收集 Identity and Access Management (IAM) 分析日志
本文档介绍了如何使用 Cloud Storage 将 IAM 分析日志导出并注入到 Google Security Operations 中。解析器从 IAM JSON 数据中提取用户和资源信息。然后,它会将提取的字段映射到 UDM,创建具有关联角色和资源关系的用户实体,最终丰富 Google SecOps 平台中的安全上下文。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例。
- IAM 已在您的 Google Cloud 环境中设置并处于有效状态。
- 对 Google Cloud 的特权访问权限以及访问 IAM 日志的相应权限。
创建 Cloud Storage 存储桶
- 登录 Google Cloud 控制台。
前往 Cloud Storage 存储分区页面。
点击创建。
在创建存储桶页面上,输入您的存储桶信息。完成以下每一步后,点击继续以继续执行后续步骤:
在开始使用部分中,执行以下操作:
- 输入符合存储桶名称要求的唯一名称,例如 google-cloud-iam-logs。
如需启用分层命名空间,请点击展开箭头以展开优化文件导向型和数据密集型工作负载部分,然后选择在此存储桶上启用分层命名空间。
如需添加存储桶标签,请点击展开箭头以展开标签部分。
点击添加标签,然后为标签指定键和值。
在选择数据存储位置部分中,执行以下操作:
- 选择位置类型。
使用位置类型菜单选择一个位置,用于永久存储存储桶中的对象数据。
如需设置跨存储桶复制,请展开设置跨存储桶复制部分。
在为数据选择一个存储类别部分中,为存储桶选择默认存储类别,或者选择 Autoclass 对存储桶数据进行自动存储类别管理。
在选择如何控制对对象的访问权限部分中,选择不强制执行禁止公开访问,然后为存储桶对象选择访问权限控制模型。
在选择如何保护对象数据部分中,执行以下操作:
- 在数据保护下,选择您要为存储桶设置的任何选项。
- 如需选择对象数据的加密方式,请点击标有数据加密的展开箭头,然后选择数据加密方法。
点击创建。
配置 IAM 分析日志导出
- 登录 Google Cloud 控制台。
- 前往日志记录 > 日志路由器。
- 点击创建接收器。
提供以下配置参数:
- 接收器名称:输入一个有意义的名称,例如
IAM-Analysis-Sink。 - 接收器目标位置:选择 Cloud Storage 存储空间,然后输入存储桶的 URI,例如
gs://gcp-iam-analysis-logs。 日志过滤条件:
logName="*iam*" resource.type="gce_instance"配置 Cloud Storage 权限
- 接收器名称:输入一个有意义的名称,例如
前往 IAM 和管理> IAM。
找到 Cloud Logging 服务账号。
授予对相应存储桶的 roles/storage.admin。
设置 Feed
您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:
- SIEM 设置 > Feed
- 内容中心 > 内容包
通过“SIEM 设置”>“Feed”设置 Feed
如需配置 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed 名称字段中,输入 Feed 的名称,例如 IAM 分析日志。
- 选择 Google Cloud Storage 作为来源类型。
- 选择 GCP IAM 分析作为日志类型。
- 点击Chronicle 服务账号字段旁边的获取服务账号。
- 点击下一步。
为以下输入参数指定值:
- 存储分区 URI:Cloud Storage 存储桶网址;例如
gs://gcp-iam-analysis-logs。 - URI Is A:选择目录(包括子目录)。
来源删除选项:根据您的偏好设置选择删除选项。
- 存储分区 URI:Cloud Storage 存储桶网址;例如
点击下一步。
在最终确定界面中查看新的 Feed 配置,然后点击提交。
设置来自内容中心的 Feed
为以下字段指定值:
- 存储分区 URI:Cloud Storage 存储桶网址;例如
gs://gcp-iam-analysis-logs。 - URI Is A:选择目录(包括子目录)。
- 来源删除选项:根据您的偏好设置选择删除选项。
高级选项
- Feed 名称:用于标识 Feed 的预填充值。
- 来源类型:用于将日志收集到 Google SecOps 中的方法。
- 资源命名空间:与 Feed 关联的命名空间。
- 提取标签:应用于相应 Feed 中所有事件的标签。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| accessControlLists.accesses.permission | relations.entity.resource.attribute.permissions.name | 直接来自原始日志中的 accessControlLists.accesses.permission 字段。 |
| attachedResourceFullName | relations.entity.resource.name | 直接从原始日志中的 attachedResourceFullName 字段获取,但会移除所有尾随资源名称。 |
| relations.entity.resource.attribute.cloud.environment | 设置为 GOOGLE_CLOUD_PLATFORM。 |
|
| relations.entity.resource.product_object_id | 对于 STORAGE_BUCKET,直接从原始日志中的 attachedResourceFullName 字段获取,但会移除所有尾随资源名称。对于 BigQuery 数据集,它是 projectName(从 attachedResourceFullName 中提取)后跟一个英文冒号和 datasetName(从 attachedResourceFullName 中提取)字段。 |
|
| relations.entity.resource.resource_type | 由原始日志中 attachedResourceFullName 字段的模式确定。 |
|
| relations.entity_type | 设置为 RESOURCE,但 SERVICE_ACCOUNT 除外,该属性设置为 USER。 |
|
| relations.relationship | 设置为 MEMBER。 |
|
| metadata.collected_timestamp | 直接来自原始日志中的 timestamp 字段。 |
|
| metadata.entity_type | 设置为 USER。 |
|
| metadata.product_name | 设置为 GCP IAM ANALYSIS。 |
|
| metadata.vendor_name | 设置为 Google Cloud Platform。 |
|
| iamBinding.role | entity.user.attribute.roles.name | 直接来自原始日志中的 iamBinding.role 字段。 |
| identityList.identities.name | entity.user.attribute.roles.type | 如果 identityList.identities.name 字段包含字符串 serviceAccount,则设置为 SERVICE_ACCOUNT。 |
| entity.user.email_addresses | 如果 identityList.identities.name 字段包含 @ 符号,则将其视为电子邮件地址。 |
|
| entity.user.userid | 如果 identityList.identities.name 字段不包含 @ 符号,则会被视为用户 ID。 |
|
| identityList.identities.product_object_id | entity.user.product_object_id | 直接来自原始日志中的 identityList.identities.product_object_id 字段。 |
| 时间戳 | 时间戳 | 直接来自原始日志中的 timestamp 字段。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。