Google Cloud Identity Context-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Google Cloud Identity Context-Logs mit Google Cloud Storage V2 in Google Security Operations aufnehmen.

Cloud Identity Context stellt Nutzer- und Geräteinformationen für identitätsbasierte Zugriffsentscheidungen bereit, einschließlich Gerätestatus, Nutzerattributen und Gruppenmitgliedschaften, die zur Anreicherung des Sicherheitskontexts verwendet werden.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Ein GCP-Projekt mit aktivierter Cloud Storage API
  • Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
  • Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
  • Eine Google Workspace- oder Cloud Identity-Umgebung mit Nutzern und Geräten
  • IAM-Berechtigungen zum Erstellen von Logsenken im GCP-Projekt
  • Eine Administratorrolle für Logging (roles/logging.admin) oder entsprechende Berechtigungen

Google Cloud Storage-Bucket erstellen

Google Cloud Console verwenden

  1. Gehen Sie zur Google Cloud Console.
  2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
  3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
  4. Klicken Sie auf Bucket erstellen.

  5. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. cloud-identity-context-logs.
    Standorttyp Wählen Sie die Option aus, die am besten zu Ihren Anforderungen passt (Region, Dual-Region, Multi-Region).
    Standort Wählen Sie den Speicherort aus, z. B. us-central1.
    Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
    Zugriffskontrolle Einheitlich (empfohlen)
    Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

  6. Klicken Sie auf Erstellen.

gcloud-Befehlszeilentool verwenden

  • Alternativ können Sie einen Bucket mit dem Befehl gcloud erstellen:

      gcloud storage buckets create gs://cloud-identity-context-logs \
    --location=us-central1 \
    --default-storage-class=STANDARD
    • Ersetzen Sie cloud-identity-context-logs durch Ihren Bucket-Namen (global eindeutig).
    • Ersetzen Sie us-central1 durch die gewünschte Region, z.B. us-central1 oder europe-west1.

Cloud Identity-Kontextlogs nach GCS exportieren

Cloud Identity Context-Logs werden in Cloud Logging erfasst. Wenn Sie sie nach GCS exportieren möchten, erstellen Sie eine Cloud Logging-Senke:

  1. Gehen Sie zur Google Cloud Console.
  2. Wählen Sie Ihr Projekt aus.
  3. Rufen Sie Logging > Logrouter auf.
  4. Klicken Sie auf Senke erstellen.

  5. Geben Sie die folgenden Informationen ein:

    • Name der Senke: cloud-identity-context-sink
    • Beschreibung der Senke: Optionale Beschreibung
    • Klicken Sie auf Weiter.

  6. Im Bereich Senkendienst auswählen:

    • Cloud Storage-Bucket als Senkendienst auswählen
    • Wählen Sie den Bucket aus, den Sie zuvor erstellt haben.
    • Klicken Sie auf Weiter.

  7. Verwenden Sie im Bereich Logs auswählen, die in der Senke enthalten sind den folgenden Filter:

        resource.type="audited_resource"
    protoPayload.serviceName="cloudidentity.googleapis.com"

  8. Klicken Sie auf Weiter.

  9. Überprüfen Sie die Konfiguration der Senke und klicken Sie auf Senke erstellen.

  10. Kopieren Sie das in der Bestätigungsnachricht angezeigte Dienstkonto (z.B. service-PROJECT_NUMBER@gcp-sa-logging.iam.gserviceaccount.com).

  11. Rufen Sie Cloud Storage > Buckets auf.

  12. Wählen Sie Ihren Bucket aus.

  13. Wechseln Sie zum Tab Berechtigungen.

  14. Klicken Sie auf Zugriff erlauben.

  15. Fügen Sie die E-Mail-Adresse des Dienstkontos aus Schritt 9 ein.

  16. Weisen Sie die Rolle Storage-Objekt-Ersteller zu.

  17. Klicken Sie auf Speichern.

Google SecOps-Dienstkonto abrufen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  4. Klicken Sie auf Dienstkonto abrufen.

  5. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

        chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  6. Kopieren Sie diese E-Mail-Adresse. Sie verwenden es in der nächsten Aufgabe.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Google Cloud Console verwenden

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
  6. Klicken Sie auf Speichern.

gcloud-Befehlszeilentool verwenden

  • Verwenden Sie den folgenden Befehl:

      gcloud storage buckets add-iam-policy-binding gs://cloud-identity-context-logs \
    --member="serviceAccount:<SECOPS_SERVICE_ACCOUNT_EMAIL>" \
    --role="roles/storage.objectViewer"

    Ersetzen Sie:

    • cloud-identity-context-logs: Mit Ihrem Bucket-Namen.
    • <SECOPS_SERVICE_ACCOUNT_EMAIL>: Mit der E-Mail-Adresse des Google SecOps-Dienstkontos.

