Keeper Enterprise-Sicherheitslogs erfassen

In diesem Dokument wird beschrieben, wie Sie Keeper Enterprise Security-Logs mit Google Cloud Storage V2 in Google Security Operations aufnehmen.

Keeper Enterprise Security ist ein Enterprise-Passwortmanager und eine Privileged Access Management-Plattform, die Anmeldedaten, Secrets und sensible Daten schützt. Über die Reporting and Alerts API werden Audit-Logs für den Tresorzugriff, Passwortänderungen, Freigabeereignisse und administrative Aktionen generiert.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Ein GCP-Projekt mit aktivierter Cloud Storage API
• Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
• Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
• Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
• Privilegierter Zugriff auf die Keeper Admin Console mit Administratorberechtigungen
• Ein Keeper Enterprise- oder Business-Abo mit aktiviertem Modul „Erweiterte Berichte und Benachrichtigungen“ (Advanced Reporting and Alerts Module, ARAM)

Google Cloud Storage-Bucket erstellen

1. Gehen Sie zur Google Cloud Console.
2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
4. Klicken Sie auf Bucket erstellen.

5. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Bucket benennen	Geben Sie einen global eindeutigen Namen ein, z. B. keeper-audit-logs.
   Standorttyp	Wählen Sie die Option aus, die am besten zu Ihren Anforderungen passt (Region, Dual-Region, Multi-Region).
   Standort	Wählen Sie den Speicherort aus, z. B. us-central1.
   Speicherklasse	Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
   Zugriffskontrolle	Einheitlich (empfohlen)
   Schutzmaßnahmen	Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

6. Klicken Sie auf Erstellen.

Keeper Enterprise Security API-Anmeldedaten erfassen

API-Schlüssel erstellen

1. Melden Sie sich in der Keeper-Admin-Konsole an.
2. Klicken Sie auf Verwaltung > Berichte und Benachrichtigungen.
3. Klicken Sie auf API-Schlüssel oder rufen Sie den Abschnitt zur Verwaltung von API-Schlüsseln auf.
4. Klicken Sie auf API-Schlüssel erstellen.
5. Geben Sie einen Namen für den API-Schlüssel ein (z. B. Google Security Operations Integration).
6. Kopieren und speichern Sie die folgenden Details an einem sicheren Ort:
   • API-Schlüssel: Der generierte API-Schlüsselwert
   • Privater Schlüssel: Laden Sie die Datei mit dem privaten Schlüssel herunter, die für die Tokenerstellung verwendet wird.

7. Notieren Sie sich die Enterprise-ID Ihres Keeper Enterprise-Kontos aus der Admin-Konsole.

API-Basis-URL ermitteln

• Die Basis-URL der Keeper API hängt von der Region Ihres Rechenzentrums ab:

  Region	API-Basis-URL
  USA	https://keepersecurity.com
  EU	https://keepersecurity.eu
  AU	https://keepersecurity.com.au
  Zertifizierungsstelle	https://keepersecurity.ca
  JP	https://keepersecurity.jp
  US GovCloud	https://govcloud.keepersecurity.us

Berechtigungen prüfen

So prüfen Sie, ob das Konto die erforderlichen Berechtigungen hat:

1. Melden Sie sich in der Keeper-Admin-Konsole an.
2. Klicken Sie auf Verwaltung > Berichte und Benachrichtigungen.
3. Wenn Sie das Dashboard Berichte und Benachrichtigungen und den Bereich API-Schlüssel sehen, haben Sie die erforderlichen Berechtigungen.
4. Wenn Sie diese Option nicht sehen, wenden Sie sich an Ihren Keeper-Administrator, um das ARAM-Modul zu aktivieren und Administratorzugriff zu gewähren.

API-Zugriff testen

• Testen Sie Ihre Anmeldedaten, bevor Sie mit der Integration fortfahren:

  # Replace with your actual credentials
  KEEPER_API_KEY="your-api-key"
  KEEPER_BASE="https://keepersecurity.com"
  
  # Test API access - get audit events (requires signed token)
  # Note: Keeper uses a signed JWT for authentication.
  # Refer to Keeper Commander CLI for testing:
  keeper audit-report --format json --limit 1
  

Dienstkonto für die Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
2. Klicken Sie auf Dienstkonto erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Name des Dienstkontos: Geben Sie keeper-logs-collector-sa ein.
   • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect Keeper Enterprise Security logs ein.
4. Klicken Sie auf Erstellen und fortfahren.
5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
   1. Klicken Sie auf Rolle auswählen.
   2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
   3. Klicken Sie auf + Weitere Rolle hinzufügen.
   4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
   5. Klicken Sie auf + Weitere Rolle hinzufügen.
   6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
6. Klicken Sie auf Weiter.
7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

• Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben und Statusdateien verwalten
• Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
• Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets, z. B. keeper-audit-logs.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Prinzipale hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. keeper-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
2. Klicken Sie auf Thema erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
   • Themen-ID: Geben Sie keeper-logs-trigger ein.
   • Andere Einstellungen als Standardeinstellungen beibehalten
4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von Logs erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um Protokolle von der Keeper Reporting and Alerts API abzurufen und in GCS zu schreiben.

1. Rufen Sie in der GCP Console Cloud Run auf.
2. Klicken Sie auf Dienst erstellen.
3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Dienstname	keeper-logs-collector
   Region	Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
   Laufzeit	Wählen Sie Python 3.12 oder höher aus.

5. Im Abschnitt Trigger (optional):

   1. Klicken Sie auf + Trigger hinzufügen.
   2. Wählen Sie Cloud Pub/Sub aus.
   3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Thema keeper-logs-trigger aus.
   4. Klicken Sie auf Speichern.

6. Im Abschnitt Authentifizierung:

   1. Wählen Sie Authentifizierung erforderlich aus.
   2. Identitäts- und Zugriffsverwaltung

7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

8. Rufen Sie den Tab Sicherheit auf:

   • Dienstkonto: Wählen Sie das Dienstkonto keeper-logs-collector-sa aus.

9. Rufen Sie den Tab Container auf:

   1. Klicken Sie auf Variablen und Secrets.
   2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:

   Variablenname	Beispielwert	Beschreibung
   GCS_BUCKET	keeper-audit-logs	Name des GCS-Buckets
   GCS_PREFIX	keeper	Präfix für Protokolldateien
   STATE_KEY	keeper/state.json	Statusdateipfad
   KEEPER_API_BASE	https://keepersecurity.com	Keeper-API-Basis-URL
   KEEPER_API_KEY	your-api-key	Keeper-API-Schlüssel
   KEEPER_PRIVATE_KEY	base64-encoded-private-key	Mit Base64 codierter privater Schlüssel
   KEEPER_ENTERPRISE_ID	12345	Unternehmens-ID
   MAX_RECORDS	5000	Maximale Anzahl von Datensätzen pro Ausführung
   PAGE_SIZE	1000	Einträge pro Seite
   LOOKBACK_HOURS	24	Erster Rückschauzeitraum

10. Scrollen Sie im Bereich Variablen und Secrets nach unten zu Anfragen:

    • Zeitüberschreitung bei Anfrage: Geben Sie 600 Sekunden (10 Minuten) ein.

11. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.

12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

13. Klicken Sie auf Erstellen.

14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

1. Geben Sie main in das Feld Einstiegspunkt ein.

2. Erstellen Sie im Inline-Code-Editor zwei Dateien:

   • Erste Datei:main.py:

       import functions_framework
       from google.cloud import storage
       import json
       import os
       import urllib3
       from datetime import datetime, timezone, timedelta
       import time
       import base64
       import hashlib
       import hmac
     
       # Initialize HTTP client with timeouts
       http = urllib3.PoolManager(
         timeout=urllib3.Timeout(connect=5.0, read=30.0),
         retries=False,
       )
     
       # Initialize Storage client
       storage_client = storage.Client()
     
       # Environment variables
       GCS_BUCKET = os.environ.get('GCS_BUCKET')
       GCS_PREFIX = os.environ.get('GCS_PREFIX', 'keeper')
       STATE_KEY = os.environ.get('STATE_KEY', 'keeper/state.json')
       KEEPER_API_BASE = os.environ.get('KEEPER_API_BASE', 'https://keepersecurity.com')
       KEEPER_API_KEY = os.environ.get('KEEPER_API_KEY')
       KEEPER_PRIVATE_KEY = os.environ.get('KEEPER_PRIVATE_KEY')
       KEEPER_ENTERPRISE_ID = os.environ.get('KEEPER_ENTERPRISE_ID')
       MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '5000'))
       PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '1000'))
       LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))
     
       def to_unix_millis(dt: datetime) -> int:
         """Convert datetime to Unix epoch milliseconds."""
         if dt.tzinfo is None:
           dt = dt.replace(tzinfo=timezone.utc)
         dt = dt.astimezone(timezone.utc)
         return int(dt.timestamp() * 1000)
     
       def parse_datetime(value: str) -> datetime:
         """Parse ISO datetime string to datetime object."""
         if value.endswith("Z"):
           value = value[:-1] + "+00:00"
         return datetime.fromisoformat(value)
     
       def get_auth_token():
         """
         Generate authentication token for Keeper Reporting API.
         Uses HMAC-SHA512 signing with the private key.
         """
         api_base = KEEPER_API_BASE.rstrip('/')
         token_url = f"{api_base}/api/rest/enterprise/auth/token"
     
