Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Cloud Identity Devices

Supportato in:

Google SecOps SIEM

Questa guida spiega come esportare i log dei dispositivi Cloud Identity in Google Security Operations utilizzando Cloud Storage. Il parser estrae i campi dai log JSON, trasforma campi specifici come deviceType e le date e li mappa a UDM, creando un asset_entity che rappresenta il dispositivo e arricchendolo con informazioni su hardware e metadati.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Google Cloud Identity è abilitato nel tuo progetto Google Cloud .
Istanza Google SecOps.
Accesso privilegiato a Google Cloud Identity e Cloud Logging.

Crea un bucket Cloud Storage

Accedi alla consoleGoogle Cloud .
Vai alla pagina Bucket Cloud Storage.

Vai a Bucket
Fai clic su Crea.
Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio riportato di seguito, fai clic su Continua per passare al passaggio successivo:
1. Nella sezione Inizia, segui questi passaggi:
  1. Inserisci un nome univoco che soddisfi i requisiti del nome del bucket, ad esempio gcp-cloudidentity-devices-logs.
  2. Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita spazio dei nomi gerarchico in questo bucket.
    
    Nota: non puoi abilitare lo spazio dei nomi gerarchico in un bucket esistente.
  3. Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.
  4. Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.
2. Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:
  1. Seleziona un Tipo di località.
  2. Utilizza il menu del tipo di località per selezionare una Località in cui i dati degli oggetti all'interno del bucket verranno archiviati in modo permanente.
    
    Nota: se selezioni il tipo di località a doppia regione, puoi anche scegliere di attivare la replica turbo utilizzando la casella di controllo pertinente.
  3. Per configurare la replica tra bucket, espandi la sezione Configura replica tra bucket.
3. Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket oppure Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.
4. Nella sezione Scegli come controllare l'accesso agli oggetti, deseleziona Applica la prevenzione dell'accesso pubblico e seleziona un modello di Controllo dell'accesso per gli oggetti del bucket.
  
  Nota: se la prevenzione dell'accesso pubblico è già applicata dal criterio dell'organizzazione del progetto, la casella di controllo Applica la prevenzione dell'accesso pubblico in questo bucket è bloccata.
5. Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:
  1. Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
  2. Per scegliere come criptare i dati degli oggetti, fai clic sulla freccia di espansione con l'etichetta Crittografia dei dati e seleziona un metodo di crittografia dei dati.
Fai clic su Crea.

Configurare l'esportazione dei log dei dispositivi Cloud Identity

Accedi alla consoleGoogle Cloud .
Vai a Logging > Router dei log.
Fai clic su Crea sink.
Fornisci i seguenti parametri di configurazione:
- Nome sink: inserisci un nome significativo, ad esempio cloud-identity-devices-logs-sink.
- Destinazione sink: seleziona Cloud Storage e inserisci l'URI del bucket, ad esempio gs://gcp-cloudidentity-devices-logs/.
- Filtro log:
```
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_device"
```
- Imposta opzioni di esportazione: includi tutte le voci di log.
Fai clic su Crea.

Configura le autorizzazioni per Cloud Storage

Vai a IAM e amministrazione > IAM.
Individua il account di servizio Cloud Logging.
Concedi il ruolo roles/storage.admin sul bucket.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

Impostazioni SIEM > Feed > Aggiungi nuovo feed
Hub dei contenuti > Pacchetti di contenuti > Inizia

Come configurare il feed Google Cloud Dispositivi di identità

Fai clic sul pacchetto Google Cloud Compute platform.
Individua il tipo di log Google Cloud Identity Devices e fai clic su Aggiungi nuovo feed.
Specifica i valori per i seguenti campi:
- Tipo di origine: API di terze parti
- Endpoint JWT OAuth: endpoint per recuperare il token JWT (JSON Web Token) OAuth.
- Emittente delle attestazioni JWT: di solito l'ID client.
- Oggetto delle attestazioni JWT: in genere un indirizzo email.
- Pubblico delle attestazioni JWT: pubblico delle attestazioni JWT.
- Chiave privata RSA: inserisci in formato PEM.

Opzioni avanzate

Nome feed: un valore precompilato che identifica il feed.
Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`createTime`	`entity.metadata.creation_timestamp`	Il valore di `createTime` viene analizzato come timestamp e mappato.
`deviceId`	`entity.entity.asset.asset_id`	Mappato direttamente.
`deviceType`	`entity.entity.asset.platform_software.platform`	Mappato a `MAC` se il valore originale è `MAC_OS` o `IOS`. Mappato a `WINDOWS`, `MAC` o `LINUX` se il valore originale corrisponde. In caso contrario, imposta il valore su `UNKNOWN_PLATFORM`.
`encryptionState`	`entity.entity.asset.attribute.labels.key`	Il valore è impostato su `encryptionState`. Utilizzato come parte di un'etichetta.
`encryptionState`	`entity.entity.asset.attribute.labels.value`	Mappato direttamente. Utilizzato come parte di un'etichetta.
`lastSyncTime`	`entity.entity.asset.system_last_update_time`	Il valore di `lastSyncTime` viene analizzato come timestamp e mappato.
`managementState`	`entity.entity.asset.attribute.labels.key`	Il valore è impostato su `managementState`. Utilizzato come parte di un'etichetta.
`managementState`	`entity.entity.asset.attribute.labels.value`	Mappato direttamente. Utilizzato come parte di un'etichetta.
`model`	`entity.entity.asset.hardware.model`	Mappato direttamente.
`name`	`entity.entity.asset.product_object_id`	La parte dopo `devices/` viene estratta e mappata.
`name`	`entity.entity.resource.name`	Mappato direttamente.
`osVersion`	`entity.entity.asset.platform_software.platform_version`	Mappato direttamente.
`securityPatchTime`	`entity.entity.asset.attribute.labels.key`	Il valore è impostato su `securityPatchTime`. Utilizzato come parte di un'etichetta.
`securityPatchTime`	`entity.entity.asset.attribute.labels.value`	Mappato direttamente. Utilizzato come parte di un'etichetta.
`serialNumber`	`entity.entity.asset.hardware.serial_number`	Mappato direttamente. Copiato dal campo `create_time` di primo livello nel log non elaborato. Il valore è impostato su `ASSET`. Il valore è impostato su `GCP Cloud Identity Devices`. Il valore è impostato su `Google Cloud Platform`. Copiato dal campo `create_time` di primo livello nel log non elaborato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.