Google Cloud Platform インテグレーションガイド🔗

以下の手順は、Google Cloud Platform (GCP) を Secureworks® Taegis™ XDR に連携し、ログの取り込みを実現するための設定方法です。XDR は、Pub/Sub メッセージングサービスを介して GCP からログを受信します。

サポートされている Google Cloud Platform ログタイプ🔗

Cloud Audit Logs
- Admin Activity
- Data Access
- System Event
- Policy Denied
VPC Flow Logs
GKE Dataplane V2
Security Command Center Findings

事前準備🔗

以下の前提条件を満たしていることを確認してください。

管理者ロールを持つ有効な Google Cloud アカウント
Google Cloud プロジェクト

重要

このガイドは、これらの前提条件が完了していることを前提としています。

インテグレーションから提供されるデータ🔗

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
Google Cloud Platform	CloudAudit	Netflow	Thirdparty

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

GCP Web インターフェースを使用したログ転送の設定🔗

Pub/Sub トピックの作成🔗

Pub/Sub > トピック に移動し、トピックの作成 を選択します。

Pub/Sub トピックの作成
トピックID を入力し、作成を選択します。

Pub/Sub トピックIDの入力

Pub/Sub サブスクリプションの作成🔗

Pub/Sub > サブスクリプション に移動し、サブスクリプションの作成 を選択します。

Pub/Sub サブスクリプションの作成
サブスクリプションID を入力し、手順2で作成したトピックを選択します。

Pub/Sub サブスクリプションIDの入力
確認応答の期限 を300秒に設定し、作成を選択します。

Pub/Sub サブスクリプション確認応答期限の入力

シンクの作成🔗

ヒント

組織レベルやフォルダレベルのログを収集するには、ベンダーのドキュメントに従い、集約シンクを作成してください。

ロギング > ログルーター に移動し、シンクの作成 を選択します。

シンクの作成
シンクの詳細で、シンク名と説明を入力し、次へを選択します。

シンク詳細の追加
シンクの宛先で、Cloud Pub/Sub トピック を シンクサービス として選択し、手順2で作成した Pub/Sub トピックを選択します。

シンクサービス種別とPub/Subトピックの選択

注意

どのログをシンクに送信するかを決定するインクルージョンフィルターの作成については、XDR に送信するログの選択を参照してください。
シンクの作成 を選択します。

Pub/Sub トピックから読み取る権限を持つサービスアカウントの作成🔗

IAM と管理 > サービスアカウント に移動し、サービスアカウントの作成 を選択します。

サービスアカウントの作成
サービスアカウント名 と説明を入力します。サービスアカウントID のメールアドレスをコピーして後の手順で使用し、完了を選択します。

サービスアカウント詳細の入力
Pub/Sub > サブスクリプション に移動し、手順5で作成したサブスクリプションの編集を選択します。

Pub/Sub サブスクリプションの編集
プリンシパルの追加 を選択します。

プリンシパルの追加
手順11でコピーしたサービスアカウントのメールアドレスを 新しいプリンシパル フィールドに入力し、Pub/Sub サブスクライバー ロールを選択します。

アクセス権の付与
保存を選択します。

サービスアカウントへのモニタリング権限の付与🔗

GCP でカスタムロールを作成🔗

IAM と管理 > ロール に移動し、ロールの作成 をクリックします。
必要な詳細を入力します。

タイトル（任意の説明文字列）
ID（任意の説明文字列）
ロールのリリース段階 で General Availability を選択

ロール権限の追加

権限の追加 を選択します。
権限リストから monitoring.timeSeries.list 権限を選択します。

モニタリングロール権限の追加
追加ボタンをクリックします。

モニタリングロールの作成
作成ボタンをクリックしてロールの作成を完了します。

サービスアカウントにカスタムロールを付与🔗

注意

既存のGCPインテグレーションをお持ちのお客様は、新しいサービスアカウントやサービスアカウントキーを生成する必要はありません。カスタムロールは既存のサービスアカウントに付与できます。

IAM と管理 > IAM に移動します。

モニタリングロールの付与
アクセス権の付与 をクリックします。
新しいプリンシパル テキストボックスに、Pub/Sub トピックから読み取る権限を持つサービスアカウントの作成セクションで作成したサービスアカウントのメールアドレスを入力します。

