收集 Cloud Identity 裝置記錄
本指南將說明如何使用 Cloud Storage 將 Cloud Identity Devices 記錄匯出至 Google Security Operations。剖析器會從 JSON 記錄中擷取欄位,轉換 deviceType 和日期等特定欄位,並將這些欄位對應至 UDM,建立代表裝置的 asset_entity,並透過硬體和中繼資料資訊加以強化。
事前準備
請確認您已完成下列事前準備:
- 在 Google Cloud 專案中啟用 Google Cloud Identity。
- Google SecOps 執行個體。
- 具備 Google Cloud Identity 和 Cloud Logging 的特殊權限存取權。
建立 Cloud Storage 值區
- 登入 Google Cloud 控制台。
前往「Cloud Storage Buckets」(Cloud Storage 值區) 頁面。
按一下 [建立]。
在「Create a bucket」(建立值區) 頁面中輸入值區資訊。完成下列每個步驟後,請按一下「繼續」繼續下一步:
在「開始使用」部分執行下列操作:
- 輸入符合值區名稱規定的不重複名稱,例如 gcp-cloudidentity-devices-logs。
如要啟用階層命名空間,請按一下展開箭頭,展開「Optimize for file oriented and data-intensive workloads」部分,然後選取「Enable Hierarchical namespace on this bucket」。
如要新增分類標籤,請按一下展開箭頭,展開「Labels」部分。
按一下「新增標籤」,然後指定標籤的鍵和值。
在「Choose where to store your data」(選擇資料的儲存位置) 專區中執行下列操作:
- 選取「位置類型」。
使用位置類型選單選取位置,指定要永久儲存值區內物件資料的位置。
如要設定跨值區複製作業,請展開「設定跨值區複製作業」部分。
在「Choose a storage class for your data」專區中,為值區選取預設儲存空間級別,或選取「Autoclass」,讓系統自動管理值區的資料儲存空間級別。
在「選取如何控制物件的存取權」部分,取消勾選「強制禁止公開存取這個值區」,然後為 bucket 的物件選取「存取權控管」模型。
在「Choose how to protect object data」(選擇保護物件資料的方式) 專區中執行下列操作:
- 選取「資料保護」下方的任一選項,設定值區。
- 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取資料加密方法。
按一下 [建立]。
設定 Cloud Identity 裝置記錄匯出功能
- 登入 Google Cloud 控制台。
- 依序前往「Logging」>「Log Router」。
- 按一下「建立接收器」。
提供下列設定參數:
- Sink Name:輸入有意義的名稱,例如
cloud-identity-devices-logs-sink。 - 匯出目的地:選取「Cloud Storage Storage」,然後輸入值區的 URI,例如
gs://gcp-cloudidentity-devices-logs。 記錄檔篩選器:
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity" resource.type="cloud_identity_device"設定匯出選項:納入所有記錄項目。
- Sink Name:輸入有意義的名稱,例如
按一下 [建立]。
設定 Cloud Storage 權限
- 依序前往「IAM 與管理」>「身分與存取權管理」。
- 找出 Cloud Logging 服務帳戶。
- 授予值區的 roles/storage.admin 角色。
設定動態饋給
在 Google SecOps 平台中,有兩個不同的入口可用來設定動態消息:
- SIEM 設定 > 動態饋給
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態」。
- 按一下「新增動態消息」。
- 在下一頁中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給的名稱,例如「GCP Cloud Identity Devices Logs」。
- 將「來源類型」設為「第三方 API」。
- 選取「GCP Cloud Identity Devices」做為「記錄類型」。
- 點選「下一步」。
- 指定下列輸入參數的值:
- OAuth JWT 端點:用於擷取 OAuth JSON Web Token 的端點。
- JWT 聲明核發者:通常是用戶端 ID。
- JWT 憑證主體:通常是電子郵件地址。
- JWT 憑證附加資訊目標對象:JWT 憑證附加資訊目標對象。
- RSA 私密金鑰:請輸入 PEM 格式。
- API 版本:用於擷取裝置資訊的 API 版本。值應為
v1、v1beta1或vx之一。如果未指定版本,系統會使用v1。
- 點選「下一步」。
- 在「完成」畫面中查看新的動態饋給設定,然後按一下「提交」。
透過內容中心設定動態饋給
指定下列欄位的值:
- Storage Bucket URI:Cloud Storage 值區網址,例如
gs://gcp-cloudidentity-devices-logs。 - URI Is A:選取「Directory which includes subdirectories」。
來源刪除選項:根據偏好選取刪除選項。
進階選項
- 動態饋給名稱:預先填入的值,用於識別動態饋給。
- 來源類型:用於收集記錄並匯入 Google SecOps 的方法。
- 素材資源命名空間:與動態饋給相關聯的命名空間。
- 攝入標籤:套用至這個動態饋給中所有事件的標籤。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
createTime |
entity.metadata.creation_timestamp |
createTime 的值會解析為時間戳記並對應。 |
deviceId |
entity.entity.asset.asset_id |
直接對應。 |
deviceType |
entity.entity.asset.platform_software.platform |
如果原始值為 MAC_OS 或 IOS,則會對應至 MAC。如果原始值相符,則會對應至 WINDOWS、MAC 或 LINUX。否則,請將其設為 UNKNOWN_PLATFORM。 |
encryptionState |
entity.entity.asset.attribute.labels.key |
值設為 encryptionState。用於標籤。 |
encryptionState |
entity.entity.asset.attribute.labels.value |
直接對應。用於標籤。 |
lastSyncTime |
entity.entity.asset.system_last_update_time |
lastSyncTime 的值會解析為時間戳記並對應。 |
managementState |
entity.entity.asset.attribute.labels.key |
值設為 managementState。用於標籤。 |
managementState |
entity.entity.asset.attribute.labels.value |
直接對應。用於標籤。 |
model |
entity.entity.asset.hardware.model |
直接對應。 |
name |
entity.entity.asset.product_object_id |
系統會擷取 devices/ 後面的部分並進行對應。 |
name |
entity.entity.resource.name |
直接對應。 |
osVersion |
entity.entity.asset.platform_software.platform_version |
直接對應。 |
securityPatchTime |
entity.entity.asset.attribute.labels.key |
值設為 securityPatchTime。用於標籤。 |
securityPatchTime |
entity.entity.asset.attribute.labels.value |
直接對應。用於標籤。 |
serialNumber |
entity.entity.asset.hardware.serial_number |
直接對應。從原始記錄檔中的頂層 create_time 欄位複製而來。值設為 ASSET。值設為 GCP Cloud Identity Devices。值設為 Google Cloud Platform。從原始記錄檔中的頂層 create_time 欄位複製。 |
異動
2022-03-27
- 將
resource.name對應至長的專屬資源名稱name。
2022-04-13
- 新建的剖析器。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。