Neste documento, explicamos como exportar registros de usuários de dispositivos do Cloud Identity para o Google Security Operations usando o Cloud Storage. Primeiro, o analisador extrai dados de registros Cloud Identity Device Users formatados em JSON e transforma o carimbo de data/hora no formato padronizado. Em seguida, ele mapeia campos específicos dos dados de registro brutos para os campos correspondentes no modelo de dados unificado (UDM) de entidades de usuário, as relações delas com recursos e outros atributos de usuário, como estados de gerenciamento e senha.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
O Google Cloud Identity está ativado no seu projeto Google Cloud .
Instância do Google SecOps.
Acesso privilegiado ao Google Cloud Identity e ao Cloud Logging.
Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima etapa:
Na seção Começar, faça o seguinte:
Insira um nome exclusivo que atenda aos requisitos de nome de bucket. Por exemplo, gcp-cloudidentity-users-logs.
Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.
Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.
Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.
Na seção Escolha onde armazenar seus dados, faça o seguinte:
Selecione um tipo de local.
Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.
Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.
Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.
Na seção Escolha como controlar o acesso a objetos, desmarque Aplicar prevenção de acesso público e selecione um modelo de Controle de acesso para os objetos do bucket.
Na seção Escolha como proteger os dados do objeto, faça o seguinte:
Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
Para escolher como os dados do objeto serão criptografados, clique na seta de expansão identificada como Criptografia de dados e selecione um método de criptografia de dados.
Clique em Criar.
Configurar a exportação de registros de usuários de dispositivos do Cloud Identity
Definir opções de exportação: inclua todas as entradas de registro.
Clique em Criar.
Configurar permissões para o Cloud Storage
Acesse IAM e administrador > IAM.
Localize a conta de serviço do Cloud Logging.
Conceda o papel roles/storage.admin no bucket.
Configurar feeds
Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:
Configurações do SIEM > Feeds > Adicionar novo
Central de conteúdo > Pacotes de conteúdo > Começar
Como configurar o feed de usuários de dispositivos de identidade Google Cloud
Clique no pacote Plataforma de computação do Google Cloud.
Localize o tipo de registro Google Cloud Usuários de dispositivos de identidade e clique em Adicionar novo feed.
Especifique valores para os seguintes campos:
Tipo de origem: API de terceiros
Endpoint JWT do OAuth: endpoint para recuperar o JSON Web Token (JWT) do OAuth.
Emissor de declarações JWT: geralmente o ID do cliente.
Assunto das declarações do JWT: geralmente um endereço de e-mail.
Público das declarações do JWT: público das declarações do JWT.
Chave privada RSA: insira no formato PEM.
Opções avançadas
Nome do feed: um valor pré-preenchido que identifica o feed.
Namespace do recurso: namespace associado ao feed.
Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
Clique em Criar feed.
Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.
Tabela de mapeamento do UDM
Campo de registro
Mapeamento do UDM
Lógica
collection_time.nanos
timestamp.nanos
Mapeado diretamente do campo de registro. Representa o carimbo de data/hora do evento em nanossegundos.
collection_time.seconds
timestamp.seconds
Mapeado diretamente do campo de registro. Representa o carimbo de data/hora do evento em segundos.
createTime
entity.metadata.creation_timestamp
Mapeado diretamente do campo de registro após ser analisado pelo filtro date. Representa o carimbo de data/hora de criação do usuário.
managementState
entity.additional.fields.value.string_value
Mapeado diretamente do campo de registro. Representa o estado de gerenciamento do usuário.
nome
entity.entity.resource.name
Mapeado diretamente do campo de registro. Representa o nome completo do recurso do usuário do dispositivo.
passwordState
entity.additional.fields.value.string_value
Mapeado diretamente do campo de registro. Representa o estado da senha do usuário. Esse campo só é mapeado se o campo passwordState existir no registro bruto.
userEmail
entity.entity.user.email_addresses
Mapeado diretamente do campo de registro. Representa o endereço de e-mail do usuário.
entity.additional.fields.key
Definido como um valor constante Management State no analisador. Esse campo é usado para fornecer contexto ao valor managementState.
