Collecter les journaux PingOne Advanced Identity Cloud
Ce document explique comment ingérer les journaux PingOne Advanced Identity Cloud dans Google Security Operations à l'aide de Google Cloud Storage. PingOne Advanced Identity Cloud est une plate-forme de gestion des identités et des accès qui fournit des fonctionnalités d'authentification, d'autorisation et de gestion des utilisateurs pour les applications basées dans le cloud.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
- Une instance Google SecOps
- Un projet GCP avec l'API Cloud Storage activée
- Autorisations pour créer et gérer des buckets GCS
- Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
- Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
- Accès privilégié au locataire PingOne Advanced Identity Cloud
Obtenir la clé API et le nom de domaine complet du locataire PingOne
- Connectez-vous à la console d'administration Advanced Identity Cloud.
- Cliquez sur l'icône utilisateur > Paramètres du locataire.
- Dans l'onglet Paramètres généraux, cliquez sur Journaliser les clés API.
- Cliquez sur Nouvelle clé API de journal, puis donnez un nom à la clé.
- Cliquez sur Create Key (Créer une clé).
- Copiez et enregistrez les valeurs
api_key_idetapi_key_secretdans un emplacement sécurisé. La valeurapi_key_secretne s'affiche plus. - Cliquez sur OK.
Accédez à Paramètres du locataire > Détails, puis recherchez le nom de domaine complet du locataire (par exemple,
example.tomcat.pingone.com).
Créer un bucket Google Cloud Storage
- Accédez à la console Google Cloud.
- Sélectionnez votre projet ou créez-en un.
- Dans le menu de navigation, accédez à Cloud Storage> Buckets.
- Cliquez sur Créer un bucket.
Fournissez les informations de configuration suivantes :
Paramètre Valeur Nommer votre bucket Saisissez un nom unique (par exemple, pingone-aic-logs).Type d'emplacement Choisissez en fonction de vos besoins (région, birégion ou multirégion). Emplacement Sélectionnez l'emplacement (par exemple, us-central1).Classe de stockage Standard (recommandé pour les journaux auxquels vous accédez fréquemment) Access control (Contrôle des accès) Uniforme (recommandé) Outils de protection Facultatif : Activer la gestion des versions des objets ou la règle de conservation Cliquez sur Créer.
Créer un compte de service pour la fonction Cloud Run
La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.
Créer un compte de service
- Dans la console GCP, accédez à IAM et administration > Comptes de service.
- Cliquez sur Créer un compte de service.
- Fournissez les informations de configuration suivantes :
- Nom du compte de service : saisissez
pingone-aic-collector-sa. - Description du compte de service : saisissez
Service account for Cloud Run function to collect PingOne Advanced Identity Cloud logs.
- Nom du compte de service : saisissez
- Cliquez sur Créer et continuer.
- Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
- Cliquez sur Sélectionner un rôle.
- Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
- Cliquez sur + Ajouter un autre rôle.
- Recherchez et sélectionnez Demandeur Cloud Run.
- Cliquez sur + Ajouter un autre rôle.
- Recherchez et sélectionnez Demandeur Cloud Functions.
- Cliquez sur Continuer.
- Cliquez sur OK.
Ces rôles sont requis pour :
- Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
- Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
- Demandeur Cloud Functions : autorise l'appel de fonctions
Accorder des autorisations IAM sur un bucket GCS
Accordez au compte de service des autorisations d'écriture sur le bucket GCS :
- Accédez à Cloud Storage > Buckets.
- Cliquez sur le nom de votre bucket.
- Accédez à l'onglet Autorisations.
- Cliquez sur Accorder l'accès.
- Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple,
pingone-aic-collector-sa@PROJECT_ID.iam.gserviceaccount.com). - Attribuer des rôles : sélectionnez Administrateur des objets Storage.
- Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple,
- Cliquez sur Enregistrer.
Créer un sujet Pub/Sub
Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.
- Dans la console GCP, accédez à Pub/Sub > Sujets.
- Cliquez sur Create topic (Créer un sujet).
- Fournissez les informations de configuration suivantes :
- ID du sujet : saisissez
pingone-aic-trigger. - Conservez les valeurs par défaut des autres paramètres.
