Feed Management UI を使用する

以下でサポートされています。

このドキュメントでは、フィード管理 UI でフィードを作成、トラブルシューティング、管理する方法について説明します。フィードの変更、有効化、削除の手順も含まれています。

始める前に

各データフィードには、Google Security Operations で設定する前に満たす必要のある特定の前提条件があります。フィードの要件を確認するには、ソースタイプ別の構成で特定のデータソースを検索してください。

サポートされている圧縮形式とファイルサイズ

フィードの取り込みでサポートされている圧縮形式には、.gz、.tar.gz、.tar、solr.gz があります。次の表に、Google SecOps フィード変換がサポートするさまざまなファイルサイズを示します。

オペレーション 入力タイプ 推奨されるサイズ 予定の長さ 最大サイズ
データ モデリング CSV 5 GB 未満 7 分未満 10 GB
データ モデリング CSV 5 GB 未満 約 30 分 10 GB
データ モデリング CSV 未定 未定 2 GB
データ モデリング XML / JSON 1 GB 未満 < 10 分 2 GB
データ モデリング XLS / XLSX 50 MB 未満 1 分以内 50 MB
ファイルを統合する 任意 1 GB 未満 ファイル数によって異なります 100 GB
ファイルを解凍する Non-ZIP 5 GB 未満 ファイル数によって異なります 10 GB(非圧縮)
ファイルを解凍する ZIP - ファイル数によって異なります 4 GB(非圧縮)

ログ行の上限と区切り文字

テキストベースのログ(JSON、CSV、Syslog)を取り込む場合は、データが次の特定の取り込み上限に準拠していることを確認してください。

  • 最大行サイズ: 単一のログ行は 4 MB を超えることはできません。1 行がこの上限を超えると、フィードはエラー MaxLogLineSize4MBExceeded で失敗します。
  • サポートされている区切り文字: 改行(\n)と復帰 + 改行(\r\n)の両方がサポートされています。

リンクされた Cloud プロジェクトの変更がデータフィードに与える影響

Google SecOps インスタンスに関連付けられている Google Cloud プロジェクトを更新すると、次のコネクタを使用してデータを取り込むすべてのフィードが停止し、手動で再作成する必要があります。

  • AMAZON_S3_V2
  • AMAZON_SQS_V2
  • GOOGLE_CLOUD_STORAGE_V2
  • AZURE_BLOBSTORE_V2
  • GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN

これらのコネクタを使用していない他のすべてのフィードでは、中断することなく取り込みが継続されます。お客様による対応は必要ありません。

移行中に行える操作

影響を受けるフィードでは、以下の変更が確認されます。

  • フィードのステータス: 移行前に作成されたフィードは、ライブデータの取得を直ちに停止し、読み取り専用になります。
  • 既存のデータ: 移行前に Google SecOps に転送されたデータは自動的に取り込まれ、データが失われることはありません。
  • エラー メッセージ: 古いフィードを編集または削除しようとすると、「This feed is read-only because this SecOps has now moved to a new Google Cloud Project (BYOP). To continue ingesting data from this source, please create a new feed」というメッセージが表示されます。

お客様に必要な対応

データの継続的な取り込みを確保するには、新しい環境でフィードを手動で再作成する必要があります。中断を最小限に抑えるには、次の手順を行います。

  1. フィードを再作成する: 移行前に存在していたフィードを置き換えるには、新しいフィードを作成する必要があります。
  2. 最大ファイル経過時間を設定する: 新しいフィードをセットアップする際は、BYOP の更新が開始される約 2 時間前に最大ファイル経過時間を設定します。この時間バッファにより、スムーズな移行が保証されます。

  3. 重複データの管理: 選択したファイルの最大経過時間によっては、重複したデータ転送が発生する可能性があります。

  4. 既存のフィードを記録して削除する(移行前): BYOP 移行を開始する前に、影響を受けるコネクタ(Amazon S3 V2 など)を使用する既存のすべてのフィードの構成設定を記録してから、フィードを削除します。移行前に作成したフィードを削除しないと、管理できなくなり、孤立した設定として Google SecOps ウェブ インターフェースに残ります。

フィードを設定する方法

Google SecOps のお客様がプラットフォームでこのフィードを設定する方法は 2 つあります。環境に最適な方法を使用します。

  • [SIEM 設定] > [フィード](標準)
  • Content Hub > Content Packs(プレミアム)

フィードを構成する

このセクションでは、標準の手順フローから始めて、フィードを全般的に構成する方法について説明します。[フィード] ページに一覧表示されるデータ フィードには、ご自身が設定したフィードに加えて、Google がアカウントに設定したすべてのフィードが含まれます。

フィードを追加

Google SecOps アカウントにフィードを追加する手順は次のとおりです。

  1. Google SecOps メニューで、[SIEM 設定] > [フィード] を選択します。

  2. [Add New Feed] をクリックします。

  3. 次のページで、[単一フィードを設定] をクリックします。注: この手順は、Google SecOps SIEM スタンドアロン プラットフォームを使用しているお客様には関係ありません。

  4. フィード名を追加します。

  5. [ソースタイプ] リストで、Google SecOps にデータをインポートするためのソースタイプを選択します。次のフィード ソースタイプから選択できます。

    • Amazon Data Firehose
    • Amazon S3(非推奨)
    • Amazon S3(V2)
    • Amazon SQS(非推奨)
    • Amazon SQS(V2)
    • Azure Blob Storage(非推奨)
    • Azure Blob Storage(V2)
    • Google Cloud Pub/Sub
    • Cloud Storage(非推奨)
    • Cloud Storage(V2)
    • Cloud Storage イベント ドリブン
    • サードパーティ API
    • Webhook

    重要:

    • Amazon S3(非推奨)、Amazon SQS(非推奨)、Azure Blob Storage(非推奨)、Cloud Storage(非推奨)のフィードを使用する場合は、有効なディレクトリ パスがあることを確認してください。 Google Cloud
    • Amazon SQS(非推奨)または Amazon SQS(V2)を使用する場合は、Amazon SQS キューからメッセージを削除する権限を Google SecOps に明示的に付与します。
    • Amazon SQS(非推奨)フィードを使用する場合は、キューからメッセージを消費するフィードが 1 つだけであることを確認してください。別のアプリやフィードで読まれたメッセージは、現在のフィードに取り込まれません。
    • フィードのソースタイプとして Amazon SQS(非推奨)を使用できるのは、Amazon S3 バケット内のログに限られます。

  6. [ログタイプ] リストで、取り込むログに対応するログタイプを選択します。使用可能なログは、前に選択したソースタイプによって異なります。

    ソースタイプとして Cloud Storage を選択した場合は、サービス アカウントを取得オプションを使用して一意のサービス アカウントを取得します。Google Cloud Storage フィードの設定例をご覧ください。

  7. [次へ] をクリックします。

  8. [入力パラメータ] タブで必要なパラメータを指定します。ここに表示されるオプションは、[Set Properties] タブで選択したソースとログのタイプによって異なります。各フィールドの質問アイコンの上にポインタを置くと、提供する必要がある内容に関する追加情報が表示されます。

  9. 省略可: [プロパティを設定] タブで Namespace を指定できます。名前空間の詳細については、アセットの名前空間の使用をご覧ください。

  10. [次へ] をクリックします。

  11. [Finalize] タブで新しいフィードの設定を確認します。

  12. [送信] をクリックします。Google SecOps が新しいフィードの検証チェックを完了します。フィードがチェックに合格すると、フィードの名前が生成されて Google SecOps に送信され、Google SecOps でデータの取得が開始されます。

    フィード リクエストの完了

プロダクト ファミリーに複数のフィードを構成する(Google SecOps のお客様のみ)

ログタイプに基づいて、プロダクト ファミリーごとに複数のフィードを構成できます。

  • ベースライン ログタイプ: 推奨としてマークされています。これらのログタイプは、コア プラットフォーム機能に推奨されます。
  • 補足ログタイプ: 省略可とマークされています。これらのログタイプは、追加のコンテキストを提供します。

設定を簡素化するため、プラットフォームでは、各構成に固有の設定手順と事前定義されたパラメータが用意されています。たとえば、CrowdStrike Falcon の場合、[推奨] と [オプション] の両方のログタイプで複数の一意のフィードを作成して、十分な包括的なデータ カバレッジを確保できます。

CrowdStrike EDR のフィードを構成する

CrowdStrike EDR のログフィードを構成する手順は次のとおりです。

  1. [設定> フィード] で、[新しいフィードを追加] をクリックします。
    1. [CrowdStrike Falcon] プロダクトをクリックします。
    2. [CrowdStrike EDR] ログタイプを選択します。
  2. または、[コンテンツ ハブ> コンテンツ パック] で、[CrowdStrike Falcon] プロダクトをクリックします。
    1. [利用開始] をクリックします。
    2. [CrowdStrike EDR] ログタイプを選択します。

  3. 次のフィールドに値を指定します。

    フィールド 説明
    Source Type Amazon SQS
    Region URI に関連付けられている AWS S3 リージョン。
    Queue Name 読み取り元の SQS キュー名。
    Account Number SQS アカウント番号。
    Source Deletion Option 転送後にファイルとディレクトリを削除するかどうかを示します。
    Queue Access Key ID アカウントの 20 文字の英数字のアクセスキー(AKIAOSFOODNN7EXAMPLE など)。
    Queue Secret Access Key アカウントの 40 文字の英数字のシークレット アクセスキー(例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。

  4. 省略可: 次のパラメータを構成します。

    • Feed Name(フィード名): フィードの一意の名前が事前入力されています。
    • アセットの Namespace: フィードに関連付けられた Namespace。
    • 取り込みラベル: このフィードのイベントに適用されるラベル。

  5. [フィードを作成] をクリックします。

このプロセスを繰り返して、同じログタイプに追加のフィードを作成できます。このページから、他の使用可能なログタイプのフィードを直接構成することもできます。完了したら、[フィード管理] ページに移動して、構成されたすべてのログタイプの詳細な概要を表示します。

IP 許可リスト

許可リストを有効にして、サードパーティ API からデータを取り込むすべてのログタイプに Google IP アドレス範囲を追加します。

ソースファイルを削除する

ソース削除オプションを使用すると、転送が完了した後に、フィードソース オブジェクト(ファイルとフォルダ)をストレージから削除できます。このオプションは、Cloud Storage などの一部のフィードソースタイプでのみ使用できます。これらのフィードソース タイプの [新しく追加] ワークフローと [フィードを編集] ワークフローに [ソースの削除オプション] フィールドがあります。

ソース削除オプション

  • Cloud Storage などの、サポートされているフィードソースタイプの場合、[ソースの削除オプション] フィールドには次のオプションがあります。

    • ファイルを削除しない
    • 転送されたファイルと空のディレクトリを削除する
    • 転送されたファイルを削除する

  • Microsoft Azure Blob Storage(AZURE_BLOBSTORE)は、ソースファイルの削除をサポートしていません。[SOURCE DELETION OPTION] フィールドでは、[Never delete files] オプションのみを選択します。

  • 次のフィードソース("feedSourceType"): GOOGLE_CLOUD_STORAGE_V2GOOGLE_CLOUD_STORAGE_EVENT_DRIVENAMAZON_S3_V2AMAZON_SQS_V2AZURE_BLOBSTORE_V2 の場合、[SOURCE DELETION OPTION](ソース削除オプション)フィールドには次の 2 つのオプションがあります。

    • なし: 転送後にファイルを削除しません。
    • ON_SUCCESS: 転送後にすべてのファイルと空のディレクトリを削除します。

ソース固有の設定と権限

ソースタイプごとに、Google SecOps との通信に必要な特定の認証とネットワーキングの構成があります。このセクションでは、特定のデータソースの権限の構成、サービス アカウントの設定、安全な接続の確立を行う方法について説明します。ここで説明する設定は、Cloud Storage の取り込み(プルベース)、マルチクラウドの取り込み(クロスクラウド プル)、プッシュベースの取り込み(API またはリアルタイム)に重点を置いています。

Google Cloud Storage フィードの設定例

  1. Google SecOps メニューから [設定] を選択し、[フィード] をクリックします。
  2. [Add New Feed] をクリックします。
  3. 次のページで、[単一フィードを設定] をクリックします。Google SecOps SIEM スタンドアロン プラットフォームを使用している場合、この手順は適用されません。
  4. [ソースタイプ] で [Cloud Storage v2] を選択します。
  5. [ログタイプ] を選択します。たとえば、Google Kubernetes Engine 監査ログのフィードを作成するには、[ログタイプ] として [Google Kubernetes Engine 監査ログ] を選択します。
  6. [サービス アカウントを取得する] をクリックします。Google SecOps は、Google SecOps がデータの取り込みに使用する一意のサービス アカウントを提供します。
  7. 省略可: サービス アカウントを構成します。詳細については、Google SecOps サービス アカウントにアクセス権を付与するをご覧ください。
  8. [次へ] をクリックします。

  9. 作成した Cloud Storage 構成に基づいて、次のフィールドの値を指定します。

    • ストレージ バケット URI

    • ソース削除オプション

    Cloud Storage バケットの設定方法については、バケットの作成をご覧ください。

  10. [次へ] をクリックしてから、[送信] をクリックします。

Google SecOps サービス アカウントへのアクセス権を付与する

  1. Google Cloud コンソールで Cloud Storage の [バケット] ページに移動します。

    [バケット] に移動

  2. 関連する Cloud Storage オブジェクトに対するアクセス権をサービス アカウントに付与します。

    • 特定のファイルに読み取り権限を付与するには、次の操作を行います。

      1. ファイルを選択して [アクセス権の編集] をクリックします。
      2. [プリンシパルを追加] をクリックします。
      3. [新しいプリンシパル] フィールドに、Google SecOps サービス アカウントの名前を入力します。
      4. 読み取り権限を含むロールを Google SecOps サービス アカウントに割り当てます。たとえば、Storage オブジェクト閲覧者roles/storage.objectViewer)。これは、均一なバケットレベルのアクセス権が有効になっていない場合にのみ実行できます。
      5. [保存] をクリックします。

    • 複数のファイルへの読み取り権限を付与するには、次のようにバケットレベルでアクセス権を付与します。

      • "feedSourceType": "GOOGLE_CLOUD_STORAGE":

        1. Google SecOps サービス アカウントをプリンシパルとしてストレージ バケットに追加し、IAM ストレージ オブジェクト閲覧者roles/storage.objectViewer)ロールを付与します。
        2. ソースファイルを削除するようにフィードを構成する場合、Google SecOps サービス アカウントをプリンシパルとしてバケットに追加し、IAM ストレージ オブジェクト管理者roles/storage.objectAdmin)のロールを付与する必要があります。

      • "feedSourceType": "GOOGLE_CLOUD_STORAGE_V2" には、次のロールを付与します。

        1. このロールを付与します。

          • Storage オブジェクト閲覧者roles/storage.objectViewer)。別の Cloud Storage バケットに転送される場合。

        2. [ソース削除オプション] で選択した内容に応じて、次のいずれかのロールを付与します。[成功時] を選択した場合は、Storage レガシー バケット書き込みロールを付与します。[Never] を選択した場合は、Storage Legacy Bucket Reader ロールを付与します。

          • ストレージのレガシー バケット書き込みroles/storage.legacyBucketWriter): オブジェクト削除権限が必要な場合。
          • Storage レガシー バケット読み取りroles/storage.legacyBucketReader): オブジェクト削除権限が必要ない場合。

      • "feedSourceType": "GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN":

        1. 次のいずれかのロールを付与します。

          • Storage オブジェクト閲覧者roles/storage.objectViewer)。別の Cloud Storage バケットに転送される場合。
          • Storage オブジェクト作成者roles/storage.objectCreator): ファイル システムに転送される場合。

        2. 次のいずれかのロールを付与します。

          • ストレージのレガシー バケット書き込みroles/storage.legacyBucketWriter): オブジェクト削除権限が必要な場合。
          • Storage レガシー バケット読み取りroles/storage.legacyBucketReader): オブジェクト削除権限が必要ない場合。

VPC Service Controls を構成する

VPC Service Controls が有効になっている場合は、Cloud Storage バケットへのアクセスを提供するために上り(内向き)ルールと下り(外向き)ルールの両方が必要です。

内向きルール

上り(内向き)ルールでは、次の Cloud Storage メソッドを許可する必要があります。

  • google.storage.objects.list: 単一のファイル フィードに必須です。
  • google.storage.objects.get: ディレクトリまたはサブディレクトリへのアクセスが必要なフィードに必要です。
  • google.storage.objects.delete: ソースファイルの削除が必要なフィードに必要です。

