Delinea-SSO-Logs (Single Sign-On) erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Delinea-SSO-Logs (Single Sign-On, Einmalanmeldung) (früher Centrify) mit Google Cloud Storage in Google Security Operations aufnehmen. Der Parser extrahiert die Logs und verarbeitet sowohl JSON- als auch Syslog-Formate. Es werden Schlüssel-Wert-Paare, Zeitstempel und andere relevante Felder geparst und dem UDM-Modell zugeordnet. Dabei wird eine spezielle Logik für die Verarbeitung von Anmeldefehlern, User-Agents, Schweregraden, Authentifizierungsmechanismen und verschiedenen Ereignistypen verwendet. Bei Fehlerereignissen wird FailUserName gegenüber NormalizedUser für Ziel-E-Mail-Adressen priorisiert.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Ein GCP-Projekt mit aktivierter Cloud Storage API
  • Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
  • Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
  • Berechtigungen zum Erstellen von Cloud Run-Funktionen, Pub/Sub-Themen und Cloud Scheduler-Jobs
  • Privilegierter Zugriff auf den Delinea-SSO-Mandanten (Centrify)

Delinea-SSO-Anmeldedaten (Centrify) erfassen

OAuth2-Clientanwendung erstellen

  1. Melden Sie sich im Delinea Admin Portal an.
  2. Klicken Sie auf Apps > Web-Apps hinzufügen.
  3. Klicken Sie auf den Tab Benutzerdefiniert.
  4. Suchen Sie nach OAuth2-Client und klicken Sie auf Hinzufügen.
  5. Klicken Sie im Dialogfeld Web-App hinzufügen auf Ja.
  6. Klicken Sie im Dialogfeld Web-Apps hinzufügen auf Schließen.
  7. Konfigurieren Sie auf der Seite Application Configuration (Anwendungskonfiguration) Folgendes:
    • Tab Einstellungen:
      • Anwendungs-ID: Geben Sie eine eindeutige Kennzeichnung ein, z. B. secops-oauth-client.
      • Name der Anwendung: Geben Sie einen aussagekräftigen Namen ein, z. B. SecOps Data Export.
      • Anwendungsbeschreibung: Geben Sie eine Beschreibung ein (z. B. OAuth client for exporting audit events to SecOps).
    • Abschnitt Allgemeine Verwendung:
      • Client-ID-Typ: Wählen Sie Vertraulich aus.
      • Ausgestellte Client-ID: Kopieren und speichern Sie diesen Wert.
      • Ausgestellter Clientschlüssel: Kopieren und speichern Sie diesen Wert.
    • Tab Tokens:
      • Auth Methods (Authentifizierungsmethoden): Wählen Sie Client Creds (Client-Anmeldedaten) aus.
      • Token Type (Tokentyp): Wählen Sie JwtRS256 aus.
    • Tab Scope (Bereich):
      • Fügen Sie den Bereich redrock/query mit der Beschreibung Query API Access hinzu.
  8. Klicken Sie auf Speichern, um den OAuth-Client zu erstellen.
  9. Kopieren und speichern Sie die folgenden Details an einem sicheren Ort:
    • Mandanten-URL: Ihre Centrify-Mandanten-URL, z. B. https://yourtenant.my.centrify.com.
    • Client-ID: Aus Schritt 7.
    • Clientschlüssel: Aus Schritt 7.
    • OAuth-Anwendungs-ID: Aus der Anwendungskonfiguration.

Berechtigungen prüfen

So prüfen Sie, ob der OAuth-Client die erforderlichen Berechtigungen hat:

  1. Melden Sie sich im Delinea Admin Portal an.
  2. Gehen Sie zu den Einstellungen (⚙️) > Ressourcen > Rollen.
  3. Prüfen Sie, ob die dem OAuth-Client zugewiesene Rolle die Berechtigung Bericht: Audit-Ereignisse: Ansehen enthält.

  4. Wenn die Berechtigung fehlt, wenden Sie sich an Ihren Delinea-Administrator, um die erforderliche Berechtigung zu erhalten.

API-Zugriff testen

  • Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

    # Replace with your actual credentials
TENANT_URL="https://yourtenant.my.centrify.com"
CLIENT_ID="your-client-id"
CLIENT_SECRET="your-client-secret"
OAUTH_APP_ID="your-oauth-application-id"

# Get OAuth token
TOKEN=$(curl -s -X POST "${TENANT_URL}/oauth2/token/${OAUTH_APP_ID}" \
  -H "Authorization: Basic $(echo -n "${CLIENT_ID}:${CLIENT_SECRET}" | base64)" \
  -H "X-CENTRIFY-NATIVE-CLIENT: True" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "grant_type=client_credentials&scope=redrock/query" | jq -r '.access_token')

# Test query API access
curl -v -X POST "${TENANT_URL}/Redrock/query" \
  -H "Authorization: Bearer ${TOKEN}" \
  -H "X-CENTRIFY-NATIVE-CLIENT: True" \
  -H "Content-Type: application/json" \
  -d '{"Script":"Select * from Event where WhenOccurred > datefunc('"'"'now'"'"', '"'"'-1'"'"') ORDER BY WhenOccurred ASC","args":{"PageNumber":1,"PageSize":10,"Limit":10,"Caching":-1}}'

Bei erfolgreicher Ausführung sollten Sie eine JSON-Antwort mit Prüfereignissen sehen. Wenn Sie einen 401- oder 403-Fehler erhalten, überprüfen Sie Ihre Anmeldedaten und Berechtigungen.

Google Cloud Storage-Bucket erstellen

  1. Rufen Sie die Google Cloud Console auf.
  2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
  3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
  4. Klicken Sie auf Bucket erstellen.

  5. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. delinea-centrify-logs-bucket.
    Standorttyp Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
    Standort Wählen Sie den Speicherort aus, z. B. us-central1.
    Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
    Zugriffssteuerung Einheitlich (empfohlen)
    Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

  6. Klicken Sie auf Erstellen.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

  1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
  2. Klicken Sie auf Dienstkonto erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Name des Dienstkontos: Geben Sie delinea-sso-collector-sa ein.
    • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Delinea SSO logs ein.
  4. Klicken Sie auf Erstellen und fortfahren.
  5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
    1. Klicken Sie auf Rolle auswählen.
    2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
    3. Klicken Sie auf + Weitere Rolle hinzufügen.
    4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
    5. Klicken Sie auf + Weitere Rolle hinzufügen.
    6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
  6. Klicken Sie auf Weiter.
  7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

  • Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
  • Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
  • Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets, z. B. delinea-centrify-logs-bucket.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. delinea-sso-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
  6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

  1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
  2. Klicken Sie auf Thema erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Themen-ID: Geben Sie delinea-sso-logs-trigger ein.
    • Übernehmen Sie die anderen Einstellungen.
  4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Logs von der Delinea SSO API abzurufen und in GCS zu schreiben.

  1. Rufen Sie in der GCP Console Cloud Run auf.
  2. Klicken Sie auf Dienst erstellen.
  3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

  4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Dienstname delinea-sso-log-export
    Region Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
    Laufzeit Wählen Sie Python 3.12 oder höher aus.

  5. Im Abschnitt Trigger (optional):

    1. Klicken Sie auf + Trigger hinzufügen.
    2. Wählen Sie Cloud Pub/Sub aus.
    3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Pub/Sub-Thema delinea-sso-logs-trigger aus.
    4. Klicken Sie auf Speichern.

  6. Im Abschnitt Authentifizierung:

    1. Wählen Sie Authentifizierung erforderlich aus.
    2. Identitäts- und Zugriffsverwaltung

  7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

  8. Rufen Sie den Tab Sicherheit auf:

    • Dienstkonto: Wählen Sie das Dienstkonto delinea-sso-collector-sa aus.

  9. Rufen Sie den Tab Container auf:

    1. Klicken Sie auf Variablen und Secrets.
    2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:
    Variablenname Beispielwert Beschreibung
    GCS_BUCKET delinea-centrify-logs-bucket Name des GCS-Buckets
    GCS_PREFIX centrify-sso-logs Präfix für Protokolldateien
    STATE_KEY centrify-sso-logs/state.json Statusdateipfad
    TENANT_URL https://yourtenant.my.centrify.com Delinea-Mandanten-URL
    CLIENT_ID your-client-id OAuth-Client-ID
    CLIENT_SECRET your-client-secret OAuth-Clientschlüssel
    OAUTH_APP_ID your-oauth-application-id OAuth-Anwendungs-ID
    PAGE_SIZE 1000 Datensätze pro Seite
    MAX_PAGES 10 Maximale Anzahl abzurufender Seiten

  10. Scrollen Sie im Bereich Variablen und Secrets nach unten zu Anfragen:

    • Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.

  11. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

  12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

  13. Klicken Sie auf Erstellen.

  14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

  15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

  1. Geben Sie main unter Funktionseinstiegspunkt ein.

  2. Erstellen Sie im Inline-Codeeditor zwei Dateien:

    • Erste Datei: main.py::
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time
import base64

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Delinea Centrify SSO audit events and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'centrify-sso-logs')
    state_key = os.environ.get('STATE_KEY', 'centrify-sso-logs/state.json')

    # Centrify API credentials
    tenant_url = os.environ.get('TENANT_URL')
    client_id = os.environ.get('CLIENT_ID')
    client_secret = os.environ.get('CLIENT_SECRET')
    oauth_app_id = os.environ.get('OAUTH_APP_ID')

    # Optional parameters
    page_size = int(os.environ.get('PAGE_SIZE', '1000'))
    max_pages = int(os.environ.get('MAX_PAGES', '10'))

    if not all([bucket_name, tenant_url, client_id, client_secret, oauth_app_id]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state (last processed timestamp)
        state = load_state(bucket, state_key)
        last_timestamp = state.get('last_timestamp')

        print(f'Processing logs since {last_timestamp if last_timestamp else "24 hours ago"}')

        # Get OAuth access token
        access_token = get_oauth_token(tenant_url, client_id, client_secret, oauth_app_id)

        # Fetch audit events
        events = fetch_audit_events(tenant_url, access_token, last_timestamp, page_size, max_pages)

        if events:
            # Write events to GCS
            current_timestamp = datetime.now(timezone.utc)
            blob_name = f"{prefix}/centrify-sso-events-{current_timestamp.strftime('%Y%m%d_%H%M%S')}.json"
            blob = bucket.blob(blob_name)

            # Convert to JSONL format (one JSON object per line)
            jsonl_content = '\n'.join([json.dumps(event, default=str) for event in events])
            blob.upload_from_string(jsonl_content, content_type='application/x-ndjson')

            print(f'Wrote {len(events)} events to {blob_name}')

            # Update state with latest timestamp
            latest_timestamp = get_latest_event_timestamp(events)
            save_state(bucket, state_key, {'last_timestamp': latest_timestamp, 'updated_at': current_timestamp.isoformat() + 'Z'})

            print(f'Successfully processed {len(events)} events')
        else:
            print('No new events found')

    except Exception as e:
        print(f'Error processing Centrify SSO logs: {str(e)}')
        raise

def get_oauth_token(tenant_url, client_id, client_secret, oauth_app_id):
    """Get OAuth access token using client credentials flow."""
    credentials = f"{client_id}:{client_secret}"
    basic_auth = base64.b64encode(credentials.encode('utf-8')).decode('utf-8')

    token_url = f"{tenant_url}/oauth2/token/{oauth_app_id}"
    headers = {
        'Authorization': f'Basic {basic_auth}',
        'X-CENTRIFY-NATIVE-CLIENT': 'True',
        'Content-Type': 'application/x-www-form-urlencoded'
    }

    data = {
        'grant_type': 'client_credentials',
        'scope': 'redrock/query'
    }

    response = http.request('POST', token_url, headers=headers, fields=data)

    if response.status != 200:
        raise Exception(f"OAuth token request failed: {response.status} {response.data.decode('utf-8')}")

    token_data = json.loads(response.data.decode('utf-8'))
    return token_data['access_token']

def fetch_audit_events(tenant_url, access_token, last_timestamp, page_size, max_pages):
    """Fetch audit events from Centrify using the Redrock/query API with proper pagination."""
    query_url = f"{tenant_url}/Redrock/query"
    headers = {
        'Authorization': f'Bearer {access_token}',
        'X-CENTRIFY-NATIVE-CLIENT': 'True',
        'Content-Type': 'application/json'
    }

    # Build SQL query with timestamp filter
    if last_timestamp:
        sql_query = f"Select * from Event where WhenOccurred > '{last_timestamp}' ORDER BY WhenOccurred ASC"
    else:
        # First run - get events from last 24 hours
        sql_query = "Select * from Event where WhenOccurred > datefunc('now', '-1') ORDER BY WhenOccurred ASC"

    all_events = []
    page_num = 1
    backoff = 1.0

    while page_num <= max_pages:
        payload = {
            "Script": sql_query,
            "args": {
                "PageNumber": page_num,
                "PageSize": page_size,
                "Limit": page_size * max_pages,
                "Caching": -1
            }
        }

        try:
            response = http.request('POST', query_url, headers=headers, body=json.dumps(payload))

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f"Rate limited (429). Retrying after {retry_after}s...")
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status != 200:
                raise Exception(f"API query failed: {response.status} {response.data.decode('utf-8')}")

            response_data = json.loads(response.data.decode('utf-8'))

            if not response_data.get('success', False):
                raise Exception(f"API query failed: {response_data.get('Message', 'Unknown error')}")

            # Parse the response
            result = response_data.get('Result', {})
            columns = {col['Name']: i for i, col in enumerate(result.get('Columns', []))}
            raw_results = result.get('Results', [])

            if not raw_results:
                print(f"No more results on page {page_num}")
                break

            print(f"Page {page_num}: Retrieved {len(raw_results)} events")

            for raw_event in raw_results:
                event = {}
                row_data = raw_event.get('Row', {})

                # Map column names to values
                for col_name, col_index in columns.items():
                    if col_name in row_data and row_data[col_name] is not None:
                        event[col_name] = row_data[col_name]

                # Add metadata
                event['_source'] = 'centrify_sso'
                event['_collected_at'] = datetime.now(timezone.utc).isoformat() + 'Z'

                all_events.append(event)

            # Check if we've reached the end
            if len(raw_results) < page_size:
                print(f"Reached last page (page {page_num} returned {len(raw_results)} < {page_size})")
                break

            page_num += 1

        except Exception as e:
            print(f"Error fetching page {page_num}: {e}")
            raise

    print(f"Retrieved {len(all_events)} total events from {page_num} pages")
    return all_events

def get_latest_event_timestamp(events):
    """Get the latest timestamp from the events for state tracking."""
    if not events:
        return datetime.now(timezone.utc).isoformat() + 'Z'

    latest = None
    for event in events:
        when_occurred = event.get('WhenOccurred')
        if when_occurred:
            if latest is None or when_occurred > latest:
                latest = when_occurred

    return latest or datetime.now(timezone.utc).isoformat() + 'Z'

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')
    • Zweite Datei: requirements.txt::
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

  4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema, wodurch die Cloud Run-Funktion ausgelöst wird.

  1. Rufen Sie in der GCP Console Cloud Scheduler auf.
  2. Klicken Sie auf Job erstellen.

  3. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Name delinea-sso-log-export-hourly
    Region Dieselbe Region wie für die Cloud Run-Funktion auswählen
    Frequenz 0 * * * * (jede Stunde, zur vollen Stunde)
    Zeitzone Zeitzone auswählen (UTC empfohlen)
    Zieltyp Pub/Sub
    Thema Wählen Sie das Pub/Sub-Thema delinea-sso-logs-trigger aus.
    Nachrichtentext {} (leeres JSON-Objekt)

  4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

  • Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

    Häufigkeit Cron-Ausdruck Anwendungsfall
    Alle 5 Minuten */5 * * * * Hohes Volumen, niedrige Latenz
    Alle 15 Minuten */15 * * * * Mittleres Suchvolumen
    Stündlich 0 * * * * Standard (empfohlen)
    Alle 6 Stunden 0 */6 * * * Geringes Volumen, Batchverarbeitung
    Täglich 0 0 * * * Erhebung von Verlaufsdaten

Integration testen

  1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job (z. B. delinea-sso-log-export-hourly).
  2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
  3. Warten Sie einige Sekunden.
  4. Rufen Sie Cloud Run > Dienste auf.
  5. Klicken Sie auf den Funktionsnamen delinea-sso-log-export.
  6. Klicken Sie auf den Tab Logs.

  7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Achten Sie auf Folgendes:

    Processing logs since YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote X events to centrify-sso-logs/centrify-sso-events_YYYYMMDD_HHMMSS.json
Successfully processed X events

  8. Rufen Sie Cloud Storage > Buckets auf.

  9. Klicken Sie auf den Namen Ihres Buckets, z. B. delinea-centrify-logs-bucket.

  10. Rufen Sie den Präfixordner centrify-sso-logs/ auf.

  11. Prüfen Sie, ob eine neue .json-Datei mit dem aktuellen Zeitstempel erstellt wurde.

Wenn in den Logs Fehler angezeigt werden, gehen Sie so vor:

  • HTTP 401: API-Anmeldedaten in Umgebungsvariablen prüfen (CLIENT_ID, CLIENT_SECRET, OAUTH_APP_ID)
  • HTTP 403: Prüfen Sie, ob der OAuth-Client die Berechtigung Bericht: Audit-Ereignisse: Ansehen hat.
  • HTTP 429: Ratenbegrenzung – die Funktion wird automatisch mit Backoff wiederholt.
  • Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen in der Cloud Run-Funktionskonfiguration festgelegt sind.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Delinea Centrify SSO logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Centrify als Logtyp aus.

  7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets, z. B. delinea-centrify-logs-bucket.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

  6. Klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um Delinea-SSO-Logs (Centrify) aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Delinea Centrify SSO logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Centrify als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://delinea-centrify-logs-bucket/centrify-sso-logs/

      • Ersetzen Sie:

        • delinea-centrify-logs-bucket: Der Name Ihres GCS-Buckets.
        • centrify-sso-logs: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden (für den Stamm leer lassen).

      • Beispiele:

        • Root-Bucket: gs://company-logs/
        • Mit Präfix: gs://company-logs/centrify-sso-logs/
        • Mit Unterordner: gs://company-logs/delinea/sso/

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

      • Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.

      • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.

    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
AccountID security_result.detection_fields.value Der Wert von „AccountID“ aus dem Rohlog wird einem „security_result.detection_fields“-Objekt mit dem Schlüssel „Account ID“ zugewiesen.
ApplicationName target.application Der Wert von „ApplicationName“ aus dem Rohlog wird dem Feld „target.application“ zugewiesen.
AuthorityFQDN target.asset.network_domain Der Wert von „AuthorityFQDN“ aus dem Rohlog wird dem Feld „target.asset.network_domain“ zugewiesen.
AuthorityID target.asset.asset_id Der Wert von „AuthorityID“ aus dem Rohlog wird dem Feld „target.asset.asset_id“ zugewiesen und mit „AuthorityID:“ versehen.
AzDeploymentId security_result.detection_fields.value Der Wert von „AzDeploymentId“ aus dem Rohlog wird einem „security_result.detection_fields“-Objekt mit dem Schlüssel „AzDeploymentId“ zugewiesen.
AzRoleId additional.fields.value.string_value Der Wert von „AzRoleId“ aus dem Rohlog wird einem „additional.fields“-Objekt mit dem Schlüssel „AzRoleId“ zugewiesen.
AzRoleName target.user.attribute.roles.name Der Wert von „AzRoleName“ aus dem Rohlog wird dem Feld „target.user.attribute.roles.name“ zugewiesen.
ComputerFQDN principal.asset.network_domain Der Wert von „ComputerFQDN“ aus dem Rohlog wird dem Feld „principal.asset.network_domain“ zugewiesen.
ComputerID principal.asset.asset_id Der Wert von „ComputerID“ aus dem Rohlog wird dem Feld „principal.asset.asset_id“ zugewiesen und mit „ComputerId:“ vorangestellt.
ComputerName about.hostname Der Wert von „ComputerName“ aus dem Rohlog wird dem Feld „about.hostname“ zugewiesen.
CredentialId security_result.detection_fields.value Der Wert von „CredentialId“ aus dem Rohlog wird einem „security_result.detection_fields“-Objekt mit dem Schlüssel „Credential Id“ zugewiesen.
DirectoryServiceName security_result.detection_fields.value Der Wert von „DirectoryServiceName“ aus dem Rohlog wird einem „security_result.detection_fields“-Objekt mit dem Schlüssel „Directory Service Name“ zugewiesen.
DirectoryServiceNameLocalized security_result.detection_fields.value Der Wert von „DirectoryServiceNameLocalized“ aus dem Rohlog wird einem „security_result.detection_fields“-Objekt mit dem Schlüssel „Directory Service Name Localized“ zugewiesen.
DirectoryServiceUuid security_result.detection_fields.value Der Wert von „DirectoryServiceUuid“ aus dem Rohprotokoll wird einem „security_result.detection_fields“-Objekt mit dem Schlüssel „Directory Service Uuid“ zugewiesen.
EventMessage security_result.summary Der Wert von EventMessage aus dem Rohlog wird dem Feld „security_result.summary“ zugewiesen.
EventType metadata.product_event_type Der Wert von EventType aus dem Rohlog wird dem Feld metadata.product_event_type zugewiesen. Außerdem wird damit metadata.event_type bestimmt.
FailReason security_result.summary Der Wert von „FailReason“ aus dem Rohlog wird dem Feld „security_result.summary“ zugewiesen, sofern vorhanden.
FailUserName target.user.email_addresses Der Wert von „FailUserName“ aus dem Rohlog wird dem Feld „target.user.email_addresses“ zugewiesen, sofern er vorhanden ist.
FromIPAddress principal.ip Der Wert von „FromIPAddress“ aus dem Rohlog wird dem Feld „principal.ip“ zugewiesen.
ID security_result.detection_fields.value Der Wert von „ID“ aus dem Rohlog wird einem „security_result.detection_fields“-Objekt mit dem Schlüssel „ID“ zugewiesen.
InternalTrackingID metadata.product_log_id Der Wert von „InternalTrackingID“ aus dem Rohlog wird dem Feld „metadata.product_log_id“ zugewiesen.
