Recoger registros de contexto de análisis de gestión de identidades y accesos (IAM)

Disponible en:

En este documento se explica cómo exportar e ingerir registros de análisis de IAM en Google Security Operations mediante Cloud Storage. El analizador extrae información de usuarios y recursos de los datos JSON de IAM. A continuación, asigna los campos extraídos al UDM, lo que crea entidades de usuario con roles asociados y relaciones de recursos, lo que en última instancia enriquece el contexto de seguridad en la plataforma Google SecOps.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • IAM está configurado y activo en tu entorno de Google Cloud .
  • Acceso privilegiado a Google Cloud y permisos adecuados para acceder a los registros de gestión de identidades y accesos.

Crea un segmento de Cloud Storage

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  3. Haz clic en Crear.

  4. En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:

    1. En la sección Empezar, haz lo siguiente:

      1. Introduce un nombre único que cumpla los requisitos de nombres de segmentos. Por ejemplo, google-cloud-iam-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este bucket.

      3. Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.

      4. Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.

    2. En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:

      1. Selecciona un Tipo de ubicación.

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación donde se almacenarán de forma permanente los datos de los objetos de tu segmento.

      3. Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.

    4. En la sección Elige cómo quieres controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos del segmento.

    5. En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
      2. Para elegir cómo se cifrarán los datos de los objetos, haga clic en la flecha del desplegable Cifrado de datos y seleccione un Método de cifrado de datos.

  5. Haz clic en Crear.

Configurar la exportación de registros de análisis de gestión de identidades y accesos

  1. Inicia sesión en la consolaGoogle Cloud .
  2. Ve a Logging > Log Router.
  3. Haz clic en Crear sumidero.

  4. Proporcione los siguientes parámetros de configuración:

    • Nombre del sumidero: introduce un nombre descriptivo; por ejemplo, IAM-Analysis-Sink.
    • Destino del receptor: selecciona Cloud Storage e introduce el URI de tu segmento. Por ejemplo, gs://gcp-iam-analysis-logs/.

    • Filtro de registro:

      logName="*iam*"
resource.type="gce_instance"

Configurar permisos de Cloud Storage

  1. Ve a IAM y administración > IAM.
  2. Busca la cuenta de servicio Cloud Logging.
  3. Concede el rol roles/storage.admin en el segmento.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Registros de análisis de IAM).
  5. Selecciona Google Cloud Storage V2 como Tipo de origen.
  6. Selecciona Análisis de IAM de GCP como Tipo de registro.
  7. Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
  8. Haz clic en Siguiente.

  9. Especifique los valores de los siguientes parámetros de entrada:

    • URI de segmento de almacenamiento: URL del segmento de Cloud Storage. Por ejemplo, gs://gcp-iam-analysis-logs/. Esta URL debe terminar con una barra inclinada (/).

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.

  10. Haz clic en Siguiente.

  11. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
accessControlLists.accesses.permission relations.entity.resource.attribute.permissions.name Directamente desde el campo accessControlLists.accesses.permission del registro sin procesar.
attachedResourceFullName relations.entity.resource.name Directamente del campo attachedResourceFullName del registro sin procesar, pero sin los nombres de recursos finales.
relations.entity.resource.attribute.cloud.environment Su valor debe ser GOOGLE_CLOUD_PLATFORM.
relations.entity.resource.product_object_id En el caso de STORAGE_BUCKET, directamente desde el campo attachedResourceFullName del registro sin procesar, pero sin los nombres de recursos finales. En el caso de los conjuntos de datos de BigQuery, se trata del projectName (extraído de attachedResourceFullName) seguido de dos puntos y del campo datasetName (extraído de attachedResourceFullName).
relations.entity.resource.resource_type Determinado por el patrón del campo attachedResourceFullName en el registro sin procesar.
relations.entity_type Se define como RESOURCE, excepto en SERVICE_ACCOUNT, donde se define como USER.
relations.relationship Su valor debe ser MEMBER.
metadata.collected_timestamp Directamente desde el campo timestamp del registro sin procesar.
metadata.entity_type Su valor debe ser USER.
metadata.product_name Su valor debe ser GCP IAM ANALYSIS.
metadata.vendor_name Su valor debe ser Google Cloud Platform.
iamBinding.role entity.user.attribute.roles.name Directamente desde el campo iamBinding.role del registro sin procesar.
identityList.identities.name entity.user.attribute.roles.type Se establece en SERVICE_ACCOUNT si el campo identityList.identities.name contiene la cadena serviceAccount.
entity.user.email_addresses Si el campo identityList.identities.name contiene el símbolo @, se trata como una dirección de correo electrónico.
entity.user.userid Si el campo identityList.identities.name no contiene el símbolo @, se trata como un ID de usuario.
identityList.identities.product_object_id entity.user.product_object_id Directamente desde el campo identityList.identities.product_object_id del registro sin procesar.
timestamp timestamp Directamente desde el campo timestamp del registro sin procesar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.