Coletar registros de dispositivos do Cloud Identity

Compatível com:

Neste guia, explicamos como exportar registros de dispositivos do Cloud Identity para o Google Security Operations usando o Cloud Storage. O analisador extrai campos de registros JSON, transforma campos específicos, como deviceType e datas, e os mapeia para a UDM, criando um asset_entity que representa o dispositivo e o enriquece com informações de hardware e metadados.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • O Google Cloud Identity está ativado no seu projeto Google Cloud .
  • Instância do Google SecOps.
  • Acesso privilegiado ao Google Cloud Identity e ao Cloud Logging.

Criar um bucket do Cloud Storage

  1. Faça login no console doGoogle Cloud .

  2. Acesse a página Buckets do Cloud Storage.

    Acessar buckets

  3. Clique em Criar.

  4. Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima etapa:

    1. Na seção Começar, faça o seguinte:

      1. Insira um nome exclusivo que atenda aos requisitos de nome de bucket. Por exemplo, gcp-cloudidentity-devices-logs.

      2. Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.

      3. Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.

      4. Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

    2. Na seção Escolha onde armazenar seus dados, faça o seguinte:

      1. Selecione um tipo de local.

      2. Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.

      3. Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.

    3. Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou escolha Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.

    4. Na seção Escolha como controlar o acesso a objetos, desmarque Aplicar prevenção de acesso público e selecione um modelo de Controle de acesso para os objetos do bucket.

    5. Na seção Escolha como proteger os dados do objeto, faça o seguinte:

      1. Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
      2. Para escolher como os dados do objeto serão criptografados, clique na seta de expansão identificada como Criptografia de dados e selecione um método de criptografia de dados.

  5. Clique em Criar.

Configurar a exportação de registros de dispositivos do Cloud Identity

  1. Faça login no console doGoogle Cloud .
  2. Acesse Logging > Roteador de registros.
  3. Clique em Criar coletor.

  4. Forneça os seguintes parâmetros de configuração:

    • Nome do coletor: insira um nome significativo, por exemplo, cloud-identity-devices-logs-sink.
    • Destino do gravador: selecione Cloud Storage e insira o URI do bucket. Por exemplo, gs://gcp-cloudidentity-devices-logs.

    • Filtro de registros:

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_device"

    • Definir opções de exportação: inclua todas as entradas de registro.

  5. Clique em Criar.

Configurar permissões para o Cloud Storage

  1. Acesse IAM e administrador > IAM.
  2. Localize a conta de serviço do Cloud Logging.
  3. Conceda o papel roles/storage.admin no bucket.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds > Adicionar novo
  • Central de conteúdo > Pacotes de conteúdo > Começar

Como configurar o feed Google Cloud Dispositivos de identidade

  1. Clique no pacote Plataforma de computação do Google Cloud.
  2. Localize o tipo de registro Google Cloud Dispositivos de identidade e clique em Adicionar novo feed.
  3. Especifique valores para os seguintes campos:
    • Tipo de origem: API de terceiros
    • Endpoint JWT do OAuth: endpoint para recuperar o JSON Web Token (JWT) do OAuth.
    • Emissor de declarações JWT: geralmente o ID do cliente.
    • Assunto das declarações do JWT: geralmente um endereço de e-mail.
    • Público das declarações do JWT: público das declarações do JWT.
    • Chave privada RSA: insira no formato PEM.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
  1. Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
createTime entity.metadata.creation_timestamp O valor de createTime é analisado como um carimbo de data/hora e mapeado.
deviceId entity.entity.asset.asset_id Mapeado diretamente.
deviceType entity.entity.asset.platform_software.platform Mapeado para MAC se o valor original for MAC_OS ou IOS. Mapeado para WINDOWS, MAC ou LINUX se o valor original corresponder. Caso contrário, defina como UNKNOWN_PLATFORM.
encryptionState entity.entity.asset.attribute.labels.key O valor é definido como encryptionState. Usado como parte de um rótulo.
encryptionState entity.entity.asset.attribute.labels.value Mapeado diretamente. Usado como parte de um rótulo.
lastSyncTime entity.entity.asset.system_last_update_time O valor de lastSyncTime é analisado como um carimbo de data/hora e mapeado.
managementState entity.entity.asset.attribute.labels.key O valor é definido como managementState. Usado como parte de um rótulo.
managementState entity.entity.asset.attribute.labels.value Mapeado diretamente. Usado como parte de um rótulo.
model entity.entity.asset.hardware.model Mapeado diretamente.
name entity.entity.asset.product_object_id A parte depois de devices/ é extraída e mapeada.
name entity.entity.resource.name Mapeado diretamente.
osVersion entity.entity.asset.platform_software.platform_version Mapeado diretamente.
securityPatchTime entity.entity.asset.attribute.labels.key O valor é definido como securityPatchTime. Usado como parte de um rótulo.
securityPatchTime entity.entity.asset.attribute.labels.value Mapeado diretamente. Usado como parte de um rótulo.
serialNumber entity.entity.asset.hardware.serial_number Mapeado diretamente. Copiado do campo create_time de nível superior no registro bruto. O valor é definido como ASSET. O valor é definido como GCP Cloud Identity Devices. O valor é definido como Google Cloud Platform. Copiado do campo create_time de nível superior no registro bruto.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.