Recopila registros de usuarios de dispositivos de Cloud Identity

Compatible con:

En este documento, se explica cómo exportar registros de usuarios de dispositivos de Cloud Identity a Google Security Operations con Cloud Storage. Primero, el analizador extrae datos de los registros Cloud Identity Device Users con formato JSON y transforma la marca de tiempo al formato estandarizado. Luego, asigna campos específicos de los datos de registro sin procesar a los campos correspondientes en el modelo de datos unificado (UDM) para las entidades de usuario, sus relaciones con los recursos y los atributos de usuario adicionales, como los estados de administración y contraseña.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Google Cloud Identity está habilitado en tu Google Cloud proyecto.
  • Instancia de Google SecOps.
  • Acceso privilegiado a Google Cloud Identity y Cloud Logging

Cree un bucket de Cloud Storage

  1. Accede a la consola deGoogle Cloud .

  2. Ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  3. Haz clic en Crear.

  4. En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente paso:

    1. En la sección Primeros pasos, haz lo siguiente:

      1. Ingresa un nombre único que cumpla con los requisitos de nombres de bucket; por ejemplo, gcp-cloudidentity-users-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.

      3. Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.

      4. Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

    2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:

      1. Selecciona un tipo de ubicación

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.

      3. Para configurar la replicación entre bucket, expande la sección Configura la bucket entre buckets.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.

    4. En la sección Elige cómo controlar el acceso a los objetos, borra Aplicar la prevención de acceso público y selecciona un modelo de Control de acceso para los objetos del bucket.

    5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
      2. Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.

  5. Haz clic en Crear.

Configura la exportación de registros de usuarios de dispositivos de Cloud Identity

  1. Accede a la consola deGoogle Cloud .
  2. Ve a Logging > Enrutador de registros.
  3. Haz clic en Crear receptor.

  4. Proporciona los siguientes parámetros de configuración:

    • Nombre del receptor: Ingresa un nombre significativo, por ejemplo, Cloudidentity-Users-Sink.
    • Destino del receptor: Selecciona Cloud Storage y, luego, ingresa el URI de tu bucket, por ejemplo, gs://gcp-cloudidentity-users-logs.

    • Filtro de registro:

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_user"

    • Set Export Options: Incluye todas las entradas de registro.

  5. Haz clic en Crear.

Configura los permisos de Cloud Storage

  1. Ve a IAM y administración > IAM.
  2. Busca la cuenta de servicio de Cloud Logging.
  3. Otorga el rol roles/storage.admin en el bucket.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración del SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de DU de Cloud Identity.
  5. Selecciona API de terceros como el Tipo de origen.
  6. Selecciona GCP Cloud Identity Device Users como el Tipo de registro.
  7. Haz clic en Siguiente.
  8. Especifica valores para los siguientes parámetros de entrada:
    • Endpoint de JWT de OAuth: Es el endpoint para recuperar el token web JSON (JWT) de OAuth.
    • Emisor de reclamaciones de JWT: Por lo general, es el ID de cliente.
    • Asunto de las reclamaciones del JWT: Por lo general, es una dirección de correo electrónico.
    • Público de las reclamaciones de JWT: Es el público de las reclamaciones de JWT.
    • Clave privada RSA: Ingresa en formato PEM.
  9. Haz clic en Siguiente.
  10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage, por ejemplo, gs://gcp-cloudidentity-users-logs.
  • URI Is A: Selecciona Directory which includes subdirectories.

  • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
collection_time.nanos timestamp.nanos Se asigna directamente desde el campo de registro. Representa la marca de tiempo del evento en nanosegundos.
collection_time.seconds timestamp.seconds Se asigna directamente desde el campo de registro. Representa la marca de tiempo del evento en segundos.
createTime entity.metadata.creation_timestamp Se asigna directamente desde el campo de registro después de que el filtro date lo analiza. Representa la marca de tiempo de creación del usuario.
managementState entity.additional.fields.value.string_value Se asigna directamente desde el campo de registro. Representa el estado de administración del usuario.
nombre entity.entity.resource.name Se asigna directamente desde el campo de registro. Representa el nombre completo del recurso del usuario del dispositivo.
passwordState entity.additional.fields.value.string_value Se asigna directamente desde el campo de registro. Representa el estado de la contraseña del usuario. Este campo solo se asigna si el campo passwordState existe en el registro sin procesar.
userEmail entity.entity.user.email_addresses Se asigna directamente desde el campo de registro. Representa la dirección de correo electrónico del usuario.
entity.additional.fields.key Se establece en un valor constante Management State dentro del analizador. Este campo se usa para proporcionar contexto al valor de managementState.
entity.additional.fields.key Se establece en un valor constante Password State dentro del analizador. Este campo se usa para proporcionar contexto al valor de passwordState y solo está presente si passwordState existe en el registro sin procesar.
entity.entity.user.product_object_id Se extrae del campo name con el filtro grok, y se captura la porción deviceuser_id. Representa el identificador único del usuario del dispositivo.
entity.metadata.collected_timestamp.nanos Se copió desde collection_time.nanos. Representa la marca de tiempo en la que se recopiló el registro.
entity.metadata.collected_timestamp.seconds Se copió desde collection_time.seconds. Representa la marca de tiempo en la que se recopiló el registro.
entity.metadata.entity_type Se establece en un valor constante USER dentro del analizador.
entity.metadata.product_name Se establece en un valor constante GCP Cloud Identity Device Users dentro del analizador.
entity.metadata.vendor_name Se establece en un valor constante Google Cloud Platform dentro del analizador.
relations.entity.asset.product_object_id Se extrae del campo name con el filtro grok, y se captura la porción device_id. Representa el identificador único del dispositivo.
relations.entity_type Se establece en un valor constante ASSET dentro del analizador.
relations.relationship Se establece en un valor constante MEMBER dentro del analizador.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.