Collecter les journaux de sécurité Keeper Enterprise

Ce document explique comment ingérer des journaux Keeper Enterprise Security dans Google Security Operations à l'aide de Google Cloud Storage V2.

Keeper Enterprise Security est une plate-forme de gestion des mots de passe et des accès privilégiés pour les entreprises qui protège les identifiants, les secrets et les données sensibles. Elle génère des journaux d'audit pour l'accès aux coffres, les modifications de mot de passe, les événements de partage et les actions administratives via l'API Reporting and Alerts.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

• Une instance Google SecOps
• Un projet GCP avec l'API Cloud Storage activée
• Autorisations pour créer et gérer des buckets GCS
• Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
• Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
• Accès privilégié à la console d'administration Keeper avec des autorisations d'administrateur
• Un forfait Keeper Enterprise ou Business avec le module Advanced Reporting and Alerts (ARAM) activé

Créer un bucket Cloud Storage

1. Accédez à la console Google Cloud.
2. Sélectionnez votre projet ou créez-en un.
3. Dans le menu de navigation, accédez à Cloud Storage> Buckets.
4. Cliquez sur Créer un bucket.

5. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nommer votre bucket	Saisissez un nom unique (par exemple, keeper-audit-logs).
   Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
   Emplacement	Sélectionnez l'emplacement (par exemple, us-central1).
   Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
   Access control (Contrôle des accès)	Uniforme (recommandé)
   Outils de protection	Facultatif : Activez la gestion des versions des objets ou la règle de conservation.

6. Cliquez sur Créer.

Collecter les identifiants de l'API Keeper Enterprise Security

Créer une clé API

1. Connectez-vous à la console d'administration Keeper.
2. Accédez à Admin > Rapports et alertes.
3. Cliquez sur Clés API ou accédez à la section de gestion des clés API.
4. Cliquez sur Créer la clé API.
5. Saisissez un nom pour la clé API (par exemple, Google Security Operations Integration).
6. Copiez et enregistrez les informations suivantes dans un emplacement sécurisé :
   • Clé API : valeur de la clé API générée
   • Clé privée : téléchargez le fichier de clé privée (utilisé pour générer le jeton).

7. Notez votre ID Enterprise Keeper Enterprise dans la console d'administration.

Déterminer l'URL de base de l'API

• L'URL de base de l'API Keeper dépend de la région de votre centre de données :

  Région	URL de base de l'API
  États-Unis	https://keepersecurity.com
  UE	https://keepersecurity.eu
  AU	https://keepersecurity.com.au
  CA	https://keepersecurity.ca
  JP	https://keepersecurity.jp
  US GovCloud	https://govcloud.keepersecurity.us

Vérifier les autorisations

Pour vérifier que le compte dispose des autorisations requises :

1. Connectez-vous à la console d'administration Keeper.
2. Accédez à Admin > Rapports et alertes.
3. Si vous pouvez voir le tableau de bord Rapports et alertes et la section Clés API, vous disposez des autorisations requises.
4. Si cette option ne s'affiche pas, contactez votre administrateur Keeper pour activer le module ARAM et accorder l'accès administrateur.

Tester l'accès à l'API

• Testez vos identifiants avant de procéder à l'intégration :

  # Replace with your actual credentials
  KEEPER_API_KEY="your-api-key"
  KEEPER_BASE="https://keepersecurity.com"
  
  # Test API access - get audit events (requires signed token)
  # Note: Keeper uses a signed JWT for authentication.
  # Refer to Keeper Commander CLI for testing:
  keeper audit-report --format json --limit 1
  

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
2. Cliquez sur Créer un compte de service.
3. Fournissez les informations de configuration suivantes :
   • Nom du compte de service : saisissez keeper-logs-collector-sa.
   • Description du compte de service : saisissez Service account for Cloud Run function to collect Keeper Enterprise Security logs.
4. Cliquez sur Créer et continuer.
5. Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
   1. Cliquez sur Sélectionner un rôle.
   2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
   3. Cliquez sur + Ajouter un autre rôle.
   4. Recherchez et sélectionnez Demandeur Cloud Run.
   5. Cliquez sur + Ajouter un autre rôle.
   6. Recherchez et sélectionnez Demandeur Cloud Functions.
6. Cliquez sur Continuer.
7. Cliquez sur OK.

Ces rôles sont requis pour :

• Administrateur des objets Storage : écrire des journaux dans un bucket GCS et gérer les fichiers d'état
• Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
• Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom de votre bucket (par exemple, keeper-audit-logs).
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, keeper-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

1. Dans la console GCP, accédez à Pub/Sub > Sujets.
2. Cliquez sur Créer un sujet.
3. Fournissez les informations de configuration suivantes :
   • ID du sujet : saisissez keeper-logs-trigger.
   • Conservez les valeurs par défaut des autres paramètres.
4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run sera déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API Keeper Reporting and Alerts et les écrire dans GCS.

1. Dans la console GCP, accédez à Cloud Run.
2. Cliquez sur Créer un service.
3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

4. Dans la section Configurer, fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom du service	keeper-logs-collector
   Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
   Durée d'exécution	Sélectionnez Python 3.12 ou version ultérieure.

5. Dans la section Déclencheur (facultatif) :

   1. Cliquez sur + Ajouter un déclencheur.
   2. Sélectionnez Cloud Pub/Sub.
   3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet keeper-logs-trigger.
   4. Cliquez sur Enregistrer.

6. Dans la section Authentification :

   1. Sélectionnez Exiger l'authentification.
   2. Consultez Identity and Access Management (IAM).

7. Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.

8. Accédez à l'onglet Sécurité :

   • Compte de service : sélectionnez le compte de service keeper-logs-collector-sa.

9. Accédez à l'onglet Conteneurs :

   1. Cliquez sur Variables et secrets.
   2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

   Nom de la variable	Exemple de valeur	Description
   GCS_BUCKET	keeper-audit-logs	Nom du bucket GCS
   GCS_PREFIX	keeper	Préfixe des fichiers journaux
   STATE_KEY	keeper/state.json	Chemin d'accès au fichier d'état
   KEEPER_API_BASE	https://keepersecurity.com	URL de base de l'API Keeper
   KEEPER_API_KEY	your-api-key	Clé API Keeper
   KEEPER_PRIVATE_KEY	base64-encoded-private-key	Clé privée encodée en base64
   KEEPER_ENTERPRISE_ID	12345	ID Box Entreprise
   MAX_RECORDS	5000	Nombre maximal d'enregistrements par exécution
   PAGE_SIZE	1000	Enregistrements par page
   LOOKBACK_HOURS	24	Période d'analyse initiale

10. Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :

    • Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).

11. Accédez à l'onglet Paramètres :

    • Dans la section Ressources :
      • Mémoire : sélectionnez 512 Mio ou plus.
      • CPU : sélectionnez 1.

12. Dans la section Scaling de révision :

    • Nombre minimal d'instances : saisissez 0.
    • Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).

13. Cliquez sur Créer.

14. Attendez que le service soit créé (1 à 2 minutes).

15. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

1. Saisissez main dans le champ Point d'entrée.

2. Dans l'éditeur de code intégré, créez deux fichiers :

   • Premier fichier : main.py:

       import functions_framework
       from google.cloud import storage
       import json
       import os
       import urllib3
       from datetime import datetime, timezone, timedelta
       import time
       import base64
       import hashlib
       import hmac
     
       # Initialize HTTP client with timeouts
       http = urllib3.PoolManager(
         timeout=urllib3.Timeout(connect=5.0, read=30.0),
         retries=False,
       )
     
       # Initialize Storage client
       storage_client = storage.Client()
     
       # Environment variables
       GCS_BUCKET = os.environ.get('GCS_BUCKET')
       GCS_PREFIX = os.environ.get('GCS_PREFIX', 'keeper')
       STATE_KEY = os.environ.get('STATE_KEY', 'keeper/state.json')
       KEEPER_API_BASE = os.environ.get('KEEPER_API_BASE', 'https://keepersecurity.com')
       KEEPER_API_KEY = os.environ.get('KEEPER_API_KEY')
       KEEPER_PRIVATE_KEY = os.environ.get('KEEPER_PRIVATE_KEY')
       KEEPER_ENTERPRISE_ID = os.environ.get('KEEPER_ENTERPRISE_ID')
       MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '5000'))
       PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '1000'))
       LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))
     
       def to_unix_millis(dt: datetime) -> int:
         """Convert datetime to Unix epoch milliseconds."""
         if dt.tzinfo is None:
           dt = dt.replace(tzinfo=timezone.utc)
         dt = dt.astimezone(timezone.utc)
         return int(dt.timestamp() * 1000)
     
       def parse_datetime(value: str) -> datetime:
         """Parse ISO datetime string to datetime object."""
         if value.endswith("Z"):
           value = value[:-1] + "+00:00"
         return datetime.fromisoformat(value)
     
       def get_auth_token():
         """
         Generate authentication token for Keeper Reporting API.
         Uses HMAC-SHA512 signing with the private key.
         """
         api_base = KEEPER_API_BASE.rstrip('/')
         token_url = f"{api_base}/api/rest/enterprise/auth/token"
     
         # Build token request
         timestamp = str(int(time.time()))
         message = f"{KEEPER_API_KEY}:{timestamp}"
     
         # Decode private key from base64
         private_key_bytes = base64.b64decode(KEEPER_PRIVATE_KEY)
     
         # Sign with HMAC-SHA512
         signature = hmac.new(
           private_key_bytes,
           message.encode('utf-8'),
           hashlib.sha512
         ).digest()
         signature_b64 = base64.b64encode(signature).decode('utf-8')
     
         body = json.dumps({
           'api_key': KEEPER_API_KEY,
           'timestamp': timestamp,
           'signature': signature_b64,
           'enterprise_id': KEEPER_ENTERPRISE_ID
         })
     
         headers = {
           'Content-Type': 'application/json',
           'Accept': 'application/json'
         }
     
         backoff = 1.0
         for attempt in range(3):
           response = http.request('POST', token_url, body=body, headers=headers)
     
           if response.status == 429:
             retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
             print(f"Rate limited (429) on token request. Retrying after {retry_after}s...")
             time.sleep(retry_after)
             backoff = min(backoff * 2, 30.0)
             continue
     
           if response.status != 200:
             raise RuntimeError(f"Failed to get auth token: {response.status} - {response.data.decode('utf-8')}")
     
           data = json.loads(response.data.decode('utf-8'))
           return data.get('token', data.get('access_token'))
     
         raise RuntimeError("Failed to get auth token after 3 retries")
     
       @functions_framework.cloud_event
       def main(cloud_event):
         """
         Cloud Run function triggered by Pub/Sub to fetch Keeper Enterprise
         Security audit logs and write to GCS.
     
         Args:
           cloud_event: CloudEvent object containing Pub/Sub message
         """
     
         if not all([GCS_BUCKET, KEEPER_API_KEY, KEEPER_PRIVATE_KEY, KEEPER_ENTERPRISE_ID]):
           print('Error: Missing required environment variables')
           return
     
         try:
           bucket = storage_client.bucket(GCS_BUCKET)
     
           # Load state
           state = load_state(bucket, STATE_KEY)
     
           # Determine time window
           now = datetime.now(timezone.utc)
           last_time = None
     
           if isinstance(state, dict) and state.get("last_event_time"):
             try:
               last_time = parse_datetime(state["last_event_time"])
               # Overlap by 2 minutes to catch any delayed events
               last_time = last_time - timedelta(minutes=2)
             except Exception as e:
               print(f"Warning: Could not parse last_event_time: {e}")
     
           if last_time is None:
             last_time = now - timedelta(hours=LOOKBACK_HOURS)
     
           print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")
     
           # Get auth token
           token = get_auth_token()
     
           # Fetch logs
           records, newest_event_time = fetch_logs(
             token=token,
             start_time=last_time,
             end_time=now,
             page_size=PAGE_SIZE,
             max_records=MAX_RECORDS,
           )
     
           if not records:
             print("No new log records found.")
             save_state(bucket, STATE_KEY, now.isoformat())
             return
     
           # Write to GCS as NDJSON
           timestamp = now.strftime('%Y%m%d_%H%M%S')
           object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
           blob = bucket.blob(object_key)
     
           ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n'
           blob.upload_from_string(ndjson, content_type='application/x-ndjson')
     
           print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")
     
           # Update state with newest event time
           if newest_event_time:
             save_state(bucket, STATE_KEY, newest_event_time)
           else:
             save_state(bucket, STATE_KEY, now.isoformat())
     
           print(f"Successfully processed {len(records)} records")
     
         except Exception as e:
           print(f'Error processing logs: {str(e)}')
           raise
     
       def load_state(bucket, key):
         """Load state from GCS."""
         try:
           blob = bucket.blob(key)
           if blob.exists():
             state_data = blob.download_as_text()
             return json.loads(state_data)
         except Exception as e:
           print(f"Warning: Could not load state: {e}")
     
         return {}
     
       def save_state(bucket, key, last_event_time_iso: str):
         """Save the last event timestamp to GCS state file."""
         try:
           state = {'last_event_time': last_event_time_iso}
           blob = bucket.blob(key)
           blob.upload_from_string(
             json.dumps(state, indent=2),
             content_type='application/json'
           )
           print(f"Saved state: last_event_time={last_event_time_iso}")
         except Exception as e:
           print(f"Warning: Could not save state: {e}")
     
       def fetch_logs(token: str, start_time: datetime, end_time: datetime, page_size: int, max_records: int):
         """
         Fetch audit event logs from Keeper Reporting and Alerts API
         with pagination and rate limiting.
     
         Args:
           token: Authentication token
           start_time: Start time for log query
           end_time: End time for log query
           page_size: Number of records per page
           max_records: Maximum total records to fetch
     
         Returns:
           Tuple of (records list, newest_event_time ISO string)
         """
         api_base = KEEPER_API_BASE.rstrip('/')
         endpoint = f"{api_base}/api/rest/enterprise/audit-events"
     
         headers = {
           'Authorization': f'Bearer {token}',
           'Accept': 'application/json',
           'Content-Type': 'application/json',
           'User-Agent': 'GoogleSecOps-KeeperCollector/1.0'
         }
     
         records = []
         newest_time = None
         page_num = 0
         backoff = 1.0
     
         # Convert to Unix epoch seconds for Keeper API
         start_epoch = int(start_time.timestamp())
         end_epoch = int(end_time.timestamp())
         cursor = None
     
         while True:
           page_num += 1
     
           if len(records) >= max_records:
             print(f"Reached max_records limit ({max_records})")
             break
     
           # Build request body
           body = {
             'start_time': start_epoch,
             'end_time': end_epoch,
             'limit': min(page_size, max_records - len(records)),
             'enterprise_id': KEEPER_ENTERPRISE_ID
           }
           if cursor:
             body['cursor'] = cursor
     
           try:
             response = http.request(
               'POST',
               endpoint,
               body=json.dumps(body),
               headers=headers
             )
     
             # Handle rate limiting with exponential backoff
             if response.status == 429:
               retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
               print(f"Rate limited (429). Retrying after {retry_after}s...")
               time.sleep(retry_after)
               backoff = min(backoff * 2, 30.0)
               continue
     
             backoff = 1.0
     
             if response.status != 200:
               print(f"HTTP Error: {response.status}")
               response_text = response.data.decode('utf-8')
               print(f"Response body: {response_text}")
               return [], None
     
             data = json.loads(response.data.decode('utf-8'))
     
             page_results = data.get('audit_events', data.get('events', []))
     
             if not page_results:
               print(f"No more results (empty page)")
               break
     
             print(f"Page {page_num}: Retrieved {len(page_results)} events")
             records.extend(page_results)
     
             # Track newest event time
             for event in page_results:
               try:
                 event_ts = event.get('timestamp') or event.get('created')
                 if event_ts:
                   if isinstance(event_ts, (int, float)):
                     event_dt = datetime.fromtimestamp(event_ts, tz=timezone.utc)
                     event_time = event_dt.isoformat()
                   else:
                     event_time = str(event_ts)
                   if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                     newest_time = event_time
               except Exception as e:
                 print(f"Warning: Could not parse event time: {e}")
     
             # Check for more results
             cursor = data.get('cursor') or data.get('next_cursor')
             if not cursor:
               print("No more pages (no next cursor)")
               break
     
           except Exception as e:
             print(f"Error fetching logs: {e}")
             return [], None
     
         print(f"Retrieved {len(records)} total records from {page_num} pages")
         return records, newest_time
     

   • Deuxième fichier : requirements.txt:

       functions-framework==3.*
       google-cloud-storage==2.*
       urllib3>=2.0.0
     

3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publiera des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenchera la fonction Cloud Run.

1. Dans la console GCP, accédez à Cloud Scheduler.
2. Cliquez sur Créer une tâche.

3. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom	keeper-logs-collector-hourly
   Région	Sélectionnez la même région que la fonction Cloud Run.
   Fréquence	0 * * * * (toutes les heures)
   Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
   Type de cible	Pub/Sub
   Sujet	Sélectionnez le thème keeper-logs-trigger.
   Corps du message	{} (objet JSON vide)

4. Cliquez sur Créer.

Options de fréquence de programmation

Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

Fréquence	Expression Cron	Cas d'utilisation
Toutes les 5 minutes	*/5 * * * *	Volume élevé, faible latence
Toutes les 15 minutes	*/15 * * * *	Volume moyen
Toutes les heures	0 * * * *	Standard (recommandé)
Toutes les 6 heures	0 */6 * * *	Traitement par lot à faible volume
Tous les jours	0 0 * * *	Collecte de données historiques

Tester l'intégration

1. Dans la console Cloud Scheduler, recherchez votre job.
2. Cliquez sur Exécuter de force pour déclencher le job manuellement.
3. Patientez quelques secondes.
4. Accédez à Cloud Run > Services.
5. Cliquez sur keeper-logs-collector.
6. Cliquez sur l'onglet Journaux.

7. Vérifiez que la fonction s'est exécutée correctement. Par exemple :

   Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
   Page 1: Retrieved X events
   Wrote X records to gs://keeper-audit-logs/keeper/logs_YYYYMMDD_HHMMSS.ndjson
   Successfully processed X records
   

8. Accédez à Cloud Storage > Buckets.

9. Cliquez sur le nom de votre bucket (keeper-audit-logs).

10. Accédez au dossier keeper/.

11. Vérifiez qu'un fichier .ndjson a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

• HTTP 401 : vérifiez les identifiants de l'API dans les variables d'environnement
• HTTP 403 : vérifiez que le compte dispose des autorisations ARAM requises dans la console d'administration Keeper
• HTTP 429 : limitation du débit. La fonction effectuera automatiquement une nouvelle tentative avec un intervalle entre les tentatives.
• Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.

Configurer un flux dans Google SecOps pour ingérer les journaux Keeper Enterprise Security

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Cliquez sur Configurer un flux unique.
4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Keeper Enterprise Security Logs).
5. Sélectionnez Google Cloud Storage V2 comme Type de source.
6. Sélectionnez Keeper Enterprise Security comme type de journal.

7. Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Copiez l'adresse e-mail.

9. Cliquez sur Suivant.

10. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URL du bucket de stockage : saisissez l'URI du bucket GCS avec le chemin d'accès au préfixe :

      gs://keeper-audit-logs/keeper/
      

      • Remplacez :
        • keeper-audit-logs : nom de votre bucket GCS.
        • keeper : préfixe/chemin d'accès au dossier facultatif où les journaux sont stockés (laisser vide pour la racine).

    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

      • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
      • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.

      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours (180 jours par défaut).

    • Espace de noms de l'élément : espace de noms de l'élément

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux

11. Cliquez sur Suivant.

12. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom du bucket.
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
   • Attribuer des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
6. Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
logData.channel	extensions.auth.type	Définissez la valeur sur une valeur en majuscules si elle se trouve dans ["SSO", "MACHINE", "VPN", "PHYSICAL", "TACACS"], sinon "AUTHTYPE_UNSPECIFIED".
logData.timestamp	metadata.event_timestamp	Converti au format ISO8601
logData.audit_event, logData.remote_address	metadata.event_type	Définissez sur "USER_LOGIN" si audit_event correspond à "login" et que remote_address n'est pas vide, sinon sur "STATUS_UPDATE" si remote_address n'est pas vide, sinon sur "GENERIC_EVENT".
logData.audit_event	metadata.product_event_type	Valeur copiée directement
logData.enterprise_id	metadata.product_log_id	Converti en chaîne
	metadata.product_name	Défini sur "KEEPER"
	metadata.vendor_name	Défini sur "KEEPER"
logData.client_version	network.http.parsed_user_agent	Valeur copiée directement, puis convertie en parseduseragent
logData.client_version	network.http.user_agent	Valeur copiée directement
logData.remote_address	principal.asset.ip	Valeur copiée directement
logData.remote_address	principal.ip	Valeur copiée directement
logData.category	security_result.category_details	Fusionné à partir de la source
logData.shared_folder_uid, logData.folder_uid	security_result.detection_fields	Fusionné en tant qu'étiquettes avec les clés "shared_folder_uid" et "folder_uid"
logData.email	target.user.email_addresses	Fusionné à partir de la source
logData.username	target.user.userid	Valeur copiée directement

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.