Security Command Center の有害な組み合わせのログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Cloud Storage を使用して Security Command Center の有害な組み合わせのログをエクスポートし、Google Security Operations に取り込む方法について説明します。パーサーは、JSON ログからセキュリティ検出データを抽出して構造化します。データを統合データモデル(UDM)に正規化し、さまざまなデータ形式を処理して、ネットワーク情報やユーザー エージェントの詳細などの追加コンテキストでデータを拡充します。
始める前に
次の前提条件を満たしていることを確認します。
- 環境で Security Command Center が有効になっていて、構成されている。 Google Cloud
- Google SecOps インスタンス。
- Security Command Center と Cloud Logging に対する特権アクセス権。
Cloud Storage バケットを作成する
- Google Cloud コンソールにログインします。
[Cloud Storage バケット] のページに移動します。
[作成] をクリックします。
[バケットの作成] ページでユーザーのバケット情報を入力します。以下のステップでは、操作を完了した後に [続行] をクリックして、次のステップに進みます。
[始める] セクションで、次の操作を行います。
- バケット名の要件を満たす一意の名前を入力します(例: gcp-scc-toxic-combination-logs)。
階層名前空間を有効にするには、展開矢印をクリックして [Optimize for file oriented and data-intensive workloads] セクションを開き、[このバケットで階層的な名前空間を有効にする] を選択します。
バケットラベルを追加するには、展開矢印をクリックして [ラベル] セクションを開きます。
[ラベルを追加] をクリックし、ラベルのキーと値を指定します。
[データの保存場所の選択] セクションで、次の操作を行います。
- ロケーション タイプを選択してください。
ロケーション タイプのメニューを使用して、バケット内のオブジェクト データが永続的に保存されるロケーションを選択します。
クロスバケット レプリケーションを設定するには、[クロスバケット レプリケーションを設定する] セクションを開きます。
[データのストレージ クラスを選択する] セクションで、バケットのデフォルトのストレージ クラスを選択します。あるいは、Autoclass を選択して、バケットデータのストレージ クラスを自動的に管理します。
[オブジェクトへのアクセスを制御する方法を選択する] セクションで、[なし] を選択して公開アクセスの防止を適用し、バケットのオブジェクトの [アクセス制御モデル] を選択します。
[オブジェクト データを保護する方法を選択する] セクションで、次の操作を行います。
- [データ保護] で、バケットに設定するオプションを選択します。
- オブジェクト データの暗号化方法を選択するには、[データ暗号化] というラベルの付いた展開矢印をクリックし、データの暗号化方法を選択します。
[作成] をクリックします。
Security Command Center のロギングを構成する
- Google Cloud コンソールにログインします。
[Security Command Center] ページに移動します。
組織を選択する。
[設定] をクリックします。
[継続的エクスポート] タブをクリックします。
[エクスポート名] で [Logging エクスポート] をクリックします。
[シンク] で、[検出を Logging にロギング] をオンにします。
[ロギング プロジェクト] で、検出結果を記録するプロジェクトを入力または検索します。
[保存] をクリックします。
Security Command Center の有害な組み合わせログのエクスポートを構成する
- Google Cloud コンソールにログインします。
- [ロギング] > [ログルーター] に移動します。
- [シンクを作成] をクリックします。
次の構成パラメータを指定します。
- シンク名: わかりやすい名前を入力します(例:
scc-toxic-combination-logs-sink)。 - シンク デスティネーション: [Cloud Storage Storage] を選択し、バケットの URI(
gs://gcp-scc-toxic-combination-logsなど)を入力します。 ログフィルタ:
logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ftoxic_combinations" resource.type="security_command_center_toxic_combination"エクスポート オプションを設定する: すべてのログエントリを含めます。
- シンク名: わかりやすい名前を入力します(例:
[作成] をクリックします。
Cloud Storage の権限を構成する
- [IAM と管理] > [IAM] に移動します。
- Cloud Logging サービス アカウントを見つけます。
- バケットに対する roles/storage.admin を付与します。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [コンテンツ ハブ] > [コンテンツ パック]
[SIEM 設定] > [フィード] でフィードを設定する
フィードを構成する手順は次のとおりです。
- [SIEM Settings] > [Feeds] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: Security Command Center Toxic Combination logs)。
- [Source type] として [Google Cloud Storage] を選択します。
- [ログタイプ] として [Security Command Center Toxic Combination] を選択します。
- [Chronicle Service Account] フィールドの横にある [Get Service Account] をクリックします。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
- ストレージ バケット URI: Cloud Storage バケットの URL(
gs://gcp-scc-toxic-combination-logsなど)。 - URI Is A: [サブディレクトリを含むディレクトリ] を選択します。
Source deletion options: 必要に応じて削除オプションを選択します。
- ストレージ バケット URI: Cloud Storage バケットの URL(
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
Content Hub からフィードを設定する
次のフィールドに値を指定します。
- ストレージ バケット URI: Cloud Storage バケットの URL(
gs://gcp-scc-toxic-combination-logsなど)。 - URI Is A: [サブディレクトリを含むディレクトリ] を選択します。
- Source deletion options: 必要に応じて削除オプションを選択します。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- ソースタイプ: Google SecOps にログを収集するために使用される方法。
- アセットの名前空間: フィードに関連付けられた名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| category | read_only_udm.metadata.product_event_type | 未加工ログの category フィールドから直接マッピングされます。 |
| createTime | read_only_udm.security_result.detection_fields.value | 未加工ログの createTime フィールドから直接マッピングされます。キーは「createTime」です。 |
| ミュート | read_only_udm.security_result.detection_fields.value | 未加工ログの mute フィールドから直接マッピングされます。キーは「mute」です。 |
| name | read_only_udm.metadata.product_log_id | 未加工ログの name フィールドから直接マッピングされます。 |
| 親 | read_only_udm.target.resource_ancestors.name | 未加工ログの parent フィールドから直接マッピングされます。 |
| parentDisplayName | read_only_udm.metadata.description | 未加工ログの parentDisplayName フィールドから直接マッピングされます。 |
| resource.displayName | read_only_udm.target.resource.attribute.labels.value | 未加工ログの resource.displayName フィールドから直接マッピングされます。キーは「resource_displayName」です。 |
| resource.folders | read_only_udm.target.resource_ancestors | パーサーは、resource オブジェクトの folders 配列からリソース フォルダ情報を抽出します。各フォルダを反復処理し、resourceFolder を name に、resourceFolderDisplayName を attribute.labels.value にマッピングします。キーは「folder_resourceFolderDisplayName」です。 |
| resource.name | read_only_udm.target.resource.name | 未加工ログの resource.name フィールドから直接マッピングされます。 |
| resource.parent | read_only_udm.target.resource.attribute.labels.value | 未加工ログの resource.parent フィールドから直接マッピングされます。キーは「resource_parent」です。 |
| resource.parentDisplayName | read_only_udm.target.resource.attribute.labels.value | 未加工ログの resource.parentDisplayName フィールドから直接マッピングされます。キーは「resource_parentDisplayName」です。 |
| resource.project | read_only_udm.target.resource.attribute.labels.value | 未加工ログの resource.project フィールドから直接マッピングされます。キーは「resource_project」です。 |
| resource.projectDisplayName | read_only_udm.target.resource.attribute.labels.value | 未加工ログの resource.projectDisplayName フィールドから直接マッピングされます。キーは「resource_projectDisplayName」です。 |
| resource.service | read_only_udm.target.application | 未加工ログの resource.service フィールドから直接マッピングされます。 |
| resource.type | read_only_udm.target.resource.attribute.labels.value | 未加工ログの resource.type フィールドから直接マッピングされます。キーは「resource_type」です。 |
| resourceName | read_only_udm.target.resource.name | 未加工ログの resourceName フィールドから直接マッピングされます。 |
| securityMarks.name | read_only_udm.security_result.detection_fields.value | 未加工ログの securityMarks.name フィールドから直接マッピングされます。キーは「securityMarks_name」です。 |
| 重要度 | read_only_udm.security_result.severity | 未加工ログの severity フィールドから直接マッピングされます。 |
| state | read_only_udm.security_result.detection_fields.value | 未加工ログの state フィールドから直接マッピングされます。キーは「state」です。 |
| is_alert | このログはセキュリティ アラートを表すため、パーサーは is_alert フィールドを true に設定します。 |
|
| is_significant | このログは重大なセキュリティ イベントを表すため、パーサーは is_significant フィールドを true に設定します。 |
|
| eventTime | read_only_udm.metadata.event_timestamp.seconds | パーサーは eventTime フィールドからタイムスタンプを抽出し、Unix エポック秒に変換します。 |
| read_only_udm.metadata.product_name | パーサーは、ログソースに基づいて product_name を Security Command Center に設定します。 |
|
| read_only_udm.metadata.vendor_name | パーサーは、ログソースに基づいて vendor_name を Google に設定します。 |
|
| read_only_udm.security_result.alert_state | このログはアクティブなアラートを表すため、パーサーは alert_state を ALERTING に設定します。 |
|
| read_only_udm.security_result.category_details | パーサーは、ログソースに基づいて category_details を POSTURE_VIOLATION に設定します。 |
|
| read_only_udm.security_result.url_back_to_product | パーサーは、ログから抽出された組織 ID、ソース ID、検出 ID を使用して url_back_to_product を動的に構築します。 |
|
| 親 | read_only_udm.target.resource.product_object_id | パーサーは、parent フィールドからソース ID を抽出し、product_object_id として設定します。 |
| resourceName | read_only_udm.target.resource_ancestors.name | パーサーは resourceName フィールドからプロジェクト ID を抽出し、resource_type を CLOUD_PROJECT として resource_ancestors エントリとして設定します。 |
| read_only_udm.target.resource_ancestors.resource_subtype | パーサーは、ログソースに基づいて、フォルダの祖先の resource_subtype を google.cloud.resourcemanager.Project に設定します。 |
|
| read_only_udm.target.resource.attribute.labels.key | パーサーは、ターゲット リソースの attribute オブジェクトの labels フィールドに複数のキーを設定します。これらのキーには、resource_parentDisplayName、resource_type、resource_projectDisplayName、resource_displayName、finding_id、source_id、resource_parent、resource_project などがあります。 |
変更点
2025-02-07
security_result.url_back_to_productUDM フィールドのマッピングを更新しました。未加工ログのフィールド値resource.projectDisplayNameのプロジェクト ID 値を、;?project=という接頭辞でsecurity_result.url_back_to_productUDM フィールドにマッピングされた URL の末尾に追加しました。
2024-11-21
- SCC API の v2 バージョンのサポートを追加しました。このアップデートには、次のフィールドが含まれています。
- resource.gcpMetadata.project
- resource.gcpMetadata.projectDisplayName
- resource.gcpMetadata.parent
- resource.gcpMetadata.parentDisplayName
- resource.gcpMetadata.folders.resourceFolder
- resource.gcpMetadata.folders.resourceFolderDisplayName
- resource.gcpMetadata.organization
2024-03-20
- 新しく作成されたパーサー。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。