Recoger registros de usuarios de dispositivos de Cloud Identity

Disponible en:

En este documento se explica cómo exportar los registros de usuarios de dispositivos de Cloud Identity a Google Security Operations mediante Cloud Storage. El analizador primero extrae datos de los registros Cloud Identity Device Users con formato JSON y transforma la marca de tiempo al formato estandarizado. A continuación, asigna campos específicos de los datos de registro sin procesar a los campos correspondientes del modelo de datos unificado (UDM) de las entidades de usuario, sus relaciones con los recursos y otros atributos de usuario, como los estados de gestión y de contraseña.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Google Cloud Identity está habilitado en tu Google Cloud proyecto.
  • Instancia de Google SecOps.
  • Acceso privilegiado a Google Cloud Identity y Cloud Logging.

Crea un segmento de Cloud Storage

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  3. Haz clic en Crear.

  4. En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:

    1. En la sección Empezar, haz lo siguiente:

      1. Introduce un nombre único que cumpla los requisitos de nombres de los segmentos. Por ejemplo, gcp-cloudidentity-users-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este bucket.

      3. Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.

      4. Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.

    2. En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:

      1. Selecciona un Tipo de ubicación.

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación donde se almacenarán de forma permanente los datos de los objetos de tu segmento.

      3. Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.

    4. En la sección Elige cómo controlar el acceso a los objetos, desmarca Impedir el acceso público y selecciona un modelo de control de acceso para los objetos del segmento.

    5. En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
      2. Para elegir cómo se cifrarán los datos de los objetos, haga clic en la flecha del desplegable Cifrado de datos y seleccione un método de cifrado de datos.

  5. Haz clic en Crear.

Configurar la exportación de registros de usuarios de dispositivos de Cloud Identity

  1. Inicia sesión en la consolaGoogle Cloud .
  2. Ve a Logging > Log Router.
  3. Haz clic en Crear sumidero.

  4. Proporcione los siguientes parámetros de configuración:

    • Nombre del sumidero: introduce un nombre descriptivo; por ejemplo, Cloudidentity-Users-Sink.
    • Destino del receptor: selecciona Cloud Storage e introduce el URI de tu segmento. Por ejemplo, gs://gcp-cloudidentity-users-logs/.

    • Filtro de registro:

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_user"

    • Definir opciones de exportación: incluye todas las entradas de registro.

  5. Haz clic en Crear.

Configurar permisos de Cloud Storage

  1. Ve a IAM y administración > IAM.
  2. Busca la cuenta de servicio Cloud Logging.
  3. Concede el rol roles/storage.admin en el segmento.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

  • Configuración de SIEM > Feeds > Añadir nuevo feed
  • Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed Google Cloud Usuarios de dispositivos de identidad

  1. Haz clic en el paquete Plataforma de computación de Google Cloud.
  2. Busca el tipo de registro Google Cloud Usuarios de dispositivos de identidad y haz clic en Añadir nuevo feed.
  3. Especifique los valores de los siguientes campos:
    • Tipo de fuente: API de terceros
    • Endpoint de JWT de OAuth: endpoint para obtener el JSON Web Token (JWT) de OAuth.
    • Emisor de las reclamaciones de JWT: suele ser el ID de cliente.
    • Asunto de las reclamaciones de JWT: suele ser una dirección de correo electrónico.
    • Audiencia de las reclamaciones de JWT: audiencia de las reclamaciones de JWT.
    • Clave privada RSA: introdúcela en formato PEM.

Opciones avanzadas

  • Nombre del feed: un valor rellenado automáticamente que identifica el feed.
  • Espacio de nombres del recurso: espacio de nombres asociado al feed.
  • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.
  1. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
collection_time.nanos timestamp.nanos Se asigna directamente desde el campo de registro. Representa la marca de tiempo del evento en nanosegundos.
collection_time.seconds timestamp.seconds Se asigna directamente desde el campo de registro. Representa la marca de tiempo del evento en segundos.
createTime entity.metadata.creation_timestamp Se asigna directamente desde el campo de registro después de que el filtro date lo analice. Representa la marca de tiempo de creación del usuario.
managementState entity.additional.fields.value.string_value Se asigna directamente desde el campo de registro. Representa el estado de gestión del usuario.
name entity.entity.resource.name Se asigna directamente desde el campo de registro. Representa el nombre de recurso completo del usuario del dispositivo.
passwordState entity.additional.fields.value.string_value Se asigna directamente desde el campo de registro. Representa el estado de la contraseña del usuario. Este campo solo se asigna si el campo passwordState está presente en el registro sin procesar.
userEmail entity.entity.user.email_addresses Se asigna directamente desde el campo de registro. Representa la dirección de correo del usuario.
entity.additional.fields.key Se asigna a un valor constante Management State en el analizador. Este campo se usa para proporcionar contexto al valor managementState.
entity.additional.fields.key Se asigna a un valor constante Password State en el analizador. Este campo se usa para proporcionar contexto al valor passwordState y solo está presente si passwordState se encuentra en el registro sin procesar.
entity.entity.user.product_object_id Se extrae del campo name mediante el filtro grok, que captura la parte deviceuser_id. Representa el identificador único del usuario del dispositivo.
entity.metadata.collected_timestamp.nanos Copiado de collection_time.nanos. Representa la marca de tiempo en la que se recogió el registro.
entity.metadata.collected_timestamp.seconds Copiado de collection_time.seconds. Representa la marca de tiempo en la que se recogió el registro.
entity.metadata.entity_type Se asigna a un valor constante USER en el analizador.
entity.metadata.product_name Se asigna a un valor constante GCP Cloud Identity Device Users en el analizador.
entity.metadata.vendor_name Se asigna a un valor constante Google Cloud Platform en el analizador.
relations.entity.asset.product_object_id Se extrae del campo name mediante el filtro grok, que captura la parte device_id. Representa el identificador único del dispositivo.
relations.entity_type Se asigna a un valor constante ASSET en el analizador.
relations.relationship Se asigna a un valor constante MEMBER en el analizador.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.