Cloud Identity Device Users-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cloud Identity-Logs zu Gerätenutzern mithilfe von Cloud Storage in Google Security Operations exportieren. Der Parser extrahiert zuerst Daten aus JSON-formatierten Cloud Identity Device Users-Protokollen und wandelt den Zeitstempel in das standardisierte Format um. Anschließend werden bestimmte Felder aus den Rohprotokolldaten den entsprechenden Feldern im einheitlichen Datenmodell (Unified Data Model, UDM) für Nutzerentitäten, ihre Beziehungen zu Assets und zusätzliche Nutzerattribute wie Verwaltungs- und Passwortstatus zugeordnet.

Hinweise

  • Google Cloud Identity muss in Ihrem Google Cloud -Projekt aktiviert sein.
  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Berechtigungen für Google Cloud Identity und Cloud Logging.

Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud Console an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. gcp-cloudidentity-users-logs.

      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

      3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Bereich Labels zu maximieren.

      4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Standorttyp auswählen.

      2. Wählen Sie im Menü „Standorttyp“ einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie unter Datenschutz die Optionen aus, die Sie für den Bucket festlegen möchten.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.

  5. Klicken Sie auf Erstellen.

Export von Cloud Identity-Logs zu Gerätenutzern konfigurieren

  1. Melden Sie sich in der Google Cloud Console an.
  2. Gehen Sie zu Logging > Logrouter.
  3. Klicken Sie auf Senke erstellen.

  4. Geben Sie die folgenden Konfigurationsparameter an:

    • Name der Senke: Geben Sie einen aussagekräftigen Namen ein, z. B. Cloudidentity-Users-Sink.
    • Sink-Ziel: Wählen Sie Cloud Storage aus und geben Sie den URI für Ihren Bucket ein, z. B. gs://gcp-cloudidentity-users-logs.

    • Log-Filter:

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_user"

    • Exportoptionen festlegen: Alle Logeinträge einschließen.

  5. Klicken Sie auf Erstellen.

Berechtigungen für Cloud Storage konfigurieren

  1. Rufen Sie IAM & Verwaltung > IAM auf.
  2. Suchen Sie das Cloud Logging-Dienstkonto.
  3. Weisen Sie dem Bucket die Rolle roles/storage.admin zu.

Feed in Google SecOps für die Aufnahme von Cloud Identity-Gerätenutzerprotokollen konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Cloud Identity DU-Logs.
  4. Wählen Sie Google Cloud Storage als Quelltyp aus.
  5. Wählen Sie als Logtyp GCP Cloud Identity Device Users aus.
  6. Klicken Sie neben dem Feld Chronicle-Dienstkonto auf Dienstkonto abrufen.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage Bucket-URI: Cloud Storage-Bucket-URL, z. B. gs://gcp-cloudidentity-users-logs.
    • URI ist: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.

    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option aus.

    • Asset-Namespace: der Asset-Namespace.

    • Labels für Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
collection_time.nanos timestamp.nanos Direkt aus dem Protokollfeld zugeordnet. Der Zeitstempel des Ereignisses in Nanosekunden.
collection_time.seconds timestamp.seconds Direkt aus dem Log-Feld zugeordnet. Der Zeitstempel des Ereignisses in Sekunden.
createTime entity.metadata.creation_timestamp Wird direkt aus dem Protokollfeld zugeordnet, nachdem es vom date-Filter geparst wurde. Der Erstellungszeitstempel des Nutzers.
managementState entity.additional.fields.value.string_value Direkt aus dem Log-Feld zugeordnet. Stellt den Verwaltungsstatus des Nutzers dar.
Name entity.entity.resource.name Direkt aus dem Protokollfeld zugeordnet. Der vollständige Ressourcenname des Gerätenutzers.
passwordState entity.additional.fields.value.string_value Direkt aus dem Log-Feld zugeordnet. Stellt den Passwortstatus des Nutzers dar. Dieses Feld wird nur zugeordnet, wenn das Feld passwordState im Rohprotokoll vorhanden ist.
userEmail entity.entity.user.email_addresses Direkt aus dem Log-Feld zugeordnet. Stellt die E-Mail-Adresse des Nutzers dar.
entity.additional.fields.key Im Parser auf den konstanten Wert Management State festlegen. Dieses Feld dient als Kontext für den Wert managementState.
entity.additional.fields.key Im Parser auf den konstanten Wert Password State festlegen. Dieses Feld dient als Kontext für den Wert passwordState und ist nur vorhanden, wenn passwordState im Rohprotokoll vorhanden ist.
entity.entity.user.product_object_id Aus dem Feld name mit dem Filter grok extrahiert, wobei der Teil deviceuser_id erfasst wird. Die eindeutige Kennung des Gerätenutzers.
entity.metadata.collected_timestamp.nanos Kopiert von collection_time.nanos. Der Zeitstempel, zu dem das Protokoll erfasst wurde.
entity.metadata.collected_timestamp.seconds Kopiert von collection_time.seconds. Der Zeitstempel, zu dem das Protokoll erfasst wurde.
entity.metadata.entity_type Im Parser auf den konstanten Wert USER setzen.
entity.metadata.product_name Im Parser auf den konstanten Wert GCP Cloud Identity Device Users festlegen.
entity.metadata.vendor_name Im Parser auf den konstanten Wert Google Cloud Platform festlegen.
relations.entity.asset.product_object_id Aus dem Feld name mit dem Filter grok extrahiert, wobei der Teil device_id erfasst wird. Die eindeutige Kennung des Geräts.
relations.entity_type Im Parser auf den konstanten Wert ASSET festlegen.
relations.relationship Im Parser auf den konstanten Wert MEMBER festlegen.

Änderungen

2022-10-01

Fehlerkorrektur:

  • Zuordnung für das Feld firstSyncTime, lastSyncTime entfernt
  • Bedingung hinzugefügt, um zu prüfen, ob passwordState nicht leer ist.

2022-04-21

Optimierung:

  • Wert von relationships.entity_type in ASSET und von relations.relationship in MEMBER geändert
  • Zuordnung für firstSyncTime und lastSyncTime von additional.fields zu entity.metadata.interval geändert

2022-04-13

  • Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten