registro sin procesar. El valor se ha definido como `ASSET`. El valor se ha definido como `GCP Cloud Identity Devices`. El valor se ha definido como `Google Cloud Platform`. Copiado del campo `create_time` de nivel superior del registro sin procesar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.