Raccogli i log del contesto dell'identità Google Cloud

Supportato in:

Questo documento spiega come importare i log del contesto di Google Cloud Identity in Google Security Operations utilizzando Google Cloud Storage V2.

Il contesto di Cloud Identity fornisce informazioni su utenti e dispositivi per decisioni di accesso basate sull'identità, tra cui postura del dispositivo, attributi utente e appartenenze ai gruppi utilizzati per l'arricchimento del contesto di sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Un progetto GCP con l'API Storage Cloud abilitata
  • Autorizzazioni per creare e gestire bucket GCS
  • Autorizzazioni per gestire le policy IAM nei bucket GCS
  • Un ambiente Google Workspace o Cloud Identity con utenti e dispositivi
  • Autorizzazioni IAM per creare sink di logging nel progetto Google Cloud
  • Un ruolo Amministratore logging (roles/logging.admin) o autorizzazioni equivalenti

Crea un bucket Google Cloud Storage

Utilizzo di Google Cloud Console

  1. Vai alla console Google Cloud.
  2. Seleziona il tuo progetto o creane uno nuovo.
  3. Nel menu di navigazione, vai a Cloud Storage > Bucket.
  4. Fai clic su Crea bucket.

  5. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Assegna un nome al bucket Inserisci un nome univoco globale (ad esempio cloud-identity-context-logs).
    Tipo di località Scegli in base alle tue esigenze (regione singola, a due regioni, multiregionale)
    Località Seleziona la posizione (ad esempio, us-central1).
    Classe di archiviazione Standard (consigliato per i log a cui si accede di frequente)
    Controllo dell'accesso Uniforme (consigliato)
    Strumenti di protezione (Facoltativo) Attivare il controllo delle versioni degli oggetti o la policy di conservazione

  6. Fai clic su Crea.

Utilizzo dello strumento a riga di comando gcloud

  • In alternativa, crea un bucket utilizzando il comando gcloud:

      gcloud storage buckets create gs://cloud-identity-context-logs \
    --location=us-central1 \
    --default-storage-class=STANDARD
    • Sostituisci cloud-identity-context-logs con il nome del tuo bucket (univoco a livello globale).
    • Sostituisci us-central1 con la regione che preferisci (ad es. us-central1, europe-west1).

Esporta i log di contesto di Cloud Identity in GCS

I log di contesto di Cloud Identity vengono raccolti in Cloud Logging. Per esportarli in GCS, crea un sink Cloud Logging:

  1. Vai alla console Google Cloud.
  2. Seleziona il progetto.
  3. Vai a Logging > Router dei log.
  4. Fai clic su Crea sink.

  5. Inserisci i seguenti dettagli:

    • Nome sink: cloud-identity-context-sink
    • Descrizione sink: descrizione facoltativa
    • Fai clic su Avanti.

  6. Nella sezione Seleziona il servizio sink:

    • Scegli Bucket Cloud Storage come servizio sink
    • Seleziona il bucket che hai creato in precedenza.
    • Fai clic su Avanti.

  7. Nella sezione Scegli i log da includere nel sink, utilizza il seguente filtro:

        resource.type="audited_resource"
    protoPayload.serviceName="cloudidentity.googleapis.com"

  8. Fai clic su Avanti.

  9. Rivedi la configurazione del sink e fai clic su Crea sink.

  10. Copia il account di servizio visualizzato nel messaggio di conferma (ad es. service-PROJECT_NUMBER@gcp-sa-logging.iam.gserviceaccount.com).

  11. Vai a Cloud Storage > Bucket.

  12. Seleziona il bucket.

  13. Vai alla scheda Autorizzazioni.

  14. Fai clic su Concedi l'accesso.

  15. Incolla l'indirizzo email del account di servizio del passaggio 9.

  16. Assegna il ruolo Storage Object Creator.

  17. Fai clic su Salva.

Recuperare il account di servizio Google SecOps

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Seleziona Google Cloud Storage V2 come Tipo di origine.
  4. Fai clic su Ottieni service account.

  5. Verrà visualizzata un'email dell'account di servizio univoca, ad esempio:

        chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  6. Copia l'indirizzo email. Lo utilizzerai nel prossimo passaggio.

Concedi le autorizzazioni IAM al account di servizio Google SecOps

Utilizzo di Google Cloud Console

  1. Vai a Cloud Storage > Bucket.
  2. Fai clic sul nome del bucket.
  3. Vai alla scheda Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Fornisci i seguenti dettagli di configurazione:
    • Aggiungi entità: incolla l'email del account di servizio Google SecOps.
    • Assegna ruoli: seleziona Visualizzatore oggetti Storage.
  6. Fai clic su Salva.

