Google Cloud Platform インテグレーションガイド

以下の手順は、Google Cloud Platform (GCP) を Secureworks® Taegis™ XDR に連携し、ログの取り込みを実現するための設定方法です。XDR は、Pub/Sub メッセージングサービス を介して GCP からログを受信します。

サポートされている Google Cloud Platform ログタイプ

• Cloud Audit Logs

  • Admin Activity
  • Data Access
  • System Event
  • Policy Denied

• VPC Flow Logs

• GKE Dataplane V2
• Security Command Center Findings

事前準備

以下の前提条件を満たしていることを確認してください。

• 管理者ロールを持つ有効な Google Cloud アカウント
• Google Cloud プロジェクト

重要

このガイドは、これらの前提条件が完了していることを前提としています。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
Google Cloud Platform	CloudAudit	Netflow	Thirdparty

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

GCP Webインターフェースを使用したログ転送の設定

Pub/Sub トピックの作成

1. Pub/Sub > Topics に移動し、Create Topic を選択します。

   

   Pub/Sub トピックの作成

2. Topic ID を入力し、Create を選択します。

   

   Pub/Sub トピックIDの入力

Pub/Sub サブスクリプションの作成

3. Pub/Sub > Subscriptions に移動し、Create Subscription を選択します。

   

   Pub/Sub サブスクリプションの作成

4. Subscription ID を入力し、ステップ2で作成したトピックを選択します。

   

   Pub/Sub サブスクリプションIDの入力

5. Acknowledgement deadline を 300 秒に設定し、Create を選択します。

   

   Pub/Sub サブスクリプションの応答期限の入力

シンクの作成

ヒント

組織レベルやフォルダレベルのログを収集するには、ベンダーのドキュメント に従って集約シンクを作成してください。

6. Logging > Log router に移動し、Create Sink を選択します。

   

   シンクの作成

7. Sink の詳細で、Sink 名と説明を入力し、Next を選択します。

   

   シンク詳細の追加

8. Sink の宛先で、Cloud Pub/Sub topic を sink service として選択し、ステップ2で作成した Pub/Sub トピックを選択します。

   

   シンクサービス種別とPub/Subトピックの選択

   注意

   どのログをシンクに送信するかを決定するインクルージョンフィルターの作成については、XDR に送信するログの選択 を参照してください。

9. Create sink を選択します。

Pub/Sub トピックから読み取る権限を持つサービスアカウントの作成

10. IAM & Admin > Service Accounts に移動し、Create Service Account を選択します。

    

    サービスアカウントの作成

11. Service account name と description を入力します。Service account ID のメールアドレスをコピーして後の手順で使用し、Done を選択します。

    

    サービスアカウント詳細の入力

12. Pub/Sub > Subscriptions に移動し、ステップ5で作成したサブスクリプションの Edit を選択します。

    

    Pub/Sub サブスクリプションの編集

13. Add Principal を選択します。

    

    プリンシパルの追加

14. ステップ11でコピーしたサービスアカウントのメールアドレスを New principals フィールドに入力し、Pub/Sub Subscriber ロールを選択します。

    

    アクセス権の付与

15. Save を選択します。

サービスアカウントへのモニタリング権限の付与

GCP でカスタムロールを作成

16. IAM & Admin > Roles に移動し、Create Role をクリックします。

17. 必要な詳細を入力します:

• タイトル（任意の説明文字列）
• ID（任意の説明文字列）

• Role launch stage で General Availability を選択

  

  ロール権限の追加

18. Add Permissions を選択します。

19. 権限リストから monitoring.timeSeries.list 権限を選択します。

    

    モニタリングロール権限の追加

20. Add ボタンをクリックします。

    

    モニタリングロールの作成

21. Create ボタンをクリックしてロールの作成を完了します。

サービスアカウントにカスタムロールを追加

注意

既存のGCPインテグレーションをお持ちのお客様は、新しいサービスアカウントやサービスアカウントキーを生成する必要はありません。カスタムロールは既存のサービスアカウントに付与できます。

22. IAM & Admin > IAM に移動します。

    

    モニタリングロールの付与

23. Grant Access をクリックします。

24. New principals テキストボックスに、Pub/Sub トピックから読み取る権限を持つサービスアカウントの作成 セクションで作成したサービスアカウントのメールアドレスを入力します。

    Role ドロップダウンで「Custom」を選択し、上記手順で作成したカスタムロールを選択します。

    

    サービスアカウントへのロール付与

25. Save をクリックします。

サービスアカウントキーの作成

26. 前のセクションで作成した Service account を開き、Keys タブに移動します。

    

    サービスアカウントキー

27. Add Key を選択し、JSON タイプを選択して Create をクリックします。ステップ30で使用するためにキーを安全な場所に保存してください。

    

    秘密鍵の作成

XDR でインテグレーションを完了する

28. XDR にログインし、Integrations → Cloud APIs に移動します。

29. ページ上部の Add an Integration を選択します。

    

    インテグレーションの追加

30. Optimized タブから Google Cloud を選択し、設定パネルに以下を入力します。

• Taegis Integration Name — このインテグレーションを一意に識別する任意のユーザーフレンドリーな名前
• Project ID — GCP プロジェクトID
• Subscription ID — GCP サブスクリプションID

• ステップ27で生成したJSONキーをアップロード

  

  Google Cloud Platform インテグレーションの追加

XDR に送信するログの選択

Google Cloud の リソース階層 を参照し、ログのインクルージョンフィルターを作成します。

Google Cloud リソース階層

XDR に送信するログを選択するには、シンクの作成 セクションを参照し、以下の Cloud Audit Logs、VPC Flow Logs、Google Kubernetes Engine (GKE) Dataplane V2、Security Command Center Findings セクションを用いてインクルージョンフィルターを更新してください。

Cloud Audit Logs

Cloud Audit Logs の詳細については、Google ドキュメント を参照してください。

設定

1. Google Cloud コンソール で IAM & Admin > Audit Logs に移動し、Data Access 監査ログを有効にするサービスを選択します。

   

   Data Access 監査ログ

2. inclusion filter を作成し、どのログを Pub/Sub トピックに送信するかを決定します。Cloud Audit Logs 用の inclusion filter の作成には、以下の表を参考にしてください。

   	Admin Activity	Data Access	System Event	Policy Denied
   Projects	projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity	projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access	projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event	projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy
   Folders	folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity	folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access	folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event	folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy
   Organization	organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity	organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access	organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event	organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

VPC Flow Logs

VPC Flow Logs の詳細については、Google ドキュメント を参照してください。

注意事項

• VPC Flow Logs はサブネット単位で有効化/無効化できます。

• サブネットで有効化すると、そのサブネット内のすべての仮想マシンのログが収集されます。

• TCP、UDP、ICMP、ESP、GRE プロトコルのインバウンドおよびアウトバウンドのネットワークトラフィックがサンプリングされ、ログが生成されます。サンプリングの詳細については、Google ドキュメント を参照してください。

設定

1. Google Cloud コンソール で VPC Network > VPC Networks に移動し、VPC Flow Logs を有効にしたいネットワークを選択し、Subnets タブを選択します。

   

   VPC Flows Logs

2. VPC Flow Logs を有効にするサブネットで Edit モードに入り、Flow Logs セクションで On を選択します。

   

   VPC Flows Logs の有効化

3. シンクの作成 セクションで作成した Log Router Sink に Flow Logs をルーティングするには、シンクを編集し、インクルージョンフィルターを更新します。

   

   VPC Flows Logs のルーティング

   インクルージョンフィルターの例:

   logName="projects/gcp-dataflow-poc/logs/compute.googleapis.com%2Fvpc_flows"
   

Google Kubernetes Engine (GKE) Dataplane V2

GKE Dataplane V2 の詳細については、Google ドキュメント を参照してください。

設定

1. Google ドキュメント を参照し、GKE クラスターを作成します。

   重要

   GKE Dataplane V2 は新規クラスター作成時のみ有効化できます。

2. Google ドキュメント を参照し、ネットワークポリシーロギングを有効化します。

3. シンクの作成 セクションで作成した Log Router Sink に Flow Logs をルーティングするには、シンクを編集し、インクルージョンフィルターを更新します。

   

   VPC Flows Logs のルーティング

   インクルージョンフィルターの例:

   logName="projects/gcp-dataflow-poc/logs/policy-action"
   

Security Command Center Findings

Security Command Center の詳細については、Google ドキュメント を参照してください。

設定

1. Security Command Center は組織レベルおよびプロジェクトレベルで有効化できます。

組織レベル

Google ドキュメント を参照し、組織に対して Security Command Center を有効化します。

プロジェクトレベル

Google ドキュメント を参照し、プロジェクトに対して Security Command Center を有効化します。

2. Google Cloud コンソール で Security > Security Command Center > Overview に移動し、Edit Settings を選択します。

   

   SCC 設定の編集

3. Continuous exports タブを選択します。

4. Create Pub/Sub Export を選択し、ユーザーフレンドリーな名前を入力し、Pub/Sub トピックの作成 セクションで作成した Pub/Sub トピックを選択します。

5. Save を選択します。