Collecter les journaux IBM Security Identity Manager

Ce document explique comment ingérer des journaux IBM Security Identity Manager dans Google Security Operations à l'aide de Google Cloud Storage V2.

IBM Security Identity Manager (ISIM) est une solution automatisée basée sur des règles qui gère l'accès des utilisateurs aux environnements informatiques. Elle permet de gérer efficacement les identités et la gouvernance dans toute l'entreprise. En utilisant des rôles, des comptes et des autorisations d'accès, il automatise la création, la modification, la recertification et la suppression des identités utilisateur tout au long du cycle de vie des utilisateurs. Ce produit est également connu sous le nom d'IBM Security Verify Governance - Identity Manager dans les versions plus récentes.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

• Une instance Google SecOps
• Un projet GCP avec l'API Cloud Storage activée
• Autorisations pour créer et gérer des buckets GCS
• Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
• Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
• Accès privilégié à l'API REST IBM Security Identity Manager
• IBM Security Identity Manager version 7.0.2 ou ultérieure, ou IBM Security Verify Governance 10.0.1 ou ultérieure
• Un compte utilisateur ISIM disposant de droits d'administrateur pour accéder aux points de terminaison de l'API REST (/itim/rest/activities et /itim/rest/requests)
• Connectivité réseau entre le projet GCP et l'appliance virtuelle ISIM (les règles de pare-feu doivent autoriser le trafic HTTPS sur le port ISIM)

Configurer l'accès à l'API IBM Security Identity Manager

Pour permettre à Google SecOps de récupérer les données d'activité et de demande d'audit, vous devez configurer un compte de service dédié dans ISIM avec les autorisations requises pour l'accès à l'API REST.

Créer un compte ISIM dédié pour l'accès à l'API

1. Connectez-vous à la console d'administration IBM Security Identity Manager.
2. Accédez à Gérer les utilisateurs> Créer un utilisateur.
3. Créez un compte utilisateur pour l'intégration (par exemple, secops-api-user).
4. Attribuez le rôle Administrateur système ou un rôle personnalisé qui inclut les autorisations permettant d'afficher les activités et les demandes via l'API REST.
5. Enregistrez les identifiants du compte de manière sécurisée :
   • Nom d'utilisateur : nom d'utilisateur de connexion ISIM (par exemple, secops-api-user)
   • Mot de passe : mot de passe de connexion ISIM

Identifier l'URL de base de votre API ISIM

• L'URL de base de votre API ISIM suit ce format :

  https://<isim-hostname>:<port>
  

• Par exemple, si le nom d'hôte de votre appliance virtuelle ISIM est isim.example.com et qu'elle utilise le port HTTPS par défaut :

  https://isim.example.com:9082
  

Tester l'accès à l'API

• Testez vos identifiants avant de procéder à l'intégration :

  # Replace with your actual credentials and ISIM URL
  ISIM_BASE_URL="https://isim.example.com:9082"
  ISIM_USER="chronicle-api-user"
  ISIM_PASS="your-password"
  
  # Authenticate and obtain session cookie
  curl -v -k -c cookies.txt \
      -d "j_username=${ISIM_USER}&j_password=${ISIM_PASS}" \
      "${ISIM_BASE_URL}/itim/j_security_check"
  
  # Retrieve CSRF token from systemusers/me endpoint
  curl -v -k -b cookies.txt \
      -H "Accept: application/json" \
      "${ISIM_BASE_URL}/itim/rest/systemusers/me"
  
  # Test activities endpoint
  curl -v -k -b cookies.txt \
      -H "Accept: application/json" \
      "${ISIM_BASE_URL}/itim/rest/activities"
  

Une réponse réussie renvoie un tableau JSON des activités ISIM récentes.

Créer un bucket Google Cloud Storage

1. Accédez à la console Google Cloud.
2. Sélectionnez votre projet ou créez-en un.
3. Dans le menu de navigation, accédez à Cloud Storage > Buckets.
4. Cliquez sur Créer un bucket.

5. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nommer votre bucket	Saisissez un nom unique (par exemple, ibm-sim-logs-gcs).
   Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
   Emplacement	Sélectionnez l'emplacement (par exemple, us-central1).
   Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
   Access control (Contrôle des accès)	Uniforme (recommandé)
   Outils de protection	Facultatif : Activez la gestion des versions des objets ou une règle de conservation.

6. Cliquez sur Créer.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
2. Cliquez sur Créer un compte de service.
3. Fournissez les informations de configuration suivantes :
   • Nom du compte de service : saisissez ibm-sim-collector-sa.
   • Description du compte de service : saisissez Service account for Cloud Run function to collect IBM Security Identity Manager logs.
4. Cliquez sur Créer et continuer.
5. Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
   1. Cliquez sur Sélectionner un rôle.
   2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
   3. Cliquez sur + Ajouter un autre rôle.
   4. Recherchez et sélectionnez Demandeur Cloud Run.
   5. Cliquez sur + Ajouter un autre rôle.
   6. Recherchez et sélectionnez Demandeur Cloud Functions.
6. Cliquez sur Continuer.
7. Cliquez sur OK.

Ces rôles sont requis pour :

• Administrateur des objets Storage : écrire des journaux dans un bucket GCS et gérer les fichiers d'état
• Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
• Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom de votre bucket (ibm-sim-logs-gcs).
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (ibm-sim-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

1. Dans la console GCP, accédez à Pub/Sub > Sujets.
2. Cliquez sur Create topic (Créer un sujet).
3. Fournissez les informations de configuration suivantes :
   • ID du sujet : saisissez ibm-sim-logs-trigger.
   • Conservez les valeurs par défaut des autres paramètres.
4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run sera déclenchée par des messages Pub/Sub provenant de Cloud Scheduler pour extraire les journaux de l'API REST IBM Security Identity Manager et les écrire dans GCS.

Pour créer une fonction Cloud Run permettant de collecter les journaux :

1. Dans la console GCP, accédez à Cloud Run.
2. Cliquez sur Créer un service.
3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

4. Dans la section Configurer, fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom du service	ibm-sim-collector
   Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
   Durée d'exécution	Sélectionnez Python 3.12 ou version ultérieure.

5. Dans la section Déclencheur (facultatif) :

   1. Cliquez sur + Ajouter un déclencheur.
   2. Sélectionnez Cloud Pub/Sub.
   3. Dans Sélectionner un sujet Cloud Pub/Sub, sélectionnez ibm-sim-logs-trigger.
   4. Cliquez sur Enregistrer.

6. Dans la section Authentification :

   1. Sélectionnez Exiger l'authentification.
   2. Consultez Identity and Access Management (IAM).

7. Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.

8. Accédez à l'onglet Sécurité :

   • Compte de service : sélectionnez ibm-sim-collector-sa.

9. Accédez à l'onglet Conteneurs :

   1. Cliquez sur Variables et secrets.

   2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

      Nom de la variable	Exemple de valeur	Description
      GCS_BUCKET	ibm-sim-logs-gcs	Nom du bucket GCS
      GCS_PREFIX	ibm-sim	Préfixe des fichiers journaux
      STATE_KEY	ibm-sim/state.json	Chemin d'accès au fichier d'état
      ISIM_BASE_URL	https://isim.example.com:9082	URL de base du serveur ISIM
      ISIM_USERNAME	secops-api-user	Nom d'utilisateur de l'API ISIM
      ISIM_PASSWORD	your-password	Mot de passe de l'API ISIM
      LOOKBACK_HOURS	24	Période d'analyse initiale
      PAGE_SIZE	100	Enregistrements par page d'API
      MAX_RECORDS	5000	Nombre maximal d'enregistrements par exécution

10. Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :

    • Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).

11. Accédez à l'onglet Paramètres :

    • Dans la section Ressources :
      • Mémoire : sélectionnez 512 Mio ou plus.
      • CPU : sélectionnez 1.

12. Dans la section Scaling de révision :

    • Nombre minimal d'instances : saisissez 0.
    • Nombre maximal d'instances : saisissez 100.

13. Cliquez sur Créer.

14. Attendez que le service soit créé (1 à 2 minutes).

15. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

1. Saisissez main dans le champ Point d'entrée.

2. Dans l'éditeur de code intégré, créez deux fichiers :

   • main.py:

     import functions_framework
     from google.cloud import storage
     import json
     import os
     import urllib3
     import urllib.parse
     from datetime import datetime, timezone, timedelta
     
     # Disable SSL warnings for self-signed certificates
     urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
     
     http = urllib3.PoolManager(
         timeout=urllib3.Timeout(connect=10.0, read=60.0),
         retries=False,
         cert_reqs='CERT_NONE',
     )
     
     storage_client = storage.Client()
     
     GCS_BUCKET = os.environ.get('GCS_BUCKET')
     GCS_PREFIX = os.environ.get('GCS_PREFIX', 'ibm-sim')
     STATE_KEY = os.environ.get('STATE_KEY', 'ibm-sim/state.json')
     ISIM_BASE_URL = os.environ.get('ISIM_BASE_URL', '').rstrip('/')
     ISIM_USERNAME = os.environ.get('ISIM_USERNAME')
     ISIM_PASSWORD = os.environ.get('ISIM_PASSWORD')
     LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))
     PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
     MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '5000'))
     
