Cloud Identity Devices のログを収集する
このガイドでは、Cloud Storage を使用して Cloud Identity Devices のログを Google Security Operations にエクスポートする方法について説明します。パーサーは JSON ログからフィールドを抽出し、deviceType
や日付などの特定のフィールドを変換して UDM にマッピングします。これにより、デバイスを表す asset_entity
が作成され、ハードウェアとメタデータの情報で拡充されます。
始める前に
次の前提条件を満たしていることを確認します。
- Google Cloud プロジェクトで Google Cloud Identity が有効になっている。
- Google SecOps インスタンス。
- Google Cloud Identity と Cloud Logging への特権アクセス。
Cloud Storage バケットを作成する
- Google Cloud コンソールにログインします。
[Cloud Storage バケット] のページに移動します。
[作成] をクリックします。
[バケットの作成] ページでユーザーのバケット情報を入力します。以下のステップでは、操作を完了した後に [続行] をクリックして、次のステップに進みます。
[始める] セクションで、次の操作を行います。
- バケット名の要件を満たす一意の名前を入力します(例: gcp-cloudidentity-devices-logs)。
階層名前空間を有効にするには、展開矢印をクリックして [Optimize for file oriented and data-intensive workloads] セクションを開き、[このバケットで階層的な名前空間を有効にする] を選択します。
バケットラベルを追加するには、展開矢印をクリックして [ラベル] セクションを開きます。
[ラベルを追加] をクリックし、ラベルのキーと値を指定します。
[データの保存場所の選択] セクションで、次の操作を行います。
- ロケーション タイプを選択してください。
ロケーション タイプのメニューを使用して、バケット内のオブジェクト データが永続的に保存されるロケーションを選択します。
クロスバケット レプリケーションを設定するには、[クロスバケット レプリケーションを設定する] セクションを開きます。
[データのストレージ クラスを選択する] セクションで、バケットのデフォルトのストレージ クラスを選択します。あるいは、Autoclass を選択して、バケットデータのストレージ クラスを自動的に管理します。
[オブジェクトへのアクセスを制御する方法を選択する] セクションで、[公開アクセスの防止を適用する] チェックボックスをオフにして、バケットのオブジェクトのアクセス制御モデルを選択します。
[オブジェクト データを保護する方法を選択する] セクションで、次の操作を行います。
- [データ保護] で、バケットに設定するオプションを選択します。
- オブジェクト データの暗号化方法を選択するには、[データ暗号化] というラベルの付いた展開矢印をクリックし、データ暗号化方法を選択します。
[作成] をクリックします。
Cloud Identity デバイスのログのエクスポートを構成する
- Google Cloud コンソールにログインします。
- [ロギング] > [ログルーター] に移動します。
- [シンクを作成] をクリックします。
次の構成パラメータを指定します。
- シンク名: わかりやすい名前を入力します(例:
cloud-identity-devices-logs-sink
)。 - シンク デスティネーション: [Cloud Storage Storage] を選択し、バケットの URI(
gs://gcp-cloudidentity-devices-logs
など)を入力します。 ログフィルタ:
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity" resource.type="cloud_identity_device"
エクスポート オプションを設定する: すべてのログエントリを含めます。
- シンク名: わかりやすい名前を入力します(例:
[作成] をクリックします。
Cloud Storage の権限を構成する
- [IAM と管理] > [IAM] に移動します。
- Cloud Logging サービス アカウントを見つけます。
- バケットに対する roles/storage.admin を付与します。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [コンテンツ ハブ] > [コンテンツ パック]
[SIEM 設定] > [フィード] でフィードを設定する
フィードを構成する手順は次のとおりです。
- [SIEM Settings] > [Feeds] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: GCP Cloud Identity Devices Logs)。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [GCP Cloud Identity Devices] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- OAuth JWT エンドポイント: OAuth JSON ウェブトークンを取得するエンドポイント。
- JWT クレームの発行元: 通常はクライアント ID。
- JWT クレームのサブジェクト: 通常はメールアドレスです。
- JWT クレーム オーディエンス: JWT クレーム オーディエンス。
- RSA 秘密鍵: PEM 形式で入力します。
- API のバージョン: デバイス情報の取得に使用する API のバージョン。値は
v1
、v1beta1
、vx
のいずれかにする必要があります。バージョンが指定されていない場合は、v1
が使用されます。
- [次へ] をクリックします。
- [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
Content Hub からフィードを設定する
次のフィールドに値を指定します。
- ストレージ バケット URI: Cloud Storage バケットの URL(
gs://gcp-cloudidentity-devices-logs
など)。 - URI Is A: [サブディレクトリを含むディレクトリ] を選択します。
Source deletion options: 必要に応じて削除オプションを選択します。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- ソースタイプ: Google SecOps にログを収集するために使用される方法。
- アセットの名前空間: フィードに関連付けられた名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
UDM マッピング テーブル
ログフィールド | UDM マッピング | ロジック |
---|---|---|
createTime |
entity.metadata.creation_timestamp |
createTime の値はタイムスタンプとして解析され、マッピングされます。 |
deviceId |
entity.entity.asset.asset_id |
直接マッピングされます。 |
deviceType |
entity.entity.asset.platform_software.platform |
元の値が MAC_OS または IOS の場合、MAC にマッピングされます。元の値が一致する場合は、WINDOWS 、MAC 、または LINUX にマッピングされます。それ以外の場合は UNKNOWN_PLATFORM に設定します。 |
encryptionState |
entity.entity.asset.attribute.labels.key |
値は encryptionState に設定されています。ラベルの一部として使用されます。 |
encryptionState |
entity.entity.asset.attribute.labels.value |
直接マッピングされます。ラベルの一部として使用されます。 |
lastSyncTime |
entity.entity.asset.system_last_update_time |
lastSyncTime の値はタイムスタンプとして解析され、マッピングされます。 |
managementState |
entity.entity.asset.attribute.labels.key |
値は managementState に設定されています。ラベルの一部として使用されます。 |
managementState |
entity.entity.asset.attribute.labels.value |
直接マッピングされます。ラベルの一部として使用されます。 |
model |
entity.entity.asset.hardware.model |
直接マッピングされます。 |
name |
entity.entity.asset.product_object_id |
devices/ の後の部分が抽出され、マッピングされます。 |
name |
entity.entity.resource.name |
直接マッピングされます。 |
osVersion |
entity.entity.asset.platform_software.platform_version |
直接マッピングされます。 |
securityPatchTime |
entity.entity.asset.attribute.labels.key |
値は securityPatchTime に設定されています。ラベルの一部として使用されます。 |
securityPatchTime |
entity.entity.asset.attribute.labels.value |
直接マッピングされます。ラベルの一部として使用されます。 |
serialNumber |
entity.entity.asset.hardware.serial_number |
直接マッピングされます。未加工ログの最上位の create_time フィールドからコピーされます。値は ASSET に設定されています。値は GCP Cloud Identity Devices に設定されています。値は Google Cloud Platform に設定されています。未加工ログの最上位の create_time フィールドからコピーされます。 |
変更点
2022-03-27
resource.name
を長い一意のリソース名name
にマッピングしました。
2022-04-13
- 新しく作成されたパーサー。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。