Coletar registros de dispositivos do Cloud Identity

Compatível com:

Neste guia, explicamos como exportar registros de dispositivos do Cloud Identity para o Google Security Operations usando o Cloud Storage. O analisador extrai campos de registros JSON, transforma campos específicos, como deviceType e datas, e os mapeia para a UDM, criando um asset_entity que representa o dispositivo e o enriquece com informações de hardware e metadados.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • O Google Cloud Identity está ativado no seu projeto Google Cloud .
  • Instância do Google SecOps.
  • Acesso privilegiado ao Google Cloud Identity e ao Cloud Logging.

Criar um bucket do Cloud Storage

  1. Faça login no console doGoogle Cloud .

  2. Acesse a página Buckets do Cloud Storage.

    Acessar buckets

  3. Clique em Criar.

  4. Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima etapa:

    1. Na seção Começar, faça o seguinte:

      1. Insira um nome exclusivo que atenda aos requisitos de nome de bucket. Por exemplo, gcp-cloudidentity-devices-logs.

      2. Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.

      3. Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.

      4. Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

    2. Na seção Escolha onde armazenar seus dados, faça o seguinte:

      1. Selecione um tipo de local.

      2. Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.

      3. Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.

    3. Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou escolha Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.

    4. Na seção Escolha como controlar o acesso a objetos, desmarque Aplicar prevenção de acesso público e selecione um modelo de Controle de acesso para os objetos do bucket.

    5. Na seção Escolha como proteger os dados do objeto, faça o seguinte:

      1. Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
      2. Para escolher como os dados do objeto serão criptografados, clique na seta de expansão identificada como Criptografia de dados e selecione um método de criptografia de dados.

  5. Clique em Criar.

ConfigureCloud Identity Devices Logs Export

  1. Faça login no console doGoogle Cloud .
  2. Acesse Logging > Roteador de registros.
  3. Clique em Criar coletor.

  4. Forneça os seguintes parâmetros de configuração:

    • Nome do coletor: insira um nome significativo, por exemplo, cloud-identity-devices-logs-sink.
    • Destino do gravador: selecione Cloud Storage e insira o URI do bucket. Por exemplo, gs://gcp-cloudidentity-devices-logs.

    • Filtro de registros:

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_device"

    • Definir opções de exportação: inclua todas as entradas de registro.

  5. Clique em Criar.

Configurar permissões para o Cloud Storage

  1. Acesse IAM e administrador > IAM.
  2. Localize a conta de serviço do Cloud Logging.
  3. Conceda o papel roles/storage.admin no bucket.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros de dispositivos do Cloud Identity do GCP.
  5. Selecione API de terceiros como o Tipo de origem.
  6. Selecione Dispositivos do Cloud Identity do GCP como o Tipo de registro.
  7. Clique em Próxima.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Endpoint JWT do OAuth: endpoint para recuperar o token da Web JSON do OAuth.
    • Emissor de declarações JWT: geralmente o ID do cliente.
    • Assunto das declarações do JWT: geralmente um endereço de e-mail.
    • Público das declarações do JWT: público das declarações do JWT.
    • Chave privada RSA: insira no formato PEM.
    • Versão da API: versão da API a ser usada para buscar informações do dispositivo. O valor precisa ser v1, v1beta1 ou vx. Se nenhuma versão for especificada, v1 será usado.
  9. Clique em Próxima.
  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • URI do bucket de armazenamento: URL do bucket do Cloud Storage. Por exemplo, gs://gcp-cloudidentity-devices-logs.
  • URI é um: selecione Diretório que inclui subdiretórios.

  • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
createTime entity.metadata.creation_timestamp O valor de createTime é analisado como um carimbo de data/hora e mapeado.
deviceId entity.entity.asset.asset_id Mapeado diretamente.
deviceType entity.entity.asset.platform_software.platform Mapeado para MAC se o valor original for MAC_OS ou IOS. Mapeado para WINDOWS, MAC ou LINUX se o valor original corresponder. Caso contrário, defina como UNKNOWN_PLATFORM.
encryptionState entity.entity.asset.attribute.labels.key O valor é definido como encryptionState. Usado como parte de um rótulo.
encryptionState entity.entity.asset.attribute.labels.value Mapeado diretamente. Usado como parte de um rótulo.
lastSyncTime entity.entity.asset.system_last_update_time O valor de lastSyncTime é analisado como um carimbo de data/hora e mapeado.
managementState entity.entity.asset.attribute.labels.key O valor é definido como managementState. Usado como parte de um rótulo.
managementState entity.entity.asset.attribute.labels.value Mapeado diretamente. Usado como parte de um rótulo.
model entity.entity.asset.hardware.model Mapeado diretamente.
name entity.entity.asset.product_object_id A parte depois de devices/ é extraída e mapeada.
name entity.entity.resource.name Mapeado diretamente.
osVersion entity.entity.asset.platform_software.platform_version Mapeado diretamente.
securityPatchTime entity.entity.asset.attribute.labels.key O valor é definido como securityPatchTime. Usado como parte de um rótulo.
securityPatchTime entity.entity.asset.attribute.labels.value Mapeado diretamente. Usado como parte de um rótulo.
serialNumber entity.entity.asset.hardware.serial_number Mapeado diretamente. Copiado do campo create_time de nível superior no registro bruto. O valor é definido como ASSET. O valor é definido como GCP Cloud Identity Devices. O valor é definido como Google Cloud Platform. Copiado do campo create_time de nível superior no registro bruto.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.