Feed in Google SecOps konfigurieren, um Cloud Identity-Kontextprotokolle aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Cloud Identity Context Logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Google Cloud Identity Context als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URI: Geben Sie den GCS-Bucket-URI ein:

        gs://cloud-identity-context-logs/

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus:

      • Dateien nie löschen: Es werden nach der Übertragung nie Dateien gelöscht.
      • Übertragene Dateien und leere Verzeichnisse löschen: Dateien und leere Verzeichnisse werden nach der erfolgreichen Übertragung gelöscht.

    • Maximales Dateialter (Tage): Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Weitere Informationen zu Google Security Operations-Feeds finden Sie in der Dokumentation zu Google Security Operations-Feeds. Informationen zu den Anforderungen für die einzelnen Feedtypen finden Sie unter Feedkonfiguration nach Typ.

Wenn beim Erstellen von Feeds Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz zur Feldzuordnung

Der Cloud Identity-Kontextparser extrahiert Nutzer- und Geräte-Identitätsinformationen aus Google Cloud Identity, einschließlich Nutzerattributen, E-Mail-Adressen, Gruppenmitgliedschaften, Organisationspfaden und Daten zum Gerätestatus. Diese Felder werden dem UDM-Modell entity mit dem Entitätstyp USER zugeordnet.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
product_object_id entity.asset.product_object_id Direkt zugeordnet
data.protoPayload.requestMetadata.callerIp entity.ip Zusammengeführt
authorizationInfodata_granted_label entity.labels Zusammengeführt
authorizationInfodata_permission_label entity.labels Zusammengeführt
authorizationInfodata_resource_label entity.labels Zusammengeführt
data_logname_label entity.labels Zusammengeführt
field_ entity.labels Zusammengeführt
referencedTables_datasetId_label entity.labels Zusammengeführt
referencedTables_projectId_label entity.labels Zusammengeführt
referencedTables_tableId_label entity.labels Zusammengeführt
referencedViews_datasetId_label entity.labels Zusammengeführt
referencedViews_projectId_label entity.labels Zusammengeführt
referencedViews_tableId_label entity.labels Zusammengeführt
value entity.location.country_or_region Direkt zugeordnet
data.protoPayload.resourceName entity.resource.name Direkt zugeordnet
company_name entity.user.company_name Umbenannt/zugeordnet
depart entity.user.department Zusammengeführt
organisation entity.user.department Zusammengeführt
alias entity.user.email_addresses Zusammengeführt
data.protoPayload.authenticationInfo.principalEmail entity.user.email_addresses Zusammengeführt
email entity.user.email_addresses Zusammengeführt
emails entity.user.email_addresses Zusammengeführt
primaryEmail entity.user.email_addresses Zusammengeführt
employeeId entity.user.employee_id Direkt zugeordnet
employee_id entity.user.employee_id Direkt zugeordnet
ext.value entity.user.employee_id Direkt zugeordnet
first_name entity.user.first_name Direkt zugeordnet
givenName entity.user.first_name Direkt zugeordnet
name.givenName entity.user.first_name Direkt zugeordnet
orgUnitPath entity.user.group_identifiers Zusammengeführt
familyName entity.user.last_name Direkt zugeordnet
last_name entity.user.last_name Direkt zugeordnet
name.familyName entity.user.last_name Direkt zugeordnet
office_address.country_or_region entity.user.office_address.country_or_region Direkt zugeordnet
office_address.state entity.user.office_address.state Direkt zugeordnet
number entity.user.phone_numbers Zusammengeführt
data.insertId entity.user.product_object_id Direkt zugeordnet
id entity.user.product_object_id Direkt zugeordnet
title entity.user.title Direkt zugeordnet
familyName entity.user.user_display_name Direkt zugeordnet
givenName entity.user.user_display_name Direkt zugeordnet
name.fullName entity.user.user_display_name Direkt zugeordnet
user_display_name entity.user.user_display_name Direkt zugeordnet
data.insertId entity.user.userid Direkt zugeordnet
userid entity.user.userid Direkt zugeordnet
windows_sid entity.user.windows_sid Direkt zugeordnet
value metadata.event_timestamp Geparst als ISO8601
metadata.description Konstante: From BigQuery
metadata.entity_type Konstante: USER
metadata.product_entity_id Konstante: unknown
metadata.product_name Konstante: Cloud Identity
metadata.vendor_name Konstante: Google

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten