Google Workspaceインテグレーションガイド🔗
以下の手順は、Google Workspaceのインテグレーションを構成し、ログの取り込みをSecureworks® Taegis™ XDRで実現するためのものです。
はじめに🔗
Google Workspaceログの収集には、2つのAPIを使用します。
両方のAPIはGoogle Workspace Admin SDK APIの一部です。XDRがこのAPIからデータを取得できるようにするには、いくつかの前提条件を満たす必要があります。
- 有効なGoogle Workspaceアカウントおよび管理者ロールへのアクセス
- Google APIコンソールプロジェクト
これらの前提条件については、Google Workspace Reports API: Prerequesitesに記載されています。Chrome Enterpriseを利用している場合は、Chrome監査ログがアクティビティログに出力されるよう、ログの有効化とデバイスの登録が必要です。Google Support: Chrome Enterprise Core Setupの手順に従い、Chromeログが生成され、XDRで収集できることを確認してください。
重要
このガイドは、これらの前提条件が完了していることを前提としています。
以下のセクションでは、次の手順を案内します。
- Admin SDK APIへのアクセス権を持つサービスアカウントの作成と、そのアカウント用の認証情報の作成
- サービスアカウントのドメイン全体の委任の有効化
- サービスアカウントがAdmin SDK Reports APIをクエリする際に偽装するためのユーザーの作成または既存ユーザーの利用
- インテグレーションを有効にするための認証情報のXDRへの追加
- インテグレーションを有効にするための偽装するユーザーのユーザー名のXDRへの追加
- ログ収集のために、XDRがReportsおよびAlert Center APIと連携できるようにする
注意
ラグタイム(イベント発生から収集可能になるまでの遅延)は、収集対象のさまざまなログで発生します。Google Workspace Admin GuideのData retention and lag timesにて、Googleのデータ保持およびラグタイムのドキュメントを参照してください。
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Google Workspace | Auth, HTTP | Auth, CloudAudit, Thirdparty |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
サービスアカウント認証情報の作成🔗
前提条件で作成したGoogleコンソールAPIプロジェクトで、Google Workspace Admin GuideのReports API: Prerequesitesに従い、サービスアカウントと対応する認証情報を作成します。
- Google Cloud ConsoleからGoogle Workspace管理者アカウントにログインします。
-
上部メニューから正しいプロジェクトが選択されていることを確認します。このプロジェクトは、XDRが組織全体のログインデータをクエリできるようにするサービスアカウントの作成に使用します。
Google Project Name Selection -
APIs Libraryに移動します。ハンバーガーメニューからAPIs and Services→Libraryを選択します。
- Admin SDK APIを検索し、検索結果から該当するAPIカードを選択します。
- Enableをクリックして、このプロジェクトでAdmin SDK APIを有効化します。
- さらに、Alert Center APIを検索します。
- Enableをクリックして、このプロジェクトでAlert Center APIを有効化します。
- API Credentialsに移動します。ハンバーガーメニューからAPIs and Services→Credentialsを選択します。
-
+ Create Credentialsを選択し、ドロップダウンメニューからService Accountを選択します。
Create Google Credentials -
Service account detailsで、Service account nameを入力します(User-managed service accountsのGoogle Cloudドキュメントを参照)。任意の名前を入力できますが、このサービスアカウントがXDR用であることが分かる名前を推奨します。誤って削除されるのを防ぐためです。
- Service account IDは、入力したアカウント名に基づいて自動的に入力されます。必要に応じてこのIDを変更できます。
- 必要に応じてService account descriptionを入力するか、空欄のままにします。XDRの有効化用であることが分かる説明を推奨します。
-
DONEを選択します。
Create Google Service Account -
Service Accountsテーブルから、作成したサービスアカウントを選択します。
Select Service Account -
表示されているUnique ID値を記録します。次のセクションでドメイン全体の委任を行う際に必要となりますので、メモしておいてください。
Google Service Account Unique ID -
KeysメニューからAdd Keyドロップダウンを選択し、Create new keyを選択します。
Create New Key -
キータイプとしてJSONを選択し、CREATEを選択します。
重要
JSONファイルがローカルファイルシステムに保存されます。このファイルは一度失うと復元できず、Google組織のこのサービスアカウントおよびデータへの安全な認証情報が含まれているため、安全に保管してください。認証情報とユーザー名情報の入力セクションで、このファイルのアップロードが求められます。
サービスアカウントへのドメイン全体の権限委任🔗
手順10-13: サービスアカウント詳細で作成したサービスアカウントには、ドメイン内のユーザーデータへのアクセス権が必要です。この手順では、サービスアカウントが作成されたプロジェクトだけでなく、ドメイン全体でAdmin SDK APIへのアクセスを有効にします。これはドメイン全体の権限委任と呼ばれます。
- Google Admin Consoleにログインします。
- API Controlsに移動します。ハンバーガーメニューからSecurity→Access and data control→API controlsを選択します。
-
MANAGE DOMAIN WIDE DELEGATIONを選択します。
Google Manage Domain Wide Delegation -
Add newを選択します。
Google Domain Wide Delegation - Add New -
Client IDフィールドに、サービスアカウントの作成手順で記録したUnique IDを入力します。
-
OAuth scopesには、以下を入力します。
-
AUTHORIZEを選択します。
Google Domain Wide Delegation - Authorize
偽装用の新規ユーザー作成または既存ユーザーの選択🔗
ReportsおよびAlert APIへアクセスするには、Reports管理者およびAlert Centerの閲覧権限を持つユーザーが必要です。XDRが組織からログを収集する際、このサービスアカウントはこの権限を持つユーザーを偽装するためのトークンをリクエストします。XDRによるすべての監査アクションは、このユーザーとして記録されます。そのため、XDRの偽装専用の新規ユーザーを作成することを推奨します。正しい権限を持つ既存ユーザーも利用可能です。
- 新規ユーザーを作成する場合は、オプション1: 偽装用の新規ユーザー作成を参照してください。
- 既存ユーザーを利用する場合は、オプション2: 偽装用の既存ユーザー利用を参照してください。
オプション1: 偽装用の新規ユーザー作成🔗
-
Google Admin Consoleにログインします。
ヒント
任意で、事前定義済み管理者ロールよりもさらにアクセス権を制限したカスタム管理者ロールを作成できます。その場合は、Admin roles menuに移動し、ハンバーガーメニューからAccount→Admin rolesを選択し、次の手順に進みます。事前定義済みロールのみを使用する場合は、手順30に進んでください。
-
Create New Roleを選択します。
Google Create Custom Admin Role -
ロール情報としてNameとDescriptionを入力し、CONTINUEを選択します。
Google Name Custom Role -
ServicesセクションからReports権限を選択します。さらに、Services→Alert CenterセクションからView access権限を選択し、CONTINUEを選択します。
Google Select Privilege -
Review Privileges画面で内容を確認し、CREATE ROLEをクリックします。
-
Users Directoryに移動します。ハンバーガーメニューからDirectory→Usersを選択します。
-
Add new userを選択します。
Google Add User -
該当するユーザー情報を入力します。XDRで利用されるユーザーであることが分かる名前を推奨します。削除されないようにするためです。
Google Create User -
Usersテーブルから作成したユーザーのユーザー名を選択します。
-
Admin roles and privilegesからASSIGN ROLESを選択します。
Google Add Admin Role -
管理者ロールの一覧が表示されます。作成したカスタムロール、またはReports admin privilegeおよびAlert Center view access privilegeを持つ任意のロールを選択し、Assigned state列のトグルをAssignedにして、SAVEを選択します。
Google Save Pre-Built Admin Role -
このユーザーのメールアドレスを記録し、次のサービスアカウント認証情報とユーザー名情報の入力手順で使用します。
オプション2: 偽装用の既存ユーザー利用🔗
- Google Admin Consoleにログインします。
- Users Directoryに移動します。ハンバーガーメニューからDirectory→Usersを選択します。
-
テーブル内のユーザー一覧から、Reports admin privilegeおよびAlert Center view access privilegeを持つユーザーを選択します。メールアドレスを記録し、次のサービスアカウント認証情報とユーザー名情報の入力手順で使用します。
注意
ユーザーがこの権限を持っているか確認するには、ユーザー名を選択し、Admin Roles and privilegesテーブルを展開し、Reports privilegeおよびAlert Center view accessが割り当てられていることを確認してください。
サービスアカウント認証情報とユーザー名情報の入力🔗
- XDRにログインし、インテグレーション → クラウドAPIに移動します。
-
ページ上部のインテグレーションの追加を選択します。
Add an Integration -
最適化タブからGoogle Workspaceを選択します。
- XDRの構成ウィンドウで、以下を入力します。
- インテグレーション名—このインテグレーションを一意に識別できる任意の分かりやすい名前
- Email—ユーザー偽装セクションでコピーしたメールアドレス。このユーザーは、インテグレーションによるデータ収集時のすべての監査レポートで表示されます。
-
Upload Key Fileを選択し、サービスアカウント認証情報の作成セクションでダウンロードしたJSONサービスアカウントキーを指定します。
Add Google Workspace Integration
- Doneを選択してインテグレーションを保存し、Google Workspaceログの収集を開始します。インテグレーション → クラウドAPIに移動すると、XDRは以下のインテグレーションを表示します。
- Google Workspace(インテグレーション手順中に入力した名前) — このインテグレーション全体の正常性を表示するためのホルダーインテグレーションです。以下のいずれかの収集カテゴリが異常になった場合、このカテゴリも異常となります。
- Google Workspace Login(インテグレーション手順中に入力した名前) — ログインアクティビティレポートの正常性を表示します。
- Google Workspace Admin(インテグレーション手順中に入力した名前) — 管理者アクティビティレポートの正常性を表示します。
- Google Workspace Chrome(インテグレーション手順中に入力した名前) — Chromeアクティビティレポートの正常性を表示します。
- Google Workspace Alert(インテグレーション手順中に入力した名前) — Alert Centerアラートの取得の正常性を表示します。