entity.additional.fields.key
Definido como um valor constante Password State no analisador. Esse campo é usado para fornecer contexto ao valor passwordState e só aparece se passwordState estiver presente no registro bruto.
entity.entity.user.product_object_id
Extraído do campo name usando o filtro grok, capturando a parte deviceuser_id. Representa o identificador exclusivo do usuário do dispositivo.
entity.metadata.collected_timestamp.nanos
Copiado de collection_time.nanos. Representa o carimbo de data/hora em que o registro foi coletado.
entity.metadata.collected_timestamp.seconds
Copiado de collection_time.seconds. Representa o carimbo de data/hora em que o registro foi coletado.
entity.metadata.entity_type
Definido como um valor constante USER no analisador.
entity.metadata.product_name
Definido como um valor constante GCP Cloud Identity Device Users no analisador.
entity.metadata.vendor_name
Definido como um valor constante Google Cloud Platform no analisador.
relations.entity.asset.product_object_id
Extraído do campo name usando o filtro grok, capturando a parte device_id. Representa o identificador exclusivo do dispositivo.
relations.entity_type
Definido como um valor constante ASSET no analisador.
relations.relationship
Definido como um valor constante MEMBER no analisador.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[[["\u003cp\u003eThis document guides you through exporting Cloud Identity Device Users logs into Google Security Operations using Cloud Storage, transforming JSON-formatted logs into a standardized UDM format.\u003c/p\u003e\n"],["\u003cp\u003eYou must first create a Cloud Storage bucket, ensuring you have the necessary access to Google Cloud Identity, Cloud Logging, and a Google SecOps instance.\u003c/p\u003e\n"],["\u003cp\u003eThe configuration process involves setting up a log sink in Cloud Logging to direct logs to your Cloud Storage bucket and then creating a feed in Google SecOps to ingest these logs.\u003c/p\u003e\n"],["\u003cp\u003eThe parser maps raw log fields such as \u003ccode\u003ecollection_time\u003c/code\u003e, \u003ccode\u003ecreateTime\u003c/code\u003e, \u003ccode\u003emanagementState\u003c/code\u003e, and \u003ccode\u003euserEmail\u003c/code\u003e to corresponding fields in the unified data model (UDM), enriching the data with entity and relationship information.\u003c/p\u003e\n"],["\u003cp\u003eThe parser has been updated since its inception, including bug fixes such as the removal of \u003ccode\u003efirstSyncTime\u003c/code\u003e and \u003ccode\u003elastSyncTime\u003c/code\u003e, as well as enhancements to UDM field mapping for a more comprehensive understanding of device users.\u003c/p\u003e\n"]]],[],null,["# Collect Cloud Identity Device Users logs\n========================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document explains how to export Cloud Identity Device Users logs into Google Security Operations using Cloud Storage. The parser first extracts data from JSON formatted `Cloud Identity Device Users` logs and transforms the timestamp to the standardized format. Then, it maps specific fields from the raw log data to the corresponding fields in the unified data model (UDM) for user entities, their relationships to assets, and additional user attributes like management and password states.\n\nBefore you begin\n----------------\n\nMake sure you have the following prerequisites:\n\n- Google Cloud Identity is enabled in your Google Cloud project.\n- Google SecOps instance.\n- Privileged access to Google Cloud Identity and Cloud Logging.\n\nCreate a Cloud Storage bucket\n-----------------------------\n\n1. Sign in to the [Google Cloud console](https://console.cloud.google.com/).\n2. Go to the **Cloud Storage Buckets** page.\n\n [Go to Buckets](https://console.cloud.google.com/storage/browser)\n3. Click **Create**.\n\n4. On the **Create a bucket** page, enter your bucket information. After each of the following steps, click **Continue** to proceed to the next step:\n\n 1. In the **Get started** section, do the following:\n\n 1. Enter a unique name that meets the bucket name requirements; for example, **gcp-cloudidentity-users-logs**.\n 2. To enable hierarchical namespace, click the expander arrow to expand the **Optimize for file oriented and data-intensive workloads** section, and then select **Enable Hierarchical namespace on this bucket**.