Cloud Identity and Access Management (IAM)-Analyseprotokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cloud IAM-Analyseprotokolle mithilfe von Cloud Storage in Google Security Operations exportieren und aufnehmen. Der Parser extrahiert Nutzer- und Ressourceninformationen aus Google Cloud IAM-JSON-Daten. Anschließend werden die extrahierten Felder dem UDM zugeordnet. So werden Nutzerentitäten mit zugehörigen Rollen und Ressourcenbeziehungen erstellt, wodurch der Sicherheitskontext auf der Google SecOps-Plattform erweitert wird.

Hinweise

  • Sie benötigen eine Google SecOps-Instanz.
  • Prüfen Sie, ob Google Cloud IAM in Ihrer Umgebung eingerichtet und aktiv ist Google Cloud .
  • Sie benötigen Lesezugriff auf Google Cloud und die entsprechenden Berechtigungen für den Zugriff auf IAM-Logs.

Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud Console an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. google-cloud-iam-logs.

      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

      3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Bereich Labels zu maximieren.

      4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Standorttyp auswählen.

      2. Wählen Sie im Menü „Standorttyp“ einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie unter Datenschutz die Optionen aus, die Sie für den Bucket festlegen möchten.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.

  5. Klicken Sie auf Erstellen.

Google Cloud Export von IAM-Analyseprotokollen konfigurieren

  1. Melden Sie sich in der Google Cloud Console an.
  2. Gehen Sie zu Logging > Logrouter.
  3. Klicken Sie auf Senke erstellen.

  4. Geben Sie die folgenden Konfigurationsparameter an:

    • Name der Senke: Geben Sie einen aussagekräftigen Namen ein, z. B. IAM-Analysis-Sink.
    • Sink-Ziel: Wählen Sie Cloud Storage aus und geben Sie den URI für Ihren Bucket ein, z. B. gs://gcp-iam-analysis-logs.

    • Log-Filter:

      logName="*iam*"
resource.type="gce_instance"

      Berechtigungen für Cloud Storage konfigurieren

  5. Rufen Sie IAM & Verwaltung > IAM auf.

  6. Suchen Sie das Cloud Logging-Dienstkonto.

  7. Weisen Sie dem Bucket die Rolle roles/storage.admin zu.

Einen Feed in Google SecOps konfigurieren, um Google Cloud IAM-Analyseprotokolle aufzunehmen

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Google Cloud IAM-Analyseprotokolle.
  4. Wählen Sie Google Cloud Storage als Quelltyp aus.
  5. Wählen Sie als Logtyp GCP IAM-Analyse aus.
  6. Klicken Sie neben dem Feld Chronicle-Dienstkonto auf Dienstkonto abrufen.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage Bucket-URI: Cloud Storage-Bucket-URL, z. B. gs://gcp-iam-analysis-logs.
    • URI ist: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.

    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option aus.

    • Asset-Namespace: der Asset-Namespace.

    • Labels für Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
accessControlLists.accesses.permission relations.entity.resource.attribute.permissions.name Direkt aus dem Feld accessControlLists.accesses.permission im Rohprotokoll
attachedResourceFullName relations.entity.resource.name Direkt aus dem Feld attachedResourceFullName im Rohprotokoll, jedoch ohne nachgestellte Ressourcennamen.
relations.entity.resource.attribute.cloud.environment Legen Sie GOOGLE_CLOUD_PLATFORM fest.
relations.entity.resource.product_object_id Für STORAGE_BUCKET direkt aus dem Feld attachedResourceFullName im Rohprotokoll, jedoch ohne nachgestellte Ressourcennamen. Bei BigQuery-Datasets ist das das Feld projectName (aus attachedResourceFullName extrahiert), gefolgt von einem Doppelpunkt und dem Feld datasetName (aus attachedResourceFullName extrahiert).
relations.entity.resource.resource_type Wird durch das Muster des Felds attachedResourceFullName im Rohprotokoll bestimmt.
relations.entity_type Es ist auf RESOURCE festgelegt, mit Ausnahme von SERVICE_ACCOUNT, für das es auf USER festgelegt ist.
relations.relationship Legen Sie MEMBER fest.
metadata.collected_timestamp Direkt aus dem Feld timestamp im Rohprotokoll
metadata.entity_type Legen Sie USER fest.
metadata.product_name Legen Sie GCP IAM ANALYSIS fest.
metadata.vendor_name Legen Sie Google Cloud Platform fest.
iamBinding.role entity.user.attribute.roles.name Direkt aus dem Feld iamBinding.role im Rohprotokoll
identityList.identities.name entity.user.attribute.roles.type Wird auf SERVICE_ACCOUNT gesetzt, wenn das Feld identityList.identities.name den String serviceAccount enthält.
entity.user.email_addresses Wenn das Feld identityList.identities.name das Symbol @ enthält, wird es als E-Mail-Adresse behandelt.
entity.user.userid Wenn das Feld identityList.identities.name kein @-Symbol enthält, wird es als User-ID behandelt.
identityList.identities.product_object_id entity.user.product_object_id Direkt aus dem Feld identityList.identities.product_object_id im Rohprotokoll
timestamp timestamp Direkt aus dem Feld timestamp im Rohprotokoll.

Änderungen

2023-02-27

Fehlerkorrektur:

  • Die Zuordnung des Felds iamBinding.members zu entity.user.group_identifiers wurde entfernt.

2022-12-28

Optimierung:

  • Das Feld iamBinding.role wurde entity.user.attribute.role.name zugeordnet.
  • Das Feld iamBinding.members wurde entity.user.group_identifiers zugeordnet.

2022-07-27

Optimierung:

  • Die Zuordnung für identity.product_object_id, die event.idm.entity.entity.user.userid zugeordnet war, wurde entfernt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten