Collecter les journaux d'analyse Cloud Identity and Access Management (IAM)

Compatible avec:

Ce document explique comment exporter et ingérer les journaux d'analyse Cloud IAM dans Google Security Operations à l'aide de Cloud Storage. L'analyseur extrait les informations sur les utilisateurs et les ressources à partir des données JSON IAM. Google Cloud Il mappe ensuite les champs extraits sur la UDM, créant ainsi des entités utilisateur avec des rôles et des relations de ressources associés, ce qui enrichit le contexte de sécurité dans la plate-forme Google SecOps.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous que l' Google Cloud IAM est configuré et actif dans votre Google Cloud environnement.
  • Assurez-vous de disposer d'un accès privilégié à Google Cloud et des autorisations appropriées pour accéder aux journaux IAM.

Créer un bucket Cloud Storage

  1. Connectez-vous à la console Google Cloud.

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante:

    1. Dans la section Premiers pas, procédez comme suit :

      1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets, par exemple google-cloud-iam-logs.

      2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.

      3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.

      4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      1. Sélectionnez un type d'emplacement.

      2. Utilisez le menu "Type d'emplacement" pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.

      3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit:

      1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Configurer Google Cloud l'exportation des journaux d'analyse IAM

  1. Connectez-vous à la console Google Cloud.
  2. Accédez à Logging > Log Router (Journalisation > Routeur de journaux).
  3. Cliquez sur Créer un récepteur.

  4. Fournissez les paramètres de configuration suivants:

    • Nom du récepteur: saisissez un nom explicite (par exemple, IAM-Analysis-Sink).
    • Destination du sink: sélectionnez Cloud Storage, puis saisissez l'URI de votre bucket (par exemple, gs://gcp-iam-analysis-logs).

    • Filtre de journal:

      logName="*iam*"
resource.type="gce_instance"

      Configurer les autorisations pour Cloud Storage

  5. Accédez à IAM et administration > IAM.

  6. Recherchez le compte de service Cloud Logging.

  7. Attribuez le rôle roles/storage.admin au bucket.

Configurer un flux dans Google SecOps pour ingérer les journaux d'analyse IAM Google Cloud

  1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Google Cloud Journaux d'analyse IAM).
  4. Sélectionnez Google Cloud Storage comme Type de source.
  5. Sélectionnez Analyse IAM GCP comme Type de journal.
  6. Cliquez sur Obtenir un compte de service à côté du champ Compte de service Chronicle.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants:

    • URI du bucket Storage: URL du bucket Cloud Storage (par exemple, gs://gcp-iam-analysis-logs).
    • L'URI est: sélectionnez Répertoire incluant des sous-répertoires.

    • Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.

    • Espace de noms des éléments: espace de noms des éléments.

    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
accessControlLists.accesses.permission relations.entity.resource.attribute.permissions.name Directement à partir du champ accessControlLists.accesses.permission dans le journal brut.
attachedResourceFullName relations.entity.resource.name Directement à partir du champ attachedResourceFullName dans le journal brut, mais sans les noms de ressources en fin de chaîne.
relations.entity.resource.attribute.cloud.environment Variable définie sur GOOGLE_CLOUD_PLATFORM.
relations.entity.resource.product_object_id Pour STORAGE_BUCKET, directement à partir du champ attachedResourceFullName dans le journal brut, mais en supprimant les noms de ressources à la fin. Pour les ensembles de données BigQuery, il s'agit de projectName (extrait de attachedResourceFullName) suivi d'un deux-points et du champ datasetName (extrait de attachedResourceFullName).
relations.entity.resource.resource_type Déterminé par le format du champ attachedResourceFullName dans le journal brut.
relations.entity_type Valeur définie sur RESOURCE, sauf pour SERVICE_ACCOUNT, où elle est définie sur USER.
relations.relationship Variable définie sur MEMBER.
metadata.collected_timestamp Directement à partir du champ timestamp dans le journal brut.
metadata.entity_type Variable définie sur USER.
metadata.product_name Variable définie sur GCP IAM ANALYSIS.
metadata.vendor_name Variable définie sur Google Cloud Platform.
iamBinding.role entity.user.attribute.roles.name Directement à partir du champ iamBinding.role dans le journal brut.
identityList.identities.name entity.user.attribute.roles.type Définissez sur SERVICE_ACCOUNT si le champ identityList.identities.name contient la chaîne serviceAccount.
entity.user.email_addresses Si le champ identityList.identities.name contient un symbole @, il est traité comme une adresse e-mail.
entity.user.userid Si le champ identityList.identities.name ne contient pas de symbole @, il est traité comme un user-id.
identityList.identities.product_object_id entity.user.product_object_id Directement à partir du champ identityList.identities.product_object_id dans le journal brut.
timestamp timestamp Directement à partir du champ timestamp dans le journal brut.

Modifications

2023-02-27

Correction de bug:

  • Suppression du mappage du champ iamBinding.members sur entity.user.group_identifiers.

2022-12-28

Amélioration :

  • Mappage du champ iamBinding.role sur entity.user.attribute.role.name.
  • Mappage du champ iamBinding.members sur entity.user.group_identifiers.

2022-07-27

Amélioration :

  • Suppression du mappage de identity.product_object_id, qui était mappé sur event.idm.entity.entity.user.userid.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.