ロール ドロップダウンから「カスタム」を選択し、上記手順で作成したカスタムロールを選択します。

サービスアカウントへのロール付与
保存をクリックします。

サービスアカウントキーの作成🔗

前のセクションで作成した サービスアカウント を開き、キータブに移動します。

サービスアカウントキー
キーの追加 を選択し、JSON タイプを選択して作成をクリックします。手順30で使用するため、キーを安全な場所に保存してください。

秘密鍵の作成

XDR でインテグレーションを完了する🔗

XDR にログインし、インテグレーション → クラウドAPI に移動します。
ページ上部の インテグレーションの追加 を選択します。

インテグレーションの追加
最適化タブから Google Cloud を選択し、設定パネルに以下を入力します。

Taegisインテグレーション名 — このインテグレーションを一意に識別する任意の分かりやすい名前
プロジェクトID — GCPプロジェクトID
サブスクリプションID — GCPサブスクリプションID
手順27で生成したJSONキーをアップロード

Google Cloud Platform インテグレーションの追加

XDR に送信するログの選択🔗

Google Cloud のリソース階層を参照し、ログのインクルージョンフィルターを作成します。

XDR に送信するログを選択するには、シンクの作成セクションを参照し、以下の Cloud Audit Logs、VPC Flow Logs、Google Kubernetes Engine (GKE) Dataplane V2、Security Command Center Findings セクションを用いてインクルージョンフィルターを更新してください。

Cloud Audit Logs🔗

Cloud Audit Logs の詳細については、Google ドキュメントを参照してください。

設定🔗

Google Cloud コンソールで IAM と管理 > 監査ログ に移動し、Data Access 監査ログを有効にするサービスを選択します。

Data Access 監査ログ

インクルージョンフィルター を作成し、どのログを Pub/Sub トピックに送信するかを決定します。Cloud Audit Logs 用の インクルージョンフィルター の作成には、以下の表を参考にしてください。

	Admin Activity	Data Access	System Event	Policy Denied
Projects	`projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity`	`projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access`	`projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event`	`projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy`
Folders	`folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity`	`folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access`	`folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event`	`folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy`
Organization	`organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity`	`organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access`	`organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event`	`organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy`

VPC Flow Logs🔗

VPC Flow Logs の詳細については、Google ドキュメントを参照してください。

注意事項🔗

VPC Flow Logs はサブネット単位で有効化/無効化できます。
サブネットで有効化すると、そのサブネット内のすべての仮想マシンのログが収集されます。
TCP、UDP、ICMP、ESP、GRE プロトコルのインバウンドおよびアウトバウンドのネットワークトラフィックがサンプリングされ、ログが生成されます。サンプリングの詳細については、Google ドキュメントを参照してください。

設定🔗

Google Cloud コンソールで VPC ネットワーク > VPC ネットワーク に移動し、VPC Flow Logs を有効にしたいネットワークを選択し、サブネット タブを選択します。

VPC Flows Logs
VPC Flow Logs を有効にするサブネットで編集モードに入り、Flow Logs セクションでオンを選択します。

VPC Flows Logs の有効化
シンクの作成セクションで作成したログルーターシンクに Flow Logs をルーティングするには、シンクを編集し、インクルージョンフィルターを更新します。

VPC Flows Logs のルーティング

インクルージョンフィルターの例:
```
logName="projects/gcp-dataflow-poc/logs/compute.googleapis.com%2Fvpc_flows"
```

Google Kubernetes Engine (GKE) Dataplane V2🔗

GKE Dataplane V2 の詳細については、Google ドキュメントを参照してください。

設定🔗

Google ドキュメントを参照し、GKE クラスターを作成します。

重要

GKE Dataplane V2 は新しいクラスター作成時のみ有効化できます。
Google ドキュメントを参照し、ネットワークポリシーロギングを有効化します。
シンクの作成セクションで作成したログルーターシンクに Flow Logs をルーティングするには、シンクを編集し、インクルージョンフィルターを更新します。

VPC Flows Logs のルーティング

インクルージョンフィルターの例:
```
logName="projects/gcp-dataflow-poc/logs/policy-action"
```

Security Command Center Findings🔗

Security Command Center の詳細については、Google ドキュメントを参照してください。

設定🔗

Security Command Center は組織レベルおよびプロジェクトレベルで有効化できます。

組織レベル🔗

Google ドキュメントを参照し、組織に対して Security Command Center を有効化します。

プロジェクトレベル🔗

Google ドキュメントを参照し、プロジェクトに対して Security Command Center を有効化します。

Google Cloud コンソールで セキュリティ > Security Command Center > 概要に移動し、設定の編集 を選択します。

SCC 設定の編集
継続的エクスポート タブを選択します。
Pub/Sub エクスポートの作成 を選択します。分かりやすい名前を入力し、Pub/Sub トピックの作成セクションで作成した Pub/Sub トピックを選択します。
保存を選択します。