Cloud Identity-Gerätenutzer-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cloud Identity Device Users-Logs mithilfe von Cloud Storage in Google Security Operations exportieren. Der Parser extrahiert zuerst Daten aus Cloud Identity Device Users-Protokollen im JSON-Format und wandelt den Zeitstempel in das standardisierte Format um. Anschließend werden bestimmte Felder aus den Rohlogdaten den entsprechenden Feldern im einheitlichen Datenmodell (UDM) für Nutzerentitäten, ihre Beziehungen zu Assets und zusätzliche Nutzerattribute wie Verwaltungs- und Passwortstatus zugeordnet.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google Cloud Identity ist in Ihrem Google Cloud -Projekt aktiviert.
  • Google SecOps-Instanz.
  • Privilegierter Zugriff auf Google Cloud Identity und Cloud Logging.

Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud -Konsole an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. gcp-cloudidentity-users-logs.

      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

      3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Abschnitt Labels zu maximieren.

      4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Standorttyp auswählen.

      2. Wählen Sie im Menü für den Standorttyp einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Entfernen Sie im Abschnitt Zugriff auf Objekte steuern das Häkchen bei Verhinderung des öffentlichen Zugriffs erzwingen und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie unter Datenschutz die gewünschten Optionen für Ihren Bucket aus.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit dem Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.

  5. Klicken Sie auf Erstellen.

Export von Cloud Identity-Gerätenutzerlogs konfigurieren

  1. Melden Sie sich in der Google Cloud -Konsole an.
  2. Rufen Sie Logging > Log Router auf.
  3. Klicken Sie auf Senke erstellen.

  4. Geben Sie die folgenden Konfigurationsparameter an:

    • Name der Senke: Geben Sie einen aussagekräftigen Namen ein, z. B. Cloudidentity-Users-Sink.
    • Sink Destination (Ziel für Senke): Wählen Sie Cloud Storage Storage (Cloud Storage) aus und geben Sie den URI für Ihren Bucket ein, z. B. gs://gcp-cloudidentity-users-logs.

    • Log Filter (Log-Filter):

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_user"

    • Exportoptionen festlegen: Alle Log-Einträge einschließen.

  5. Klicken Sie auf Erstellen.

Berechtigungen für Cloud Storage konfigurieren

  1. Rufen Sie IAM & Verwaltung > IAM auf.
  2. Suchen Sie das Cloud Logging-Dienstkonto.
  3. Weisen Sie dem Bucket die Rolle roles/storage.admin zu.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Cloud Identity DU Logs (Cloud Identity-Protokolle für die Geräteverwaltung).
  5. Wählen Sie Drittanbieter-API als Quelltyp aus.
  6. Wählen Sie GCP Cloud Identity Device Users als Logtyp aus.
  7. Klicken Sie auf Weiter.
  8. Geben Sie Werte für die folgenden Eingabeparameter an:
    • OAuth-JWT-Endpunkt: Endpunkt zum Abrufen des OAuth-JSON-Webtokens (JWT).
    • JWT claims issuer (Aussteller von JWT-Ansprüchen): in der Regel die Client-ID.
    • JWT-Anspruch „subject“: normalerweise eine E-Mail-Adresse.
    • JWT-Anforderungen – Zielgruppe: Zielgruppe für JWT-Anforderungen.
    • Privater RSA-Schlüssel: im PEM-Format eingeben.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Storage-Bucket-URI: Cloud Storage-Bucket-URL, z. B. gs://gcp-cloudidentity-users-logs.
  • URI Is A (URI ist ein): Wählen Sie Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen) aus.

  • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option aus.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
collection_time.nanos timestamp.nanos Direkt aus dem Logfeld zugeordnet. Stellt den Zeitstempel des Ereignisses in Nanosekunden dar.
collection_time.seconds timestamp.seconds Direkt aus dem Logfeld zugeordnet. Stellt den Ereigniszeitstempel in Sekunden dar.
createTime entity.metadata.creation_timestamp Direkt aus dem Logfeld zugeordnet, nachdem es vom Filter date geparst wurde. Stellt den Erstellungszeitstempel des Nutzers dar.
managementState entity.additional.fields.value.string_value Direkt aus dem Logfeld zugeordnet. Stellt den Verwaltungsstatus des Nutzers dar.
Name entity.entity.resource.name Direkt aus dem Logfeld zugeordnet. Stellt den vollständigen Ressourcennamen des Gerätenutzers dar.
passwordState entity.additional.fields.value.string_value Direkt aus dem Logfeld zugeordnet. Gibt den Passwortstatus des Nutzers an. Dieses Feld wird nur zugeordnet, wenn das Feld passwordState im Rohlog vorhanden ist.
userEmail entity.entity.user.email_addresses Direkt aus dem Logfeld zugeordnet. Stellt die E-Mail-Adresse des Nutzers dar.
entity.additional.fields.key Auf einen konstanten Wert Management State im Parser festgelegt. Dieses Feld wird verwendet, um Kontext für den managementState-Wert bereitzustellen.
entity.additional.fields.key Auf einen konstanten Wert Password State im Parser festgelegt. Dieses Feld wird verwendet, um Kontext für den passwordState-Wert bereitzustellen, und ist nur vorhanden, wenn passwordState im Rohlog enthalten ist.
entity.entity.user.product_object_id Aus dem Feld name extrahiert, indem der Filter grok verwendet wurde, um den Teil deviceuser_id zu erfassen. Stellt die eindeutige Kennung des Gerätenutzers dar.
entity.metadata.collected_timestamp.nanos Kopiert von collection_time.nanos. Der Zeitstempel, der angibt, wann das Log erfasst wurde.
entity.metadata.collected_timestamp.seconds Kopiert von collection_time.seconds. Der Zeitstempel, der angibt, wann das Log erfasst wurde.
entity.metadata.entity_type Auf einen konstanten Wert USER im Parser festgelegt.
entity.metadata.product_name Auf einen konstanten Wert GCP Cloud Identity Device Users im Parser festgelegt.
entity.metadata.vendor_name Auf einen konstanten Wert Google Cloud Platform im Parser festgelegt.
relations.entity.asset.product_object_id Aus dem Feld name extrahiert, indem der Filter grok verwendet wurde, um den Teil device_id zu erfassen. Stellt die eindeutige Kennung des Geräts dar.
relations.entity_type Auf einen konstanten Wert ASSET im Parser festgelegt.
relations.relationship Auf einen konstanten Wert MEMBER im Parser festgelegt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten