Collecter les journaux des utilisateurs d'appareils Cloud Identity

Compatible avec:

Ce document explique comment exporter les journaux des utilisateurs d'appareils Cloud Identity vers Google Security Operations à l'aide de Cloud Storage. L'analyseur extrait d'abord les données des journaux Cloud Identity Device Users au format JSON, puis convertit le code temporel au format standardisé. Il mappe ensuite des champs spécifiques des données de journal brutes sur les champs correspondants du modèle de données unifié (UDM) pour les entités utilisateur, leurs relations avec les composants et d'autres attributs utilisateur tels que la gestion et les états des mots de passe.

Avant de commencer

  • Assurez-vous que Google Cloud Identity est activé dans votre projet Google Cloud .
  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à Google Cloud Identity et à Cloud Logging.

Créer un bucket Cloud Storage

  1. Connectez-vous à la console Google Cloud.

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante:

    1. Dans la section Premiers pas, procédez comme suit :

      1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets, par exemple gcp-cloudidentity-users-logs.

      2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.

      3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.

      4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      1. Sélectionnez un type d'emplacement.

      2. Utilisez le menu "Type d'emplacement" pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.

      3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit:

      1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Configurer l'exportation des journaux des utilisateurs d'appareils Cloud Identity

  1. Connectez-vous à la console Google Cloud.
  2. Accédez à Logging > Log Router (Journalisation > Routeur de journaux).
  3. Cliquez sur Créer un récepteur.

  4. Fournissez les paramètres de configuration suivants:

    • Nom du récepteur: saisissez un nom explicite (par exemple, Cloudidentity-Users-Sink).
    • Destination du sink: sélectionnez Cloud Storage, puis saisissez l'URI de votre bucket (par exemple, gs://gcp-cloudidentity-users-logs).

    • Filtre de journal:

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_user"

    • Définir les options d'exportation: inclut toutes les entrées de journal.

  5. Cliquez sur Créer.

Configurer les autorisations pour Cloud Storage

  1. Accédez à IAM et administration > IAM.
  2. Recherchez le compte de service Cloud Logging.
  3. Attribuez le rôle roles/storage.admin au bucket.

Configurer un flux dans Google SecOps pour ingérer les journaux des utilisateurs d'appareils Cloud Identity

  1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Cloud Identity DU Logs).
  4. Sélectionnez Google Cloud Storage comme Type de source.
  5. Sélectionnez Utilisateurs d'appareils Google Cloud Identity comme Type de journal.
  6. Cliquez sur Obtenir un compte de service à côté du champ Compte de service Chronicle.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants:

    • URI du bucket Storage: URL du bucket Cloud Storage (par exemple, gs://gcp-cloudidentity-users-logs).
    • L'URI est: sélectionnez Répertoire incluant des sous-répertoires.

    • Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.

    • Espace de noms des éléments: espace de noms des éléments.

    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
collection_time.nanos timestamp.nanos Mappé directement à partir du champ de journal. Représente l'horodatage de l'événement en nanosecondes.
collection_time.seconds timestamp.seconds Mappé directement à partir du champ de journal. Représente le code temporel de l'événement, en secondes.
Date et heure de création entity.metadata.creation_timestamp Mappé directement à partir du champ de journal après avoir été analysé par le filtre date. Représente l'horodatage de création de l'utilisateur.
managementState entity.additional.fields.value.string_value Mappé directement à partir du champ de journal. Représente l'état de gestion de l'utilisateur.
nom entity.entity.resource.name Mappé directement à partir du champ de journal. Représente le nom complet de la ressource de l'utilisateur de l'appareil.
passwordState entity.additional.fields.value.string_value Mappé directement à partir du champ de journal. Représente l'état du mot de passe de l'utilisateur. Ce champ n'est mappé que si le champ passwordState existe dans le journal brut.
userEmail entity.entity.user.email_addresses Mappé directement à partir du champ de journal. Représente l'adresse e-mail de l'utilisateur.
entity.additional.fields.key Défini sur une valeur constante Management State dans l'analyseur. Ce champ permet de fournir un contexte à la valeur managementState.
entity.additional.fields.key Défini sur une valeur constante Password State dans l'analyseur. Ce champ permet de fournir un contexte à la valeur passwordState. Il n'est présent que si passwordState existe dans le journal brut.
entity.entity.user.product_object_id Extrait du champ name à l'aide du filtre grok, en capturant la partie deviceuser_id. Représente l'identifiant unique de l'utilisateur de l'appareil.
entity.metadata.collected_timestamp.nanos Copié depuis collection_time.nanos. Représente le code temporel au moment de la collecte du journal.
entity.metadata.collected_timestamp.seconds Copié depuis collection_time.seconds. Représente le code temporel au moment de la collecte du journal.
entity.metadata.entity_type Défini sur une valeur constante USER dans l'analyseur.
entity.metadata.product_name Défini sur une valeur constante GCP Cloud Identity Device Users dans l'analyseur.
entity.metadata.vendor_name Défini sur une valeur constante Google Cloud Platform dans l'analyseur.
relations.entity.asset.product_object_id Extrait du champ name à l'aide du filtre grok, en capturant la partie device_id. Représente l'identifiant unique de l'appareil.
relations.entity_type Défini sur une valeur constante ASSET dans l'analyseur.
relations.relationship Défini sur une valeur constante MEMBER dans l'analyseur.

Modifications

2022-10-01

Correction de bug:

  • Suppression du mappage pour le champ firstSyncTime, lastSyncTime.
  • Ajout d'une condition pour vérifier que passwordState n'est pas vide.

2022-04-21

Amélioration :

  • Remplacement de la valeur relationships.entity_type par ASSET, de relations.relationship par MEMBER
  • Modification de la mise en correspondance de firstSyncTime et lastSyncTime de additional.fields à entity.metadata.interval

2022-04-13

  • Analyseur nouvellement créé.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.