Coletar registros do PingOne Advanced Identity Cloud

Compatível com:

Este documento explica como ingerir registros do PingOne Advanced Identity Cloud (antigo ForgeRock Identity Cloud) no Google Security Operations usando o Google Cloud Storage. O PingOne Advanced Identity Cloud é uma plataforma de gerenciamento de identidade e acesso que oferece recursos de autenticação, autorização e gerenciamento de usuários para aplicativos baseados na nuvem.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

  • Uma instância do Google SecOps
  • Um projeto do GCP com a API Cloud Storage ativada
  • Permissões para criar e gerenciar buckets do GCS
  • Permissões para gerenciar políticas do IAM em buckets do GCS
  • Permissões para criar serviços do Cloud Run, tópicos do Pub/Sub e jobs do Cloud Scheduler
  • Acesso privilegiado ao locatário do PingOne Advanced Identity Cloud

Receber a chave de API do PingOne e o FQDN do locatário

  1. Faça login no Admin Console do Advanced Identity Cloud.
  2. Clique no ícone do usuário > Configurações do locatário.
  3. Na guia Configurações globais, clique em Registrar chaves de API.
  4. Clique em Nova chave de API de registro e dê um nome a ela.
  5. Clique em Criar chave.
  6. Copie e salve os valores api_key_id e api_key_secret em um local seguro. O valor api_key_secret não será exibido novamente.
  7. Clique em Concluído.

  8. Acesse Configurações do locatário > Detalhes e encontre o FQDN do locatário (por exemplo, example.tomcat.pingone.com).

Criar um bucket do Google Cloud Storage

  1. Acesse o Console do Google Cloud.
  2. Selecione seu projeto ou crie um novo.
  3. No menu de navegação, acesse Cloud Storage > Buckets.
  4. Clique em Criar bucket.

  5. Informe os seguintes detalhes de configuração:

    Configuração Valor
    Nomeie seu bucket Insira um nome exclusivo globalmente, por exemplo, pingone-aic-logs.
    Tipo de local Escolha com base nas suas necessidades (região, birregional, multirregional)
    Local Selecione o local (por exemplo, us-central1).
    Classe de armazenamento Padrão (recomendado para registros acessados com frequência)
    Controle de acesso Uniforme (recomendado)
    Ferramentas de proteção Opcional: ativar o controle de versões de objetos ou a política de retenção

  6. Clique em Criar.

Criar uma conta de serviço para a função do Cloud Run

A função do Cloud Run precisa de uma conta de serviço com permissões para gravar no bucket do GCS e ser invocada pelo Pub/Sub.

Criar conta de serviço

  1. No Console do GCP, acesse IAM e administrador > Contas de serviço.
  2. Clique em Criar conta de serviço.
  3. Informe os seguintes detalhes de configuração:
    • Nome da conta de serviço: insira pingone-aic-collector-sa.
    • Descrição da conta de serviço: insira Service account for Cloud Run function to collect PingOne Advanced Identity Cloud logs.
  4. Clique em Criar e continuar.
  5. Na seção Conceder acesso a essa conta de serviço ao projeto, adicione os seguintes papéis:
    1. Clique em Selecionar papel.
    2. Pesquise e selecione Administrador de objetos do Storage.
    3. Clique em + Adicionar outro papel.
    4. Pesquise e selecione Invocador do Cloud Run.
    5. Clique em + Adicionar outro papel.
    6. Pesquise e selecione Invocador do Cloud Functions.
  6. Clique em Continuar.
  7. Clique em Concluído.

Esses papéis são necessários para:

  • Administrador de objetos do Storage: grava registros no bucket do GCS e gerencia arquivos de estado.
  • Invocador do Cloud Run: permite que o Pub/Sub invoque a função
  • Invocador do Cloud Functions: permite a invocação de funções

Conceder permissões do IAM no bucket do GCS

Conceda permissões de gravação à conta de serviço no bucket do GCS:

  1. Acesse Cloud Storage > Buckets.
  2. Clique no nome do bucket.
  3. Acesse a guia Permissões.
  4. Clique em Conceder acesso.
  5. Informe os seguintes detalhes de configuração:
    • Adicionar principais: insira o e-mail da conta de serviço (por exemplo, pingone-aic-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Atribuir papéis: selecione Administrador de objetos do Storage.
  6. Clique em Salvar.

Criar tópico Pub/Sub

Crie um tópico do Pub/Sub em que o Cloud Scheduler vai publicar e a função do Cloud Run vai se inscrever.

  1. No Console do GCP, acesse Pub/Sub > Tópicos.
  2. Selecione Criar tópico.
  3. Informe os seguintes detalhes de configuração:
    • ID do tópico: insira pingone-aic-trigger.
    • Não mude as outras configurações.
  4. Clique em Criar.

Criar uma função do Cloud Run para coletar registros

A função do Cloud Run é acionada por mensagens do Pub/Sub do Cloud Scheduler para buscar registros da API PingOne Advanced Identity Cloud e gravá-los no GCS.

  1. No console do GCP, acesse o Cloud Run.
  2. Clique em Criar serviço.
  3. Selecione Função (use um editor in-line para criar uma função).

  4. Na seção Configurar, forneça os seguintes detalhes de configuração:

    Configuração Valor
    Nome do serviço pingone-aic-collector
    Região Selecione a região que corresponde ao seu bucket do GCS (por exemplo, us-central1).
    Ambiente de execução Selecione Python 3.12 ou uma versão mais recente.

  5. Na seção Acionador (opcional):

    1. Clique em + Adicionar gatilho.
    2. Selecione Cloud Pub/Sub.
    3. Em Selecionar um tópico do Cloud Pub/Sub, escolha o tópico do Pub/Sub (pingone-aic-trigger).
    4. Clique em Salvar.

  6. Na seção Autenticação:

    1. Selecione Exigir autenticação.
    2. Confira o Identity and Access Management (IAM).

  7. Role a tela para baixo e abra Contêineres, rede, segurança.

  8. Acesse a guia Segurança:

    • Conta de serviço: selecione a conta de serviço (pingone-aic-collector-sa).

  9. Acesse a guia Contêineres:

    1. Clique em Variáveis e secrets.
    2. Clique em + Adicionar variável para cada variável de ambiente:
    Nome da variável Valor de exemplo Descrição
    GCS_BUCKET pingone-aic-logs Nome do bucket do GCS
    GCS_PREFIX pingone-aic/logs Prefixo para arquivos de registro
    STATE_KEY pingone-aic/logs/state.json Caminho do arquivo de estado
    AIC_TENANT_FQDN example.tomcat.pingone.com FQDN do locatário
    AIC_API_KEY_ID your-api-key-id ID da chave de API
    AIC_API_SECRET your-api-key-secret Secret da chave de API
    SOURCES am-everything,idm-everything Origens de registro separadas por vírgulas (consulte a observação abaixo)
    PAGE_SIZE 500 Registros por página
    MAX_PAGES 20 Número máximo de páginas por execução
    LOOKBACK_SECONDS 3600 Período de lookback inicial

  10. Na seção Variáveis e secrets, role a tela até Solicitações:

    • Tempo limite da solicitação: insira 600 segundos (10 minutos).

  11. Acesse a guia Configurações:

    • Na seção Recursos:
      • Memória: selecione 512 MiB ou mais.
      • CPU: selecione 1.

  12. Na seção Escalonamento de revisão:

    • Número mínimo de instâncias: insira 0.
    • Número máximo de instâncias: insira 100 ou ajuste com base na carga esperada.

  13. Clique em Criar.

  14. Aguarde a criação do serviço (1 a 2 minutos).

  15. Depois que o serviço é criado, o editor de código inline é aberto automaticamente.

Adicionar código da função

  1. Insira main em Ponto de entrada da função.

  2. No editor de código inline, crie dois arquivos:

    • Primeiro arquivo: main.py::
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch logs from PingOne Advanced Identity Cloud API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'pingone-aic/logs')
    state_key = os.environ.get('STATE_KEY', 'pingone-aic/logs/state.json')

    fqdn = os.environ.get('AIC_TENANT_FQDN', '').strip('/')
    api_key_id = os.environ.get('AIC_API_KEY_ID')
    api_key_secret = os.environ.get('AIC_API_SECRET')

    sources = [s.strip() for s in os.environ.get('SOURCES', 'am-everything,idm-everything').split(',') if s.strip()]
    page_size = min(int(os.environ.get('PAGE_SIZE', '500')), 1000)
    max_pages = int(os.environ.get('MAX_PAGES', '20'))
    lookback_seconds = int(os.environ.get('LOOKBACK_SECONDS', '3600'))

    if not all([bucket_name, fqdn, api_key_id, api_key_secret]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state
        state = load_state(bucket, state_key)
        state.setdefault('sources', {})

        summary = []

        for source in sources:
            last_ts = state['sources'].get(source, {}).get('last_ts')
            res = fetch_source(bucket, prefix, fqdn, api_key_id, api_key_secret, source, last_ts, page_size, max_pages, lookback_seconds)

            if res.get('newest_ts'):
                state['sources'][source] = {'last_ts': res['newest_ts']}

            summary.append(res)

