Collecter les journaux de contexte d'entité Duo

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des données de contexte d'entité Duo dans Google Security Operations à l'aide de Google Cloud Storage. L'analyseur transforme les journaux JSON en modèle de données unifié (UDM) en extrayant d'abord les champs du JSON brut, puis en mappant ces champs aux attributs UDM. Il gère différents scénarios de données, y compris les informations sur les utilisateurs et les assets, les détails des logiciels et les libellés de sécurité, ce qui garantit une représentation complète dans le schéma UDM.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Une instance Google SecOps
Accès privilégié au locataire Duo (application de l'API Admin avec des droits d'administrateur suffisants pour gérer les applications)
Un projet GCP avec l'API Cloud Storage activée
Autorisations pour créer et gérer des buckets GCS
Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler

Configurer l'application Duo Admin API

Connectez-vous au panneau d'administration Duo.
Accédez à Applications > Protéger une application.
Recherchez Admin API (API Admin), puis cliquez sur Protect (Protéger).
Notez les valeurs suivantes :
- Clé d'intégration (ikey)
- Clé secrète (skey)
- Nom d'hôte de l'API (par exemple, api-XXXXXXXX.duosecurity.com)
Dans Autorisations, activez Accorder l'accès à la ressource : lecture (pour lire les utilisateurs, les groupes, les téléphones, les points de terminaison, les jetons et les identifiants WebAuthn).
Cliquez sur Enregistrer.

Remarque : Vous devez disposer de droits d'administrateur suffisants dans Duo (par exemple, le rôle de propriétaire ou un rôle équivalent autorisé à gérer les applications) pour créer ou modifier des applications de l'API Admin.

Créer un bucket Google Cloud Storage

Accédez à la console Google Cloud.
Sélectionnez votre projet ou créez-en un.
Dans le menu de navigation, accédez à Cloud Storage> Buckets.
Cliquez sur Créer un bucket.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nommer votre bucket	Saisissez un nom unique (par exemple, `duo-context`).
Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
Emplacement	Sélectionnez l'emplacement (par exemple, `us-central1`).
Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
Access control (Contrôle des accès)	Uniforme (recommandé)
Outils de protection	Facultatif : Activer la gestion des versions des objets ou la règle de conservation

Cliquez sur Créer.
Enregistrez le nom et la région du bucket pour référence ultérieure.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

Dans la console GCP, accédez à IAM et administration > Comptes de service.
Cliquez sur Créer un compte de service.
Fournissez les informations de configuration suivantes :
- Nom du compte de service : saisissez duo-entity-context-sa.
- Description du compte de service : saisissez Service account for Cloud Run function to collect Duo entity context data.
Cliquez sur Créer et continuer.
Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
1. Cliquez sur Sélectionner un rôle.
2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
3. Cliquez sur + Ajouter un autre rôle.
4. Recherchez et sélectionnez Demandeur Cloud Run.
5. Cliquez sur + Ajouter un autre rôle.
6. Recherchez et sélectionnez Demandeur Cloud Functions.
Cliquez sur Continuer.
Cliquez sur OK.

Ces rôles sont requis pour :

Administrateur des objets Storage : écrire des journaux dans un bucket GCS
Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket.
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, duo-entity-context-sa@PROJECT_ID.iam.gserviceaccount.com).
- Attribuer des rôles : sélectionnez Administrateur des objets Storage.
Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

Dans la console GCP, accédez à Pub/Sub > Sujets.
Cliquez sur Create topic (Créer un sujet).
Fournissez les informations de configuration suivantes :
- ID du sujet : saisissez duo-entity-context-trigger.
- Conservez les valeurs par défaut des autres paramètres.
Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter des données de contexte d'entité

La fonction Cloud Run est déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les données de contexte des entités de l'API Duo Admin et les écrire dans GCS.

Dans la console GCP, accédez à Cloud Run.
Cliquez sur Créer un service.
Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

Dans la section Configurer, fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom du service	`duo-entity-context-collector`
Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, `us-central1`).
Runtime (durée d'exécution)	Sélectionnez Python 3.12 ou version ultérieure.

Dans la section Déclencheur (facultatif) :
1. Cliquez sur + Ajouter un déclencheur.
2. Sélectionnez Cloud Pub/Sub.
3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet Pub/Sub (duo-entity-context-trigger).
4. Cliquez sur Enregistrer.
Dans la section Authentification :
1. Sélectionnez Exiger l'authentification.
2. Consultez Identity and Access Management (IAM).
Remarque : Pub/Sub gère automatiquement l'authentification lors de l'appel de la fonction.
Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.
Accédez à l'onglet Sécurité :
- Compte de service : sélectionnez le compte de service (duo-entity-context-sa).

Accédez à l'onglet Conteneurs :

Cliquez sur Variables et secrets.
Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

Nom de la variable	Exemple de valeur
`GCS_BUCKET`	`duo-context`
`GCS_PREFIX`	`duo/context/`
`DUO_IKEY`	`DIXYZ...`
`DUO_SKEY`	`****************`
`DUO_API_HOSTNAME`	`api-XXXXXXXX.duosecurity.com`
`LIMIT`	`100`
`RESOURCES`	`users,groups,phones,endpoints,tokens,webauthncredentials`

Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :
- Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).
Accédez à l'onglet Paramètres dans Conteneurs :
- Dans la section Ressources :
  - Mémoire : sélectionnez 512 Mio ou plus.
  - CPU : sélectionnez 1.
- Cliquez sur OK.
Faites défiler la page jusqu'à Environnement d'exécution :
- Sélectionnez Par défaut (recommandé).
Dans la section Scaling de révision :
- Nombre minimal d'instances : saisissez 0.
- Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).
Cliquez sur Créer.
Attendez que le service soit créé (1 à 2 minutes).
Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

Saisissez main dans Point d'entrée de la fonction.

Dans l'éditeur de code intégré, créez deux fichiers :

Premier fichier : main.py:

import functions_framework
from google.cloud import storage
import json
import os
import time
import hmac
import hashlib
import base64
import email.utils
import urllib.parse
from urllib.request import Request, urlopen

# Environment variables
DUO_IKEY = os.environ["DUO_IKEY"]
DUO_SKEY = os.environ["DUO_SKEY"]
DUO_API_HOSTNAME = os.environ["DUO_API_HOSTNAME"].strip()
GCS_BUCKET = os.environ["GCS_BUCKET"]
GCS_PREFIX = os.environ.get("GCS_PREFIX", "duo/context/")

# Default resources can be adjusted via ENV
RESOURCES = [r.strip() for r in os.environ.get("RESOURCES", "users,groups,phones,endpoints,tokens,webauthncredentials,desktop_authenticators").split(",") if r.strip()]

# Duo paging: default 100; max varies by endpoint
LIMIT = int(os.environ.get("LIMIT", "100"))

# Initialize Storage client
storage_client = storage.Client()

def _canon_params(params: dict) -> str:
    """RFC3986 encoding with '~' unescaped, keys sorted lexicographically."""
    if not params:
        return ""
    parts = []
    for k in sorted(params.keys()):
        v = params[k]
        if v is None:
            continue
        ks = urllib.parse.quote(str(k), safe="~")
        vs = urllib.parse.quote(str(v), safe="~")
        parts.append(f"{ks}={vs}")
    return "&".join(parts)

def _sign(method: str, host: str, path: str, params: dict) -> dict:
    """Construct Duo Admin API Authorization + Date headers (HMAC-SHA1)."""
    now = email.utils.formatdate()
    canon = "\n".join([
        now,
        method.upper(),
        host.lower(),
        path,
        _canon_params(params)
    ])
    sig = hmac.new(
        DUO_SKEY.encode("utf-8"),
        canon.encode("utf-8"),
        hashlib.sha1
    ).hexdigest()
    auth = base64.b64encode(f"{DUO_IKEY}:{sig}".encode("utf-8")).decode("utf-8")
    return {
        "Date": now,
        "Authorization": f"Basic {auth}"
    }

def _call(method: str, path: str, params: dict) -> dict:
    host = DUO_API_HOSTNAME
    assert host.startswith("api-") and host.endswith(".duosecurity.com"), \
        "DUO_API_HOSTNAME must be e.g. api-XXXXXXXX.duosecurity.com"

    qs = _canon_params(params)
    url = f"https://{host}{path}" + (f"?{qs}" if method.upper() == "GET" and qs else "")

    req = Request(url, method=method.upper())
    for k, v in _sign(method, host, path, params).items():
        req.add_header(k, v)

    with urlopen(req, timeout=60) as r:
        return json.loads(r.read().decode("utf-8"))

def _write_json(obj: dict, when: float, resource: str, page: int) -> str:
    bucket = storage_client.bucket(GCS_BUCKET)
    prefix = GCS_PREFIX.strip("/") + "/" if GCS_PREFIX else ""
    key = f"{prefix}{time.strftime('%Y/%m/%d', time.gmtime(when))}/duo-{resource}-{page:05d}.json"

    blob = bucket.blob(key)
    blob.upload_from_string(
        json.dumps(obj, separators=(",", ":")),
        content_type="application/json"
    )
    return key

def _fetch_resource(resource: str) -> dict:
    """Fetch all pages for a list endpoint using limit/offset + metadata.next_offset."""
    path = f"/admin/v1/{resource}"
    offset = 0
    page = 0
    now = time.time()
    total_items = 0

    while True:
        params = {"limit": LIMIT, "offset": offset}
        data = _call("GET", path, params)
        _write_json(data, now, resource, page)
        page += 1

        resp = data.get("response")
        # most endpoints return a list; if not a list, count as 1 object page
        if isinstance(resp, list):
            total_items += len(resp)
        elif resp is not None:
            total_items += 1

        meta = data.get("metadata") or {}
        next_offset = meta.get("next_offset")
        if next_offset is None:
            break

        # Duo returns next_offset as int
        try:
            offset = int(next_offset)
        except Exception:
            break

    return {
        "resource": resource,
        "pages": page,
        "objects": total_items
    }

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Duo entity context data and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """
    results = []
    for res in RESOURCES:
        print(f"Fetching resource: {res}")
        result = _fetch_resource(res)
        results.append(result)
        print(f"Completed {res}: {result['pages']} pages, {result['objects']} objects")

    print(f"All resources fetched successfully: {results}")

Deuxième fichier : requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*

Cliquez sur Déployer pour enregistrer et déployer la fonction.
Attendez la fin du déploiement (deux à trois minutes).

Remarque : La configuration du déclencheur Pub/Sub crée automatiquement les abonnements et les autorisations nécessaires.
Remarque : Les différents points de terminaison de l'API Admin ont des valeurs limites maximales différentes. Si vous utilisez une valeur supérieure à celle acceptée pour un point de terminaison donné, une erreur 400 sera générée. La valeur par défaut de 100 est sûre pour tous les points de terminaison.

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

Dans la console GCP, accédez à Cloud Scheduler.
Cliquez sur Créer une tâche.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom	`duo-entity-context-hourly`
Région	Sélectionnez la même région que la fonction Cloud Run.
Fréquence	`0 * * * *` (toutes les heures)
Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
Type de cible	Pub/Sub
Topic	Sélectionnez le sujet Pub/Sub (`duo-entity-context-trigger`).
Corps du message	`{}` (objet JSON vide)

Cliquez sur Créer.

Options de fréquence de planification

Choisissez une fréquence en fonction de vos besoins en termes de fraîcheur des données :

Fréquence	Expression Cron	Cas d'utilisation
Toutes les heures	`0 * * * *`	Standard (recommandé)
Toutes les 2 heures	`0 /2 * *`	Fraîcheur modérée
Toutes les 6 heures	`0 /6 * *`	Mises à jour de basse fréquence
Tous les jours	`0 0 * * *`	Mises à jour minimales

Tester le job Scheduler

Dans la console Cloud Scheduler, recherchez votre job (duo-entity-context-hourly).
Cliquez sur Forcer l'exécution pour déclencher manuellement l'exécution.
Patientez quelques secondes, puis accédez à Cloud Run > Services > duo-entity-context-collector > Journaux.
Vérifiez que la fonction s'est exécutée correctement.
Vérifiez le bucket GCS pour confirmer que les données de contexte d'entité ont été écrites.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Duo Entity Context).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez Données contextuelles de l'entité Duo comme Type de journal.
Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Remarque : Chaque instance Google SecOps possède un compte de service unique. N'utilisez pas de comptes de service provenant d'autres documentations ou exemples.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket.
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
- Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
Cliquez sur Enregistrer.

Remarque : Si vous prévoyez d'utiliser l'option de suppression "Supprimer les fichiers transférés" ou "Supprimer les fichiers transférés et les répertoires vides", accordez le rôle Administrateur des objets Storage au lieu de Lecteur des objets Storage.

Configurer un flux dans Google SecOps pour ingérer les données de contexte des entités Duo

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Duo Entity Context).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez Données contextuelles de l'entité Duo comme Type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :
```
gs://duo-context/duo/context/
```
  - Remplacez :
    - duo-context : nom de votre bucket GCS.
    - duo/context/ : préfixe/chemin d'accès au dossier dans lequel les journaux sont stockés (doit correspondre à la variable d'environnement GCS_PREFIX).
  Remarque : Incluez toujours la barre oblique (/) à la fin de l'URI.
- Option de suppression de la source : sélectionnez l'option de suppression de votre choix :
  - Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
  - Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
  - Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.
    
