Cloud Identity-Gerätelogs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cloud Identity Devices-Logs mit der Methode Third Party API in Google SecOps erfassen. Dies ist die empfohlene Methode. Der Parser extrahiert Felder aus JSON-Logs, transformiert bestimmte Felder wie deviceType und Datumsangaben und ordnet sie dem UDM zu. So wird ein asset_entity erstellt, das das Gerät repräsentiert und mit Hardware- und Metadaten angereichert wird.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Domainweite Delegierung für ein Dienstkonto einrichten. Das Dienstkonto muss für den folgenden Bereich autorisiert sein:
    • https://www.googleapis.com/auth/cloud-identity.devices.readonly
  • Die folgenden APIs sind in Ihrem Google Cloud -Projekt aktiviert:
    • Cloud Identity API
    • Google Workspace Admin SDK
    • Alert Center API

Empfohlen: Drittanbieter-API-Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds > Neuen Feed hinzufügen
  • Content Hub > Content-Pakete > Erste Schritte

Google Cloud Identity Devices-Feed einrichten

  1. Klicken Sie auf das Paket Google Cloud Compute Platform.
  2. Suchen Sie nach dem Logtyp Google Cloud Identity Devices und klicken Sie auf Neuen Feed hinzufügen.
  3. Geben Sie Werte für die folgenden Felder an:
    • Quelltyp: Wählen Sie Drittanbieter-API aus.
    • OAuth-JWT-Endpunkt: Geben Sie den OAuth-Token-Endpunkt ein: https://oauth2.googleapis.com/token
    • Aussteller von JWT-Ansprüchen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (in der JSON-Schlüsseldatei des Dienstkontos).
    • JWT-Ansprüche „subject“: Geben Sie die E-Mail-Adresse des Nutzers ein, dem in der Workspace-Konsole die Rolle Dienstadministrator oder Super Admin zugewiesen ist (der Nutzer, der durch die domainweite Delegation imitiert wird).
    • JWT-Anforderung „audience“: Geben Sie den Endpunkt noch einmal ein: https://oauth2.googleapis.com/token
    • Privater RSA-Schlüssel: Fügen Sie den vollständigen Inhalt des privaten Schlüssels aus der JSON-Schlüsseldatei des Dienstkontos ein (einschließlich der Zeilen -----BEGIN PRIVATE KEY----- und -----END PRIVATE KEY-----).

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
  1. Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

Alternative Methode: Aufnahme über Cloud Storage

  1. Melden Sie sich in der Google Cloud Console an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. gcp-cloudidentity-devices-logs.

      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

      3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Abschnitt Labels zu maximieren.

      4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Standorttyp auswählen.

      2. Wählen Sie im Menü für den Standorttyp einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass zur automatischen Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Entfernen Sie im Abschnitt Zugriff auf Objekte steuern das Häkchen bei Verhinderung des öffentlichen Zugriffs erzwingen und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie unter Datenschutz die gewünschten Optionen für Ihren Bucket aus.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit dem Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.

  5. Klicken Sie auf Erstellen.

Cloud Identity-Gerätelogs exportieren

  1. Melden Sie sich in der Google Cloud Console an.
  2. Rufen Sie Logging > Logrouter auf.
  3. Klicken Sie auf Senke erstellen.

  4. Geben Sie die folgenden Konfigurationsparameter an:

    • Name der Senke: Geben Sie einen aussagekräftigen Namen ein, z. B. cloud-identity-devices-logs-sink.
    • Sink Destination (Ziel für Senke): Wählen Sie Cloud Storage Storage (Cloud Storage) aus und geben Sie den URI für Ihren Bucket ein, z. B. gs://gcp-cloudidentity-devices-logs/.

    • Log Filter (Log-Filter):

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_device"

    • Exportoptionen festlegen: Alle Log-Einträge einschließen.

  5. Klicken Sie auf Erstellen.

Berechtigungen für Cloud Storage konfigurieren

  1. Rufen Sie IAM & Verwaltung > IAM auf.
  2. Suchen Sie das Cloud Logging-Dienstkonto.
  3. Weisen Sie dem Bucket die Rolle roles/storage.admin zu.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
createTime entity.metadata.creation_timestamp Der Wert von createTime wird als Zeitstempel geparst und zugeordnet.
deviceId entity.entity.asset.asset_id Direkt zugeordnet.
deviceType entity.entity.asset.platform_software.platform Wird MAC zugeordnet, wenn der ursprüngliche Wert MAC_OS oder IOS ist. Wird WINDOWS, MAC oder LINUX zugeordnet, wenn der ursprüngliche Wert übereinstimmt. Andernfalls legen Sie UNKNOWN_PLATFORM fest.
encryptionState entity.entity.asset.attribute.labels.key Der Wert ist auf encryptionState festgelegt. Wird als Teil eines Labels verwendet.
encryptionState entity.entity.asset.attribute.labels.value Direkt zugeordnet. Wird als Teil eines Labels verwendet.
lastSyncTime entity.entity.asset.system_last_update_time Der Wert von lastSyncTime wird als Zeitstempel geparst und zugeordnet.
managementState entity.entity.asset.attribute.labels.key Der Wert ist auf managementState festgelegt. Wird als Teil eines Labels verwendet.
managementState entity.entity.asset.attribute.labels.value Direkt zugeordnet. Wird als Teil eines Labels verwendet.
model entity.entity.asset.hardware.model Direkt zugeordnet.
name entity.entity.asset.product_object_id Der Teil nach devices/ wird extrahiert und zugeordnet.
name entity.entity.resource.name Direkt zugeordnet.
osVersion entity.entity.asset.platform_software.platform_version Direkt zugeordnet.
securityPatchTime entity.entity.asset.attribute.labels.key Der Wert ist auf securityPatchTime festgelegt. Wird als Teil eines Labels verwendet.
securityPatchTime entity.entity.asset.attribute.labels.value Direkt zugeordnet. Wird als Teil eines Labels verwendet.
serialNumber entity.entity.asset.hardware.serial_number Direkt zugeordnet. Wird aus dem Feld create_time der obersten Ebene im Rohlog kopiert. Der Wert ist auf ASSET festgelegt. Der Wert ist auf GCP Cloud Identity Devices festgelegt. Der Wert ist auf Google Cloud Platform festgelegt. Wird aus dem Feld create_time der obersten Ebene im Rohlog kopiert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten