Esta página foi traduzida pela API Cloud Translation.

Recolha registos de dispositivos do Cloud ID

Compatível com:

Google secops SIEM

Este guia explica como exportar os registos de dispositivos do Cloud Identity para o Google Security Operations através do Cloud Storage. O analisador extrai campos dos registos JSON, transforma campos específicos, como deviceType e datas, e mapeia-os para o UDM, criando um asset_entity que representa o dispositivo e enriquecendo-o com informações de hardware e metadados.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

O Google Cloud Identity está ativado no seu Google Cloud projeto.
Instância do Google SecOps.
Acesso privilegiado ao Google Cloud Identity e ao Cloud Logging.

Crie um contentor do Cloud Storage

Inicie sessão na Google Cloud consola.
Aceda à página Contentores do Cloud Storage.

Aceda a Recipientes
Clique em Criar.
Na página Criar um depósito, introduza as informações do depósito. Após cada um dos passos seguintes, clique em Continuar para avançar para o passo seguinte:
1. Na secção Começar, faça o seguinte:
  1. Introduza um nome exclusivo que cumpra os requisitos do nome do contentor; por exemplo, gcp-cloudidentity-devices-logs.
  2. Para ativar o espaço de nomes hierárquico, clique na seta de expansão para expandir a secção Otimizar para cargas de trabalho orientadas para ficheiros e com grande volume de dados e, de seguida, selecione Ativar espaço de nomes hierárquico neste contentor.
    
    Nota: não pode ativar o espaço de nomes hierárquico num contentor existente.
  3. Para adicionar uma etiqueta de grupo, clique na seta de expansão para expandir a secção Etiquetas.
  4. Clique em Adicionar etiqueta e especifique uma chave e um valor para a etiqueta.
2. Na secção Escolha onde quer armazenar os seus dados, faça o seguinte:
  1. Selecione um Tipo de localização.
  2. Use o menu de tipo de localização para selecionar uma Localização onde os dados de objetos no seu contentor vão ser armazenados permanentemente.
    
    Nota: se selecionar o tipo de localização de duas regiões, também pode optar por ativar a replicação turbo através da caixa de verificação relevante.
  3. Para configurar a replicação entre contentores, expanda a secção Configurar replicação entre contentores.
3. Na secção Escolha uma classe de armazenamento para os seus dados, selecione uma classe de armazenamento predefinida para o contentor ou selecione Autoclass para a gestão automática da classe de armazenamento dos dados do contentor.
4. Na secção Escolha como controlar o acesso a objetos, desmarque a opção Aplicar prevenção de acesso público e selecione um modelo de Controlo de acesso para os objetos do seu contentor.
  
  Nota: se a prevenção de acesso público já estiver aplicada pela política da organização do seu projeto, a caixa de verificação Aplicar prevenção de acesso público neste contentor está bloqueada.
5. Na secção Escolha como proteger os dados de objetos, faça o seguinte:
  1. Selecione qualquer uma das opções em Proteção de dados que quer definir para o seu contentor.
  2. Para escolher como os dados de objetos vão ser encriptados, clique na seta de expansão com a etiqueta Encriptação de dados e selecione um método de encriptação de dados.
Clique em Criar.

Configure a exportação de registos de dispositivos do Cloud ID

Inicie sessão na Google Cloud consola.
Aceda a Registo > Router de registos.
Clique em Criar destino.
Forneça os seguintes parâmetros de configuração:
- Nome do destino: introduza um nome significativo; por exemplo, cloud-identity-devices-logs-sink.
- Destino da sincronização: selecione Armazenamento do Cloud Storage e introduza o URI do seu contentor; por exemplo, gs://gcp-cloudidentity-devices-logs/.
- Filtro de registo:
```
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_device"
```
- Definir opções de exportação: inclui todas as entradas do registo.
Clique em Criar.

Configure autorizações para o Cloud Storage

Aceda a IAM e administrador > IAM.
Localize a conta de serviço do Cloud Logging.
Conceda a função roles/storage.admin no contentor.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

Definições do SIEM > Feeds > Adicionar novo feed
Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed de Google Cloud dispositivos de identidade

Clique no pacote Google Cloud Compute platform.
Localize o tipo de registo Google Cloud Identity Devices e clique em Adicionar novo feed.
Especifique valores para os seguintes campos:
- Tipo de origem: API de terceiros
- Ponto final do JWT OAuth: ponto final para obter o símbolo da Web JSON (JWT) do OAuth.
- Emissor de reivindicações JWT: normalmente, o ID do cliente.
- Assunto das reivindicações JWT: normalmente, um endereço de email.
- Público-alvo de reivindicações JWT: público-alvo de reivindicações JWT.
- Chave privada RSA: introduza no formato PEM.

Opções avançadas

Nome do feed: um valor pré-preenchido que identifica o feed.
Espaço de nomes do recurso: espaço de nomes associado ao feed.
Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.

Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`createTime`	`entity.metadata.creation_timestamp`	O valor de `createTime` é analisado como uma data/hora e mapeado.
`deviceId`	`entity.entity.asset.asset_id`	Mapeados diretamente.
`deviceType`	`entity.entity.asset.platform_software.platform`	Mapeado para `MAC` se o valor original for `MAC_OS` ou `IOS`. Mapeado para `WINDOWS`, `MAC` ou `LINUX` se o valor original corresponder. Caso contrário, defina como `UNKNOWN_PLATFORM`.
`encryptionState`	`entity.entity.asset.attribute.labels.key`	O valor está definido como `encryptionState`. Usado como parte de uma etiqueta.
`encryptionState`	`entity.entity.asset.attribute.labels.value`	Mapeados diretamente. Usado como parte de uma etiqueta.
`lastSyncTime`	`entity.entity.asset.system_last_update_time`	O valor de `lastSyncTime` é analisado como uma data/hora e mapeado.
`managementState`	`entity.entity.asset.attribute.labels.key`	O valor está definido como `managementState`. Usado como parte de uma etiqueta.
`managementState`	`entity.entity.asset.attribute.labels.value`	Mapeados diretamente. Usado como parte de uma etiqueta.
`model`	`entity.entity.asset.hardware.model`	Mapeados diretamente.
`name`	`entity.entity.asset.product_object_id`	A parte após `devices/` é extraída e mapeada.
`name`	`entity.entity.resource.name`	Mapeados diretamente.
`osVersion`	`entity.entity.asset.platform_software.platform_version`	Mapeados diretamente.
`securityPatchTime`	`entity.entity.asset.attribute.labels.key`	O valor está definido como `securityPatchTime`. Usado como parte de uma etiqueta.
`securityPatchTime`	`entity.entity.asset.attribute.labels.value`	Mapeados diretamente. Usado como parte de uma etiqueta.
`serialNumber`	`entity.entity.asset.hardware.serial_number`	Mapeados diretamente. Copiado do campo `create_time` de nível superior no registo não processado. O valor está definido como `ASSET`. O valor está definido como `GCP Cloud Identity Devices`. O valor está definido como `Google Cloud Platform`. Copiado do campo `create_time` de nível superior no registo não processado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.