\n\n | **Note:** You cannot enable hierarchical namespace on an existing bucket.\n 3. To add a bucket label, click the expander arrow to expand the **Labels** section.\n\n 4. Click **Add label**, and specify a key and a value for your label.\n\n 2. In the **Choose where to store your data** section, do the following:\n\n 1. Select a **Location type**.\n 2. Use the location type menu to select a **Location** where object data within your bucket will be permanently stored.\n\n | **Note:** If you select the **dual-region** location type, you can also choose to enable **turbo replication** by using the relevant checkbox.\n 3. To set up cross-bucket replication, expand the **Set up cross-bucket replication** section.\n\n 3. In the **Choose a storage class for your data** section, either select a **default storage class** for the bucket, or select **Autoclass** for automatic storage class management of your bucket's data.\n\n 4. In the **Choose how to control access to objects** section, clear **Enforce public access prevention** , and select an **Access control** model for your bucket's objects.\n\n | **Note:** If public access prevention is already enforced by your project's organization policy, the **Enforce public access prevention on this bucket** checkbox is locked.\n 5. In the **Choose how to protect object data** section, do the following:\n\n 1. Select any of the options under **Data protection** that you want to set for your bucket.\n 2. To choose how your object data will be encrypted, click the expander arrow labeled **Data encryption**, and select a data encryption method.\n5. Click **Create**.\n\n| **Note:** Be sure to provide your Google SecOps service account with permissions to Read or Read \\& Write to the newly created bucket.\n\nConfigure Cloud Identity Device Users logs export\n-------------------------------------------------\n\n1. Sign in to the [Google Cloud console](https://console.cloud.google.com/).\n2. Go to **Logging \\\u003e Log Router**.\n3. Click **Create Sink**.\n4. Provide the following configuration parameters:\n\n - **Sink Name** : enter a meaningful name; for example, `Cloudidentity-Users-Sink`.\n - **Sink Destination** : select **Cloud Storage Storage** and enter the URI for your bucket; for example, `gs://gcp-cloudidentity-users-logs`.\n - **Log Filter**:\n\n logName=\"projects/\u003cyour-project-id\u003e/logs/cloudaudit.googleapis.com%2Factivity\"\n resource.type=\"cloud_identity_user\"\n\n - **Set Export Options**: include all log entries.\n\n5. Click **Create**.\n\nConfigure permissions for Cloud Storage\n---------------------------------------\n\n1. Go to **IAM \\& Admin \\\u003e IAM**.\n2. Locate the **Cloud Logging** service account.\n3. Grant the **roles/storage.admin** on the bucket.\n\nSet up feeds\n------------\n\nThere are two different entry points to set up feeds in the\nGoogle SecOps platform:\n\n- **SIEM Settings \\\u003e Feeds \\\u003e Add New**\n- **Content Hub \\\u003e Content Packs \\\u003e Get Started**\n\nHow to set up the Google Cloud Identity Device Users feed\n---------------------------------------------------------\n\n1. Click the **Google Cloud Compute platform** pack.\n2. Locate the **Google Cloud Identity Device Users** log type and click **Add new feed**.\n3. Specify values for the following fields:\n - **Source Type**: Third party API\n - **OAuth JWT endpoint**: endpoint to retrieve the OAuth JSON web token (JWT).\n - **JWT claims issuer**: usually the client ID.\n - **JWT claims subject**: usually an email address.\n - **JWT claims audience**: JWT claims audience.\n - **RSA private key**: enter in PEM format.\n\n**Advanced options**\n\n- **Feed Name**: A prepopulated value that identifies the feed.\n- **Asset Namespace**: Namespace associated with the feed.\n- **Ingestion Labels**: Labels applied to all events from this feed.\n\n1. Click **Create feed**.\n\n| **Note:** The Content Hub is not available on the SIEM standalone platform. To upgrade, contact your Google SecOps representative.\n\nFor more information about configuring multiple feeds for different log types within this product family, see [Configure feeds by product](/chronicle/docs/ingestion/ingestion-entities/configure-multiple-feeds).\n\nUDM Mapping Table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