JumpType additional.fields.value.string_value Der Wert von „JumpType“ aus dem Rohlog wird einem „additional.fields“-Objekt mit dem Schlüssel „Jump Type“ zugewiesen.
NormalizedUser target.user.email_addresses Der Wert von „NormalizedUser“ aus dem Rohlog wird dem Feld „target.user.email_addresses“ zugewiesen.
OperationMode additional.fields.value.string_value Der Wert von „OperationMode“ aus dem Rohlog wird einem „additional.fields“-Objekt mit dem Schlüssel „Operation Mode“ zugewiesen.
ProxyId security_result.detection_fields.value Der Wert von „ProxyId“ aus dem Rohlog wird einem „security_result.detection_fields“-Objekt mit dem Schlüssel „Proxy Id“ zugewiesen.
RequestUserAgent network.http.user_agent Der Wert von „RequestUserAgent“ aus dem Rohlog wird dem Feld „network.http.user_agent“ zugewiesen.
SessionGuid network.session_id Der Wert von „SessionGuid“ aus dem Rohlog wird dem Feld „network.session_id“ zugewiesen.
Mandant additional.fields.value.string_value Der Wert von „Tenant“ aus dem Rohlog wird einem „additional.fields“-Objekt mit dem Schlüssel „Tenant“ zugewiesen.
ThreadType additional.fields.value.string_value Der Wert von „ThreadType“ aus dem Rohlog wird einem „additional.fields“-Objekt mit dem Schlüssel „Thread Type“ zugewiesen.
UserType principal.user.attribute.roles.name Der Wert von „UserType“ aus dem Rohlog wird dem Feld „principal.user.attribute.roles.name“ zugewiesen.
WhenOccurred metadata.event_timestamp Der Wert von „WhenOccurred“ aus dem Rohlog wird geparst und dem Feld „metadata.event_timestamp“ zugewiesen. Mit diesem Feld wird auch das Zeitstempelfeld der obersten Ebene ausgefüllt.
Fest codierter Wert metadata.product_name „SSO“.
Fest codierter Wert metadata.event_type Wird durch das Feld „EventType“ bestimmt. Der Standardwert ist STATUS_UPDATE, wenn EventType nicht vorhanden ist oder keinem bestimmten Kriterium entspricht. Kann USER_LOGIN, USER_CREATION, USER_RESOURCE_ACCESS, USER_LOGOUT oder USER_CHANGE_PASSWORD sein.
Fest codierter Wert metadata.vendor_name „CENTRIFY_SSO“.
Fest codierter Wert metadata.product_version „SSO“.
Fest codierter Wert metadata.log_type „Centrify“
Aus dem Nachrichtenfeld extrahiert network.session_id Wenn das Nachrichtenfeld eine Sitzungs-ID enthält, wird diese extrahiert und verwendet. Andernfalls wird standardmäßig „1“ verwendet.
Aus dem Hostfeld extrahiert principal.hostname Wird aus dem Hostfeld extrahiert, falls verfügbar. Das Hostfeld stammt aus dem Syslog-Header.
Aus dem Feld „pid“ extrahiert principal.process.pid Wird aus dem Feld „pid“ extrahiert, falls verfügbar. Dieses stammt aus dem Syslog-Header.
UserGuid oder aus der Nachricht extrahiert target.user.userid Wenn „UserGuid“ vorhanden ist, wird der entsprechende Wert verwendet. Andernfalls wird die Nutzer-ID extrahiert und verwendet, wenn das Nachrichtenfeld eine Nutzer-ID enthält.
Wird durch Level und FailReason bestimmt security_result.action Auf „ALLOW“ festgelegt, wenn „Level“ „Info“ ist, und auf „BLOCK“, wenn „FailReason“ vorhanden ist.
Wird durch FailReason bestimmt security_result.category Auf „AUTH_VIOLATION“ festgelegt, wenn FailReason vorhanden ist.
Wird durch das Feld „Level“ bestimmt security_result.severity Wird durch das Feld „Level“ bestimmt. Wird auf „INFORMATIONAL“ festgelegt, wenn „Level“ „Info“ ist, auf „MEDIUM“, wenn „Level“ „Warning“ ist, und auf „ERROR“, wenn „Level“ „Error“ ist.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten