Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux des utilisateurs d'appareils Cloud Identity

Compatible avec :

Google SecOps SIEM

Ce document explique comment exporter les journaux des utilisateurs d'appareils Cloud Identity vers Google Security Operations à l'aide de Cloud Storage. Le parseur extrait d'abord les données des journaux Cloud Identity Device Users au format JSON et transforme le code temporel au format standardisé. Il mappe ensuite des champs spécifiques des données brutes du journal avec les champs correspondants du modèle de données unifié (UDM) pour les entités utilisateur, leurs relations avec les composants et les attributs utilisateur supplémentaires tels que les états de gestion et de mot de passe.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Google Cloud Identity est activé dans votre projet Google Cloud .
Instance Google SecOps.
Accès privilégié à Google Cloud Identity et Cloud Logging.

Créer un bucket Cloud Storage

Connectez-vous à la consoleGoogle Cloud .
Accédez à la page Buckets Cloud Storage.

Accéder à la page "Buckets"
Cliquez sur Créer.
Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante :
1. Dans la section Premiers pas, procédez comme suit :
  1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets (par exemple, gcp-cloudidentity-users-logs).
  2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.
    
    Remarque : Vous ne pouvez pas activer l'espace de noms hiérarchique sur un bucket existant.
  3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.
  4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.
2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :
  1. Sélectionnez un type d'emplacement.
  2. Utilisez le menu du type d'emplacement pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.
    
    Remarque : Si vous sélectionnez le type d'emplacement birégional, vous pouvez également choisir d'activer la réplication turbo à l'aide de la case à cocher correspondante.
  3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.
3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.
4. Dans la section Choisir comment contrôler l'accès aux objets, décochez Appliquer la protection contre l'accès public et sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.
  
  Remarque : Si la protection contre l'accès public est déjà appliquée par la règle d'administration de votre projet, la case à cocher Appliquer la protection contre l'accès public sur ce bucket est verrouillée.
5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit :
  1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
  2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.
Cliquez sur Créer.

Configurer l'exportation des journaux des utilisateurs d'appareils Cloud Identity

Connectez-vous à la consoleGoogle Cloud .
Accédez à Logging> Routeur de journaux.
Cliquez sur Créer un récepteur.
Fournissez les paramètres de configuration suivants :
- Nom du récepteur : saisissez un nom explicite (par exemple, Cloudidentity-Users-Sink).
- Destination du récepteur : sélectionnez Cloud Storage et saisissez l'URI de votre bucket (par exemple, gs://gcp-cloudidentity-users-logs).
- Filtre de journaux :
```
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_user"
```
- Définissez les options d'exportation : incluez toutes les entrées de journaux.
Cliquez sur Créer.

Configurer les autorisations pour Cloud Storage

Accédez à IAM et administration> IAM.
Recherchez le compte de service Cloud Logging.
Attribuez le rôle roles/storage.admin sur le bucket.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

Paramètres SIEM> Flux
Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

Accédez à Paramètres SIEM > Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux d'utilisation Cloud Identity).
Sélectionnez API tierce comme type de source.
Sélectionnez Utilisateurs d'appareils GCP Cloud Identity comme Type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Point de terminaison OAuth JWT : point de terminaison permettant de récupérer le jeton Web JSON (JWT) OAuth.
- Émetteur des revendications JWT : généralement l'ID client.
- Sujet des revendications JWT : il s'agit généralement d'une adresse e-mail.
- Audience des revendications JWT : audience des revendications JWT.
- Clé privée RSA : saisissez-la au format PEM.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

URI du bucket Storage : URL du bucket Cloud Storage (par exemple, gs://gcp-cloudidentity-users-logs).
URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).
Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

Remarque : Si vous sélectionnez l'option Delete transferred files ou Delete transferred files and empty directories, assurez-vous d'avoir accordé les autorisations appropriées au compte de service.

Options avancées

Nom du flux : valeur préremplie qui identifie le flux.
Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
Espace de noms de l'élément : espace de noms associé au flux.
Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
collection_time.nanos	timestamp.nanos	Mappé directement à partir du champ de journal. Représente le code temporel de l'événement en nanosecondes.
collection_time.seconds	timestamp.seconds	Mappé directement à partir du champ de journal. Représente le code temporel de l'événement en secondes.
Date et heure de création	entity.metadata.creation_timestamp	Mappé directement à partir du champ de journal après avoir été analysé par le filtre `date`. Représente l'horodatage de la création de l'utilisateur.
managementState	entity.additional.fields.value.string_value	Mappé directement à partir du champ de journal. Représente l'état de gestion de l'utilisateur.
nom	entity.entity.resource.name	Mappé directement à partir du champ de journal. Représente le nom complet de la ressource de l'utilisateur de l'appareil.
passwordState	entity.additional.fields.value.string_value	Mappé directement à partir du champ de journal. Représente l'état du mot de passe de l'utilisateur. Ce champ n'est mappé que si le champ `passwordState` existe dans le journal brut.
userEmail	entity.entity.user.email_addresses	Mappé directement à partir du champ de journal. Représente l'adresse e-mail de l'utilisateur.
	entity.additional.fields.key	Définissez une valeur constante `Management State` dans l'analyseur. Ce champ permet de fournir un contexte à la valeur `managementState`.
	entity.additional.fields.key	Définissez une valeur constante `Password State` dans l'analyseur. Ce champ est utilisé pour fournir un contexte à la valeur `passwordState` et n'est présent que si `passwordState` existe dans le journal brut.
	entity.entity.user.product_object_id	Extrait du champ `name` à l'aide du filtre `grok`, en capturant la partie `deviceuser_id`. Représente l'identifiant unique de l'utilisateur de l'appareil.
	entity.metadata.collected_timestamp.nanos	Copié depuis `collection_time.nanos`. Représente le code temporel de la collecte du journal.
	entity.metadata.collected_timestamp.seconds	Copié depuis `collection_time.seconds`. Représente le code temporel de la collecte du journal.
	entity.metadata.entity_type	Définissez une valeur constante `USER` dans l'analyseur.
	entity.metadata.product_name	Définissez une valeur constante `GCP Cloud Identity Device Users` dans l'analyseur.
	entity.metadata.vendor_name	Définissez une valeur constante `Google Cloud Platform` dans l'analyseur.
	relations.entity.asset.product_object_id	Extrait du champ `name` à l'aide du filtre `grok`, en capturant la partie `device_id`. Représente l'identifiant unique de l'appareil.
	relations.entity_type	Définissez une valeur constante `ASSET` dans l'analyseur.
	relations.relationship	Définissez une valeur constante `MEMBER` dans l'analyseur.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.