Raccogliere i log degli utenti dei dispositivi Cloud Identity

Supportato in:

Questo documento spiega come esportare i log degli utenti dei dispositivi Cloud Identity in Google Security Operations utilizzando Cloud Storage. Il parser estrae prima i dati dai log Cloud Identity Device Users in formato JSON e trasforma il timestamp nel formato standardizzato. Poi mappa campi specifici dei dati dei log non elaborati ai campi corrispondenti nel modello di dati unificato (UDM) per le entità utente, le relative relazioni con le risorse e altri attributi utente come la gestione e gli stati delle password.

Prima di iniziare

  • Assicurati che l'identità Google Cloud sia attivata nel tuo progetto Google Cloud .
  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso con privilegi a Google Cloud Identity e Cloud Logging.

Crea un bucket Cloud Storage

  1. Accedi alla console Google Cloud.

  2. Vai alla pagina Bucket Cloud Storage.

    Vai a Bucket

  3. Fai clic su Crea.

  4. Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio che segue, fai clic su Continua per passare al passaggio successivo:

    1. Nella sezione Inizia:

      1. Inserisci un nome univoco che soddisfi i requisiti per i nomi dei bucket, ad esempio gcp-cloudidentity-users-logs.

      2. Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per i workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita uno spazio dei nomi gerarchico in questo bucket.

      3. Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.

      4. Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

    2. Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:

      1. Seleziona un Tipo di località.

      2. Utilizza il menu del tipo di località per selezionare una Località in cui verranno archiviati in modo permanente i dati degli oggetti all'interno del bucket.

      3. Per configurare la replica tra bucket, espandi la sezione Configura la replica tra bucket.

    3. Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket o Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.

    4. Nella sezione Scegli come controllare l'accesso agli oggetti, seleziona no per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.

    5. Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:

      1. Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
      2. Per scegliere la modalità di crittografia dei dati degli oggetti, fai clic sulla freccia di espansione etichettata Crittografia dei dati e seleziona un Metodo di crittografia dei dati.

  5. Fai clic su Crea.

Configurare l'esportazione dei log degli utenti dei dispositivi Cloud Identity

  1. Accedi alla console Google Cloud.
  2. Vai a Logging > Router dei log.
  3. Fai clic su Crea sink.

  4. Fornisci i seguenti parametri di configurazione:

    • Nome sink: inserisci un nome significativo, ad esempio Cloudidentity-Users-Sink.
    • Destinazione della destinazione: seleziona Cloud Storage e inserisci l'URI del bucket, ad esempio gs://gcp-cloudidentity-users-logs.

    • Filtro log:

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_user"

    • Imposta opzioni di esportazione: includi tutte le voci di log.

  5. Fai clic su Crea.

Configura le autorizzazioni per Cloud Storage

  1. Vai a IAM e amministrazione > IAM.
  2. Individua l'account di servizio Cloud Logging.
  3. Concedi il ruolo roles/storage.admin al bucket.

Configura un feed in Google SecOps per importare i log degli utenti dei dispositivi Cloud Identity

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Cloud Identity DU Logs.
  4. Seleziona Google Cloud Storage come Tipo di origine.
  5. Seleziona Utenti di dispositivi Cloud Identity di Google Cloud come Tipo di log.
  6. Fai clic su Ottieni account di servizio accanto al campo Account di servizio Chronicle.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URI del bucket di archiviazione: URL del bucket Cloud Storage, ad esempio gs://gcp-cloudidentity-users-logs.
    • URI è: seleziona Directory che include sottodirectory.

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
collection_time.nanos timestamp.nanos Mappato direttamente dal campo del log. Rappresenta il timestamp dell'evento in nanosecondi.
collection_time.seconds timestamp.seconds Mappato direttamente dal campo del log. Rappresenta il timestamp dell'evento in secondi.
createTime entity.metadata.creation_timestamp Mappato direttamente dal campo del log dopo essere stato analizzato dal filtro date. Rappresenta il timestamp di creazione dell'utente.
managementState entity.additional.fields.value.string_value Mappato direttamente dal campo del log. Rappresenta lo stato di gestione dell'utente.
nome entity.entity.resource.name Mappato direttamente dal campo del log. Rappresenta il nome completo della risorsa dell'utente del dispositivo.
passwordState entity.additional.fields.value.string_value Mappato direttamente dal campo del log. Rappresenta lo stato della password dell'utente. Questo campo viene mappato solo se il campo passwordState esiste nel log non elaborato.
userEmail entity.entity.user.email_addresses Mappato direttamente dal campo del log. Rappresenta l'indirizzo email dell'utente.
entity.additional.fields.key Impostato su un valore costante Management State all'interno dell'analizzatore. Questo campo viene utilizzato per fornire il contesto al valore managementState.
entity.additional.fields.key Impostato su un valore costante Password State all'interno dell'analizzatore. Questo campo viene utilizzato per fornire il contesto al valore passwordState ed è presente solo se passwordState esiste nel log non elaborato.
entity.entity.user.product_object_id Estratto dal campo name utilizzando il filtro grok, acquisendo la parte deviceuser_id. Rappresenta l'identificatore univoco dell'utente del dispositivo.
entity.metadata.collected_timestamp.nanos Copiato da collection_time.nanos. Rappresenta il timestamp del momento in cui è stato raccolto il log.
entity.metadata.collected_timestamp.seconds Copiato da collection_time.seconds. Rappresenta il timestamp del momento in cui è stato raccolto il log.
entity.metadata.entity_type Impostato su un valore costante USER all'interno dell'analizzatore.
entity.metadata.product_name Impostato su un valore costante GCP Cloud Identity Device Users all'interno dell'analizzatore.
entity.metadata.vendor_name Impostato su un valore costante Google Cloud Platform all'interno dell'analizzatore.
relations.entity.asset.product_object_id Estratto dal campo name utilizzando il filtro grok, acquisendo la parte device_id. Rappresenta l'identificatore univoco del dispositivo.
relations.entity_type Impostato su un valore costante ASSET all'interno dell'analizzatore.
relations.relationship Impostato su un valore costante MEMBER all'interno dell'analizzatore.

Modifiche

2022-10-01

Correzione di bug:

  • È stata rimossa la mappatura per il campo firstSyncTime, lastSyncTime.
  • È stata aggiunta una condizione per verificare che passwordState non sia vuoto.

2022-04-21

Miglioramento:

  • Il valore di relationships.entity_type è stato modificato in ASSET e quello di relations.relationship in MEMBER
  • La mappatura di firstSyncTime e lastSyncTime è passata da additional.fields a entity.metadata.interval

2022-04-13

  • Parser appena creato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.