         # Build token request
         timestamp = str(int(time.time()))
         message = f"{KEEPER_API_KEY}:{timestamp}"
     
         # Decode private key from base64
         private_key_bytes = base64.b64decode(KEEPER_PRIVATE_KEY)
     
         # Sign with HMAC-SHA512
         signature = hmac.new(
           private_key_bytes,
           message.encode('utf-8'),
           hashlib.sha512
         ).digest()
         signature_b64 = base64.b64encode(signature).decode('utf-8')
     
         body = json.dumps({
           'api_key': KEEPER_API_KEY,
           'timestamp': timestamp,
           'signature': signature_b64,
           'enterprise_id': KEEPER_ENTERPRISE_ID
         })
     
         headers = {
           'Content-Type': 'application/json',
           'Accept': 'application/json'
         }
     
         backoff = 1.0
         for attempt in range(3):
           response = http.request('POST', token_url, body=body, headers=headers)
     
           if response.status == 429:
             retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
             print(f"Rate limited (429) on token request. Retrying after {retry_after}s...")
             time.sleep(retry_after)
             backoff = min(backoff * 2, 30.0)
             continue
     
           if response.status != 200:
             raise RuntimeError(f"Failed to get auth token: {response.status} - {response.data.decode('utf-8')}")
     
           data = json.loads(response.data.decode('utf-8'))
           return data.get('token', data.get('access_token'))
     
         raise RuntimeError("Failed to get auth token after 3 retries")
     
       @functions_framework.cloud_event
       def main(cloud_event):
         """
         Cloud Run function triggered by Pub/Sub to fetch Keeper Enterprise
         Security audit logs and write to GCS.
     
         Args:
           cloud_event: CloudEvent object containing Pub/Sub message
         """
     
         if not all([GCS_BUCKET, KEEPER_API_KEY, KEEPER_PRIVATE_KEY, KEEPER_ENTERPRISE_ID]):
           print('Error: Missing required environment variables')
           return
     
         try:
           bucket = storage_client.bucket(GCS_BUCKET)
     
           # Load state
           state = load_state(bucket, STATE_KEY)
     
           # Determine time window
           now = datetime.now(timezone.utc)
           last_time = None
     
           if isinstance(state, dict) and state.get("last_event_time"):
             try:
               last_time = parse_datetime(state["last_event_time"])
               # Overlap by 2 minutes to catch any delayed events
               last_time = last_time - timedelta(minutes=2)
             except Exception as e:
               print(f"Warning: Could not parse last_event_time: {e}")
     
           if last_time is None:
             last_time = now - timedelta(hours=LOOKBACK_HOURS)
     
           print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")
     
           # Get auth token
           token = get_auth_token()
     
           # Fetch logs
           records, newest_event_time = fetch_logs(
             token=token,
             start_time=last_time,
             end_time=now,
             page_size=PAGE_SIZE,
             max_records=MAX_RECORDS,
           )
     
           if not records:
             print("No new log records found.")
             save_state(bucket, STATE_KEY, now.isoformat())
             return
     
           # Write to GCS as NDJSON
           timestamp = now.strftime('%Y%m%d_%H%M%S')
           object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
           blob = bucket.blob(object_key)
     
           ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
           blob.upload_from_string(ndjson, content_type='application/x-ndjson')
     
           print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")
     
           # Update state with newest event time
           if newest_event_time:
             save_state(bucket, STATE_KEY, newest_event_time)
           else:
             save_state(bucket, STATE_KEY, now.isoformat())
     
           print(f"Successfully processed {len(records)} records")
     
         except Exception as e:
           print(f'Error processing logs: {str(e)}')
           raise
     
       def load_state(bucket, key):
         """Load state from GCS."""
         try:
           blob = bucket.blob(key)
           if blob.exists():
             state_data = blob.download_as_text()
             return json.loads(state_data)
         except Exception as e:
           print(f"Warning: Could not load state: {e}")
     
         return {}
     
       def save_state(bucket, key, last_event_time_iso: str):
         """Save the last event timestamp to GCS state file."""
         try:
           state = {'last_event_time': last_event_time_iso}
           blob = bucket.blob(key)
           blob.upload_from_string(
             json.dumps(state, indent=2),
             content_type='application/json'
           )
           print(f"Saved state: last_event_time={last_event_time_iso}")
         except Exception as e:
           print(f"Warning: Could not save state: {e}")
     
       def fetch_logs(token: str, start_time: datetime, end_time: datetime, page_size: int, max_records: int):
         """
         Fetch audit event logs from Keeper Reporting and Alerts API
         with pagination and rate limiting.
     
