Mengumpulkan log Pengguna Perangkat Cloud Identity

Didukung di:

Dokumen ini menjelaskan cara mengekspor log Pengguna Perangkat Cloud Identity ke Google Security Operations menggunakan Cloud Storage. Parser pertama-tama mengekstrak data dari log Cloud Identity Device Users berformat JSON dan mengubah stempel waktu ke format standar. Kemudian, data ini memetakan kolom tertentu dari data log mentah ke kolom yang sesuai dalam model data terpadu (UDM) untuk entitas pengguna, hubungannya dengan aset, dan atribut pengguna tambahan seperti status pengelolaan dan sandi.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Google Cloud Identity diaktifkan di project Google Cloud Anda.
  • Instance Google SecOps.
  • Akses istimewa ke Google Cloud Identity dan Cloud Logging.

Membuat bucket Cloud Storage

  1. Login ke konsolGoogle Cloud .

  2. Buka halaman Cloud Storage Buckets.

    Buka Buckets

  3. Klik Buat.

  4. Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:

    1. Di bagian Mulai, lakukan tindakan berikut:

      1. Masukkan nama unik yang memenuhi persyaratan nama bucket; misalnya, gcp-cloudidentity-users-logs.

      2. Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja berorientasi file dan intensif data, lalu pilih Aktifkan namespace Hierarkis di bucket ini.

      3. Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Label.

      4. Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

    2. Di bagian Pilih lokasi untuk menyimpan data Anda, lakukan hal berikut:

      1. Pilih Jenis lokasi.

      2. Gunakan menu jenis lokasi untuk memilih Lokasi tempat data objek dalam bucket Anda akan disimpan secara permanen.

      3. Untuk menyiapkan replikasi lintas bucket, luaskan bagian Siapkan replikasi lintas bucket.

    3. Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.

    4. Di bagian Pilih cara mengontrol akses ke objek, hapus centang Terapkan pencegahan akses publik, lalu pilih model Kontrol akses untuk objek bucket Anda.

    5. Di bagian Pilih cara melindungi data objek, lakukan tindakan berikut:

      1. Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket Anda.
      2. Untuk memilih cara mengenkripsi data objek Anda, klik panah peluas berlabel Enkripsi data, lalu pilih metode enkripsi data.

  5. Klik Buat.

Mengonfigurasi ekspor log Pengguna Perangkat Cloud Identity

  1. Login ke konsolGoogle Cloud .
  2. Buka Logging > Log Router.
  3. Klik Create Sink.

  4. Berikan parameter konfigurasi berikut:

    • Sink Name: masukkan nama yang bermakna; misalnya, Cloudidentity-Users-Sink.
    • Sink Destination: pilih Cloud Storage Storage dan masukkan URI untuk bucket Anda; misalnya, gs://gcp-cloudidentity-users-logs.

    • Filter Log:

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_user"

    • Tetapkan Opsi Ekspor: menyertakan semua entri log.

  5. Klik Buat.

Mengonfigurasi izin untuk Cloud Storage

  1. Buka IAM & Admin > IAM.
  2. Temukan akun layanan Cloud Logging.
  3. Berikan roles/storage.admin pada bucket.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed > Tambahkan Baru
  • Hub Konten > Paket Konten > Mulai

Cara menyiapkan feed Pengguna Perangkat Identitas Google Cloud

  1. Klik paket Google Cloud Compute platform.
  2. Cari jenis log Google Cloud Pengguna Perangkat Identitas, lalu klik Tambahkan feed baru.
  3. Tentukan nilai untuk kolom berikut:
    • Jenis Sumber: API pihak ketiga
    • Endpoint JWT OAuth: endpoint untuk mengambil token web JSON (JWT) OAuth.
    • Penerbit klaim JWT: biasanya ID klien.
    • Subjek klaim JWT: biasanya alamat email.
    • Audiens klaim JWT: Audiens klaim JWT.
    • Kunci pribadi RSA: masukkan dalam format PEM.

Opsi lanjutan

  • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
  • Namespace Aset: Namespace yang terkait dengan feed.
  • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.
  1. Klik Buat feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
collection_time.nanos timestamp.nanos Dipetakan langsung dari kolom log. Mewakili stempel waktu peristiwa dalam nanodetik.
collection_time.seconds timestamp.seconds Dipetakan langsung dari kolom log. Mewakili stempel waktu acara dalam detik.
createTime entity.metadata.creation_timestamp Dipetakan langsung dari kolom log setelah diuraikan oleh filter date. Mewakili stempel waktu pembuatan pengguna.
managementState entity.additional.fields.value.string_value Dipetakan langsung dari kolom log. Mewakili status pengelolaan pengguna.
nama entity.entity.resource.name Dipetakan langsung dari kolom log. Mewakili nama lengkap resource pengguna perangkat.
passwordState entity.additional.fields.value.string_value Dipetakan langsung dari kolom log. Mewakili status sandi pengguna. Kolom ini hanya dipetakan jika kolom passwordState ada dalam log mentah.
userEmail entity.entity.user.email_addresses Dipetakan langsung dari kolom log. Mewakili alamat email pengguna.
entity.additional.fields.key Ditetapkan ke nilai konstanta Management State dalam parser. Kolom ini digunakan untuk memberikan konteks pada nilai managementState.
entity.additional.fields.key Ditetapkan ke nilai konstanta Password State dalam parser. Kolom ini digunakan untuk memberikan konteks pada nilai passwordState dan hanya ada jika passwordState ada di log mentah.
entity.entity.user.product_object_id Diekstrak dari kolom name menggunakan filter grok, yang mengambil bagian deviceuser_id. Mewakili ID unik pengguna perangkat.
entity.metadata.collected_timestamp.nanos Disalin dari collection_time.nanos. Menyatakan stempel waktu saat log dikumpulkan.
entity.metadata.collected_timestamp.seconds Disalin dari collection_time.seconds. Menyatakan stempel waktu saat log dikumpulkan.
entity.metadata.entity_type Ditetapkan ke nilai konstanta USER dalam parser.
entity.metadata.product_name Ditetapkan ke nilai konstanta GCP Cloud Identity Device Users dalam parser.
entity.metadata.vendor_name Ditetapkan ke nilai konstanta Google Cloud Platform dalam parser.
relations.entity.asset.product_object_id Diekstrak dari kolom name menggunakan filter grok, yang mengambil bagian device_id. Menampilkan ID unik perangkat.
relations.entity_type Ditetapkan ke nilai konstanta ASSET dalam parser.
relations.relationship Ditetapkan ke nilai konstanta MEMBER dalam parser.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.