Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de usuarios de dispositivos de Cloud Identity
bookmark_border Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo exportar registros de usuarios de dispositivos de Cloud Identity a Google Security Operations con Cloud Storage. Primero, el analizador extrae datos de los registros Cloud Identity Device Users con formato JSON y transforma la marca de tiempo al formato estandarizado. Luego, asigna campos específicos de los datos de registro sin procesar a los campos correspondientes del modelo de datos unificado (UDM) para las entidades de usuario, sus relaciones con los recursos y los atributos adicionales del usuario, como los estados de administración y contraseña.

Antes de comenzar

Asegúrate de que Google Cloud Identity esté habilitada en tu Google Cloud proyecto.
Asegúrate de tener una instancia de Google SecOps.
Asegúrate de tener acceso con privilegios a Google Cloud Identity y Cloud Logging.

Cree un bucket de Cloud Storage

Accede a la consola de Google Cloud.
Ve a la página Buckets de Cloud Storage.

Ir a Buckets
Haz clic en Crear.
En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente:
1. En la sección Primeros pasos, haz lo siguiente:
  1. Ingresa un nombre único que cumpla con los requisitos de nombre de bucket, por ejemplo, gcp-cloudidentity-users-logs.
  2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.
    
    Nota: No puedes habilitar el espacio de nombres jerárquico en un bucket existente.
  3. Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.
  4. Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:
  1. Selecciona un tipo de ubicación
  2. Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.
    
    Nota: Si seleccionas el tipo de ubicación birregional, también puedes habilitar la replicación turbo con la casilla de verificación correspondiente.
  3. Para configurar la replicación entre buckets, expande la sección Configurar la replicación entre buckets.
3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.
4. En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos de tu bucket.
  
  Nota: Si la política de la organización de tu proyecto ya aplica la prevención del acceso público, la casilla de verificación Impedir el acceso público está bloqueada.
5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:
  1. Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
  2. Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.
Haz clic en Crear.

Configura la exportación de registros de usuarios de dispositivos de Cloud Identity

Accede a la consola de Google Cloud.
Ve a Registros > Enrutador de registros.
Haz clic en Crear receptor.
Proporciona los siguientes parámetros de configuración:
- Nombre del receptor: Ingresa un nombre significativo, por ejemplo, Cloudidentity-Users-Sink.
- Sink Destination: Selecciona Cloud Storage Storage y, luego, ingresa el URI de tu bucket, por ejemplo, gs://gcp-cloudidentity-users-logs.
- Filtro de registro:
```
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_user"
```
- Set Export Options: Incluye todas las entradas de registro.
Haz clic en Crear.

Configura los permisos de Cloud Storage

Ve a IAM y administración > IAM.
Busca la cuenta de servicio de Cloud Logging.
Otorga el rol roles/storage.admin en el bucket.

Configura un feed en Google SecOps para transferir los registros de usuarios de dispositivos de Cloud Identity

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar nueva.
En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de DU de Cloud Identity.
Selecciona Google Cloud Storage como el Tipo de fuente.
Selecciona Usuarios de dispositivos de GCP Cloud Identity como el Tipo de registro.
Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage; por ejemplo, gs://gcp-cloudidentity-users-logs.
- URI Is A: Selecciona Directorio que incluye subdirectorios.
- Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tu preferencia.
  
  Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de otorgar los permisos adecuados a la cuenta de servicio.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
Haz clic en Siguiente.
Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
collection_time.nanos	timestamp.nanos	Se asignan directamente desde el campo de registro. Representa la marca de tiempo del evento en nanosegundos.
collection_time.seconds	timestamp.seconds	Se asignan directamente desde el campo de registro. Representa la marca de tiempo del evento en segundos.
createTime	entity.metadata.creation_timestamp	Se asigna directamente desde el campo de registro después de que el filtro `date` lo analiza. Representa la marca de tiempo de creación del usuario.
managementState	entity.additional.fields.value.string_value	Se asignan directamente desde el campo de registro. Representa el estado de administración del usuario.
nombre	entity.entity.resource.name	Se asignan directamente desde el campo de registro. Representa el nombre completo del recurso del usuario del dispositivo.
passwordState	entity.additional.fields.value.string_value	Se asignan directamente desde el campo de registro. Representa el estado de la contraseña del usuario. Este campo solo se asigna si el campo `passwordState` existe en el registro sin procesar.
userEmail	entity.entity.user.email_addresses	Se asignan directamente desde el campo de registro. Representa la dirección de correo electrónico del usuario.
	entity.additional.fields.key	Establece un valor constante `Management State` dentro del analizador. Este campo se usa para proporcionar contexto al valor de `managementState`.
	entity.additional.fields.key	Se establece en un valor constante `Password State` dentro del analizador. Este campo se usa para proporcionar contexto al valor de `passwordState` y solo está presente si `passwordState` existe en el registro sin procesar.
	entity.entity.user.product_object_id	Se extrae del campo `name` con el filtro `grok` y captura la parte `deviceuser_id`. Representa el identificador único del usuario del dispositivo.
	entity.metadata.collected_timestamp.nanos	Se copió desde `collection_time.nanos`. Representa la marca de tiempo en la que se recopiló el registro.
	entity.metadata.collected_timestamp.seconds	Se copió desde `collection_time.seconds`. Representa la marca de tiempo en la que se recopiló el registro.
	entity.metadata.entity_type	Se establece en un valor constante `USER` dentro del analizador.
	entity.metadata.product_name	Establece un valor constante `GCP Cloud Identity Device Users` dentro del analizador.
	entity.metadata.vendor_name	Establece un valor constante `Google Cloud Platform` dentro del analizador.
	relations.entity.asset.product_object_id	Se extrae del campo `name` con el filtro `grok` y captura la parte `device_id`. Representa el identificador único del dispositivo.
	relations.entity_type	Se establece en un valor constante `ASSET` dentro del analizador.
	relations.relationship	Establece un valor constante `MEMBER` dentro del analizador.

Cambios

2022-10-01

Corrección de errores:

Se quitó la asignación para el campo firstSyncTime, lastSyncTime.
Se agregó una condición para verificar que passwordState no esté vacío.

2022-04-21

Mejora:

Se cambió el valor de relationships.entity_type a ASSET y de relations.relationship a MEMBER.
Se cambió la asignación de firstSyncTime y lastSyncTime de additional.fields a entity.metadata.interval.

13-4-2022

Sin embargo, el analizador se creó recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.