收集身分與存取權管理 (IAM) 分析內容記錄
本文說明如何使用 Cloud Storage,將 IAM 分析記錄匯出及擷取至 Google Security Operations。剖析器會從 IAM JSON 資料中擷取使用者和資源資訊。然後將擷取的欄位對應至 UDM,建立具有相關聯角色和資源關係的使用者實體,最終豐富 Google SecOps 平台中的安全性背景資訊。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- IAM 已在 Google Cloud 環境中設定並啟用。
- 具備存取 Google Cloud 的特殊權限,以及存取 IAM 記錄的適當權限。
建立 Cloud Storage 值區
- 登入Google Cloud 控制台。
前往「Cloud Storage Buckets」(Cloud Storage bucket) 頁面。
點選「建立」。
在「建立 bucket」頁面中,輸入 bucket 資訊。完成下列每個步驟後,請按一下「繼續」前往下一個步驟:
在「開始使用」部分,執行下列操作:
- 輸入符合值區名稱規定的專屬名稱,例如 google-cloud-iam-logs。
如要啟用階層命名空間,請按一下展開箭頭,展開「為檔案導向和資料密集型工作負載提供最理想的儲存空間」部分,然後選取「為這個值區啟用階層結構式命名空間」。
如要新增值區標籤,請按一下展開箭頭,展開「標籤」部分。
按一下「新增標籤」,然後指定標籤的鍵和值。
在「Choose where to store your data」(選擇資料的儲存位置) 專區中,完成下列步驟:
- 選取「位置類型」。
使用位置類型選單選取位置,永久儲存 bucket 中的物件資料。
如要設定跨 bucket 複製作業,請展開「設定跨 bucket 複製作業」部分。
在「為資料選擇儲存空間級別」部分,選取 bucket 的預設儲存空間級別,或選取「Autoclass」,讓系統自動管理 bucket 資料的儲存空間級別。
在「選取如何控制物件的存取權」部分,選取「否」以強制執行禁止公開存取,並為值區物件選取存取權控管模型。
在「選擇保護物件資料的方式」部分,請執行下列操作:
- 選取「資料保護」下方的任何選項,為 bucket 設定資料保護措施。
- 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取「資料加密方法」。
點選「建立」。
設定匯出 IAM 分析記錄
- 登入Google Cloud 控制台。
- 依序前往「Logging」>「Log Router」。
- 按一下「建立接收器」。
提供下列設定參數:
- 接收器名稱:輸入有意義的名稱,例如
IAM-Analysis-Sink。 - 接收器目的地:選取「Cloud Storage Storage」,然後輸入值區的 URI,例如
gs://gcp-iam-analysis-logs/。 記錄檔篩選器:
logName="*iam*" resource.type="gce_instance"
- 接收器名稱:輸入有意義的名稱,例如
設定 Cloud Storage 的權限
- 前往「IAM 與管理」>「IAM」。
- 找到 Cloud Logging 服務帳戶。
- 授予值區的 roles/storage.admin。
設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態消息」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態消息名稱」欄位中輸入動態消息名稱,例如「IAM Analysis Logs」。
- 選取「Google Cloud Storage V2」做為「來源類型」。
- 選取「GCP IAM Analysis」做為「記錄類型」。
- 按一下「Chronicle Service Account」(Chronicle 服務帳戶) 欄位旁的「Get Service Account」(取得服務帳戶)。
- 點選「下一步」。
指定下列輸入參數的值:
- 儲存空間值區 URI:Cloud Storage 值區網址,例如
gs://gcp-iam-analysis-logs/。這個網址的結尾必須是正斜線 (/)。 來源刪除選項:根據偏好選取刪除選項。
檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
- 儲存空間值區 URI:Cloud Storage 值區網址,例如
點選「下一步」。
在「完成」畫面中檢查新的動態饋給設定,然後按一下「提交」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| accessControlLists.accesses.permission | relations.entity.resource.attribute.permissions.name | 直接從原始記錄的 accessControlLists.accesses.permission 欄位。 |
| attachedResourceFullName | relations.entity.resource.name | 直接從原始記錄中的 attachedResourceFullName 欄位取得,但會移除任何尾端資源名稱。 |
| relations.entity.resource.attribute.cloud.environment | 設為 GOOGLE_CLOUD_PLATFORM。 |
|
| relations.entity.resource.product_object_id | STORAGE_BUCKET:直接從原始記錄的 attachedResourceFullName 欄位取得,但要移除任何尾端資源名稱。如果是 BigQuery 資料集,則為 projectName (從 attachedResourceFullName 擷取) 後接半形冒號,以及 datasetName (從 attachedResourceFullName 擷取) 欄位。 |
|
| relations.entity.resource.resource_type | 取決於原始記錄中 attachedResourceFullName 欄位的模式。 |
|
| relations.entity_type | 設為 RESOURCE,但 SERVICE_ACCOUNT 設為 USER。 |
|
| relations.relationship | 設為 MEMBER。 |
|
| metadata.collected_timestamp | 直接從原始記錄的 timestamp 欄位。 |
|
| metadata.entity_type | 設為 USER。 |
|
| metadata.product_name | 設為 GCP IAM ANALYSIS。 |
|
| metadata.vendor_name | 設為 Google Cloud Platform。 |
|
| iamBinding.role | entity.user.attribute.roles.name | 直接從原始記錄的 iamBinding.role 欄位。 |
| identityList.identities.name | entity.user.attribute.roles.type | 如果 identityList.identities.name 欄位包含字串 serviceAccount,則設為 SERVICE_ACCOUNT。 |
| entity.user.email_addresses | 如果 identityList.identities.name 欄位包含 @ 符號,系統會將其視為電子郵件地址。 |
|
| entity.user.userid | 如果 identityList.identities.name 欄位不含 @ 符號,系統會將其視為使用者 ID。 |
|
| identityList.identities.product_object_id | entity.user.product_object_id | 直接從原始記錄的 identityList.identities.product_object_id 欄位。 |
| 時間戳記 | 時間戳記 | 直接從原始記錄的 timestamp 欄位。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。