Coletar registros de dispositivos do Cloud Identity

Compatível com:

Neste guia, explicamos como exportar os registros de dispositivos do Cloud Identity para o Google Security Operations usando o Cloud Storage. O analisador extrai campos de registros JSON, transforma campos específicos, como deviceType e datas, e os mapeia para o UDM, criando um asset_entity que representa o dispositivo e o enriquece com informações de hardware e metadados.

Antes de começar

  • Verifique se o Google Cloud Identity está ativado no projeto Google Cloud .
  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado ao Google Cloud Identity e ao Cloud Logging.

Criar um bucket do Cloud Storage

  1. Faça login no console doGoogle Cloud .

  2. Acesse a página Buckets do Cloud Storage.

    Acessar buckets

  3. Clique em Criar.

  4. Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima:

    1. Na seção Começar, faça o seguinte:

      1. Insira um nome exclusivo que atenda aos requisitos de nome de bucket. Por exemplo, gcp-cloudidentity-devices-logs.

      2. Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.

      3. Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.

      4. Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

    2. Na seção Escolha onde armazenar seus dados, faça o seguinte:

      1. Selecione um tipo de local.

      2. Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.

      3. Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.

    3. Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.

    4. Na seção Escolha como controlar o acesso a objetos, desmarque Aplicar a prevenção de acesso público e selecione um modelo de Controle de acesso para os objetos do bucket.

    5. Na seção Escolha como proteger os dados do objeto, faça o seguinte:

      1. Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
      2. Para escolher como os dados do objeto serão criptografados, clique na seta de expansão identificada como Criptografia de dados e selecione um método de criptografia de dados.

  5. Clique em Criar.

Configurar a exportação de registros de dispositivos do Cloud Identity

  1. Faça login no console doGoogle Cloud .
  2. Acesse Logging > Roteador de registros.
  3. Clique em Criar coletor.

  4. Informe os seguintes parâmetros de configuração:

    • Nome do coletor: insira um nome significativo. Por exemplo, cloud-identity-devices-logs-sink.
    • Destino do sink: selecione Cloud Storage e insira o URI do bucket. Por exemplo, gs://gcp-cloudidentity-devices-logs.

    • Filtro de registro:

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_device"

    • Definir opções de exportação: inclui todas as entradas de registro.

  5. Clique em Criar.

Configurar permissões do Cloud Storage

  1. Acesse IAM e administrador > IAM.
  2. Localize a conta de serviço do Cloud Logging.
  3. Conceda o papel roles/storage.admin no bucket.

Configurar um feed no Google SecOps para processar registros de dispositivos do Cloud Identity

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed. Por exemplo, Logs de dispositivos da identidade do GCP Cloud.
  4. Selecione API de terceiros como o Tipo de origem.
  5. Selecione Dispositivos da identidade do Cloud do GCP como o Tipo de registro.
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • Endpoint OAuth JWT: endpoint para recuperar o token da Web JSON OAuth.
    • Emissor de declarações JWT: geralmente o ID do cliente.
    • Assunto das declarações do JWT: geralmente um endereço de e-mail.
    • Declarações de público-alvo do JWT: declarações de público-alvo do JWT.
    • Chave privada RSA: insira no formato PEM.
    • Versão da API: versão da API a ser usada para buscar informações do dispositivo. O valor precisa ser v1, v1beta1 ou vx. Se nenhuma versão for especificada, v1 será usada.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
  8. Clique em Próxima.
  9. Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
createTime entity.metadata.creation_timestamp O valor de createTime é analisado como um carimbo de data/hora e mapeado.
deviceId entity.entity.asset.asset_id Mapeado diretamente.
deviceType entity.entity.asset.platform_software.platform Mapeado para MAC se o valor original for MAC_OS ou IOS. Mapeado para WINDOWS, MAC ou LINUX se o valor original for correspondente. Caso contrário, defina como UNKNOWN_PLATFORM.
encryptionState entity.entity.asset.attribute.labels.key O valor é definido como encryptionState. Usado como parte de um rótulo.
encryptionState entity.entity.asset.attribute.labels.value Mapeado diretamente. Usado como parte de um rótulo.
lastSyncTime entity.entity.asset.system_last_update_time O valor de lastSyncTime é analisado como um carimbo de data/hora e mapeado.
managementState entity.entity.asset.attribute.labels.key O valor é definido como managementState. Usado como parte de um rótulo.
managementState entity.entity.asset.attribute.labels.value Mapeado diretamente. Usado como parte de um rótulo.
model entity.entity.asset.hardware.model Mapeado diretamente.
name entity.entity.asset.product_object_id A parte após devices/ é extraída e mapeada.
name entity.entity.resource.name Mapeado diretamente.
osVersion entity.entity.asset.platform_software.platform_version Mapeado diretamente.
securityPatchTime entity.entity.asset.attribute.labels.key O valor é definido como securityPatchTime. Usado como parte de um rótulo.
securityPatchTime entity.entity.asset.attribute.labels.value Mapeado diretamente. Usado como parte de um rótulo.
serialNumber entity.entity.asset.hardware.serial_number Mapeado diretamente. Copiado do campo create_time de nível superior no registro bruto. O valor é definido como ASSET. O valor é definido como GCP Cloud Identity Devices. O valor é definido como Google Cloud Platform. Copiado do campo create_time de nível superior no registro bruto.

Alterações

2022-03-27

  • Mapeou resource.name para o nome de recurso exclusivo longo name.

13/04/2022

  • Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.