Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Perangkat Cloud Identity

Didukung di:

Google secops SIEM

Panduan ini akan menjelaskan cara mengekspor log Perangkat Cloud Identity ke Google Security Operations menggunakan Cloud Storage. Parser mengekstrak kolom dari log JSON, mengubah kolom tertentu seperti deviceType dan tanggal, serta memetakannya ke UDM, sehingga membuat asset_entity yang merepresentasikan perangkat dan memperkayanya dengan informasi hardware dan metadata.

Sebelum Memulai

Pastikan Anda memiliki prasyarat berikut:

Google Cloud Identity diaktifkan di project Google Cloud Anda.
Instance Google SecOps.
Akses istimewa ke Google Cloud Identity dan Cloud Logging.

Membuat bucket Cloud Storage

Login ke konsolGoogle Cloud .
Buka halaman Cloud Storage Buckets.

Buka Buckets
Klik Buat.
Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:
1. Di bagian Mulai, lakukan tindakan berikut:
  1. Masukkan nama unik yang memenuhi persyaratan nama bucket; misalnya, gcp-cloudidentity-devices-logs.
  2. Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja berorientasi file dan intensif data, lalu pilih Aktifkan namespace Hierarkis di bucket ini.
    
    Catatan: Anda tidak dapat mengaktifkan namespace hierarkis pada bucket yang ada.
  3. Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Label.
  4. Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.
2. Di bagian Pilih lokasi untuk menyimpan data Anda, lakukan hal berikut:
  1. Pilih Jenis lokasi.
  2. Gunakan menu jenis lokasi untuk memilih Lokasi tempat data objek dalam bucket Anda akan disimpan secara permanen.
    
    Catatan: Jika memilih jenis lokasi dual-region, Anda juga dapat memilih untuk mengaktifkan replikasi turbo dengan menggunakan kotak centang yang relevan.
  3. Untuk menyiapkan replikasi lintas bucket, luaskan bagian Siapkan replikasi lintas bucket.
3. Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.
4. Di bagian Pilih cara mengontrol akses ke objek, hapus centang Terapkan pencegahan akses publik, lalu pilih model Kontrol akses untuk objek bucket Anda.
  
  Catatan: Jika pencegahan akses publik sudah diterapkan oleh kebijakan organisasi project Anda, kotak centang Enforce public access prevention on this bucket akan dikunci.
5. Di bagian Pilih cara melindungi data objek, lakukan tindakan berikut:
  1. Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket Anda.
  2. Untuk memilih cara mengenkripsi data objek Anda, klik panah peluas berlabel Enkripsi data, lalu pilih metode enkripsi data.
Klik Buat.

Mengonfigurasi Ekspor Log Perangkat Cloud Identity

Login ke konsolGoogle Cloud .
Buka Logging > Log Router.
Klik Create Sink.
Berikan parameter konfigurasi berikut:
- Sink Name: masukkan nama yang bermakna; misalnya, cloud-identity-devices-logs-sink.
- Sink Destination: pilih Cloud Storage Storage dan masukkan URI untuk bucket Anda; misalnya, gs://gcp-cloudidentity-devices-logs.
- Filter Log:
```
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_device"
```
- Tetapkan Opsi Ekspor: menyertakan semua entri log.
Klik Buat.

Mengonfigurasi izin untuk Cloud Storage

Buka IAM & Admin > IAM.
Temukan akun layanan Cloud Logging.
Berikan roles/storage.admin pada bucket.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

Setelan SIEM > Feed
Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

Buka Setelan SIEM > Feed.
Klik Tambahkan Feed Baru.
Di halaman berikutnya, klik Konfigurasi satu feed.
Di kolom Feed name, masukkan nama feed; misalnya, GCP Cloud Identity Devices Logs.
Pilih Third party API sebagai Source type.
Pilih GCP Cloud Identity Devices sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Endpoint JWT OAuth: endpoint untuk mengambil token web JSON OAuth.
- Penerbit klaim JWT: biasanya ID klien.
- Subjek klaim JWT: biasanya alamat email.
- Audiens klaim JWT: Audiens klaim JWT.
- Kunci pribadi RSA: masukkan dalam format PEM.
- Versi API: Versi API yang akan digunakan untuk mengambil info perangkat. Nilai harus salah satu dari v1, v1beta1, atau vx. Jika tidak ada versi yang ditentukan, v1 akan digunakan.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

URI Bucket Penyimpanan: URL bucket Cloud Storage; misalnya, gs://gcp-cloudidentity-devices-logs.
URI Adalah: pilih Direktori yang menyertakan subdirektori.
Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

Catatan: Jika Anda memilih opsi Delete transferred files atau Delete transferred files and empty directories, pastikan Anda memberikan izin yang sesuai ke akun layanan.

Opsi lanjutan

Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
Namespace Aset: Namespace yang terkait dengan feed.
Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`createTime`	`entity.metadata.creation_timestamp`	Nilai `createTime` diuraikan sebagai stempel waktu dan dipetakan.
`deviceId`	`entity.entity.asset.asset_id`	Dipetakan secara langsung.
`deviceType`	`entity.entity.asset.platform_software.platform`	Dipetakan ke `MAC` jika nilai aslinya adalah `MAC_OS` atau `IOS`. Dipetakan ke `WINDOWS`, `MAC`, atau `LINUX` jika nilai aslinya cocok. Jika tidak, setel ke `UNKNOWN_PLATFORM`.
`encryptionState`	`entity.entity.asset.attribute.labels.key`	Nilai ditetapkan ke `encryptionState`. Digunakan sebagai bagian dari label.
`encryptionState`	`entity.entity.asset.attribute.labels.value`	Dipetakan secara langsung. Digunakan sebagai bagian dari label.
`lastSyncTime`	`entity.entity.asset.system_last_update_time`	Nilai `lastSyncTime` diuraikan sebagai stempel waktu dan dipetakan.
`managementState`	`entity.entity.asset.attribute.labels.key`	Nilai ditetapkan ke `managementState`. Digunakan sebagai bagian dari label.
`managementState`	`entity.entity.asset.attribute.labels.value`	Dipetakan secara langsung. Digunakan sebagai bagian dari label.
`model`	`entity.entity.asset.hardware.model`	Dipetakan secara langsung.
`name`	`entity.entity.asset.product_object_id`	Bagian setelah `devices/` diekstrak dan dipetakan.
`name`	`entity.entity.resource.name`	Dipetakan secara langsung.
`osVersion`	`entity.entity.asset.platform_software.platform_version`	Dipetakan secara langsung.
`securityPatchTime`	`entity.entity.asset.attribute.labels.key`	Nilai ditetapkan ke `securityPatchTime`. Digunakan sebagai bagian dari label.
`securityPatchTime`	`entity.entity.asset.attribute.labels.value`	Dipetakan secara langsung. Digunakan sebagai bagian dari label.
`serialNumber`	`entity.entity.asset.hardware.serial_number`	Dipetakan secara langsung. Disalin dari kolom `create_time` tingkat teratas dalam log mentah. Nilai ditetapkan ke `ASSET`. Nilai ditetapkan ke `GCP Cloud Identity Devices`. Nilai ditetapkan ke `Google Cloud Platform`. Disalin dari kolom `create_time` tingkat teratas dalam log mentah.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.