         Args:
           token: Authentication token
           start_time: Start time for log query
           end_time: End time for log query
           page_size: Number of records per page
           max_records: Maximum total records to fetch
     
         Returns:
           Tuple of (records list, newest_event_time ISO string)
         """
         api_base = KEEPER_API_BASE.rstrip('/')
         endpoint = f"{api_base}/api/rest/enterprise/audit-events"
     
         headers = {
           'Authorization': f'Bearer {token}',
           'Accept': 'application/json',
           'Content-Type': 'application/json',
           'User-Agent': 'GoogleSecOps-KeeperCollector/1.0'
         }
     
         records = []
         newest_time = None
         page_num = 0
         backoff = 1.0
     
         # Convert to Unix epoch seconds for Keeper API
         start_epoch = int(start_time.timestamp())
         end_epoch = int(end_time.timestamp())
         cursor = None
     
         while True:
           page_num += 1
     
           if len(records) >= max_records:
             print(f"Reached max_records limit ({max_records})")
             break
     
           # Build request body
           body = {
             'start_time': start_epoch,
             'end_time': end_epoch,
             'limit': min(page_size, max_records - len(records)),
             'enterprise_id': KEEPER_ENTERPRISE_ID
           }
           if cursor:
             body['cursor'] = cursor
     
           try:
             response = http.request(
               'POST',
               endpoint,
               body=json.dumps(body),
               headers=headers
             )
     
             # Handle rate limiting with exponential backoff
             if response.status == 429:
               retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
               print(f"Rate limited (429). Retrying after {retry_after}s...")
               time.sleep(retry_after)
               backoff = min(backoff * 2, 30.0)
               continue
     
             backoff = 1.0
     
             if response.status != 200:
               print(f"HTTP Error: {response.status}")
               response_text = response.data.decode('utf-8')
               print(f"Response body: {response_text}")
               return [], None
     
             data = json.loads(response.data.decode('utf-8'))
     
             page_results = data.get('audit_events', data.get('events', []))
     
             if not page_results:
               print(f"No more results (empty page)")
               break
     
             print(f"Page {page_num}: Retrieved {len(page_results)} events")
             records.extend(page_results)
     
             # Track newest event time
             for event in page_results:
               try:
                 event_ts = event.get('timestamp') or event.get('created')
                 if event_ts:
                   if isinstance(event_ts, (int, float)):
                     event_dt = datetime.fromtimestamp(event_ts, tz=timezone.utc)
                     event_time = event_dt.isoformat()
                   else:
                     event_time = str(event_ts)
                   if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                     newest_time = event_time
               except Exception as e:
                 print(f"Warning: Could not parse event time: {e}")
     
             # Check for more results
             cursor = data.get('cursor') or data.get('next_cursor')
             if not cursor:
               print("No more pages (no next cursor)")
               break
     
           except Exception as e:
             print(f"Error fetching logs: {e}")
             return [], None
     
         print(f"Retrieved {len(records)} total records from {page_num} pages")
         return records, newest_time
     

   • Zweite Datei – requirements.txt::

       functions-framework==3.*
       google-cloud-storage==2.*
       urllib3>=2.0.0
     

3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2 bis 3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema und löst so die Cloud Run-Funktion aus.

1. Rufen Sie in der GCP Console Cloud Scheduler auf.
2. Klicken Sie auf Job erstellen.

3. Geben Sie die folgenden Konfigurationsdetails an:

   Einstellung	Wert
   Name	keeper-logs-collector-hourly
   Region	Dieselbe Region wie die Cloud Run-Funktion auswählen
   Frequenz	0 * * * * (jede Stunde, zur vollen Stunde)
   Zeitzone	Zeitzone auswählen (UTC empfohlen)
   Zieltyp	Pub/Sub
   Thema	Wählen Sie das Thema keeper-logs-trigger aus.
   Inhalt der Nachricht	{} (leeres JSON-Objekt)

4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

Häufigkeit	Cron-Ausdruck	Anwendungsfall
Alle 5 Minuten	*/5 * * * *	Hohes Volumen, niedrige Latenz
Alle 15 Minuten	*/15 * * * *	Mittleres Suchvolumen
Stündlich	0 * * * *	Standard (empfohlen)
Alle 6 Stunden	0 */6 * * *	Geringes Volumen, Batchverarbeitung
Täglich	0 0 * * *	Erhebung von Verlaufsdaten

Integration testen

1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job.
2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
3. Warten Sie einige Sekunden.
4. Rufen Sie Cloud Run > Dienste auf.
5. Klicken Sie auf keeper-logs-collector.
6. Klicken Sie auf den Tab Logs.

