Esta página foi traduzida pela API Cloud Translation.

Recolha registos de dispositivos do Cloud ID

Compatível com:

Google secops SIEM

Este guia explica como exportar os registos de dispositivos do Cloud Identity para o Google Security Operations através do Cloud Storage. O analisador extrai campos dos registos JSON, transforma campos específicos, como deviceType e datas, e mapeia-os para o UDM, criando um asset_entity que representa o dispositivo e enriquecendo-o com informações de hardware e metadados.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

O Google Cloud Identity está ativado no seu Google Cloud projeto.
Instância do Google SecOps.
Acesso privilegiado ao Google Cloud Identity e ao Cloud Logging.

Crie um contentor do Cloud Storage

Inicie sessão na Google Cloud consola.
Aceda à página Contentores do Cloud Storage.

Aceda aos contentores
Clique em Criar.
Na página Criar um depósito, introduza as informações do depósito. Após cada um dos passos seguintes, clique em Continuar para avançar para o passo seguinte:
1. Na secção Começar, faça o seguinte:
  1. Introduza um nome exclusivo que cumpra os requisitos do nome do contentor; por exemplo, gcp-cloudidentity-devices-logs.
  2. Para ativar o espaço de nomes hierárquico, clique na seta de expansão para expandir a secção Otimizar para cargas de trabalho orientadas para ficheiros e com grande volume de dados e, de seguida, selecione Ativar espaço de nomes hierárquico neste contentor.
    
    Nota: não pode ativar o espaço de nomes hierárquico num contentor existente.
  3. Para adicionar uma etiqueta de grupo, clique na seta de expansão para expandir a secção Etiquetas.
  4. Clique em Adicionar etiqueta e especifique uma chave e um valor para a etiqueta.
2. Na secção Escolha onde quer armazenar os seus dados, faça o seguinte:
  1. Selecione um Tipo de localização.
  2. Use o menu de tipo de localização para selecionar uma Localização onde os dados de objetos no seu contentor vão ser armazenados permanentemente.
    
    Nota: se selecionar o tipo de localização de duas regiões, também pode optar por ativar a replicação turbo através da caixa de verificação relevante.
  3. Para configurar a replicação entre contentores, expanda a secção Configurar replicação entre contentores.
3. Na secção Escolha uma classe de armazenamento para os seus dados, selecione uma classe de armazenamento predefinida para o contentor ou selecione Autoclass para a gestão automática da classe de armazenamento dos dados do contentor.
4. Na secção Escolha como controlar o acesso a objetos, desmarque a opção Aplicar prevenção de acesso público e selecione um modelo de Controlo de acesso para os objetos do seu contentor.
  
  Nota: se a prevenção de acesso público já estiver aplicada pela política da organização do seu projeto, a caixa de verificação Aplicar prevenção de acesso público neste contentor está bloqueada.
5. Na secção Escolha como proteger os dados de objetos, faça o seguinte:
  1. Selecione qualquer uma das opções em Proteção de dados que quer definir para o seu contentor.
  2. Para escolher como os dados de objetos vão ser encriptados, clique na seta de expansão com a etiqueta Encriptação de dados e selecione um método de encriptação de dados.
Clique em Criar.

Configure a exportação de registos de dispositivos do Cloud ID

Inicie sessão na Google Cloud consola.
Aceda a Registo > Router de registos.
Clique em Criar destino.
Forneça os seguintes parâmetros de configuração:
- Nome do destino: introduza um nome significativo; por exemplo, cloud-identity-devices-logs-sink.
- Destino da sincronização: selecione Armazenamento do Cloud Storage e introduza o URI do seu contentor; por exemplo, gs://gcp-cloudidentity-devices-logs.
- Filtro de registo:
```
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_device"
```
- Definir opções de exportação: inclui todas as entradas do registo.
Clique em Criar.

Configure autorizações para o Cloud Storage

Aceda a IAM e administrador > IAM.
Localize a conta de serviço do Cloud Logging.
Conceda a função roles/storage.admin no contentor.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

Definições do SIEM > Feeds > Adicionar novo
Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed de Google Cloud dispositivos de identidade

Clique no pacote Google Cloud Compute platform.
Localize o tipo de registo Google Cloud Identity Devices e clique em Adicionar novo feed.
Especifique valores para os seguintes campos:
- Tipo de origem: API de terceiros
- Ponto final do JWT OAuth: ponto final para obter o símbolo da Web JSON (JWT) do OAuth.
- Emissor de reivindicações JWT: normalmente, o ID do cliente.
- Assunto das reivindicações JWT: normalmente, um endereço de email.
- Público-alvo de reivindicações JWT: público-alvo de reivindicações JWT.
- Chave privada RSA: introduza no formato PEM.

Opções avançadas

Nome do feed: um valor pré-preenchido que identifica o feed.
Espaço de nomes do recurso: espaço de nomes associado ao feed.
Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.

Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`createTime`	`entity.metadata.creation_timestamp`	O valor de `createTime` é analisado como uma data/hora e mapeado.
`deviceId`	`entity.entity.asset.asset_id`	Mapeado diretamente.
`deviceType`	`entity.entity.asset.platform_software.platform`	Mapeado para `MAC` se o valor original for `MAC_OS` ou `IOS`. Mapeado para `WINDOWS`, `MAC` ou `LINUX` se o valor original corresponder. Caso contrário, defina como `UNKNOWN_PLATFORM`.
`encryptionState`	`entity.entity.asset.attribute.labels.key`	O valor está definido como `encryptionState`. Usado como parte de uma etiqueta.
`encryptionState`	`entity.entity.asset.attribute.labels.value`	Mapeado diretamente. Usado como parte de uma etiqueta.
`lastSyncTime`	`entity.entity.asset.system_last_update_time`	O valor de `lastSyncTime` é analisado como uma data/hora e mapeado.
`managementState`	`entity.entity.asset.attribute.labels.key`	O valor está definido como `managementState`. Usado como parte de uma etiqueta.
`managementState`	`entity.entity.asset.attribute.labels.value`	Mapeado diretamente. Usado como parte de uma etiqueta.
`model`	`entity.entity.asset.hardware.model`	Mapeado diretamente.
`name`	`entity.entity.asset.product_object_id`	A parte após `devices/` é extraída e mapeada.
`name`	`entity.entity.resource.name`	Mapeado diretamente.
`osVersion`	`entity.entity.asset.platform_software.platform_version`	Mapeado diretamente.
`securityPatchTime`	`entity.entity.asset.attribute.labels.key`	O valor está definido como `securityPatchTime`. Usado como parte de uma etiqueta.
`securityPatchTime`	`entity.entity.asset.attribute.labels.value`	Mapeado diretamente. Usado como parte de uma etiqueta.
`serialNumber`	`entity.entity.asset.hardware.serial_number`	Mapeado diretamente. Copiado do campo `create_time` de nível superior no registo não processado. O valor está definido como `ASSET`. O valor está definido como `GCP Cloud Identity Devices`. O valor está definido como `Google Cloud Platform`. Copiado do campo `create_time` de nível superior no registo não processado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.