     @functions_framework.cloud_event
     def main(cloud_event):
         if not all([GCS_BUCKET, ISIM_BASE_URL, ISIM_USERNAME, ISIM_PASSWORD]):
             print('Error: Missing required environment variables')
             return
     
         try:
             bucket = storage_client.bucket(GCS_BUCKET)
             state = load_state(bucket)
             now = datetime.now(timezone.utc)
     
             if isinstance(state, dict) and state.get('last_event_time'):
                 try:
                     last_val = state['last_event_time']
                     if last_val.endswith('Z'):
                         last_val = last_val[:-1] + '+00:00'
                     last_time = datetime.fromisoformat(last_val)
                     last_time = last_time - timedelta(minutes=2)
                 except Exception as e:
                     print(f"Warning: Could not parse last_event_time: {e}")
                     last_time = now - timedelta(hours=LOOKBACK_HOURS)
             else:
                 last_time = now - timedelta(hours=LOOKBACK_HOURS)
     
             print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")
     
             session_cookies = authenticate()
             csrf_token = get_csrf_token(session_cookies)
     
             activities = fetch_activities(session_cookies, csrf_token, last_time, now)
             requests_data = fetch_requests(session_cookies, csrf_token, last_time, now)
     
             all_records = []
             for a in activities:
                 a['_isim_record_type'] = 'activity'
                 all_records.append(a)
             for r in requests_data:
                 r['_isim_record_type'] = 'request'
                 all_records.append(r)
     
             if not all_records:
                 print("No new records found.")
                 save_state(bucket, now.isoformat())
                 return
     
             timestamp = now.strftime('%Y%m%d_%H%M%S')
             object_key = f"{GCS_PREFIX}/ibm_sim_audit_{timestamp}.ndjson"
             blob = bucket.blob(object_key)
     
             ndjson = '\n'.join(
                 [json.dumps(r, ensure_ascii=False, default=str) for r in all_records]
             ) + '\n'
             blob.upload_from_string(ndjson, content_type='application/x-ndjson')
     
             print(f"Wrote {len(all_records)} records to gs://{GCS_BUCKET}/{object_key}")
     
             newest = find_newest_time(all_records)
             save_state(bucket, newest if newest else now.isoformat())
     
             print(f"Successfully processed {len(all_records)} records "
                 f"(activities: {len(activities)}, requests: {len(requests_data)})")
     
         except Exception as e:
             print(f'Error processing logs: {str(e)}')
             raise
     
     def authenticate():
         url = f"{ISIM_BASE_URL}/itim/j_security_check"
         encoded_body = urllib.parse.urlencode({
             'j_username': ISIM_USERNAME,
             'j_password': ISIM_PASSWORD
         }).encode('utf-8')
     
         response = http.request(
             'POST', url,
             body=encoded_body,
             headers={'Content-Type': 'application/x-www-form-urlencoded'},
             redirect=False
         )
     
         cookies = {}
         set_cookie_headers = response.headers.getlist('Set-Cookie') if hasattr(response.headers, 'getlist') else []
         if not set_cookie_headers:
             raw = response.headers.get('Set-Cookie', '')
             if raw:
                 set_cookie_headers = [raw]
     
         for cookie_header in set_cookie_headers:
             parts = cookie_header.split(';')[0]
             if '=' in parts:
                 name, value = parts.split('=', 1)
                 cookies[name.strip()] = value.strip()
     
         if not cookies:
             raise Exception(
                 f"Authentication failed: no session cookies returned "
                 f"(HTTP {response.status})"
             )
     
         print("Successfully authenticated to ISIM")
         return cookies
     
     def get_csrf_token(cookies):
         url = f"{ISIM_BASE_URL}/itim/rest/systemusers/me"
         cookie_str = '; '.join([f"{k}={v}" for k, v in cookies.items()])
     
         response = http.request(
             'GET', url,
             headers={
                 'Accept': 'application/json',
                 'Cookie': cookie_str
             }
         )
     
         if response.status != 200:
             raise Exception(
                 f"Failed to get CSRF token: {response.status} - "
                 f"{response.data.decode('utf-8')}"
             )
     
         data = json.loads(response.data.decode('utf-8'))
         csrf_token = None
     
         if isinstance(data, dict):
             csrf_token = data.get('_csrf', data.get('CSRFToken'))
         if not csrf_token:
             csrf_header = response.headers.get('CSRFToken', '')
             if csrf_header:
                 csrf_token = csrf_header
     
