收集 Cloud Identity Devices 日志

支持的平台:

本指南将介绍如何使用 Cloud Storage 将 Cloud Identity Devices 日志导出到 Google 安全运营中心。解析器会从 JSON 日志中提取字段,转换 deviceType 和日期等特定字段,并将其映射到 UDM,从而创建表示设备的 asset_entity,并使用硬件和元数据信息对其进行丰富。

准备工作

  • 确保您的 Google Cloud 项目中已启用 Google Cloud Identity。
  • 确保您拥有 Google SecOps 实例。
  • 确保您对 Google Cloud Identity 和 Cloud Logging 拥有特权访问权限。

创建 Cloud Storage 存储桶

  1. 登录 Google Cloud 控制台

  2. 前往 Cloud Storage 存储分区页面。

    进入“存储桶”

  3. 点击创建

  4. 创建存储桶页面上,输入您的存储桶信息。完成以下每一步后,点击继续以继续执行后续步骤:

    1. 开始使用部分中,执行以下操作:

      1. 输入符合存储桶名称要求的唯一名称;例如 gcp-cloudidentity-devices-logs

      2. 如需启用分层命名空间,请点击展开箭头以展开优化文件导向型和数据密集型工作负载部分,然后选择在此存储桶上启用分层命名空间

      3. 如需添加存储桶标签,请点击展开箭头以展开标签部分。

      4. 点击添加标签,然后为标签指定键和值。

    2. 选择数据存储位置部分中,执行以下操作:

      1. 选择位置类型

      2. 使用位置类型菜单选择一个位置,用于永久存储存储桶中的对象数据。

      3. 如需设置跨存储桶复制,请展开设置跨存储桶复制部分。

    3. 为数据选择一个存储类别部分中,为存储桶选择默认存储类别,或者选择 Autoclass 对存储桶数据进行自动存储类别管理。

    4. 选择如何控制对对象的访问权限部分中,清除禁止公开访问,然后为存储桶对象选择访问权限控制模型。

    5. 选择如何保护对象数据部分中,执行以下操作:

      1. 数据保护下,选择您要为存储桶设置的任何选项。
      2. 如需选择对象数据的加密方式,请点击标有数据加密的展开箭头,然后选择数据加密方法。

  5. 点击创建

配置 Cloud Identity 设备日志导出

  1. 登录 Google Cloud 控制台
  2. 依次前往日志记录 > 日志路由器
  3. 点击创建接收器

  4. 提供以下配置参数:

    • 接收器名称:输入一个有意义的名称,例如 cloud-identity-devices-logs-sink
    • 接收器目标位置:选择 Cloud Storage Storage,然后输入存储桶的 URI;例如 gs://gcp-cloudidentity-devices-logs

    • 日志过滤器

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_device"

    • 设置导出选项:包含所有日志条目。

  5. 点击创建

配置 Cloud Storage 权限

  1. 依次前往 IAM 和管理 > IAM
  2. 找到 Cloud Logging 服务账号。
  3. 向存储桶授予 roles/storage.admin

在 Google SecOps 中配置 Feed 以注入 Cloud Identity Devices 日志

  1. 依次前往 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称字段中,输入 Feed 的名称;例如,GCP Cloud Identity Devices Logs
  4. 选择第三方 API 作为来源类型
  5. 选择 GCP Cloud Identity Devices 作为日志类型
  6. 点击下一步
  7. 为以下输入参数指定值:
    • OAuth JWT 端点:用于检索 OAuth JSON Web 令牌的端点。
    • JWT 声明颁发者:通常是客户端 ID。
    • JWT 声明正文:通常是电子邮件地址。
    • JWT 声明的目标对象:JWT 声明的目标对象。
    • RSA 私钥:请以 PEM 格式输入。
    • API 版本:用于提取设备信息的 API 版本。值应为 v1v1beta1vx 之一。如果未指定版本,则系统会使用 v1
    • 资源命名空间资源命名空间
    • 提取标签:应用于此 Feed 中的事件的标签。
  8. 点击下一步
  9. 最终确定界面中查看新的 Feed 配置,然后点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
createTime entity.metadata.creation_timestamp createTime 的值会被解析为时间戳并进行映射。
deviceId entity.entity.asset.asset_id 直接映射。
deviceType entity.entity.asset.platform_software.platform 如果原始值为 MAC_OSIOS,则映射到 MAC。如果原始值匹配,则映射到 WINDOWSMACLINUX。否则,请将其设置为 UNKNOWN_PLATFORM
encryptionState entity.entity.asset.attribute.labels.key 值设置为 encryptionState。用于标签的一部分。
encryptionState entity.entity.asset.attribute.labels.value 直接映射。用于标签的一部分。
lastSyncTime entity.entity.asset.system_last_update_time lastSyncTime 的值会被解析为时间戳并进行映射。
managementState entity.entity.asset.attribute.labels.key 值设置为 managementState。用于标签的一部分。
managementState entity.entity.asset.attribute.labels.value 直接映射。用于标签的一部分。
model entity.entity.asset.hardware.model 直接映射。
name entity.entity.asset.product_object_id 系统会提取 devices/ 后面的部分并进行映射。
name entity.entity.resource.name 直接映射。
osVersion entity.entity.asset.platform_software.platform_version 直接映射。
securityPatchTime entity.entity.asset.attribute.labels.key 值设置为 securityPatchTime。用于标签的一部分。
securityPatchTime entity.entity.asset.attribute.labels.value 直接映射。用于标签的一部分。
serialNumber entity.entity.asset.hardware.serial_number 直接映射。从原始日志中的顶级 create_time 字段复制。值设置为 ASSET。值设置为 GCP Cloud Identity Devices。值设置为 Google Cloud Platform。从原始日志中的顶级 create_time 字段复制。

变化

2022-03-27

  • resource.name 映射到长唯一资源名称 name

2022-04-13

  • 新创建的解析器。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。