        # Save state
        save_state(bucket, state_key, state)

        print(f'Successfully processed logs: {json.dumps(summary)}')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {'sources': {}}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, separators=(',', ':')),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')

def fetch_source(bucket, prefix, fqdn, api_key_id, api_key_secret, source, last_ts, page_size, max_pages, lookback_seconds):
    """Fetch logs for a specific source."""
    base_url = f"https://{fqdn}/monitoring/logs"
    now = time.time()

    begin_time = bounded_begin_time(last_ts, now, lookback_seconds)

    params = {
        'source': source,
        '_pageSize': str(page_size),
        '_sortKeys': 'timestamp',
        'beginTime': begin_time
    }

    headers = {
        'x-api-key': api_key_id,
        'x-api-secret': api_key_secret
    }

    pages = 0
    written = 0
    newest_ts = last_ts
    cookie = None

    while pages < max_pages:
        if cookie:
            params['_pagedResultsCookie'] = cookie

        # Build query string
        query_parts = [f"{k}={v}" for k, v in params.items()]
        query_string = '&'.join(query_parts)
        url = f"{base_url}?{query_string}"

        # Make request with retry logic
        data = http_get_with_retry(url, headers)

        # Write page to GCS
        write_page(bucket, prefix, data, source)

        # Process results
        results = data.get('result') or data.get('results') or []
        for item in results:
            t = item.get('timestamp') or item.get('payload', {}).get('timestamp')
            if t and (newest_ts is None or t > newest_ts):
                newest_ts = t

        written += len(results)
        cookie = data.get('pagedResultsCookie')
        pages += 1

        if not cookie:
            break

    return {
        'source': source,
        'pages': pages,
        'written': written,
        'newest_ts': newest_ts
    }

def http_get_with_retry(url, headers, timeout=60, max_retries=5):
    """Make HTTP GET request with retry logic."""
    attempt = 0
    backoff = 1.0

    while True:
        try:
            response = http.request('GET', url, headers=headers, timeout=timeout)

            if response.status == 429 and attempt < max_retries:
                # Rate limited - check for X-RateLimit-Reset header
                reset_header = response.headers.get('X-RateLimit-Reset')
                if reset_header:
                    delay = max(1, int(reset_header) - int(time.time()))
                else:
                    delay = int(backoff)

                print(f'Rate limited, waiting {delay} seconds')
                time.sleep(delay)
                attempt += 1
                backoff *= 2
                continue

            if 500 <= response.status < 600 and attempt < max_retries:
                print(f'Server error {response.status}, retrying in {backoff} seconds')
                time.sleep(backoff)
                attempt += 1
                backoff *= 2
                continue

            if response.status != 200:
                raise Exception(f'HTTP {response.status}: {response.data.decode("utf-8")}')

            return json.loads(response.data.decode('utf-8'))

        except Exception as e:
            if attempt < max_retries:
                print(f'Request failed: {str(e)}, retrying in {backoff} seconds')
                time.sleep(backoff)
                attempt += 1
                backoff *= 2
                continue
            raise

def write_page(bucket, prefix, payload, source):
    """Write a page of logs to GCS."""
    ts = datetime.now(timezone.utc)
    blob_name = f"{prefix}/{ts.strftime('%Y/%m/%d/%H%M%S')}-pingone-aic-{source}.json"

    blob = bucket.blob(blob_name)
    blob.upload_from_string(
        json.dumps(payload, separators=(',', ':')),
        content_type='application/json'
    )

    print(f'Wrote logs to {blob_name}')

def bounded_begin_time(last_ts, now, lookback_seconds):
    """Calculate begin time bounded by 24 hour limit."""
    twenty_four_h_ago = now - 24 * 3600

    if last_ts:
        try:
            # Parse ISO timestamp
            t_struct = time.strptime(last_ts[:19] + 'Z', '%Y-%m-%dT%H:%M:%SZ')
            t_epoch = int(time.mktime(t_struct))
        except Exception:
            t_epoch = int(now - lookback_seconds)

        begin_epoch = max(t_epoch, int(twenty_four_h_ago))
    else:
        begin_epoch = max(int(now - lookback_seconds), int(twenty_four_h_ago))

    return time.strftime('%Y-%m-%dT%H:%M:%SZ', time.gmtime(begin_epoch))
    • Segundo arquivo: requirements.txt::
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Clique em Implantar para salvar e implantar a função.

  4. Aguarde a conclusão da implantação (2 a 3 minutos).

Criar o job do Cloud Scheduler

O Cloud Scheduler publica mensagens no tópico do Pub/Sub em intervalos regulares, acionando a função do Cloud Run.