7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Darauf sollten Sie achten:

   Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
   Page 1: Retrieved X events
   Wrote X records to gs://keeper-audit-logs/keeper/logs_YYYYMMDD_HHMMSS.ndjson
   Successfully processed X records
   

8. Rufen Sie Cloud Storage > Buckets auf.

9. Klicken Sie auf den Namen Ihres Buckets (keeper-audit-logs).

10. Rufen Sie den Ordner keeper/ auf.

11. Prüfen Sie, ob eine neue .ndjson-Datei mit dem aktuellen Zeitstempel erstellt wurde.

Wenn Sie Fehler in den Logs sehen:

• HTTP 401: API-Anmeldedaten in Umgebungsvariablen prüfen
• HTTP 403: Prüfen Sie in der Keeper-Admin-Konsole, ob das Konto die erforderlichen ARAM-Berechtigungen hat.
• HTTP 429: Ratenbegrenzung – die Funktion wird automatisch mit Backoff wiederholt.
• Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.

Feed in Google SecOps konfigurieren, um Keeper Enterprise Security-Protokolle aufzunehmen

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf Einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Keeper Enterprise Security Logs.
5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
6. Wählen Sie Keeper Enterprise Security als Logtyp aus.

7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Kopieren Sie die E-Mail-Adresse.

9. Klicken Sie auf Weiter.

10. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://keeper-audit-logs/keeper/
      

      • Ersetzen Sie:
        • keeper-audit-logs: Der Name Ihres GCS-Buckets.
        • keeper: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden (für den Stamm leer lassen).

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Option zum Löschen aus:

      • Nie: Es werden niemals Dateien nach Übertragungen gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Löscht Dateien nach der erfolgreichen Übertragung.

      • Übertragene Dateien und leere Verzeichnisse löschen: Dateien und leere Verzeichnisse werden nach der erfolgreichen Übertragung gelöscht.

    • Höchstalter für Dateien: Dateien einschließen, die in den letzten Tagen geändert wurden (Standard: 180 Tage)

    • Asset-Namespace: Der Asset-Namespace

    • Labels für die Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll

11. Klicken Sie auf Weiter.

12. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage Object Viewer für Ihren GCS-Bucket.

1. Rufen Sie Cloud Storage > Buckets auf.
2. Klicken Sie auf den Namen Ihres Buckets.
3. Wechseln Sie zum Tab Berechtigungen.
4. Klicken Sie auf Zugriff erlauben.
5. Geben Sie die folgenden Konfigurationsdetails an:
   • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
   • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.
6. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
logData.channel	extensions.auth.type	Auf Großbuchstabenwert setzen, wenn in ["SSO", "MACHINE", "VPN", "PHYSICAL", "TACACS"], andernfalls "AUTHTYPE_UNSPECIFIED"
logData.timestamp	metadata.event_timestamp	Konvertiert im ISO8601-Format
logData.audit_event, logData.remote_address	metadata.event_type	Auf „USER_LOGIN“ festgelegt, wenn „audit_event“ mit „login“ übereinstimmt und „remote_address“ nicht leer ist. Andernfalls „STATUS_UPDATE“, wenn „remote_address“ nicht leer ist. Andernfalls „GENERIC_EVENT“.
logData.audit_event	metadata.product_event_type	Wert direkt kopiert
logData.enterprise_id	metadata.product_log_id	In String konvertiert
	metadata.product_name	Auf „KEEPER“ festgelegt
	metadata.vendor_name	Auf „KEEPER“ festgelegt
logData.client_version	network.http.parsed_user_agent	Wert direkt kopiert und dann in „parseduseragent“ konvertiert
logData.client_version	network.http.user_agent	Wert direkt kopiert
logData.remote_address	principal.asset.ip	Wert direkt kopiert
logData.remote_address	principal.ip	Wert direkt kopiert
logData.category	security_result.category_details	Aus Quelle zusammengeführt
logData.shared_folder_uid, logData.folder_uid	security_result.detection_fields	Zusammengeführt als Labels mit den Schlüsseln „shared_folder_uid“ und „folder_uid“
logData.email	target.user.email_addresses	Aus Quelle zusammengeführt
logData.username	target.user.userid	Wert direkt kopiert

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten