Raccogliere i log degli utenti dei dispositivi Cloud Identity

Supportato in:

Questo documento spiega come raccogliere i log degli utenti dei dispositivi Cloud Identity in Google Security Operations utilizzando il metodo API di terze parti, che è l'approccio consigliato. Il parser estrae innanzitutto i dati dai log Cloud Identity Device Users formattati in JSON e trasforma il timestamp nel formato standardizzato. Poi, mappa campi specifici dai dati dei log non elaborati ai campi corrispondenti nel modello UDM (Unified Data Model) per le entità utente, le loro relazioni con gli asset e gli attributi utente aggiuntivi, come gli stati di gestione e password.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Configurazione della delega a livello di dominio per un service account. Il service account deve essere autorizzato per il seguente ambito:
    • https://www.googleapis.com/auth/cloud-identity.devices.readonly
  • Nel tuo progetto Google Cloud sono abilitate le seguenti API:
    • API Cloud Identity
    • SDK Admin di Google Workspace
    • API Alert Center

Consigliato: configura i feed API di terze parti

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed > Aggiungi nuovo feed
  • Hub dei contenuti > Pacchetti di contenuti > Inizia

Come configurare il feed Google Cloud Utenti di dispositivi di identità

  1. Fai clic sul pacchetto Google Cloud Compute platform.
  2. Individua il tipo di log Google Cloud Identity Device Users e fai clic su Aggiungi nuovo feed.
  3. Specifica i valori per i seguenti campi:
    • Tipo di origine: seleziona API di terze parti.
    • Endpoint JWT OAuth: inserisci l'endpoint del token OAuth: https://oauth2.googleapis.com/token
    • Emittente delle rivendicazioni JWT: inserisci l'indirizzo email del service account (che si trova nel file della chiave JSON del service account).
    • Oggetto delle rivendicazioni JWT: inserisci l'indirizzo email dell'utente a cui viene concesso il ruolo di amministratore di servizi o super amministratore nella Console Workspace (l'utente di cui viene eseguita l'impersonificazione tramite la delega a livello di dominio).
    • Pubblico delle rivendicazioni JWT: inserisci di nuovo l'endpoint: https://oauth2.googleapis.com/token
    • Chiave privata RSA: incolla l'intero contenuto della chiave privata dal file della chiave JSON del service account (incluse le righe -----BEGIN PRIVATE KEY----- e -----END PRIVATE KEY-----).

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Spazio dei nomi asset: lo spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
  1. Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Metodo alternativo: importazione tramite Cloud Storage

  1. Accedi alla consoleGoogle Cloud .

  2. Vai alla pagina Bucket Cloud Storage.

    Vai a Bucket

  3. Fai clic su Crea.

  4. Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio riportato di seguito, fai clic su Continua per passare al passaggio successivo:

    1. Nella sezione Inizia, segui questi passaggi:

      1. Inserisci un nome univoco che soddisfi i requisiti per i nomi dei bucket, ad esempio gcp-cloudidentity-users-logs.

      2. Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita spazio dei nomi gerarchico in questo bucket.

      3. Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.

      4. Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

    2. Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:

      1. Seleziona un Tipo di località.

      2. Utilizza il menu del tipo di località per selezionare una Località in cui i dati degli oggetti all'interno del bucket verranno archiviati in modo permanente.

      3. Per configurare la replica tra bucket, espandi la sezione Configura replica tra bucket.

    3. Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket oppure Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.

    4. Nella sezione Scegli come controllare l'accesso agli oggetti, deseleziona Applica la prevenzione dell'accesso pubblico e seleziona un modello di Controllo dell'accesso per gli oggetti del bucket.

    5. Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:

      1. Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
      2. Per scegliere come criptare i dati degli oggetti, fai clic sulla freccia di espansione con l'etichetta Crittografia dei dati e seleziona un metodo di crittografia dei dati.

  5. Fai clic su Crea.

Configurare l'esportazione dei log degli utenti dei dispositivi Cloud Identity

  1. Accedi alla consoleGoogle Cloud .
  2. Vai a Logging > Router dei log.
  3. Fai clic su Crea sink.

  4. Fornisci i seguenti parametri di configurazione:

    • Nome sink: inserisci un nome significativo, ad esempio Cloudidentity-Users-Sink.
    • Destinazione sink: seleziona Cloud Storage e inserisci l'URI del bucket, ad esempio gs://gcp-cloudidentity-users-logs/.

    • Filtro log:

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_user"

    • Imposta opzioni di esportazione: includi tutte le voci di log.

  5. Fai clic su Crea.

Configura le autorizzazioni per Cloud Storage

  1. Vai a IAM e amministrazione > IAM.
  2. Individua il account di servizio Cloud Logging.
  3. Concedi il ruolo roles/storage.admin sul bucket.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
collection_time.nanos timestamp.nanos Mappato direttamente dal campo log. Rappresenta il timestamp dell'evento in nanosecondi.
collection_time.seconds timestamp.seconds Mappato direttamente dal campo log. Rappresenta il timestamp dell'evento in secondi.
Ora di creazione entity.metadata.creation_timestamp Mappato direttamente dal campo del log dopo l'analisi del filtro date. Rappresenta il timestamp di creazione dell'utente.
managementState entity.additional.fields.value.string_value Mappato direttamente dal campo log. Rappresenta lo stato di gestione dell'utente.
nome entity.entity.resource.name Mappato direttamente dal campo log. Rappresenta il nome completo della risorsa dell'utente del dispositivo.
passwordState entity.additional.fields.value.string_value Mappato direttamente dal campo log. Rappresenta lo stato della password dell'utente. Questo campo viene mappato solo se il campo passwordState esiste nel log non elaborato.
userEmail entity.entity.user.email_addresses Mappato direttamente dal campo log. Rappresenta l'indirizzo email dell'utente.
entity.additional.fields.key Imposta un valore costante Management State all'interno del parser. Questo campo viene utilizzato per fornire il contesto al valore managementState.
entity.additional.fields.key Imposta un valore costante Password State all'interno del parser. Questo campo viene utilizzato per fornire il contesto al valore passwordState ed è presente solo se passwordState esiste nel log non elaborato.
entity.entity.user.product_object_id Estratto dal campo name utilizzando il filtro grok, acquisendo la parte deviceuser_id. Rappresenta l'identificatore univoco dell'utente del dispositivo.
entity.metadata.collected_timestamp.nanos Copiato da collection_time.nanos. Rappresenta il timestamp di raccolta del log.
entity.metadata.collected_timestamp.seconds Copiato da collection_time.seconds. Rappresenta il timestamp di raccolta del log.
entity.metadata.entity_type Imposta un valore costante USER all'interno del parser.
entity.metadata.product_name Imposta un valore costante GCP Cloud Identity Device Users all'interno del parser.
entity.metadata.vendor_name Imposta un valore costante Google Cloud Platform all'interno del parser.
relations.entity.asset.product_object_id Estratto dal campo name utilizzando il filtro grok, acquisendo la parte device_id. Rappresenta l'identificatore univoco del dispositivo.
relations.entity_type Imposta un valore costante ASSET all'interno del parser.
relations.relationship Imposta un valore costante MEMBER all'interno del parser.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.