Cómo recopilar registros de análisis de Cloud Identity and Access Management (IAM)

Compatible con:

En este documento, se explica cómo exportar e incorporar registros de Cloud IAM Analysis a Google Security Operations con Cloud Storage. El analizador extrae información del usuario y del recurso de los Google Cloud datos JSON de IAM. Luego, asigna los campos extraídos a la UDM, crea entidades de usuario con roles y relaciones de recursos asociados y, en última instancia, enriquece el contexto de seguridad dentro de la plataforma de SecOps de Google.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de que Google Cloud IAM esté configurado y activo en tu Google Cloud entorno.
  • Asegúrate de tener acceso con privilegios a Google Cloud y los permisos adecuados para acceder a los registros de IAM.

Cree un bucket de Cloud Storage

  1. Accede a la consola de Google Cloud.

  2. Ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  3. Haz clic en Crear.

  4. En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente:

    1. En la sección Primeros pasos, haz lo siguiente:

      1. Ingresa un nombre único que cumpla con los requisitos de nombre de bucket, por ejemplo, google-cloud-iam-logs.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.

      3. Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.

      4. Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

    2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:

      1. Selecciona un tipo de ubicación

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.

      3. Para configurar la replicación entre buckets, expande la sección Configurar la replicación entre buckets.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.

    4. En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos de tu bucket.

    5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
      2. Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.

  5. Haz clic en Crear.

Configura la Google Cloud exportación de registros de IAM Analysis

  1. Accede a la consola de Google Cloud.
  2. Ve a Registros > Enrutador de registros.
  3. Haz clic en Crear receptor.

  4. Proporciona los siguientes parámetros de configuración:

    • Nombre del receptor: Ingresa un nombre significativo, por ejemplo, IAM-Analysis-Sink.
    • Sink Destination: Selecciona Cloud Storage Storage y, luego, ingresa el URI de tu bucket, por ejemplo, gs://gcp-iam-analysis-logs.

    • Filtro de registro:

      logName="*iam*"
resource.type="gce_instance"

      Configura los permisos de Cloud Storage

  5. Ve a IAM y administración > IAM.

  6. Busca la cuenta de servicio de Cloud Logging.

  7. Otorga el rol roles/storage.admin en el bucket.

Configura un feed en Google SecOps para transferir Google Cloud registros de análisis de IAM

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Google Cloud Registros de análisis de IAM.
  4. Selecciona Google Cloud Storage como el Tipo de fuente.
  5. Selecciona GCP IAM Analysis como el tipo de registro.
  6. Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage; por ejemplo, gs://gcp-iam-analysis-logs.
    • URI Is A: Selecciona Directorio que incluye subdirectorios.

    • Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tus preferencias.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
accessControlLists.accesses.permission relations.entity.resource.attribute.permissions.name Directamente desde el campo accessControlLists.accesses.permission en el registro sin formato
attachedResourceFullName relations.entity.resource.name Directamente desde el campo attachedResourceFullName en el registro sin procesar, pero sin los nombres de recursos finales.
relations.entity.resource.attribute.cloud.environment Se define en GOOGLE_CLOUD_PLATFORM.
relations.entity.resource.product_object_id Para STORAGE_BUCKET, directamente desde el campo attachedResourceFullName en el registro sin procesar, pero sin los nombres de recursos finales. Para los conjuntos de datos de BigQuery, es projectName (extraido de attachedResourceFullName) seguido de dos puntos y el campo datasetName (extraido de attachedResourceFullName).
relations.entity.resource.resource_type Se determina según el patrón del campo attachedResourceFullName en el registro sin procesar.
relations.entity_type Se establece en RESOURCE, excepto para SERVICE_ACCOUNT, que se establece en USER.
relations.relationship Se define en MEMBER.
metadata.collected_timestamp Directamente desde el campo timestamp en el registro sin formato
metadata.entity_type Se define en USER.
metadata.product_name Se define en GCP IAM ANALYSIS.
metadata.vendor_name Se define en Google Cloud Platform.
iamBinding.role entity.user.attribute.roles.name Directamente desde el campo iamBinding.role en el registro sin formato
identityList.identities.name entity.user.attribute.roles.type Se establece en SERVICE_ACCOUNT si el campo identityList.identities.name contiene la cadena serviceAccount.
entity.user.email_addresses Si el campo identityList.identities.name contiene un símbolo @, se considera una dirección de correo electrónico.
entity.user.userid Si el campo identityList.identities.name no contiene un símbolo @, se trata como un ID de usuario.
identityList.identities.product_object_id entity.user.product_object_id Directamente desde el campo identityList.identities.product_object_id en el registro sin formato
timestamp timestamp Directamente desde el campo timestamp en el registro sin formato

Cambios

2023-02-27

Corrección de errores:

  • Se quitó la asignación del campo iamBinding.members a entity.user.group_identifiers.

2022-12-28

Mejora:

  • Se asignó el campo iamBinding.role a entity.user.attribute.role.name.
  • Se asignó el campo iamBinding.members a entity.user.group_identifiers.

2022-07-27

Mejora:

  • Se quitó la asignación de identity.product_object_id que estaba asignada a event.idm.entity.entity.user.userid.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.