Google Workspace インテグレーションガイド

以下の手順は、Google Workspace を Secureworks® Taegis™ XDR に連携し、ログの取り込みを実現するための設定方法です。

はじめに

Google Workspace ログの収集には、2つのAPIを使用します。

• Google Workspace Reports API
• Google Workspace Alert Center API

両方のAPIは Google Workspace Admin SDK API の一部です。XDR がこのAPIからデータを取得できるようにするには、以下の前提条件を満たす必要があります。

• 有効なGoogle Workspaceアカウントおよび管理者ロールへのアクセス権
• Google APIコンソールプロジェクト

これらの前提条件については、Google Workspace Reports API: Prerequesites のドキュメントを参照して完了してください。Chrome Enterprise を利用している場合は、Chrome監査ログがアクティビティログに出力されるよう、ログの有効化とデバイスの登録が必要です。Google Support: Chrome Enterprise Core Setup の手順に従い、Chromeログが生成され、XDR で収集できることを確認してください。

重要

このガイドは、これらの前提条件が完了していることを前提としています。

以下のセクションでは、次の手順を案内します。

• Admin SDK API へのアクセス権を持つサービスアカウントの作成と、そのアカウント用の認証情報の作成
• サービスアカウントへのドメイン全体の委任の有効化
• サービスアカウントがAdmin SDK Reports APIをクエリする際に偽装するユーザーの作成または既存ユーザーの利用
• インテグレーションを有効にするための認証情報の XDR への追加
• インテグレーションを有効にするための偽装ユーザーのユーザー名の XDR への追加
• ログ収集のために XDR で Reports および Alert Center API との連携を有効化

注意

ログ収集対象のさまざまなログについて、イベント発生から収集可能になるまでの遅延（ラグタイム）が発生することがあります。Google Workspace Admin Guide の Data retention and lag times にて、Googleによるデータ保持期間とラグタイムのドキュメントを参照してください。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
Google Workspace		Auth, HTTP	Auth, CloudAudit, Thirdparty

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

サービスアカウント認証情報の作成

前提条件 で作成したGoogleコンソールAPIプロジェクト内で、サービスアカウントと対応する認証情報を作成します。手順は Google Workspace Admin Guide の Reports API: Prerequesites を参照してください。

Google Cloud Hierarchy - Projects

1. Google Cloud Console からGoogle Workspace管理者アカウントでログインします。

2. 上部メニューから正しいプロジェクトが選択されていることを確認します。このプロジェクトでサービスアカウントを作成し、XDR が組織全体のログインデータをクエリできるようにします。

   

   Google Project Name Selection

3. APIs Library に移動します。ハンバーガーメニューから APIs and Services→Library を選択します。

4. Admin SDK API を検索し、検索結果から該当するAPIカードを選択します。
5. Enable をクリックして、このプロジェクトで Admin SDK API を有効化します。
6. さらに、Alert Center API を検索します。
7. Enable をクリックして、このプロジェクトで Alert Center API を有効化します。
8. API Credentials に移動します。ハンバーガーメニューから APIs and Services→Credentials を選択します。

9. + Create Credentials を選択し、ドロップダウンメニューから Service Account を選択します。

   

   Create Google Credentials

10. Service account details で Service account name を入力します（User-managed service accounts のGoogle Cloudドキュメントを参照）。任意の名前を入力できますが、Secureworks ではこのサービスアカウントが XDR 用であることが分かる名前を推奨します。誤って削除されるのを防ぐためです。

11. Service account ID は入力したアカウント名に基づき自動で入力されます。必要に応じてこのIDを変更できます。
12. Service account description は任意で入力、または空欄のままでも構いません。XDR 用であることが分かる説明を推奨します。

13. DONE を選択します。

    

    Create Google Service Account

14. Service Accounts テーブルから、作成したサービスアカウントを選択します。

    

    Select Service Account

15. 表示される Unique ID の値を記録してください。次の セクション でドメイン全体の委任を行う際に必要となります。

    

    Google Service Account Unique ID

16. Keys メニューから Add Key ドロップダウンを選択し、Create new key を選択します。

    

    Create New Key

17. キータイプとして JSON を選択し、CREATE をクリックします。

    重要

    JSONファイルがローカルファイルシステムに保存されます。このファイルはサービスアカウントおよびGoogle組織のデータへの安全な認証情報を含むため、紛失した場合は復元できません。安全に保管してください。このファイルは 認証情報の入力 セクションで XDR へアップロードする際に必要となります。

サービスアカウントへのドメイン全体の権限委任

手順10-13: サービスアカウント詳細 で作成したサービスアカウントには、ドメイン内ユーザーのデータへのアクセス権が必要です。この手順では、サービスアカウントが作成されたプロジェクトだけでなく、ドメイン全体で Admin SDK API へのアクセスを有効にします。これを ドメイン全体の権限委任 と呼びます。

Google Cloud Hierarchy - Organization

18. Google Admin Console にログインします。
19. API Controls に移動します。ハンバーガーメニューから Security→Access and data control→API controls を選択します。

Google Admin API Controls

20. MANAGE DOMAIN WIDE DELEGATION を選択します。

    

    Google Manage Domain Wide Delegation

21. Add new を選択します。

    

    Google Domain Wide Delegation - Add New

22. Client ID フィールドに、サービスアカウントの作成 で記録した Unique ID を入力します。

23. OAuth scopes には、以下を入力します。

    https://www.googleapis.com/auth/admin.reports.audit.readonly
    
    https://www.googleapis.com/auth/admin.reports.usage.readonly
    
    https://www.googleapis.com/auth/apps.alerts
    

24. AUTHORIZE を選択します。

    

    Google Domain Wide Delegation - Authorize

偽装用ユーザーの作成または既存ユーザーの選択

Reports および Alert API へアクセスするには、Reports管理者権限および Alert Center の閲覧権限を持つユーザーが必要です。XDR が組織からログを収集する際、このサービスアカウントはこの権限を持つユーザーになりすますためのトークンをリクエストします。XDR によるすべての監査アクションは、このユーザーとして記録されます。そのため、Secureworks では、XDR の偽装専用の新規ユーザーを作成することを推奨します。正しい権限を持つ既存ユーザーを利用することも可能です。

• 新規ユーザーを作成する場合は、オプション1: 偽装用の新規ユーザー作成 を参照してください。
• 既存ユーザーを利用する場合は、オプション2: 既存ユーザーの利用 を参照してください。

オプション1: 偽装用の新規ユーザー作成

25. Google Admin Console にログインします。

    ヒント

    任意 で、事前定義済み管理者ロール よりもさらにアクセス権を制限したカスタム管理者ロールを作成できます。その場合は Admin roles menu に移動し、ハンバーガーメニューから Account→Admin roles を選択し、次の手順に進みます。事前定義済みロールのみを利用する場合は、手順30に進んでください。

26. Create New Role を選択します。

    

    Google Create Custom Admin Role

27. ロール情報として Name と Description を入力し、CONTINUE を選択します。

    

    Google Name Custom Role

28. Services セクションから Reports 権限を選択します。さらに Services→Alert Center セクションから View access 権限を選択し、CONTINUE をクリックします。

    

    Google Select Privilege

29. Review Privileges 画面で内容を確認し、CREATE ROLE をクリックします。

30. Users Directory に移動します。ハンバーガーメニューから Directory→Users を選択します。

31. Add new user を選択します。

    

    Google Add User

32. ユーザー情報を入力します。Secureworks では、このユーザーが XDR 用であり、削除しないよう分かる名前を推奨します。

    

    Google Create User

33. Users テーブルから作成したユーザーのユーザー名を選択します。

34. Admin roles and privileges から ASSIGN ROLES を選択します。

    

    Google Add Admin Role

35. 管理者ロールの一覧が表示されます。作成したカスタムロール、または Reports admin privilege および Alert Center view access privilege を持つ任意のロールを選択し、Assigned state 列のトグルを Assigned にしてから SAVE を選択します。

    

    Google Save Pre-Built Admin Role

36. このユーザーの メールアドレス を記録し、次の 認証情報とユーザー名情報の入力 手順で使用します。

オプション2: 既存ユーザーの利用

37. Google Admin Console にログインします。
38. Users Directory に移動します。ハンバーガーメニューから Directory→Users を選択します。

39. テーブル内のユーザー一覧から、Reports admin privilege および Alert Center view access privilege を持つユーザーを選択します。メールアドレス を記録し、次の 認証情報とユーザー名情報の入力 手順で使用します。

    注意

    ユーザーがこの権限を持っているか確認するには、ユーザー名を選択し、Admin Roles and privileges テーブルを展開して、Reports privilege および Alert Center view access が割り当てられていることを確認してください。

サービスアカウント認証情報とユーザー名情報の入力

40. XDR にログインし、インテグレーション → クラウドAPI に移動します。

41. ページ上部の インテグレーションの追加 を選択します。

    

    Add an Integration

42. 最適化されたタブから Google Workspace を選択します。

43. XDR の設定ウィンドウで、以下を入力します。

• インテグレーション名—このインテグレーションを一意に識別できる任意の分かりやすい名前
• Email—ユーザー偽装 セクションでコピーしたメールアドレス。このユーザーが、インテグレーションによるデータ収集時のすべての監査レポートに表示されます。

• Upload Key File を選択し、サービスアカウント認証情報の作成 セクションでダウンロードしたJSONサービスアカウントキーを指定します。

  

  Add Google Workspace Integration

44. Done を選択してインテグレーションを保存し、Google Workspace ログの収集を開始します。インテグレーション → クラウドAPI に移動すると、XDR で以下のインテグレーションが表示されます。

• Google Workspace（インテグレーション手順中に入力した名前） — このインテグレーション全体の正常性を表示するホルダーインテグレーションです。以下のいずれかの収集カテゴリが異常になった場合、このカテゴリも異常となります。
• Google Workspace Login（インテグレーション手順中に入力した名前） — ログインアクティビティレポート の正常性を表示します。
• Google Workspace Admin（インテグレーション手順中に入力した名前） — 管理者アクティビティレポート の正常性を表示します。
• Google Workspace Chrome（インテグレーション手順中に入力した名前） — Chromeアクティビティレポート の正常性を表示します。
• Google Workspace Alert（インテグレーション手順中に入力した名前） — Alert Center アラート の取得状況の正常性を表示します。