- ID du sujet : saisissez
- Cliquez sur Créer.
Créer une fonction Cloud Run pour collecter les journaux
La fonction Cloud Run est déclenchée par des messages Pub/Sub provenant de Cloud Scheduler pour extraire les journaux de l'API PingOne Advanced Identity Cloud et les écrire dans GCS.
- Dans la console GCP, accédez à Cloud Run.
- Cliquez sur Créer un service.
- Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).
Dans la section Configurer, fournissez les informations de configuration suivantes :
Paramètre Valeur Nom du service pingone-aic-collectorRégion Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).Runtime (durée d'exécution) Sélectionnez Python 3.12 ou version ultérieure. Dans la section Déclencheur (facultatif) :
- Cliquez sur + Ajouter un déclencheur.
- Sélectionnez Cloud Pub/Sub.
- Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet Pub/Sub (
pingone-aic-trigger). - Cliquez sur Enregistrer.
Dans la section Authentification :
- Sélectionnez Exiger l'authentification.
- Consultez Identity and Access Management (IAM).
Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.
Accédez à l'onglet Sécurité :
- Compte de service : sélectionnez le compte de service (
pingone-aic-collector-sa).
- Compte de service : sélectionnez le compte de service (
Accédez à l'onglet Conteneurs :
- Cliquez sur Variables et secrets.
- Cliquez sur + Ajouter une variable pour chaque variable d'environnement :
Nom de la variable Exemple de valeur Description GCS_BUCKETpingone-aic-logsNom du bucket GCS GCS_PREFIXpingone-aic/logsPréfixe des fichiers journaux STATE_KEYpingone-aic/logs/state.jsonChemin d'accès au fichier d'état AIC_TENANT_FQDNexample.tomcat.pingone.comNom de domaine complet du locataire AIC_API_KEY_IDyour-api-key-idID de clé API AIC_API_SECRETyour-api-key-secretSecret de la clé API SOURCESam-everything,idm-everythingSources de journaux séparées par une virgule (voir la note ci-dessous) PAGE_SIZE500Enregistrements par page MAX_PAGES20Nombre maximal de pages par exécution LOOKBACK_SECONDS3600Période d'analyse initiale Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :
- Délai avant expiration de la requête : saisissez
600secondes (10 minutes).
- Délai avant expiration de la requête : saisissez
Accédez à l'onglet Paramètres :
- Dans la section Ressources :
- Mémoire : sélectionnez 512 Mio ou plus.
- CPU : sélectionnez 1.
- Dans la section Ressources :
Dans la section Scaling de révision :
- Nombre minimal d'instances : saisissez
0. - Nombre maximal d'instances : saisissez
100(ou ajustez en fonction de la charge attendue).
- Nombre minimal d'instances : saisissez
Cliquez sur Créer.
Attendez que le service soit créé (1 à 2 minutes).
Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.
Ajouter un code de fonction
- Saisissez main dans Point d'entrée de la fonction.
Dans l'éditeur de code intégré, créez deux fichiers :
- Premier fichier : main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone import time # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=30.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch logs from PingOne Advanced Identity Cloud API and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') prefix = os.environ.get('GCS_PREFIX', 'pingone-aic/logs') state_key = os.environ.get('STATE_KEY', 'pingone-aic/logs/state.json') fqdn = os.environ.get('AIC_TENANT_FQDN', '').strip('/') api_key_id = os.environ.get('AIC_API_KEY_ID') api_key_secret = os.environ.get('AIC_API_SECRET') sources = [s.strip() for s in os.environ.get('SOURCES', 'am-everything,idm-everything').split(',') if s.strip()] page_size = min(int(os.environ.get('PAGE_SIZE', '500')), 1000) max_pages = int(os.environ.get('MAX_PAGES', '20')) lookback_seconds = int(os.environ.get('LOOKBACK_SECONDS', '3600')) if not all([bucket_name, fqdn, api_key_id, api_key_secret]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(bucket_name) # Load state state = load_state(bucket, state_key) state.setdefault('sources', {}) summary = [] for source in sources: last_ts = state['sources'].get(source, {}).get('last_ts') res = fetch_source(bucket, prefix, fqdn, api_key_id, api_key_secret, source, last_ts, page_size, max_pages, lookback_seconds) if