    Remarque : Si vous sélectionnez une option de suppression, le compte de service doit disposer du rôle Administrateur des objets Storage au lieu de celui de lecteur. Mettez à jour les autorisations IAM en conséquence.
- Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
Activé	entity.asset.deployment_status	Si la valeur de "activated" est "false", définissez l'état sur "DECOMISSIONED", sinon sur "ACTIVE".
browsers.browser_family	entity.asset.software.name	Extrait du tableau "browsers" (navigateurs) dans le journal brut.
browsers.browser_version	entity.asset.software.version	Extrait du tableau "browsers" (navigateurs) dans le journal brut.
l'appareil device_name	entity.asset.hostname	Directement mappé à partir du journal brut.
disk_encryption_status	entity.asset.attribute.labels.key: "disk_encryption_status", entity.asset.attribute.labels.value	Mappé directement à partir du journal brut, converti en minuscules.
e-mail	entity.user.email_addresses	Directement mappé à partir du journal brut s'il contient "@", sinon utilise "username" ou "username1" s'ils contiennent "@".
chiffré	entity.asset.attribute.labels.key: "Encrypted", entity.asset.attribute.labels.value	Mappé directement à partir du journal brut, converti en minuscules.
epkey	entity.asset.product_object_id	Utilisé comme "product_object_id" s'il est présent, sinon utilise "phone_id" ou "token_id".
fingerprint	entity.asset.attribute.labels.key: "Finger Print", entity.asset.attribute.labels.value	Mappé directement à partir du journal brut, converti en minuscules.
firewall_status	entity.asset.attribute.labels.key: "firewall_status", entity.asset.attribute.labels.value	Mappé directement à partir du journal brut, converti en minuscules.
hardware_uuid	entity.asset.asset_id	Utilisé comme "asset_id" s'il est présent, sinon utilise "user_id".
last_seen	entity.asset.last_discover_time	Analysé en tant que code temporel ISO8601 et mappé.
modèle	entity.asset.hardware.model	Directement mappé à partir du journal brut.
nombre	entity.user.phone_numbers	Directement mappé à partir du journal brut.
os_family	entity.asset.platform_software.platform	Mappé sur "WINDOWS", "LINUX" ou "MAC" en fonction de la valeur (non sensible à la casse).
os_version	entity.asset.platform_software.platform_version	Directement mappé à partir du journal brut.
password_status	entity.asset.attribute.labels.key: "password_status", entity.asset.attribute.labels.value	Mappé directement à partir du journal brut, converti en minuscules.
phone_id	entity.asset.product_object_id	Utilisé comme "product_object_id" si "epkey" n'est pas présent, sinon utilise "token_id".
security_agents.security_agent	entity.asset.software.name	Extrait du tableau "security_agents" du journal brut.
security_agents.version	entity.asset.software.version	Extrait du tableau "security_agents" du journal brut.
timestamp	entity.metadata.collected_timestamp	Remplit le champ "collected_timestamp" dans l'objet "metadata".
token_id	entity.asset.product_object_id	Utilisé comme "product_object_id" si "epkey" et "phone_id" ne sont pas présents.
trusted_endpoint	entity.asset.attribute.labels.key: "trusted_endpoint", entity.asset.attribute.labels.value	Mappé directement à partir du journal brut, converti en minuscules.
type	entity.asset.type	Si le "type" du journal brut contient "mobile" (sans tenir compte de la casse), définissez la valeur sur "MOBILE", sinon sur "LAPTOP".
user_id	entity.asset.asset_id	Utilisé comme "asset_id" si "hardware_uuid" n'est pas présent.
users.email	entity.user.email_addresses	Utilisé comme "email_addresses" s'il s'agit du premier utilisateur du tableau "users" et qu'il contient "@".
users.username	entity.user.userid	Nom d'utilisateur extrait avant "@" et utilisé comme "userid" s'il s'agit du premier utilisateur du tableau "users".
	entity.metadata.vendor_name	"Duo"
	entity.metadata.product_name	"Données contextuelles des entités Duo"
	entity.metadata.entity_type	ASSET
	entity.relations.entity_type	UTILISATEUR
	entity.relations.relationship	OWNS

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.