Utilizzo dello strumento a riga di comando gcloud

  • Utilizza il seguente comando:

      gcloud storage buckets add-iam-policy-binding gs://cloud-identity-context-logs \
    --member="serviceAccount:<SECOPS_SERVICE_ACCOUNT_EMAIL>" \
    --role="roles/storage.objectViewer"

    Sostituisci:

    • cloud-identity-context-logs: Con il nome del bucket.
    • <SECOPS_SERVICE_ACCOUNT_EMAIL>: con l'email dell'account di servizio Google SecOps.

Configura un feed in Google SecOps per importare i log di contesto di Cloud Identity

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Cloud Identity Context Logs).
  5. Seleziona Google Cloud Storage V2 come Tipo di origine.
  6. Seleziona Contesto di Google Cloud Identity come Tipo di log.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URI bucket di archiviazione: inserisci l'URI del bucket GCS:

        gs://cloud-identity-context-logs/

    • Opzione di eliminazione della fonte: seleziona l'opzione di eliminazione in base alle tue preferenze:

      • Non eliminare mai i file: non elimina mai i file dopo il trasferimento.
      • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

    • Età massima file (giorni): includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Per saperne di più sui feed di Google Security Operations, consulta la documentazione sui feed di Google Security Operations. Per informazioni sui requisiti per ogni tipo di feed, consulta Configurazione dei feed per tipo.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.

Riferimento per la mappatura dei campi

Il parser del contesto di Cloud Identity estrae le informazioni sull'identità di utenti e dispositivi da Google Cloud Identity, inclusi attributi utente, indirizzi email, iscrizioni ai gruppi, percorsi delle unità organizzative e dati sulla postura del dispositivo. Mappa questi campi al modello UDM entity con il tipo di entità USER.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
product_object_id entity.asset.product_object_id Mappato direttamente
data.protoPayload.requestMetadata.callerIp entity.ip Unita
authorizationInfodata_granted_label entity.labels Unita
authorizationInfodata_permission_label entity.labels Unita
authorizationInfodata_resource_label entity.labels Unita
data_logname_label entity.labels Unita
field_ entity.labels Unita
referencedTables_datasetId_label entity.labels Unita
referencedTables_projectId_label entity.labels Unita
referencedTables_tableId_label entity.labels Unita
referencedViews_datasetId_label entity.labels Unita
referencedViews_projectId_label entity.labels Unita
referencedViews_tableId_label entity.labels Unita
value entity.location.country_or_region Mappato direttamente
data.protoPayload.resourceName entity.resource.name Mappato direttamente
company_name entity.user.company_name Rinominate/mappate
depart entity.user.department Unita
organisation entity.user.department Unita
alias entity.user.email_addresses Unita
data.protoPayload.authenticationInfo.principalEmail entity.user.email_addresses Unita
email entity.user.email_addresses Unita
emails entity.user.email_addresses Unita
primaryEmail entity.user.email_addresses Unita
employeeId entity.user.employee_id Mappato direttamente
employee_id entity.user.employee_id Mappato direttamente
ext.value entity.user.employee_id Mappato direttamente
first_name entity.user.first_name Mappato direttamente
givenName entity.user.first_name Mappato direttamente
name.givenName entity.user.first_name Mappato direttamente
orgUnitPath entity.user.group_identifiers Unita
familyName entity.user.last_name Mappato direttamente
last_name entity.user.last_name Mappato direttamente
name.familyName entity.user.last_name Mappato direttamente
office_address.country_or_region entity.user.office_address.country_or_region Mappato direttamente
office_address.state entity.user.office_address.state Mappato direttamente
number entity.user.phone_numbers Unita
data.insertId entity.user.product_object_id Mappato direttamente
id entity.user.product_object_id Mappato direttamente
title entity.user.title Mappato direttamente
familyName entity.user.user_display_name Mappato direttamente
givenName entity.user.user_display_name Mappato direttamente
name.fullName entity.user.user_display_name Mappato direttamente
user_display_name entity.user.user_display_name Mappato direttamente
data.insertId entity.user.userid Mappato direttamente
userid entity.user.userid Mappato direttamente
windows_sid entity.user.windows_sid Mappato direttamente
value metadata.event_timestamp Analizzato come ISO8601
N/D metadata.description Costante: From BigQuery
N/D metadata.entity_type Costante: USER
N/D metadata.product_entity_id Costante: unknown
N/D metadata.product_name Costante: Cloud Identity
N/D metadata.vendor_name Costante: Google

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.