Mengumpulkan log Analisis Identity and Access Management (IAM)

Didukung di:

Dokumen ini menjelaskan cara mengekspor dan menyerap log Analisis IAM ke Google Security Operations menggunakan Cloud Storage. Parser mengekstrak informasi pengguna dan resource dari data JSON IAM. Kemudian, kolom yang diekstrak dipetakan ke UDM, sehingga membuat entitas pengguna dengan peran dan hubungan resource terkait, yang pada akhirnya memperkaya konteks keamanan dalam platform SecOps Google.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps.
  • IAM disiapkan dan aktif di Google Cloud lingkungan Anda.
  • Akses istimewa ke Google Cloud dan izin yang sesuai untuk mengakses log IAM.

Membuat bucket Cloud Storage

  1. Login ke konsolGoogle Cloud .

  2. Buka halaman Cloud Storage Buckets.

    Buka Buckets

  3. Klik Buat.

  4. Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:

    1. Di bagian Mulai, lakukan tindakan berikut:

      1. Masukkan nama unik yang memenuhi persyaratan nama bucket; misalnya, google-cloud-iam-logs.

      2. Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja berorientasi file dan intensif data, lalu pilih Aktifkan namespace Hierarkis di bucket ini.

      3. Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Label.

      4. Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

    2. Di bagian Pilih lokasi untuk menyimpan data Anda, lakukan hal berikut:

      1. Pilih Jenis lokasi.

      2. Gunakan menu jenis lokasi untuk memilih Lokasi tempat data objek dalam bucket Anda akan disimpan secara permanen.

      3. Untuk menyiapkan replikasi lintas bucket, luaskan bagian Siapkan replikasi lintas bucket.

    3. Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.

    4. Di bagian Pilih cara mengontrol akses ke objek, pilih tidak untuk menerapkan pencegahan akses publik, dan pilih model kontrol akses untuk objek bucket Anda.

    5. Di bagian Pilih cara melindungi data objek, lakukan tindakan berikut:

      1. Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket.
      2. Untuk memilih cara mengenkripsi data objek Anda, klik panah peluas berlabel Enkripsi data, lalu pilih Metode enkripsi data.

  5. Klik Buat.

Mengonfigurasi ekspor log Analisis IAM

  1. Login ke konsolGoogle Cloud .
  2. Buka Logging > Log Router.
  3. Klik Create Sink.

  4. Berikan parameter konfigurasi berikut:

    • Sink Name: masukkan nama yang bermakna; misalnya, IAM-Analysis-Sink.
    • Sink Destination: pilih Cloud Storage Storage dan masukkan URI untuk bucket Anda; misalnya, gs://gcp-iam-analysis-logs.

    • Filter Log:

      logName="*iam*"
resource.type="gce_instance"

      Mengonfigurasi izin untuk Cloud Storage

  5. Buka IAM & Admin > IAM.

  6. Temukan akun layanan Cloud Logging.

  7. Berikan roles/storage.admin pada bucket.

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan nama untuk feed; misalnya, IAM Analysis Logs.
  5. Pilih Google Cloud Storage V2 sebagai Source type.
  6. Pilih GCP IAM Analysis sebagai Log type.
  7. Klik Dapatkan Akun Layanan di samping kolom Akun Layanan Chronicle.
  8. Klik Berikutnya.

  9. Tentukan nilai untuk parameter input berikut:

    • URI Bucket Penyimpanan: URL bucket Cloud Storage; misalnya, gs://gcp-iam-analysis-logs.

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.

  10. Klik Berikutnya.

  11. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
accessControlLists.accesses.permission relations.entity.resource.attribute.permissions.name Langsung dari kolom accessControlLists.accesses.permission di log mentah.
attachedResourceFullName relations.entity.resource.name Langsung dari kolom attachedResourceFullName di log mentah, tetapi dengan nama resource di akhir dihapus.
relations.entity.resource.attribute.cloud.environment Tetapkan ke GOOGLE_CLOUD_PLATFORM.
relations.entity.resource.product_object_id Untuk STORAGE_BUCKET, langsung dari kolom attachedResourceFullName di log mentah, tetapi dengan nama resource berikutnya dihapus. Untuk set data BigQuery, formatnya adalah projectName (diekstrak dari attachedResourceFullName) diikuti dengan titik dua dan kolom datasetName (diekstrak dari attachedResourceFullName).
relations.entity.resource.resource_type Ditentukan oleh pola kolom attachedResourceFullName dalam log mentah.
relations.entity_type Disetel ke RESOURCE, kecuali untuk SERVICE_ACCOUNT, yang disetel ke USER.
relations.relationship Tetapkan ke MEMBER.
metadata.collected_timestamp Langsung dari kolom timestamp di log mentah.
metadata.entity_type Tetapkan ke USER.
metadata.product_name Tetapkan ke GCP IAM ANALYSIS.
metadata.vendor_name Tetapkan ke Google Cloud Platform.
iamBinding.role entity.user.attribute.roles.name Langsung dari kolom iamBinding.role di log mentah.
identityList.identities.name entity.user.attribute.roles.type Tetapkan ke SERVICE_ACCOUNT jika kolom identityList.identities.name berisi string serviceAccount.
entity.user.email_addresses Jika kolom identityList.identities.name berisi simbol @, kolom tersebut akan diperlakukan sebagai alamat email.
entity.user.userid Jika kolom identityList.identities.name tidak berisi simbol @, kolom tersebut akan diperlakukan sebagai userid.
identityList.identities.product_object_id entity.user.product_object_id Langsung dari kolom identityList.identities.product_object_id di log mentah.
timestamp timestamp Langsung dari kolom timestamp di log mentah.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.