上り(内向き)ルールの例

- ingressFrom:
  identities:
    - serviceAccount:8911409095528497-0-account@partnercontent.gserviceaccount.com
  sources:
  - accessLevel: "*"
  ingressTo:
  operations:
  - serviceName: storage.googleapis.com
    methodSelectors:
    - method: google.storage.objects.list
    - method: google.storage.objects.get
    - method: google.storage.objects.delete
  resources:
  - projects/PROJECT_ID

外向きルール

VPCSC が有効になっている場合、GOOGLE_CLOUD_STORAGE_V2GOOGLE_CLOUD_STORAGE_EVENT_DRIVENAMAZON_S3_V2AMAZON_SQS_V2AZURE_BLOBSTORE_V2 を使用するフィードが動作するには、次の下り(外向き)ルールを許可する必要があります。

Cloud Storage Pub/Sub アクセス

  • ID: serviceAccount:service-{unique_project_id}@gs-project-accounts.iam.gserviceaccount.com
  • サービス: pubsub.googleapis.com
  • オペレーション: すべて(*)
  • リソース: すべて(*)

STS Pub/Sub

  • ID: serviceAccount:project-{unique_project_id}@storage-transfer-service.iam.gserviceaccount.com
  • サービス: pubsub.googleapis.com
  • オペレーション: すべて(*)
  • リソース: すべて(*)

unique-project-id を取得する手順は次のとおりです。

  1. [フィード] ページで [フィードを作成] をクリックします。
  2. [GOOGLE_CLOUD_STORAGE_V2] を選択します。
  3. [サービス アカウントを取得する] をクリックします。プラットフォームは unique_project_id を返します。- 下り(外向き)ルールのプレースホルダで使用します。

取得できない場合は、カスタマー サポートにお問い合わせください。

下り(外向き)ルールの例

"egressPolicies": [
  {
    "egressFrom": {
      "identities": [
        "serviceAccount:service-{replace_with_project_id}@gs-project-accounts.iam.gserviceaccount.com"
      ]
    },
    "egressTo": {
      "operations": [
        {
          "methodSelectors": [
            {
              "method": "*"
            }
          ],
          "serviceName": "pubsub.googleapis.com"
        }
      ],
      "resources": [
        "*"
      ]
    },
    "title": "GCS pubsub access"
  },
  {
    "egressFrom": {
      "identities": [
        "serviceAccount:project-{replace_with_project_id}@storage-transfer-service.iam.gserviceaccount.com"
      ]
    },
    "egressTo": {
      "operations": [
        {
          "methodSelectors": [
            {
              "method": "*"
            }
          ],
          "serviceName": "pubsub.googleapis.com"
        }
      ],
      "resources": [
        "*"
      ]
    },
    "title": "STS pubsub"
  }
]

Amazon S3 と Azure Storage の STS アクセスを有効にする

STS は、次の Google Cloud Storage フィードで使用され、Amazon S3 と Azure Storage のブロブストアから Google SecOps にデータを転送します。

  • Amazon S3(V2)
  • Amazon SQS(V2)
  • Azure Blob Storage(V2)

STS は、定義された STS IP アドレス範囲のセットから Amazon S3 と Azure ストレージ サービスにデータ転送リクエストを送信します。これらの STS IP アドレス範囲は、次の JSON ファイルで公開されています。IP 範囲

これらの STS フィード ソースタイプを使用するには、STS が Amazon S3 と Azure ストレージ サービスにアクセスできるように IP アクセス制限を調整する必要がある場合があります。

  1. JSON ファイルから最新の IP 範囲を取得します。

    セキュリティ構成を最新の状態に保つため、少なくとも週に 1 回、この JSON ファイルからデータを読み取ることをおすすめします。ファイルに新しい範囲が追加された場合、STS からのリクエストに対してその範囲が使用されるまでに少なくとも 7 日間はかかります。

    JSON ファイルから IP 範囲を取得する Python スクリプトの例については、デフォルト ドメインの IP アドレスをご覧ください。

  2. 現在の IP 範囲 creationTime を、前の JSON ファイルから読み取った IP 範囲 creationTime と比較します。異なる場合は、Amazon S3 と Azure Storage の Blobstore で IP アクセス制限を更新します。

    • Amazon S3 の場合

      Amazon S3 Blobstore の IP アクセス制限を更新するには:

      AWS プロジェクトでストレージへのアクセスに IP 制限を使用する場合は、STS ワーカーで使用される IP 範囲を許可 IP リストに追加する必要があります。

      これらの範囲を許可された IP として追加するには、AWS S3 のドキュメントの特定の IP アドレスに基づいてアクセスを管理するで説明されているように、bucket policyCondition フィールドを使用します。

    • Azure Storage の場合

      Azure Storage blobstore の IP アクセス制限を更新するには:

      Azure Storage ファイアウォールを使用して Azure リソースへのアクセスを制限する場合は、STS ワーカーで使用される IP 範囲を、許可された IP のリストに追加する必要があります。

      これらの範囲を許可された IP として追加するには、Azure Storage ファイアウォールと仮想ネットワークを構成するの手順に沿って操作します。

Pub/Sub push フィードを設定する

Pub/Sub push フィードを設定する手順は次のとおりです。

  1. Pub/Sub push フィードを作成します。
  2. Pub/Sub サブスクリプションでエンドポイント URL を指定します。

Pub/Sub push フィードを作成する

  1. Google SecOps メニューで、[設定] を選択し、[フィード] をクリックします。
  2. [新しく追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します。
  4. [ソースタイプ] リストで、[Google Cloud Pub/Sub Push] を選択します。
  5. [ログタイプ] を選択します。たとえば、Open Cybersecurity Schema Framework のフィードを作成するには、[ログタイプ] として [Open Cybersecurity Schema Framework(OCSF)] を選択します。
  6. [次へ] をクリックします。
  7. 省略可: 次の入力パラメータの値を指定します。
    • Split delimiter: ログ行を区切るために使用される区切り文字。\n のみを使用できます。
    • Asset namespace: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
  10. [詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL は、Pub/Sub で push サブスクリプションを作成するために必要です。
  11. 省略可: [フィードを有効にする] の切り替えボタンをクリックして、フィードを無効にします。フィードはデフォルトで有効になっています。
  12. [完了] をクリックします。

エンドポイント URL を指定する

Pub/Sub push フィードを作成したら、次のようにエンドポイント URL を指定します。Pub/Sub で push サブスクリプションを作成し、HTTPS エンドポイントを指定します。[認証を有効にする] とサービス アカウントを選択します。

  1. Pub/Sub で push サブスクリプションを作成します。push サブスクリプションの作成方法の詳細については、push サブスクリプションを作成するをご覧ください。
  2. エンドポイント URL を指定します。この URL は Google Cloud Pub/Sub push フィードの中にあります。
  3. [認証を有効にする] を選択し、サービス アカウントを選択します。

Amazon Data Firehose フィードを設定する

Amazon Data Firehose フィードを設定する手順は次のとおりです。

  1. Amazon Data Firehose フィードを作成し、エンドポイント URL と秘密鍵をコピーします。
  2. Google SecOps に対する認証のための API キーを作成します。既存の API キーを再利用して Google SecOps に対する認証を行うこともできます。
  3. Amazon Data Firehose でエンドポイント URL を指定します。

Amazon Data Firehose フィードを作成する

  1. Google SecOps メニューで、[設定] を選択し、[フィード] をクリックします。
  2. [新しく追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します。
  4. [ソースタイプ] リストで、[Amazon Data Firehose] を選択します。
  5. [ログタイプ] を選択します。たとえば、Open Cybersecurity Schema Framework のフィードを作成するには、[ログタイプ] として [Open Cybersecurity Schema Framework(OCSF)] を選択します。
  6. [次へ] をクリックします。
  7. 省略可: 次の入力パラメータの値を指定します。
    • Split delimiter: ログ行を区切るために使用される区切り文字。\n のみを使用できます。
    • Asset namespace: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
  10. [秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。
  11. このシークレットは再び表示できないため、秘密鍵をコピーして保存します。新しいシークレット キーを再度生成できますが、シークレット キーを再生成すると、以前のシークレット キーは無効になります。
  12. [詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL は、Amazon Data Firehose で配信ストリームの宛先設定を指定するときに必要になります。
  13. 省略可: [フィードを有効にする] の切り替えボタンをクリックして、フィードを無効にします。フィードはデフォルトで有効になっています。
  14. [完了] をクリックします。

Amazon Data Firehose フィード用の API キーを作成する

Amazon Data Firehose フィードの API キーを作成する手順は次のとおりです。

  1. Google Cloud コンソールの [認証情報] ページに移動します。
  2. [認証情報を作成] をクリックし、[API キー] を選択します。
  3. API キーへのアクセスを Chronicle API に限定します。

エンドポイント URL を指定する

Amazon Data Firehose で、次のように HTTPS エンドポイントとアクセスキーを指定します。

  1. フィード エンドポイント URL に API キーを追加し、次の形式でこの URL を HTTP エンドポイント URL として指定します。

      ENDPOINT_URL?key=API_KEY

    以下を置き換えます。

    • ENDPOINT_URL: フィード エンドポイントの URL。
    • API_KEY: Google SecOps に対する認証に使用する API キー。

  2. アクセスキーには、Amazon Data Firehose フィードの作成時に取得した秘密鍵を指定します。

HTTPS Webhook フィードを設定する

始める前に:

HTTPS webhook フィードを設定する手順は次のとおりです。

  1. HTTPS Webhook フィードを作成し、エンドポイント URL と秘密鍵をコピーします。
  2. エンドポイント URL で指定された API キーを作成します。既存の API キーを再利用して Google SecOps に対する認証を行うこともできます。
  3. アプリケーション内でエンドポイント URL を指定します。

1 つの Webhook リクエストで複数のイベントを送信する

次のコードサンプルは、curl --location 項目の後に複数の改行区切りの JSON オブジェクトを含む単一のリクエスト本文をフォーマットする方法を示しています。

--header 'Content-Type: application/json' \
--header 'X-goog-api-key: API_KEY' \
--header 'X-Webhook-Access-Key: SECRET' \
--data '{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}
{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}'

HTTPS Webhook フィードを作成する

  1. Google SecOps メニューで、[設定] を選択し、[フィード] をクリックします。
  2. [新しく追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します。
  4. [ソースタイプ] リストで、[Webhook] を選択します。
  5. [ログタイプ] を選択します。たとえば、Open Cybersecurity Schema Framework のフィードを作成するには、[ログタイプ] として [Open Cybersecurity Schema Framework(OCSF)] を選択します。
  6. [次へ] をクリックします。
  7. 省略可: 次の入力パラメータの値を指定します。
    • Split delimiter: ログ行を区切るために使用される区切り文字。\n のみを使用できます。
    • Asset namespace: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
  10. [秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。
  11. このシークレットは再び表示できないため、秘密鍵をコピーして保存します。新しいシークレット キーを再度生成できますが、シークレット キーを再生成すると、以前のシークレット キーは無効になります。
  12. [詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL をクライアント アプリケーション内で指定する必要があります。
  13. 省略可: [フィードを有効にする] の切り替えボタンをクリックして、フィードを無効にします。フィードはデフォルトで有効になっています。
  14. [完了] をクリックします。

Webhook フィード用の API キーを作成する

  1. Google Cloud コンソールの [認証情報] ページに移動します。
  2. [認証情報を作成] をクリックして [API キー] を選択します。
  3. API キーへのアクセスを Chronicle API に限定します。

エンドポイント URL を指定する

  1. クライアント アプリケーション内で HTTPS エンドポイント(Webhook フィード内にあります)を指定します。

  2. 次の形式でカスタム ヘッダーの一部として API キーと秘密鍵を指定して、認証を有効にします。

    X-goog-api-key = API_KEY

    X-Webhook-Access-Key = SECRET

    API キーは URL 内で指定するのではなく、ヘッダーとして指定することをおすすめします。Webhook クライアントがカスタム ヘッダーをサポートしていない場合は、次の形式のクエリ パラメータを使用して API キーと秘密鍵を指定できます。

      ENDPOINT_URL?key=API_KEY&secret=SECRET

    以下を置き換えます。

    • ENDPOINT_URL: フィード エンドポイントの URL。
    • API_KEY: Google SecOps に対する認証に使用する API キー。
    • SECRET: フィードの認証用に生成した秘密鍵。

フィードを管理する

データフィードを構成したら、管理ツールを使用して取り込みの健全性をモニタリングし、既存のパラメータを変更して、フィードのライフサイクルを管理します。このセクションでは、フィードのステータスを解釈する方法と、データの可視性を継続的に確保するために必要なメンテナンス タスクを行う方法について説明します。

