Nous avons réorganisé notre structure de navigation pour l'aligner directement sur vos workflows opérationnels. Pour en savoir plus, consultez les notes de version de Google SecOps.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux de contexte d'analyse Identity and Access Management (IAM)

Compatible avec :

Google secops SIEM

Ce document explique comment exporter et ingérer des journaux d'analyse IAM dans Google Security Operations à l'aide de Cloud Storage. L'analyseur extrait les informations sur les utilisateurs et les ressources à partir des données JSON IAM. Il mappe ensuite les champs extraits à l'UDM, créant des entités utilisateur avec des rôles associés et des relations de ressources, enrichissant ainsi le contexte de sécurité au sein de la plate-forme Google SecOps.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Instance Google SecOps
IAM est configuré et actif dans votre Google Cloud environnement.
Accès privilégié à Google Cloud et autorisations appropriées pour accéder aux journaux IAM.

Créer un bucket Cloud Storage

Connectez-vous à la Google Cloud console.
Accédez à la page Buckets Cloud Storage.

Accéder à la page "Buckets"
Cliquez sur Créer.
Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune des étapes suivantes, cliquez sur Continuer pour passer à l'étape suivante :
1. Dans la section Premiers pas, procédez comme suit :
  1. Saisissez un nom unique qui répond aux exigences concernant les noms de buckets, par exemple google-cloud-iam-logs.
  2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche de développement pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.
    
    Remarque : Vous ne pouvez pas activer l'espace de noms hiérarchique sur un bucket existant.
  3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.
  4. Cliquez sur Ajouter une étiquette, puis spécifiez une clé et une valeur pour votre étiquette.
2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :
  1. Sélectionnez un type d'emplacement.
  2. Utilisez le menu du type d'emplacement pour sélectionner un emplacement où les données d'objet de votre bucket seront stockées de manière permanente.
    
    Remarque : Si vous sélectionnez le type d'emplacement birégional, vous pouvez également choisir d'activer la réplication turbo à l'aide de la case à cocher correspondante.
  3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.
3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.
4. Dans la section Choisissez comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.
  
  Remarque : Si la protection contre l'accès public est déjà appliquée par la règle d'administration de votre projet, la case à cocher Empêcher l'accès public est verrouillée.
5. Dans la section Choisissez comment protéger les données des objets, procédez comme suit :
  1. Sous Protection des données , sélectionnez les options que vous souhaitez définir pour votre bucket.
  2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche de développement intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.
Cliquez sur Créer.

Configurer l'exportation des journaux d'analyse IAM

Connectez-vous à la Google Cloud console.
Accédez à Logging > Routeur de journaux.
Cliquez sur Créer un récepteur.
Fournissez les paramètres de configuration suivants :
- Nom du récepteur : saisissez un nom explicite, par exemple IAM-Analysis-Sink.
- Destination du récepteur : sélectionnez Cloud Storage , puis saisissez l'URI de votre bucket, par exemple gs://gcp-iam-analysis-logs/.
- Filtre de journal :
```
logName="*iam*"
resource.type="gce_instance"
```

Configurer les autorisations pour Cloud Storage

Accédez à IAM et administration > IAM.
Recherchez le compte de service Cloud Logging.
Attribuez le rôle roles/storage.admin sur le bucket.

Configurer les flux

Pour configurer un flux, procédez comme suit :

Accédez à Paramètres SIEM > Flux.
Cliquez sur Ajouter un flux.
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux, par exemple Journaux d'analyse IAM.
Sélectionnez Google Cloud Storage V2 comme type de source.
Sélectionnez Analyse IAM GCP comme type de journal.
Cliquez sur Obtenir le compte de service à côté du champ Compte de service Chronicle.
Cliquez sur Suivant.
Spécifiez des valeurs pour les paramètres d'entrée suivants :
- URI du bucket de stockage : URL du bucket Cloud Storage, par exemple gs://gcp-iam-analysis-logs/. Cette URL doit se terminer par une barre oblique (/).
- Options de suppression de la source : sélectionnez l'option de suppression de votre choix.
  
  Remarque : Si vous sélectionnez l'option Delete transferred files ou Delete transferred files and empty directories, assurez-vous d'avoir accordé les autorisations appropriées au compte de service.
- Âge maximal des fichiers : inclut les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
accessControlLists.accesses.permission	relations.entity.resource.attribute.permissions.name	Directement à partir du champ `accessControlLists.accesses.permission` dans le journal brut.
attachedResourceFullName	relations.entity.resource.name	Directement à partir du champ `attachedResourceFullName` dans le journal brut, mais sans les noms de ressources de fin.
	relations.entity.resource.attribute.cloud.environment	Défini sur `GOOGLE_CLOUD_PLATFORM`.
	relations.entity.resource.product_object_id	Pour STORAGE_BUCKET, directement à partir du champ `attachedResourceFullName` dans le journal brut, mais sans les noms de ressources de fin. Pour les ensembles de données BigQuery, il s'agit du `projectName` (extrait de `attachedResourceFullName`), suivi d'un signe deux-points et du champ `datasetName` (extrait de `attachedResourceFullName`).
	relations.entity.resource.resource_type	Déterminé par le modèle du champ `attachedResourceFullName` dans le journal brut.
	relations.entity_type	Défini sur `RESOURCE`, sauf pour SERVICE_ACCOUNT, où il est défini sur `USER`.
	relations.relationship	Défini sur `MEMBER`.
	metadata.collected_timestamp	Directement à partir du champ `timestamp` dans le journal brut.
	metadata.entity_type	Défini sur `USER`.
	metadata.product_name	Défini sur `GCP IAM ANALYSIS`.
	metadata.vendor_name	Défini sur `Google Cloud Platform`.
iamBinding.role	entity.user.attribute.roles.name	Directement à partir du champ `iamBinding.role` dans le journal brut.
identityList.identities.name	entity.user.attribute.roles.type	Défini sur `SERVICE_ACCOUNT` si le champ `identityList.identities.name` contient la chaîne `serviceAccount`.
	entity.user.email_addresses	Si le champ `identityList.identities.name` contient un symbole `@`, il est traité comme une adresse e-mail.
	entity.user.userid	Si le champ `identityList.identities.name` ne contient pas de symbole `@`, il est traité comme un ID utilisateur.
identityList.identities.product_object_id	entity.user.product_object_id	Directement à partir du champ `identityList.identities.product_object_id` dans le journal brut.
timestamp	timestamp	Directement à partir du champ `timestamp` dans le journal brut.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.