         print("Successfully retrieved CSRF token")
         return csrf_token
     
     def fetch_activities(cookies, csrf_token, start_time, end_time):
         url = f"{ISIM_BASE_URL}/itim/rest/activities"
         cookie_str = '; '.join([f"{k}={v}" for k, v in cookies.items()])
     
         headers = {
             'Accept': 'application/json',
             'Cookie': cookie_str
         }
         if csrf_token:
             headers['CSRFToken'] = csrf_token
     
         all_records = []
         start_index = 0
     
         while len(all_records) < MAX_RECORDS:
             params = {
                 '_start': str(start_index),
                 '_count': str(min(PAGE_SIZE, MAX_RECORDS - len(all_records)))
             }
             query_string = urllib.parse.urlencode(params)
             request_url = f"{url}?{query_string}"
     
             response = http.request('GET', request_url, headers=headers)
     
             if response.status != 200:
                 print(f"Activities query failed: {response.status} - "
                     f"{response.data.decode('utf-8')}")
                 break
     
             page_results = json.loads(response.data.decode('utf-8'))
     
             if isinstance(page_results, dict):
                 page_results = page_results.get('activities', page_results.get('items', []))
     
             if not page_results:
                 break
     
             all_records.extend(page_results)
             print(f"Activities: Retrieved {len(page_results)} records "
                 f"(total: {len(all_records)})")
     
             if len(page_results) < PAGE_SIZE:
                 break
     
             start_index += len(page_results)
     
         print(f"Total activities fetched: {len(all_records)}")
         return all_records
     
     def fetch_requests(cookies, csrf_token, start_time, end_time):
         url = f"{ISIM_BASE_URL}/itim/rest/requests"
         cookie_str = '; '.join([f"{k}={v}" for k, v in cookies.items()])
     
         headers = {
             'Accept': 'application/json',
             'Cookie': cookie_str
         }
         if csrf_token:
             headers['CSRFToken'] = csrf_token
     
         all_records = []
         start_index = 0
     
         while len(all_records) < MAX_RECORDS:
             params = {
                 '_start': str(start_index),
                 '_count': str(min(PAGE_SIZE, MAX_RECORDS - len(all_records)))
             }
             query_string = urllib.parse.urlencode(params)
             request_url = f"{url}?{query_string}"
     
             response = http.request('GET', request_url, headers=headers)
     
             if response.status != 200:
                 print(f"Requests query failed: {response.status} - "
                     f"{response.data.decode('utf-8')}")
                 break
     
             page_results = json.loads(response.data.decode('utf-8'))
     
             if isinstance(page_results, dict):
                 page_results = page_results.get('requests', page_results.get('items', []))
     
             if not page_results:
                 break
     
             all_records.extend(page_results)
             print(f"Requests: Retrieved {len(page_results)} records "
                 f"(total: {len(all_records)})")
     
             if len(page_results) < PAGE_SIZE:
                 break
     
             start_index += len(page_results)
     
         print(f"Total requests fetched: {len(all_records)}")
         return all_records
     
     def find_newest_time(records):
         newest = None
         for r in records:
             for field in ['completedTime', 'scheduledTime', 'startedTime',
                         'lastModified', 'requestDate', 'timestamp']:
                 t = r.get(field)
                 if t:
                     try:
                         if isinstance(t, (int, float)):
                             dt = datetime.fromtimestamp(t / 1000, tz=timezone.utc)
                             t_iso = dt.isoformat()
                         else:
                             t_iso = str(t)
                         if newest is None or t_iso > newest:
                             newest = t_iso
                     except Exception:
                         continue
         return newest
     
     def load_state(bucket):
         try:
             blob = bucket.blob(STATE_KEY)
             if blob.exists():
                 return json.loads(blob.download_as_text())
         except Exception as e:
             print(f"Warning: Could not load state: {e}")
         return {}
     
     def save_state(bucket, last_event_time_iso):
         try:
             state = {
                 'last_event_time': last_event_time_iso,
                 'last_run': datetime.now(timezone.utc).isoformat()
             }
             blob = bucket.blob(STATE_KEY)
             blob.upload_from_string(
                 json.dumps(state, indent=2),
                 content_type='application/json'
             )
             print(f"Saved state: last_event_time={last_event_time_iso}")
         except Exception as e:
             print(f"Warning: Could not save state: {e}")
     

   • requirements.txt:

     functions-framework==3.*
     google-cloud-storage==2.*
     urllib3>=2.0.0
     

3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

1. Dans la console GCP, accédez à Cloud Scheduler.
2. Cliquez sur Créer une tâche.

3. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom	ibm-sim-collector-hourly
   Région	Sélectionnez la même région que la fonction Cloud Run.
   Fréquence	0 * * * * (toutes les heures)
   Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
   Type de cible	Pub/Sub
   Thème	Sélectionner ibm-sim-logs-trigger
   Corps du message	{} (objet JSON vide)

4. Cliquez sur Créer.

Options de fréquence de programmation

Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

Fréquence	Expression Cron	Cas d'utilisation
Toutes les 5 minutes	*/5 * * * *	Volume élevé, faible latence
Toutes les 15 minutes	*/15 * * * *	Volume moyen
Toutes les heures	0 * * * *	Standard (recommandé)
Toutes les 6 heures	0 */6 * * *	Traitement par lot à faible volume
Tous les jours	0 0 * * *	Collecte de données historiques

Tester l'intégration

1. Dans la console Cloud Scheduler, recherchez votre job (ibm-sim-collector-hourly).
2. Cliquez sur Exécuter de force pour déclencher le job manuellement.
3. Patientez quelques secondes.
4. Accédez à Cloud Run > Services.
5. Cliquez sur ibm-sim-collector.
6. Cliquez sur l'onglet Journaux.

7. Vérifiez que la fonction s'est exécutée correctement. Par exemple :

   Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
   Successfully authenticated to ISIM
   Successfully retrieved CSRF token
   Activities: Retrieved X records (total: X)
   Requests: Retrieved X records (total: X)
   Wrote X records to gs://ibm-sim-logs-gcs/ibm-sim/ibm_sim_audit_YYYYMMDD_HHMMSS.ndjson
   Successfully processed X records (activities: X, requests: X)
   

8. Accédez à Cloud Storage > Buckets.

9. Cliquez sur ibm-sim-logs-gcs.

10. Accédez au dossier ibm-sim/.

11. Vérifiez qu'un fichier .ndjson a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

• HTTP 401/302 : vérifiez que les variables d'environnement ISIM_USERNAME et ISIM_PASSWORD sont correctes et que le compte utilisateur n'est pas verrouillé.
• HTTP 403 : vérifiez que le compte utilisateur ISIM dispose de droits d'administrateur pour l'accès à l'API REST.
• HTTP 404 : vérifiez que ISIM_BASE_URL est correct et inclut le bon numéro de port.
• Erreurs de connexion : vérifiez la connectivité réseau entre la fonction Cloud Run et l'appliance virtuelle ISIM.
• Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies dans la configuration de la fonction Cloud Run.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Cliquez sur Configurer un flux unique.
4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, IBM SIM Logs GCS).
5. Sélectionnez Google Cloud Storage V2 comme Type de source.
6. Sélectionnez IBM Security Identity Manager comme type de journal.

7. Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

   secops-12345678@secops-gcp-prod.iam.gserviceaccount.com
   

8. Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

9. Cliquez sur Suivant.

10. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URL du bucket de stockage : saisissez l'URI du bucket GCS avec le chemin d'accès au préfixe :

      gs://ibm-sim-logs-gcs/ibm-sim/
      

    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

      • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
      • Supprimer les fichiers transférés : supprime les fichiers une fois le transfert réussi.

      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours (180 jours par défaut).

    • Espace de noms de l'élément : espace de noms de l'élément

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux

11. Cliquez sur Suivant.

12. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

Pour accorder des autorisations IAM au compte de service Google SecOps, procédez comme suit :

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur ibm-sim-logs-gcs.
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
   • Attribuer des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
6. Cliquez sur Enregistrer.

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
description	metadata.description	Description de l'événement
receivedTime	metadata.event_timestamp	Code temporel de l'événement
metadata.event_type	metadata.event_type	Type d'événement
version	metadata.product_version	Version du produit
connectionId	network.session_id	Identifiant de session
tls	network.tls.version	Version TLS
ip	principal.asset.ip	Adresse IP de l'élément
nom d'hôte	principal.hostname	Nom d'hôte
ip	principal.ip	Adresse IP
port	principal.port	Numéro du port
kv_data	principal.user.attribute.labels	Libellés des attributs utilisateur
action	security_result.action_details	Détails de l'action entreprise
metadata.product_name	metadata.product_name	Nom du produit
metadata.vendor_name	metadata.vendor_name	Nom du fournisseur

Journal des modifications

Afficher le journal des modifications pour ce parseur

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.