Coletar registros de usuários de dispositivos do Cloud Identity

Compatível com:

Neste documento, explicamos como exportar registros de usuários de dispositivos do Cloud Identity para o Google Security Operations usando o Cloud Storage. Primeiro, o analisador extrai dados de registros Cloud Identity Device Users formatados em JSON e transforma o carimbo de data/hora no formato padronizado. Em seguida, ele mapeia campos específicos dos dados de registro brutos para os campos correspondentes no modelo de dados unificado (UDM) de entidades de usuário, as relações delas com recursos e outros atributos de usuário, como estados de gerenciamento e senha.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • O Google Cloud Identity está ativado no seu projeto Google Cloud .
  • Instância do Google SecOps.
  • Acesso privilegiado ao Google Cloud Identity e ao Cloud Logging.

Criar um bucket do Cloud Storage

  1. Faça login no console doGoogle Cloud .

  2. Acesse a página Buckets do Cloud Storage.

    Acessar buckets

  3. Clique em Criar.

  4. Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima etapa:

    1. Na seção Começar, faça o seguinte:

      1. Insira um nome exclusivo que atenda aos requisitos de nome de bucket. Por exemplo, gcp-cloudidentity-users-logs.

      2. Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.

      3. Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.

      4. Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

    2. Na seção Escolha onde armazenar seus dados, faça o seguinte:

      1. Selecione um tipo de local.

      2. Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.

      3. Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.

    3. Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.

    4. Na seção Escolha como controlar o acesso a objetos, desmarque Aplicar prevenção de acesso público e selecione um modelo de Controle de acesso para os objetos do bucket.

    5. Na seção Escolha como proteger os dados do objeto, faça o seguinte:

      1. Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
      2. Para escolher como os dados do objeto serão criptografados, clique na seta de expansão identificada como Criptografia de dados e selecione um método de criptografia de dados.

  5. Clique em Criar.

Configurar a exportação de registros de usuários de dispositivos do Cloud Identity

  1. Faça login no console doGoogle Cloud .
  2. Acesse Logging > Roteador de registros.
  3. Clique em Criar coletor.

  4. Forneça os seguintes parâmetros de configuração:

    • Nome do coletor: insira um nome significativo, por exemplo, Cloudidentity-Users-Sink.
    • Destino do gravador: selecione Cloud Storage e insira o URI do bucket. Por exemplo, gs://gcp-cloudidentity-users-logs.

    • Filtro de registros:

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_user"

    • Definir opções de exportação: inclua todas as entradas de registro.

  5. Clique em Criar.

Configurar permissões para o Cloud Storage

  1. Acesse IAM e administrador > IAM.
  2. Localize a conta de serviço do Cloud Logging.
  3. Conceda o papel roles/storage.admin no bucket.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros de uso do Cloud Identity.
  5. Selecione API de terceiros como o Tipo de origem.
  6. Selecione Usuários de dispositivos do Cloud Identity do GCP como o Tipo de registro.
  7. Clique em Próxima.
  8. Especifique valores para os seguintes parâmetros de entrada:
    • Endpoint JWT do OAuth: endpoint para recuperar o JSON Web Token (JWT) do OAuth.
    • Emissor de declarações JWT: geralmente o ID do cliente.
    • Assunto das declarações do JWT: geralmente um endereço de e-mail.
    • Público das declarações do JWT: público das declarações do JWT.
    • Chave privada RSA: insira no formato PEM.
  9. Clique em Próxima.
  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • URI do bucket de armazenamento: URL do bucket do Cloud Storage. Por exemplo, gs://gcp-cloudidentity-users-logs.
  • URI é um: selecione Diretório que inclui subdiretórios.

  • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
collection_time.nanos timestamp.nanos Mapeado diretamente do campo de registro. Representa o carimbo de data/hora do evento em nanossegundos.
collection_time.seconds timestamp.seconds Mapeado diretamente do campo de registro. Representa o carimbo de data/hora do evento em segundos.
createTime entity.metadata.creation_timestamp Mapeado diretamente do campo de registro após ser analisado pelo filtro date. Representa o carimbo de data/hora de criação do usuário.
managementState entity.additional.fields.value.string_value Mapeado diretamente do campo de registro. Representa o estado de gerenciamento do usuário.
nome entity.entity.resource.name Mapeado diretamente do campo de registro. Representa o nome completo do recurso do usuário do dispositivo.
passwordState entity.additional.fields.value.string_value Mapeado diretamente do campo de registro. Representa o estado da senha do usuário. Esse campo só é mapeado se o campo passwordState existir no registro bruto.
userEmail entity.entity.user.email_addresses Mapeado diretamente do campo de registro. Representa o endereço de e-mail do usuário.
entity.additional.fields.key Definido como um valor constante Management State no analisador. Esse campo é usado para fornecer contexto ao valor managementState.
entity.additional.fields.key Definido como um valor constante Password State no analisador. Esse campo é usado para fornecer contexto ao valor passwordState e só aparece se passwordState estiver presente no registro bruto.
entity.entity.user.product_object_id Extraído do campo name usando o filtro grok, capturando a parte deviceuser_id. Representa o identificador exclusivo do usuário do dispositivo.
entity.metadata.collected_timestamp.nanos Copiado de collection_time.nanos. Representa o carimbo de data/hora em que o registro foi coletado.
entity.metadata.collected_timestamp.seconds Copiado de collection_time.seconds. Representa o carimbo de data/hora em que o registro foi coletado.
entity.metadata.entity_type Definido como um valor constante USER no analisador.
entity.metadata.product_name Definido como um valor constante GCP Cloud Identity Device Users no analisador.
entity.metadata.vendor_name Definido como um valor constante Google Cloud Platform no analisador.
relations.entity.asset.product_object_id Extraído do campo name usando o filtro grok, capturando a parte device_id. Representa o identificador exclusivo do dispositivo.
relations.entity_type Definido como um valor constante ASSET no analisador.
relations.relationship Definido como um valor constante MEMBER no analisador.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.