Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Pengguna Perangkat Cloud Identity

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara mengekspor log Pengguna Perangkat Cloud Identity ke Google Security Operations menggunakan Cloud Storage. Parser pertama-tama mengekstrak data dari log Cloud Identity Device Users berformat JSON dan mengubah stempel waktu ke format standar. Kemudian, alat ini memetakan kolom tertentu dari data log mentah ke kolom yang sesuai dalam model data terpadu (UDM) untuk entitas pengguna, hubungannya dengan aset, dan atribut pengguna tambahan seperti status pengelolaan dan sandi.

Sebelum memulai

Pastikan Google Cloud Identity diaktifkan di project Google Cloud Anda.
Pastikan Anda memiliki instance Google Chronicle.
Pastikan Anda memiliki akses dengan hak istimewa ke Google Cloud Identity dan Cloud Logging.

Membuat bucket Cloud Storage

Login ke konsol Google Cloud.
Buka halaman Cloud Storage Buckets.

Buka Buckets
Klik Buat.
Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah menyelesaikan setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:
1. Di bagian Mulai, lakukan tindakan berikut:
  1. Masukkan nama unik yang memenuhi persyaratan nama bucket; misalnya, gcp-cloudidentity-users-logs.
  2. Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja yang berorientasi pada file dan intensif data, lalu pilih Aktifkan Namespace hierarkis di bucket ini.
    
    Catatan: Anda tidak dapat mengaktifkan namespace hierarkis pada bucket yang ada.
  3. Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Labels.
  4. Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.
2. Di bagian Pilih tempat untuk menyimpan data, lakukan hal berikut:
  1. Pilih Jenis lokasi.
  2. Gunakan menu jenis lokasi untuk memilih Location tempat data objek dalam bucket Anda akan disimpan secara permanen.
    
    Catatan: Jika memilih jenis lokasi dual-region, Anda juga dapat memilih untuk mengaktifkan replikasi turbo menggunakan kotak centang yang relevan.
  3. Untuk menyiapkan replikasi lintas bucket, luaskan bagian Menyiapkan replikasi lintas bucket.
3. Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.
4. Di bagian Choose how to control access to objects, pilih not untuk menerapkan public access prevention, dan pilih access control model untuk objek bucket Anda.
  
  Catatan: Jika pencegahan akses publik sudah diterapkan oleh kebijakan organisasi project Anda, kotak centang Prevent public access akan dikunci.
5. Di bagian Pilih cara melindungi data objek, lakukan hal berikut:
  1. Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket.
  2. Untuk memilih cara enkripsi data objek, klik panah peluas berlabel Enkripsi data, lalu pilih Metode enkripsi data.
Klik Buat.

Mengonfigurasi ekspor log Pengguna Perangkat Cloud Identity

Login ke konsol Google Cloud.
Buka Logging > Router Log.
Klik Create Sink.
Berikan parameter konfigurasi berikut:
- Sink Name: masukkan nama yang bermakna; misalnya, Cloudidentity-Users-Sink.
- Sink Destination: pilih Cloud Storage Storage dan masukkan URI untuk bucket Anda; misalnya, gs://gcp-cloudidentity-users-logs.
- Filter Log:
```
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_user"
```
- Setel Opsi Ekspor: sertakan semua entri log.
Klik Buat.

Mengonfigurasi izin untuk Cloud Storage

Buka IAM & Admin > IAM.
Temukan akun layanan Cloud Logging.
Berikan roles/storage.admin di bucket.

Mengonfigurasi feed di Google SecOps untuk menyerap log Pengguna Perangkat Cloud Identity

Buka Setelan SIEM > Feed.
Klik Tambahkan baru.
Di kolom Feed name, masukkan nama untuk feed; misalnya, Cloud Identity DU Logs.
Pilih Google Cloud Storage sebagai Source type.
Pilih Pengguna Perangkat Cloud Identity GCP sebagai Jenis log.
Klik Dapatkan Akun Layanan di samping kolom Chronicle Service Account.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Storage Bucket URI: URL bucket Cloud Storage; misalnya, gs://gcp-cloudidentity-users-logs.
- URI Adalah: pilih Direktori yang menyertakan subdirektori.
- Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.
  
  Catatan: Jika Anda memilih opsi Delete transferred files atau Delete transferred files and empty directories, pastikan Anda telah memberikan izin yang sesuai ke akun layanan.
- Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
collection_time.nanos	timestamp.nanos	Dipetakan langsung dari kolom log. Merepresentasikan stempel waktu peristiwa dalam nanodetik.
collection_time.seconds	timestamp.seconds	Dipetakan langsung dari kolom log. Merepresentasikan stempel waktu peristiwa dalam detik.
createTime	entity.metadata.creation_timestamp	Dipetakan langsung dari kolom log setelah diuraikan oleh filter `date`. Merepresentasikan stempel waktu pembuatan pengguna.
managementState	entity.additional.fields.value.string_value	Dipetakan langsung dari kolom log. Merepresentasikan status pengelolaan pengguna.
nama	entity.entity.resource.name	Dipetakan langsung dari kolom log. Merepresentasikan nama resource lengkap pengguna perangkat.
passwordState	entity.additional.fields.value.string_value	Dipetakan langsung dari kolom log. Merepresentasikan status sandi pengguna. Kolom ini hanya dipetakan jika kolom `passwordState` ada dalam log mentah.
userEmail	entity.entity.user.email_addresses	Dipetakan langsung dari kolom log. Merepresentasikan alamat email pengguna.
	entity.additional.fields.key	Tetapkan ke nilai konstan `Management State` dalam parser. Kolom ini digunakan untuk memberikan konteks ke nilai `managementState`.
	entity.additional.fields.key	Tetapkan ke nilai konstan `Password State` dalam parser. Kolom ini digunakan untuk memberikan konteks ke nilai `passwordState` dan hanya ada jika `passwordState` ada dalam log mentah.
	entity.entity.user.product_object_id	Diekstrak dari kolom `name` menggunakan filter `grok`, yang mengambil bagian `deviceuser_id`. Merepresentasikan ID unik pengguna perangkat.
	entity.metadata.collected_timestamp.nanos	Disalin dari `collection_time.nanos`. Merepresentasikan stempel waktu saat log dikumpulkan.
	entity.metadata.collected_timestamp.seconds	Disalin dari `collection_time.seconds`. Merepresentasikan stempel waktu saat log dikumpulkan.
	entity.metadata.entity_type	Tetapkan ke nilai konstan `USER` dalam parser.
	entity.metadata.product_name	Tetapkan ke nilai konstan `GCP Cloud Identity Device Users` dalam parser.
	entity.metadata.vendor_name	Tetapkan ke nilai konstan `Google Cloud Platform` dalam parser.
	relations.entity.asset.product_object_id	Diekstrak dari kolom `name` menggunakan filter `grok`, yang mengambil bagian `device_id`. Menampilkan ID unik perangkat.
	relations.entity_type	Tetapkan ke nilai konstan `ASSET` dalam parser.
	relations.relationship	Tetapkan ke nilai konstan `MEMBER` dalam parser.

Perubahan

2022-10-01

Perbaikan bug:

Menghapus pemetaan untuk kolom firstSyncTime, lastSyncTime.
Menambahkan kondisi untuk memeriksa passwordState tidak kosong.

2022-04-21

Peningkatan:

Mengubah nilai relationships.entity_type menjadi ASSET, relations.relationship menjadi MEMBER
Mengubah pemetaan untuk firstSyncTime dan lastSyncTime dari additional.fields menjadi entity.metadata.interval

13-04-2022

Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.