Kontextlogs der IAM-Analyse (Identity and Access Management) erfassen

Unterstützt in:

In diesem Dokument wird erläutert, wie Sie IAM-Analyse-Logs mit Cloud Storage exportieren und in Google Security Operations aufnehmen. Der Parser extrahiert Nutzer- und Ressourceninformationen aus IAM-JSON-Daten. Anschließend werden die extrahierten Felder dem UDM zugeordnet, wodurch Nutzerentitäten mit zugehörigen Rollen und Ressourcenbeziehungen erstellt werden. So wird der Sicherheitskontext in der Google SecOps-Plattform erweitert.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • IAM ist in Ihrer Google Cloud Umgebung eingerichtet und aktiv.
  • Privilegierter Zugriff auf Google Cloud und entsprechende Berechtigungen für den Zugriff auf IAM-Logs.

Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud Console an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. google-cloud-iam-logs.

      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil , um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

      3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Maximierungspfeil , um den Bereich Label zu maximieren.

      4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Wählen Sie einen Standorttyp aus.

      2. Wählen Sie im Menü für den Standorttyp einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Im Abschnitt Speicherklasse für Ihre Daten auswählen wählen Sie entweder Standardspeicherklasse für den Bucket oder Autoclass zur automatischen Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie eine der Optionen unter Datenschutz aus, die Sie für Ihren Bucket festlegen möchten.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Maximierungspfeil mit dem Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.

  5. Klicken Sie auf Erstellen.

Export von IAM-Analyse-Logs konfigurieren

  1. Melden Sie sich in der Google Cloud Console an.
  2. Wechseln Sie zu Logging > Logrouter.
  3. Klicken Sie auf Senke erstellen.

  4. Geben Sie die folgenden Konfigurationsparameter an:

    • Name der Senke: Geben Sie einen aussagekräftigen Namen ein, z. B. IAM-Analysis-Sink.
    • Ziel der Senke: Wählen Sie Cloud Storage aus und geben Sie den URI für Ihren Bucket ein, z. B. gs://gcp-iam-analysis-logs/.

    • Logfilter:

      logName="*iam*"
resource.type="gce_instance"

Berechtigungen für Cloud Storage konfigurieren

  1. Rufen Sie IAM & Verwaltung > IAM auf.
  2. Suchen Sie das Dienstkonto Cloud Logging.
  3. Gewähren Sie die Rolle roles/storage.admin für den Bucket.

Feeds einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. IAM-Analyse-Logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie GCP IAM Analysis als Logtyp aus.
  7. Klicken Sie neben dem Feld Chronicle-Dienstkonto auf Dienstkonto abrufen.
  8. Klicken Sie auf Weiter.

  9. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Cloud Storage-Bucket-URI: Cloud Storage-Bucket-URL, z. B. gs://gcp-iam-analysis-logs/. Diese URL muss mit einem nachgestellten Schrägstrich (/) enden.

    • Optionen für das Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.

    • Maximale Dateialter: Schließt Dateien ein, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

  10. Klicken Sie auf Weiter.

  11. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
accessControlLists.accesses.permission relations.entity.resource.attribute.permissions.name Direkt aus dem Feld accessControlLists.accesses.permission im Rohlog.
attachedResourceFullName relations.entity.resource.name Direkt aus dem Feld attachedResourceFullName im Rohlog, wobei alle nachgestellten Ressourcennamen entfernt werden.
relations.entity.resource.attribute.cloud.environment Auf GOOGLE_CLOUD_PLATFORM festgelegt.
relations.entity.resource.product_object_id Für STORAGE_BUCKET direkt aus dem Feld attachedResourceFullName im Rohlog, wobei alle nachgestellten Ressourcennamen entfernt werden. Für BigQuery-Datasets ist es das Feld projectName (aus attachedResourceFullName extrahiert), gefolgt von einem Doppelpunkt und dem Feld datasetName (aus attachedResourceFullName extrahiert).
relations.entity.resource.resource_type Wird durch das Muster des Felds attachedResourceFullName im Rohlog bestimmt.
relations.entity_type Auf RESOURCE festgelegt, außer für SERVICE_ACCOUNT, wo es auf USER festgelegt ist.
relations.relationship Auf MEMBER festgelegt.
metadata.collected_timestamp Direkt aus dem Feld timestamp im Rohlog.
metadata.entity_type Auf USER festgelegt.
metadata.product_name Auf GCP IAM ANALYSIS festgelegt.
metadata.vendor_name Auf Google Cloud Platform festgelegt.
iamBinding.role entity.user.attribute.roles.name Direkt aus dem Feld iamBinding.role im Rohlog.
identityList.identities.name entity.user.attribute.roles.type Auf SERVICE_ACCOUNT festgelegt, wenn das Feld identityList.identities.name den String serviceAccount enthält.
entity.user.email_addresses Wenn das identityList.identities.name Feld ein @ Symbol enthält, wird es als E-Mail-Adresse behandelt.
entity.user.userid Wenn das identityList.identities.name Feld kein @ Symbol enthält, wird es als Nutzer-ID behandelt.
identityList.identities.product_object_id entity.user.product_object_id Direkt aus dem Feld identityList.identities.product_object_id im Rohlog.
timestamp timestamp Direkt aus dem Feld timestamp im Rohlog.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten