Collecter les journaux des appareils Cloud Identity
Ce guide explique comment exporter les journaux des appareils Cloud Identity vers Google Security Operations à l'aide de Cloud Storage. L'analyseur extrait les champs des journaux JSON, transforme des champs spécifiques tels que deviceType et les dates, et les mappe à l'UDM, créant ainsi un asset_entity représentant l'appareil et l'enrichissant avec des informations sur le matériel et les métadonnées.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
- Google Cloud Identity est activé dans votre projet Google Cloud .
- Instance Google SecOps.
- Accès privilégié à Google Cloud Identity et Cloud Logging.
Créer un bucket Cloud Storage
- Connectez-vous à la consoleGoogle Cloud .
Accédez à la page Buckets Cloud Storage.
Cliquez sur Créer.
Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante :
Dans la section Premiers pas, procédez comme suit :
- Saisissez un nom unique qui répond aux exigences de dénomination des buckets (par exemple, gcp-cloudidentity-devices-logs).
Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.
Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.
Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.
Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :
- Sélectionnez un type d'emplacement.
Utilisez le menu du type d'emplacement pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.
Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.
Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.
Dans la section Choisir comment contrôler l'accès aux objets, décochez Appliquer la protection contre l'accès public et sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.
Dans la section Choisir comment protéger les données d'objet, procédez comme suit :
- Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
- Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.
Cliquez sur Créer.
Configurer l'exportation des journaux des appareils Cloud Identity
- Connectez-vous à la consoleGoogle Cloud .
- Accédez à Logging> Routeur de journaux.
- Cliquez sur Créer un récepteur.
Fournissez les paramètres de configuration suivants :
- Nom du récepteur : saisissez un nom explicite (par exemple,
cloud-identity-devices-logs-sink). - Destination du récepteur : sélectionnez Cloud Storage et saisissez l'URI de votre bucket (par exemple,
gs://gcp-cloudidentity-devices-logs). Filtre de journaux :
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity" resource.type="cloud_identity_device"Définissez les options d'exportation : incluez toutes les entrées de journaux.
- Nom du récepteur : saisissez un nom explicite (par exemple,
Cliquez sur Créer.
Configurer les autorisations pour Cloud Storage
- Accédez à IAM et administration> IAM.
- Recherchez le compte de service Cloud Logging.
- Attribuez le rôle roles/storage.admin sur le bucket.
Configurer des flux
Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :
- Paramètres SIEM> Flux
- Plate-forme de contenu > Packs de contenu
Configurer des flux à partir de Paramètres SIEM > Flux
Pour configurer un flux, procédez comme suit :
- Accédez à Paramètres SIEM > Flux.
- Cliquez sur Add New Feed (Ajouter un flux).
- Sur la page suivante, cliquez sur Configurer un seul flux.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux des appareils GCP Cloud Identity).
- Sélectionnez API tierce comme type de source.
- Sélectionnez Appareils Cloud Identity GCP comme Type de journal.
- Cliquez sur Suivant.
- Spécifiez les valeurs des paramètres d'entrée suivants :
- Point de terminaison OAuth JWT : point de terminaison permettant de récupérer le jeton Web JSON OAuth.
- Émetteur des revendications JWT : généralement l'ID client.
- Sujet des revendications JWT : il s'agit généralement d'une adresse e-mail.
- Audience des revendications JWT : audience des revendications JWT.
- Clé privée RSA : saisissez-la au format PEM.
- Version de l'API : version de l'API à utiliser pour récupérer les informations sur l'appareil. La valeur doit être
v1,v1beta1ouvx. Si aucune version n'est spécifiée,v1est utilisé.
- Cliquez sur Suivant.
- Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.
Configurer des flux depuis le Hub de contenu
Indiquez les valeurs des champs suivants :
- URI du bucket Storage : URL du bucket Cloud Storage (par exemple,
gs://gcp-cloudidentity-devices-logs). - URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).
Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
Options avancées
- Nom du flux : valeur préremplie qui identifie le flux.
- Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
- Espace de noms de l'élément : espace de noms associé au flux.
- Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
createTime |
entity.metadata.creation_timestamp |
La valeur de createTime est analysée en tant que code temporel et mappée. |
deviceId |
entity.entity.asset.asset_id |
Mappé directement. |
deviceType |
entity.entity.asset.platform_software.platform |
Mappé sur MAC si la valeur d'origine est MAC_OS ou IOS. Mappé sur WINDOWS, MAC ou LINUX si la valeur d'origine correspond. Sinon, définissez-la sur UNKNOWN_PLATFORM. |
encryptionState |
entity.entity.asset.attribute.labels.key |
La valeur est définie sur encryptionState. Utilisé dans un libellé. |
encryptionState |
entity.entity.asset.attribute.labels.value |
Mappé directement. Utilisé dans un libellé. |
lastSyncTime |
entity.entity.asset.system_last_update_time |
La valeur de lastSyncTime est analysée en tant que code temporel et mappée. |
managementState |
entity.entity.asset.attribute.labels.key |
La valeur est définie sur managementState. Utilisé dans un libellé. |
managementState |
entity.entity.asset.attribute.labels.value |
Mappé directement. Utilisé dans un libellé. |
model |
entity.entity.asset.hardware.model |
Mappé directement. |
name |
entity.entity.asset.product_object_id |
La partie après devices/ est extraite et mappée. |
name |
entity.entity.resource.name |
Mappé directement. |
osVersion |
entity.entity.asset.platform_software.platform_version |
Mappé directement. |
securityPatchTime |
entity.entity.asset.attribute.labels.key |
La valeur est définie sur securityPatchTime. Utilisé dans un libellé. |
securityPatchTime |
entity.entity.asset.attribute.labels.value |
Mappé directement. Utilisé dans un libellé. |
serialNumber |
entity.entity.asset.hardware.serial_number |
Mappé directement. Copié à partir du champ create_time de premier niveau dans le journal brut. La valeur est définie sur ASSET. La valeur est définie sur GCP Cloud Identity Devices. La valeur est définie sur Google Cloud Platform. Copié à partir du champ create_time de premier niveau dans le journal brut. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.