  1. No Console do GCP, acesse o Cloud Scheduler.
  2. Clique em Criar job.

  3. Informe os seguintes detalhes de configuração:

    Configuração Valor
    Nome pingone-aic-collector-hourly
    Região Selecionar a mesma região da função do Cloud Run
    Frequência 0 * * * * (a cada hora, na hora)
    Fuso horário Selecione o fuso horário (UTC recomendado)
    Tipo de destino Pub/Sub
    Tópico Selecione o tópico do Pub/Sub (pingone-aic-trigger).
    Corpo da mensagem {} (objeto JSON vazio)

  4. Clique em Criar.

Opções de frequência de programação

  • Escolha a frequência com base no volume de registros e nos requisitos de latência:

    Frequência Expressão Cron Caso de uso
    A cada 5 minutos */5 * * * * Alto volume e baixa latência
    A cada 15 minutos */15 * * * * Volume médio
    A cada hora 0 * * * * Padrão (recomendado)
    A cada 6 horas 0 */6 * * * Baixo volume, processamento em lote
    Diariamente 0 0 * * * Coleta de dados históricos

Testar a integração

  1. No console do Cloud Scheduler, encontre seu job (pingone-aic-collector-hourly).
  2. Clique em Forçar execução para acionar o job manualmente.
  3. Aguarde alguns segundos.
  4. Acesse Cloud Run > Serviços.
  5. Clique no nome da função (pingone-aic-collector).
  6. Clique na guia Registros.

  7. Verifique se a função foi executada com sucesso. Procure o seguinte:

    Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote logs to gs://bucket-name/prefix/logs_YYYYMMDD_HHMMSS.json
Successfully processed X records

  8. Acesse Cloud Storage > Buckets.

  9. Clique no nome do bucket (pingone-aic-logs).

  10. Navegue até a pasta de prefixo (pingone-aic/logs/).

  11. Verifique se um novo arquivo .json foi criado com o carimbo de data/hora atual.

Se você encontrar erros nos registros:

  • HTTP 401: verifique as credenciais da API nas variáveis de ambiente
  • HTTP 403: verifique se a conta tem as permissões necessárias
  • HTTP 429: limitação de taxa. A função vai tentar novamente automaticamente com espera.
  • Variáveis de ambiente ausentes: verifique se todas as variáveis necessárias estão definidas.

Recuperar a conta de serviço do Google SecOps

O Google SecOps usa uma conta de serviço exclusiva para ler dados do seu bucket do GCS. Você precisa conceder a essa conta de serviço acesso ao seu bucket.

Receber o e-mail da conta de serviço

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, PingOne Advanced Identity Cloud).
  5. Selecione Google Cloud Storage V2 como o Tipo de origem.
  6. Selecione Advanced Identity Cloud do PingOne como o Tipo de registro.

  7. Clique em Receber conta de serviço. Um e-mail exclusivo da conta de serviço é exibido, por exemplo:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copie esse endereço de e-mail para usar na próxima etapa.

Conceder permissões do IAM à conta de serviço do Google SecOps

A conta de serviço do Google SecOps precisa do papel Leitor de objetos do Storage no seu bucket do GCS.

  1. Acesse Cloud Storage > Buckets.
  2. Clique no nome do bucket (pingone-aic-logs).
  3. Acesse a guia Permissões.
  4. Clique em Conceder acesso.
  5. Informe os seguintes detalhes de configuração:
    • Adicionar participantes: cole o e-mail da conta de serviço do Google SecOps.
    • Atribuir papéis: selecione Leitor de objetos do Storage.

  6. Clique em Salvar.

Configurar um feed no Google SecOps para ingerir registros do PingOne Advanced Identity Cloud

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, PingOne Advanced Identity Cloud).
  5. Selecione Google Cloud Storage V2 como o Tipo de origem.
  6. Selecione Advanced Identity Cloud do PingOne como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URL do bucket de armazenamento: insira o URI do bucket do GCS com o caminho do prefixo:

      gs://pingone-aic-logs/pingone-aic/logs/

      • Substitua:

        • pingone-aic-logs: o nome do bucket do GCS.
        • pingone-aic/logs/: prefixo/caminho da pasta opcional em que os registros são armazenados.

    • Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência:

      • Nunca: nunca exclui arquivos após as transferências (recomendado para testes).
      • Excluir arquivos transferidos: exclui os arquivos após a transferência ser concluída.

      • Excluir arquivos transferidos e diretórios vazios: exclui arquivos e diretórios vazios após a transferência bem-sucedida.

    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

    • Namespace do recurso: o namespace do recurso.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.

  9. Clique em Próxima.

  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.