[フィード] ページには、構成済みのフィードのリストを操作して整理するのに役立つツールがいくつか用意されています。

  • 検索: 検索バーを使用して、フィード名フィード ID、またはソースタイプでフィードを検索します。

  • フィルタ: フィルタ アイコンをクリックして、特定のフィード属性に基づいてリストを絞り込みます。

  • CSV をダウンロード: [CSV としてダウンロード] をクリックすると、現在のフィードのリストが CSV ファイルにエクスポートされます。

  • ページネーション: ページネーション コントロールを使用して、次の操作を行います。

    • [1 ページあたりの行数] を変更します。

    • ページタブと矢印を使用して、複数のページのフィードを移動します。

  • 最終更新日時: タイムスタンプで、フィード リストが最後に更新された日時を確認できます。

設定済みのフィードを表示する

[フィード] ページには、設定したすべてのフィードが表示されます。

  1. [SIEM 設定] > [フィード] に移動します。メインページには、構成済みのすべてのフィードが表示されます。
  2. 各行にポインタを合わせると、 more_vert [その他] メニューが表示されます。
  3. メニューでは、フィードの詳細を表示したり、フィードを編集、無効化、削除したりできます。

フィードのステータスをモニタリングする

最初の [フィード] ページでフィードのステータスをモニタリングできます。フィードは次のステータスになることができます。

  • アクティブ: フィードが構成され、Google SecOps アカウントにデータを取り込む準備が整っています。
  • InProgress: Google SecOps は、構成済みのサードパーティからデータを pull しようとします。
  • 完了: このフィードによってデータは正常に取得されました。
  • アーカイブ済み: 無効化されたフィード。

  • Failed: フィードでデータを正常に取得できません。構成の問題が原因と考えられます。質問をクリックすると、構成エラーが表示されます。エラーを修正し、フィードを再送信したら、[フィード] ページに戻って、現在、フィードが機能しているかどうかを確認します。

既存のフィードを編集する

[フィード] ページで、次のように既存のフィードを編集できます。

  1. 既存のフィードにポインタを合わせ、右側の列にある more_vert をクリックします。

  2. [Edit Feed] をクリックします。これで、フィードの入力パラメータを変更し、Google SecOps に再送信できるようになりました。Google SecOps は更新されたフィードの使用を試行します。

フィードを有効または無効にする

[ステータス] 列で、有効なフィードには、[有効]、[進行中]、[完了]、または [失敗] のラベルが付けられます。無効なフィールドは [アーカイブ済み] のラベルが付けられます。説明については、フィードのステータスをご覧ください。

[フィード] ページから、任意の既存のフィードを有効化または無効化できます。

  1. 既存のフィードにポインタを合わせ、右側の列にある more_vert をクリックします。

  2. 省略可: [フィードを有効にする] の切り替えボタンをクリックして、フィードを無効にします。

  3. 省略可: [フィードを無効にする] の切り替えボタンをクリックして、フィードを無効にします。これで、フィードに [アーカイブ済み] というラベルが付けられました。

フィードの削除

[フィード] ページから、任意の既存のフィードを削除することもできます。

  1. 既存のフィードにポインタを合わせ、右側の列にある more_vert をクリックします。

  2. [Delete Feed](フィードを削除)をクリックします。[フィードの削除] ウィンドウが開きます。フィードを完全に削除するには、[はい、削除します] をクリックします。

取り込みレートを制御する

テナントのデータの取り込みレートが特定のしきい値に達すると、Google Security Operations は新しいデータフィードの取り込みレートを制限して、取り込みレートが高いソースが別のデータソースの取り込みレートに影響を与えないようにします。 この場合、遅延は発生しますが、データが失われることはありません。しきい値は取り込み量とテナントの使用履歴によって決まります。

レート上限の引き上げをリクエストするには、Cloud カスタマーケアにお問い合わせください。

フィードの失敗に関するトラブルシューティング

[フィード] ページで、既存のフィードのソースタイプ、ログタイプ、フィード ID、ステータスなどの詳細を確認できます。

  1. 既存のフィードにポインタを合わせ、右側の列にある more_vert をクリックします。

  2. [View Feed] をクリックします。フィードの詳細を示すダイアログが表示されます。失敗したフィードについては、[詳細] > [ステータス] でエラーの詳細を確認できます。

失敗したフィードについては、詳細にエラーの原因と修正手順が含まれます。

データフィードの操作中に発生する可能性のあるエラー メッセージについては、ソースと取り込みのエラーの表をご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。