收集 Cloud Identity 裝置記錄

支援的國家/地區:

本指南說明如何使用 Cloud Storage,將 Cloud Identity 裝置記錄匯出至 Google Security Operations。剖析器會從 JSON 記錄中擷取欄位、轉換特定欄位 (例如 deviceType 和日期),然後將這些欄位對應至 UDM,建立代表裝置的 asset_entity,並加入硬體和中繼資料資訊。

事前準備

請確認您已完成下列事前準備事項:

  • 在 Google Cloud 專案中啟用 Google Cloud Identity。
  • Google SecOps 執行個體。
  • Google Cloud Identity 和 Cloud Logging 的特殊存取權。

建立 Cloud Storage 值區

  1. 登入Google Cloud 控制台

  2. 前往「Cloud Storage Buckets」(Cloud Storage bucket) 頁面。

    前往「Buckets」(值區) 頁面

  3. 點選「建立」

  4. 在「建立 bucket」頁面中,輸入 bucket 資訊。完成下列每個步驟後,請按一下「繼續」前往下一個步驟:

    1. 在「開始使用」部分,執行下列操作:

      1. 輸入符合值區名稱規定的不重複名稱,例如 gcp-cloudidentity-devices-logs

      2. 如要啟用階層命名空間,請按一下展開箭頭,展開「為檔案導向和資料密集型工作負載提供最理想的儲存空間」部分,然後選取「為這個值區啟用階層結構式命名空間」

      3. 如要新增值區標籤,請按一下展開箭頭,展開「標籤」部分。

      4. 按一下「新增標籤」,然後指定標籤的鍵和值。

    2. 在「Choose where to store your data」(選擇資料的儲存位置) 專區中,完成下列步驟:

      1. 選取「位置類型」

      2. 使用位置類型選單選取位置,永久儲存 bucket 中的物件資料。

      3. 如要設定跨 bucket 複製作業,請展開「設定跨 bucket 複製作業」部分。

    3. 在「為資料選擇儲存空間級別」部分,選取 bucket 的預設儲存空間級別,或選取「Autoclass」,讓系統自動管理 bucket 資料的儲存空間級別。

    4. 在「選取如何控制物件的存取權」部分,取消勾選「強制禁止公開存取」,然後為 bucket 物件選取「存取權控管」模型。

    5. 在「選擇保護物件資料的方式」部分,請執行下列操作:

      1. 選取「資料保護」下方的任何選項,為 bucket 設定資料保護措施。
      2. 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取資料加密方法。

  5. 點選「建立」

設定匯出 Cloud Identity 裝置記錄

  1. 登入Google Cloud 控制台
  2. 依序前往「Logging」>「Log Router」
  3. 按一下「建立接收器」

  4. 提供下列設定參數:

    • 接收器名稱:輸入有意義的名稱,例如 cloud-identity-devices-logs-sink
    • 接收器目的地:選取「Cloud Storage Storage」,然後輸入值區的 URI,例如 gs://gcp-cloudidentity-devices-logs/

    • 記錄檔篩選器

      logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_device"

    • 設定匯出選項:包括所有記錄項目。

  5. 點選「建立」

設定 Cloud Storage 的權限

  1. 前往「IAM 與管理」>「IAM」
  2. 找到 Cloud Logging 服務帳戶。
  3. 授予值區的 roles/storage.admin

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 依序點選「SIEM Settings」>「Feeds」>「Add New Feed」
  • 依序點選「內容中心」「內容包」「開始使用」

如何設定 Google Cloud 身分識別裝置動態饋給

  1. 按一下「Google Cloud Compute platform」套件。
  2. 找到「身分裝置」Google Cloud 記錄類型,然後按一下「新增動態饋給」
  3. 為下列欄位指定值:
    • 來源類型:第三方 API
    • OAuth JWT 端點:用於擷取 OAuth JSON Web Token (JWT) 的端點。
    • JWT 聲明核發者:通常是用戶端 ID。
    • JWT 憑證主體:通常是電子郵件地址。
    • JWT 憑證附加資訊目標對象:JWT 憑證附加資訊目標對象。
    • RSA 私密金鑰:以 PEM 格式輸入。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 資產命名空間:與動態饋給相關聯的命名空間。
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。
  1. 點選「建立動態饋給」

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。

UDM 對應表

記錄欄位 UDM 對應 邏輯
createTime entity.metadata.creation_timestamp createTime 的值會剖析為時間戳記並對應。
deviceId entity.entity.asset.asset_id 直接對應。
deviceType entity.entity.asset.platform_software.platform 如果原始值為 MAC_OSIOS,則會對應至 MAC。如果原始值相符,則會對應至 WINDOWSMACLINUX。否則請設為 UNKNOWN_PLATFORM
encryptionState entity.entity.asset.attribute.labels.key 值設為 encryptionState。用來當做標籤的一部分。
encryptionState entity.entity.asset.attribute.labels.value 直接對應。用來當做標籤的一部分。
lastSyncTime entity.entity.asset.system_last_update_time lastSyncTime 的值會剖析為時間戳記並對應。
managementState entity.entity.asset.attribute.labels.key 值設為 managementState。用來當做標籤的一部分。
managementState entity.entity.asset.attribute.labels.value 直接對應。用來當做標籤的一部分。
model entity.entity.asset.hardware.model 直接對應。
name entity.entity.asset.product_object_id 系統會擷取 devices/ 後方的部分並進行對應。
name entity.entity.resource.name 直接對應。
osVersion entity.entity.asset.platform_software.platform_version 直接對應。
securityPatchTime entity.entity.asset.attribute.labels.key 值設為 securityPatchTime。用來當做標籤的一部分。
securityPatchTime entity.entity.asset.attribute.labels.value 直接對應。用來當做標籤的一部分。
serialNumber entity.entity.asset.hardware.serial_number 直接對應。從原始記錄的頂層 create_time 欄位複製。值設為 ASSET。值設為 GCP Cloud Identity Devices。值設為 Google Cloud Platform。從原始記錄的頂層 create_time 欄位複製。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。