res.get('newest_ts'): state['sources'][source] = {'last_ts': res['newest_ts']} summary.append(res) # Save state save_state(bucket, state_key, state) print(f'Successfully processed logs: {json.dumps(summary)}') except Exception as e: print(f'Error processing logs: {str(e)}') raise def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f'Warning: Could not load state: {str(e)}') return {'sources': {}} def save_state(bucket, key, state): """Save state to GCS.""" try: blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, separators=(',', ':')), content_type='application/json' ) except Exception as e: print(f'Warning: Could not save state: {str(e)}') def fetch_source(bucket, prefix, fqdn, api_key_id, api_key_secret, source, last_ts, page_size, max_pages, lookback_seconds): """Fetch logs for a specific source.""" base_url = f"https://{fqdn}/monitoring/logs" now = time.time() begin_time = bounded_begin_time(last_ts, now, lookback_seconds) params = { 'source': source, '_pageSize': str(page_size), '_sortKeys': 'timestamp', 'beginTime': begin_time } headers = { 'x-api-key': api_key_id, 'x-api-secret': api_key_secret } pages = 0 written = 0 newest_ts = last_ts cookie = None while pages < max_pages: if cookie: params['_pagedResultsCookie'] = cookie # Build query string query_parts = [f"{k}={v}" for k, v in params.items()] query_string = '&'.join(query_parts) url = f"{base_url}?{query_string}" # Make request with retry logic data = http_get_with_retry(url, headers) # Write page to GCS write_page(bucket, prefix, data, source) # Process results results = data.get('result') or data.get('results') or [] for item in results: t = item.get('timestamp') or item.get('payload', {}).get('timestamp') if t and (newest_ts is None or t > newest_ts): newest_ts = t written += len(results) cookie = data.get('pagedResultsCookie') pages += 1 if not cookie: break return { 'source': source, 'pages': pages, 'written': written, 'newest_ts': newest_ts } def http_get_with_retry(url, headers, timeout=60, max_retries=5): """Make HTTP GET request with retry logic.""" attempt = 0 backoff = 1.0 while True: try: response = http.request('GET', url, headers=headers, timeout=timeout) if response.status == 429 and attempt < max_retries: # Rate limited - check for X-RateLimit-Reset header reset_header = response.headers.get('X-RateLimit-Reset') if reset_header: delay = max(1, int(reset_header) - int(time.time())) else: delay = int(backoff) print(f'Rate limited, waiting {delay} seconds') time.sleep(delay) attempt += 1 backoff *= 2 continue if 500 <= response.status < 600 and attempt < max_retries: print(f'Server error {response.status}, retrying in {backoff} seconds') time.sleep(backoff) attempt += 1 backoff *= 2 continue if response.status != 200: raise Exception(f'HTTP {response.status}: {response.data.decode("utf-8")}') return json.loads(response.data.decode('utf-8')) except Exception as e: if attempt < max_retries: print(f'Request failed: {str(e)}, retrying in {backoff} seconds') time.sleep(backoff) attempt += 1 backoff *= 2 continue raise def write_page(bucket, prefix, payload, source): """Write a page of logs to GCS.""" ts = datetime.now(timezone.utc) blob_name = f"{prefix}/{ts.strftime('%Y/%m/%d/%H%M%S')}-pingone-aic-{source}.json" blob = bucket.blob(blob_name) blob.upload_from_string( json.dumps(payload, separators=(',', ':')), content_type='application/json' ) print(f'Wrote logs to {blob_name}') def bounded_begin_time(last_ts, now, lookback_seconds): """Calculate begin time bounded by 24 hour limit.""" twenty_four_h_ago = now - 24 * 3600 if last_ts: try: # Parse ISO timestamp t_struct = time.strptime(last_ts[:19] + 'Z', '%Y-%m-%dT%H:%M:%SZ') t_epoch = int(time.mktime(t_struct)) except Exception: t_epoch = int(now - lookback_seconds) begin_epoch = max(t_epoch, int(twenty_four_h_ago)) else: begin_epoch = max(int(now - lookback_seconds), int(twenty_four_h_ago)) return time.strftime('%Y-%m-%dT%H:%M:%SZ', time.gmtime(begin_epoch))- Deuxième fichier : requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0Cliquez sur Déployer pour enregistrer et déployer la fonction.
Attendez la fin du déploiement (deux à trois minutes).
Créer une tâche Cloud Scheduler
Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.
- Dans la console GCP, accédez à Cloud Scheduler.
- Cliquez sur Créer une tâche.
Fournissez les informations de configuration suivantes :
Paramètre Valeur Nom pingone-aic-collector-hourlyRégion Sélectionnez la même région que la fonction Cloud Run. Fréquence 0 * * * *(toutes les heures)Fuseau horaire Sélectionnez un fuseau horaire (UTC recommandé). Type de cible Pub/Sub Topic Sélectionnez le sujet Pub/Sub ( pingone-aic-trigger).Corps du message {}(objet JSON vide)Cliquez sur Créer.
Options de fréquence de planification
Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :
Fréquence Expression Cron Cas d'utilisation Toutes les 5 minutes */5 * * * *Volume élevé, faible latence Toutes les 15 minutes */15 * * * *Volume moyen Toutes les heures 0 * * * *Standard (recommandé) Toutes les 6 heures 0 */6 * * *Traitement par lot à faible volume Tous les jours 0 0 * * *Collecte de données historiques
Tester l'intégration
- Dans la console Cloud Scheduler, recherchez votre job (
pingone-aic-collector-hourly). - Cliquez sur Exécuter de force pour déclencher le job manuellement.
- Patientez pendant quelques secondes.
- Accédez à Cloud Run > Services.
- Cliquez sur le nom de la fonction (
pingone-aic-collector). - Cliquez sur l'onglet Journaux.
Vérifiez que la fonction s'est exécutée correctement. Recherchez les éléments suivants :
Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00 Page 1: Retrieved X events Wrote logs to gs://bucket-name/prefix/logs_YYYYMMDD_HHMMSS.json Successfully processed X recordsAccédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket (
pingone-aic-logs).Accédez au dossier de préfixe (
pingone-aic/logs/).Vérifiez qu'un fichier
.jsona été créé avec le code temporel actuel.
Si vous constatez des erreurs dans les journaux :
- HTTP 401 : vérifiez les identifiants de l'API dans les variables d'environnement
- HTTP 403 : vérifiez que le compte dispose des autorisations requises.
- HTTP 429 : limitation du débit. La fonction effectuera automatiquement une nouvelle tentative avec un intervalle de temps.
- Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.
Récupérer le compte de service Google SecOps
Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.
Obtenir l'adresse e-mail du compte de service
- Accédez à Paramètres SIEM> Flux.
- Cliquez sur Add New Feed (Ajouter un flux).
- Cliquez sur Configurer un flux unique.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple,
PingOne Advanced Identity Cloud). - Sélectionnez Google Cloud Storage V2 comme Type de source.
- Sélectionnez PingOne Advanced Identity Cloud comme Type de journal.
Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comCopiez cette adresse e-mail pour l'utiliser à l'étape suivante.
Accorder des autorisations IAM au compte de service Google SecOps
Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.
- Accédez à Cloud Storage > Buckets.
- Cliquez sur le nom de votre bucket (
pingone-aic-logs). - Accédez à l'onglet Autorisations.
- Cliquez sur Accorder l'accès.
- Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
- Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
Cliquez sur Enregistrer.
Configurer un flux dans Google SecOps pour ingérer les journaux PingOne Advanced Identity Cloud
- Accédez à Paramètres SIEM> Flux.
- Cliquez sur Add New Feed (Ajouter un flux).
- Cliquez sur Configurer un flux unique.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple,
PingOne Advanced Identity Cloud). - Sélectionnez Google Cloud Storage V2 comme Type de source.
- Sélectionnez PingOne Advanced Identity Cloud comme Type de journal.
- Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :
gs://pingone-aic-logs/pingone-aic/logs/Remplacez :
pingone-aic-logs: nom de votre bucket GCS.pingone-aic/logs/: préfixe/chemin d'accès au dossier facultatif où les journaux sont stockés.
Option de suppression de la source : sélectionnez l'option de suppression de votre choix :
- Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
- Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.
Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
Espace de noms de l'élément : espace de noms de l'élément.
Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.