Recolha registos de utilizadores de dispositivos do Cloud ID

Compatível com:

Este documento explica como exportar registos de utilizadores de dispositivos do Cloud Identity para o Google Security Operations através do Cloud Storage. O analisador extrai primeiro os dados dos registos no formato JSON e transforma a data/hora no formato padronizado.Cloud Identity Device Users Em seguida, mapeia campos específicos dos dados de registo não processados para os campos correspondentes no modelo de dados unificado (UDM) para entidades de utilizadores, as respetivas relações com recursos e atributos de utilizadores adicionais, como estados de gestão e de palavra-passe.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • O Google Cloud Identity está ativado no seu Google Cloud projeto.
  • Instância do Google SecOps.
  • Acesso privilegiado ao Google Cloud Identity e ao Cloud Logging.

Crie um contentor do Cloud Storage

  1. Inicie sessão na Google Cloud consola.

  2. Aceda à página Contentores do Cloud Storage.

    Aceda aos contentores

  3. Clique em Criar.

  4. Na página Criar um depósito, introduza as informações do depósito. Após cada um dos passos seguintes, clique em Continuar para avançar para o passo seguinte:

    1. Na secção Começar, faça o seguinte:

      1. Introduza um nome exclusivo que cumpra os requisitos do nome do contentor; por exemplo, gcp-cloudidentity-users-logs.

      2. Para ativar o espaço de nomes hierárquico, clique na seta de expansão para expandir a secção Otimizar para cargas de trabalho orientadas para ficheiros e com grande volume de dados e, de seguida, selecione Ativar espaço de nomes hierárquico neste contentor.

      3. Para adicionar uma etiqueta de grupo, clique na seta de expansão para expandir a secção Etiquetas.

      4. Clique em Adicionar etiqueta e especifique uma chave e um valor para a etiqueta.

    2. Na secção Escolha onde quer armazenar os seus dados, faça o seguinte:

      1. Selecione um Tipo de localização.

      2. Use o menu de tipo de localização para selecionar uma Localização onde os dados de objetos no seu contentor vão ser armazenados permanentemente.

      3. Para configurar a replicação entre contentores, expanda a secção Configurar replicação entre contentores.

    3. Na secção Escolha uma classe de armazenamento para os seus dados, selecione uma classe de armazenamento predefinida para o contentor ou selecione Autoclass para a gestão automática da classe de armazenamento dos dados do seu contentor.

    4. Na secção Escolha como controlar o acesso a objetos, desmarque a opção Aplicar prevenção de acesso público e selecione um modelo de Controlo de acesso para os objetos do seu contentor.

    5. Na secção Escolha como proteger os dados de objetos, faça o seguinte:

      1. Selecione qualquer uma das opções em Proteção de dados que quer definir para o seu contentor.
      2. Para escolher como os dados de objetos vão ser encriptados, clique na seta de expansão com a etiqueta Encriptação de dados e selecione um método de encriptação de dados.

  5. Clique em Criar.

Configure a exportação de registos de utilizadores de dispositivos do Cloud ID

  1. Inicie sessão na Google Cloud consola.
  2. Aceda a Registo > Router de registos.
  3. Clique em Criar destino.

  4. Forneça os seguintes parâmetros de configuração:

    • Nome do destino: introduza um nome significativo; por exemplo, Cloudidentity-Users-Sink.
    • Destino da sincronização: selecione Armazenamento do Cloud Storage e introduza o URI do seu contentor; por exemplo, gs://gcp-cloudidentity-users-logs.

    • Filtro de registo:

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_user"

    • Definir opções de exportação: inclui todas as entradas do registo.

  5. Clique em Criar.

Configure autorizações para o Cloud Storage

  1. Aceda a IAM e administrador > IAM.
  2. Localize a conta de serviço do Cloud Logging.
  3. Conceda a função roles/storage.admin no contentor.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

  • Definições do SIEM > Feeds > Adicionar novo
  • Content Hub > Pacotes de conteúdo > Começar

Como configurar o Google Cloud feed de utilizadores de dispositivos de identidade

  1. Clique no pacote Google Cloud Compute platform.
  2. Localize o tipo de registo Google Cloud Utilizadores de dispositivos de identidade e clique em Adicionar novo feed.
  3. Especifique valores para os seguintes campos:
    • Tipo de origem: API de terceiros
    • Ponto final do JWT OAuth: ponto final para obter o símbolo da Web JSON (JWT) do OAuth.
    • Emissor de reivindicações JWT: normalmente, o ID do cliente.
    • Assunto das reivindicações JWT: normalmente, um endereço de email.
    • Público-alvo de reivindicações JWT: público-alvo de reivindicações JWT.
    • Chave privada RSA: introduza no formato PEM.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Espaço de nomes do recurso: espaço de nomes associado ao feed.
  • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.
  1. Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Tabela de mapeamento da UDM

Campo de registo Mapeamento de UDM Lógica
collection_time.nanos timestamp.nanos Mapeado diretamente a partir do campo de registo. Representa a data/hora do evento em nanosegundos.
collection_time.seconds timestamp.seconds Mapeado diretamente a partir do campo de registo. Representa a data/hora do evento em segundos.
createTime entity.metadata.creation_timestamp Mapeado diretamente a partir do campo de registo após a análise pelo filtro date. Representa a data/hora de criação do utilizador.
managementState entity.additional.fields.value.string_value Mapeado diretamente a partir do campo de registo. Representa o estado de gestão do utilizador.
nome entity.entity.resource.name Mapeado diretamente a partir do campo de registo. Representa o nome do recurso completo do utilizador do dispositivo.
passwordState entity.additional.fields.value.string_value Mapeado diretamente a partir do campo de registo. Representa o estado da palavra-passe do utilizador. Este campo só é mapeado se o campo passwordState existir no registo não processado.
userEmail entity.entity.user.email_addresses Mapeado diretamente a partir do campo de registo. Representa o endereço de email do utilizador.
entity.additional.fields.key Definido para um valor constante Management State no analisador. Este campo é usado para fornecer contexto ao valor managementState.
entity.additional.fields.key Definido para um valor constante Password State no analisador. Este campo é usado para fornecer contexto ao valor passwordState e só está presente se passwordState existir no registo não processado.
entity.entity.user.product_object_id Extraído do campo name através do filtro grok, capturando a parte deviceuser_id. Representa o identificador exclusivo do utilizador do dispositivo.
entity.metadata.collected_timestamp.nanos Copiado de collection_time.nanos. Representa a indicação de tempo em que o registo foi recolhido.
entity.metadata.collected_timestamp.seconds Copiado de collection_time.seconds. Representa a indicação de tempo em que o registo foi recolhido.
entity.metadata.entity_type Definido para um valor constante USER no analisador.
entity.metadata.product_name Definido para um valor constante GCP Cloud Identity Device Users no analisador.
entity.metadata.vendor_name Definido para um valor constante Google Cloud Platform no analisador.
relations.entity.asset.product_object_id Extraído do campo name através do filtro grok, capturando a parte device_id. Representa o identificador exclusivo do dispositivo.
relations.entity_type Definido para um valor constante ASSET no analisador.
relations.relationship Definido para um valor constante MEMBER no analisador.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.