Esta página foi traduzida pela API Cloud Translation.

Coletar registros de dispositivos do Cloud Identity

Compatível com:

Google SecOps SIEM

Neste guia, explicamos como exportar os registros de dispositivos da Cloud Identity para o Google Security Operations usando o Cloud Storage. O analisador extrai campos de registros JSON, transforma campos específicos, como deviceType e datas, e os mapeia para o UDM, criando um asset_entity que representa o dispositivo e o enriquece com informações de hardware e metadados.

Antes de começar

Verifique se o Google Cloud Identity está ativado no seu Google Cloud projeto.
Verifique se você tem uma instância do Google SecOps.
Verifique se você tem acesso privilegiado ao Google Cloud Identity e ao Cloud Logging.

Criar um bucket do Cloud Storage

Faça login no console do Google Cloud.
Acesse a página Buckets do Cloud Storage.

Acessar buckets
Clique em Criar.
Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima:
1. Na seção Começar, faça o seguinte:
  1. Insira um nome exclusivo que atenda aos requisitos de nome de bucket. Por exemplo, gcp-cloudidentity-devices-logs.
  2. Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.
    
    Observação: não é possível ativar o namespace hierárquico em um bucket atual.
  3. Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.
  4. Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.
2. Na seção Escolha onde armazenar seus dados, faça o seguinte:
  1. Selecione um tipo de local.
  2. Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.
    
    Observação: se você selecionar o tipo de local birregional, também poderá ativar a replicação turbo usando a caixa de seleção relevante.
  3. Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.
3. Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.
4. Na seção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e selecione um modelo de controle de acesso para os objetos do bucket.
  
  Observação: se a prevenção de acesso público já estiver aplicada pela política da organização do projeto, a caixa de seleção Impedir acesso público vai ficar bloqueada.
5. Na seção Escolha como proteger os dados do objeto, faça o seguinte:
  1. Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
  2. Para escolher como os dados do objeto serão criptografados, clique na seta de expansão identificada como Criptografia de dados e selecione um método de criptografia de dados.
Clique em Criar.

Configurar a exportação de registros de dispositivos do Cloud Identity

Faça login no console do Google Cloud.
Acesse Logging > Roteador de registros.
Clique em Criar coletor.
Informe os seguintes parâmetros de configuração:
- Nome do coletor: insira um nome significativo. Por exemplo, cloud-identity-devices-logs-sink.
- Destino do sink: selecione Cloud Storage e insira o URI do bucket. Por exemplo, gs://gcp-cloudidentity-devices-logs.
- Filtro de registro:
```
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_device"
```
- Definir opções de exportação: inclui todas as entradas de registro.
Clique em Criar.

Configurar permissões do Cloud Storage

Acesse IAM e administrador > IAM.
Localize a conta de serviço do Cloud Logging.
Conceda o papel roles/storage.admin no bucket.

Configurar um feed no Google SecOps para processar registros de dispositivos do Cloud Identity

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo.
No campo Nome do feed, insira um nome para o feed. Por exemplo, Logs de dispositivos da identidade do GCP Cloud.
Selecione Google Cloud Storage como o Tipo de origem.
Selecione Dispositivos do Cloud Identity do GCP como o Tipo de registro.
Clique em Pegar conta de serviço ao lado do campo Conta de serviço do Chronicle.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- URI do bucket do Storage: URL do bucket do Cloud Storage. Por exemplo, gs://gcp-cloudidentity-devices-logs.
- URI Is A: selecione Directory which includes subdirectories.
- Opções de exclusão de origem: selecione a opção de exclusão de acordo com sua preferência.
  
  Observação: se você selecionar a opção Delete transferred files ou Delete transferred files and empty directories, confira se concedeu as permissões adequadas à conta de serviço.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
Clique em Próxima.
Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`createTime`	`entity.metadata.creation_timestamp`	O valor de `createTime` é analisado como um carimbo de data/hora e mapeado.
`deviceId`	`entity.entity.asset.asset_id`	Mapeado diretamente.
`deviceType`	`entity.entity.asset.platform_software.platform`	Mapeado para `MAC` se o valor original for `MAC_OS` ou `IOS`. Mapeado para `WINDOWS`, `MAC` ou `LINUX` se o valor original corresponder. Caso contrário, defina como `UNKNOWN_PLATFORM`.
`encryptionState`	`entity.entity.asset.attribute.labels.key`	O valor é definido como `encryptionState`. Usado como parte de um rótulo.
`encryptionState`	`entity.entity.asset.attribute.labels.value`	Mapeado diretamente. Usado como parte de um rótulo.
`lastSyncTime`	`entity.entity.asset.system_last_update_time`	O valor de `lastSyncTime` é analisado como um carimbo de data/hora e mapeado.
`managementState`	`entity.entity.asset.attribute.labels.key`	O valor é definido como `managementState`. Usado como parte de um rótulo.
`managementState`	`entity.entity.asset.attribute.labels.value`	Mapeado diretamente. Usado como parte de um rótulo.
`model`	`entity.entity.asset.hardware.model`	Mapeado diretamente.
`name`	`entity.entity.asset.product_object_id`	A parte após `devices/` é extraída e mapeada.
`name`	`entity.entity.resource.name`	Mapeado diretamente.
`osVersion`	`entity.entity.asset.platform_software.platform_version`	Mapeado diretamente.
`securityPatchTime`	`entity.entity.asset.attribute.labels.key`	O valor é definido como `securityPatchTime`. Usado como parte de um rótulo.
`securityPatchTime`	`entity.entity.asset.attribute.labels.value`	Mapeado diretamente. Usado como parte de um rótulo.
`serialNumber`	`entity.entity.asset.hardware.serial_number`	Mapeado diretamente. Copiado do campo `create_time` de nível superior no registro bruto. O valor é definido como `ASSET`. O valor é definido como `GCP Cloud Identity Devices`. O valor é definido como `Google Cloud Platform`. Copiado do campo `create_time` de nível superior no registro bruto.

Alterações

2022-03-27

Mapeou resource.name para o nome de recurso exclusivo longo name.

13/04/2022

Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.