ChromeOS XDR ログを収集する
このドキュメントでは、ChromeOS XDR ログを Google Security Operations に取り込む方法について説明します。
Chrome Enterprise は、マルウェアの転送、安全でないサイトへのアクセス、パスワードの再利用、拡張機能のインストール、ログイン アクティビティ、ChromeOS デバイスのテレメトリーなど、ブラウザと ChromeOS デバイスのセキュリティ イベントを包括的に可視化します。Chrome Enterprise Reporting Connector は、これらのログを Google 管理コンソールから Google Security Operations に直接転送し、分析と脅威検出を行います。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- 特権管理者権限を持つ Google Workspace 管理者アカウント
- Google Chrome 137 以降(以前のバージョンではリファラー URL のデータが完全には提供されません)
- 高度な機能用の Chrome Enterprise Premium ライセンス(省略可。イベントを完全にカバーするには推奨)
- 対象デバイスで Chrome ブラウザ クラウド管理が有効になっている
- Google Workspace 管理コンソールで確認できる Google Workspace のお客様 ID
Chrome 管理パーサーを構成する
最近の Chrome ログをサポートするには、Chrome 管理パーサーの新しいバージョンに更新する必要がある場合があります。
- Google SecOps インスタンスで、[メニュー] > [設定] > [パーサー] に移動します。
- Chrome Management の事前構築済みエントリを見つけます。
- 保留中の更新を適用して、バージョン日付が 2025-08-14 以降であることを確認します。
Chronicle Ingestion API の認証情報を取得する
Chrome Enterprise のレポート コネクタは、次の 3 つの方法のいずれかを使用して設定できます。このドキュメントでは、Chronicle Ingestion API キーの方法について説明します。この方法は、他の統合方法が利用できない場合にのみ使用してください。
Google Cloud API キーを作成する
- Google Cloud コンソールの [認証情報] ページに移動します。
- プロジェクト(Google SecOps インスタンスに関連付けられているプロジェクト)を選択します。
- [認証情報を作成> API キー] をクリックします。
- API キーが作成され、ダイアログに表示されます。
- [API キーを編集] をクリックして、キーを制限します。
[API キー] 設定ページで、次の操作を行います。
- 名前: わかりやすい名前を入力します(例:
Chronicle Chrome Enterprise API Key)。
- 名前: わかりやすい名前を入力します(例:
[API の制限] で次の操作を行います。
- [キーを制限] を選択します。
- [API を選択] プルダウンで、[Google SecOps API](または [Chronicle API])を検索して選択します。
[保存] をクリックします。
ページ上部の [API キー] フィールドから API キーの値をコピーします。
API キーを安全に保存します。
取り込みエンドポイントのホスト名を特定する
ホスト名は、Google SecOps インスタンスのリージョンによって異なります。
- 米国のユーザー:
malachiteingestion-pa.googleapis.com - ヨーロッパのお客様:
europe-malachiteingestion-pa.googleapis.com - 東南アジアのお客様:
asia-southeast1-malachiteingestion-pa.googleapis.com
他のリージョンについては、リージョン エンドポイントのドキュメントをご覧ください。
Chrome Enterprise のレポート コネクタを構成する
Google SecOps プロバイダの構成を追加する
特権管理者アカウントで Google 管理コンソールにログインします。
特権管理者アカウントを使用していない場合は、これらの手順を完了できません。
メニュー アイコン > [デバイス] > [Chrome] > [コネクタ] に移動します。
(省略可)Chrome Enterprise Connectors の設定を初めて行う場合は、画面の指示に沿って Chrome Enterprise Connectors を有効にします。
画面上部の [+ 新しいプロバイダの設定] をクリックします。
右側に表示されるパネルで、[Google SecOps] の設定を見つけます。
[設定] をクリックします。
次の構成の詳細を入力します。
- 構成 ID: わかりやすい名前(
Chronicle Chrome Enterprise Connectorなど)を入力します。この ID は、[ユーザーとブラウザの設定] ページと [コネクタ] ページに表示されます。 - API キー: 前のセクションで作成した API キーを貼り付けます。
- ホスト名: リージョンの取り込み API エンドポイントのホスト名を入力します(米国のお客様の場合は
malachiteingestion-pa.googleapis.comなど)。
- 構成 ID: わかりやすい名前(
[接続をテスト] をクリックし、設定の詳細を検証します。
検証が失敗した場合は、設定の詳細を見直して再度テストします。次のことを確認してください。
- API キーが正しく、有効期限が切れていない
- ホスト名が Google SecOps インスタンスのリージョンと一致している
- API キーに Chronicle API の制限が適用されている
検証が成功したら、[設定を追加] をクリックします。
これで、設定が組織全体に追加され、どの組織部門でも使用できるようになりました。
イベント レポートを有効にする
Google 管理コンソールで、メニュー アイコン > [デバイス] > [Chrome] > [設定] に移動します。
デフォルトでは、[ユーザーとブラウザの設定] ページが開きます。
すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
[ブラウザに関するレポート] に移動します。
[イベント レポート] をクリックします。
[イベント レポートを有効にする] を選択します。
省略可: その他の設定を行います。分析のために送信するコンテンツの種類に応じて、報告対象のイベントの種類を選択します。
- デフォルトのイベントの種類: Chrome の脅威とデータ保護に関するイベントには、マルウェアの転送、パスワードの再利用、危険なサイトへのアクセスが含まれます。
- ブラウザのクラッシュ: ブラウザのクラッシュ イベント
- コンテンツの転送: ファイルのアップロードとダウンロードのイベント
- データアクセス制御: データアクセス制御イベント
- 拡張機能のインストール: ブラウザ拡張機能のインストール イベント
- 拡張機能のテレメトリー: 拡張機能のテレメトリー イベント
- Google ログイン アクティビティ: Google アカウントのログイン イベント
- マルウェアの転送: マルウェアの転送イベント
- パスワードの漏洩: パスワードの漏洩イベント
- パスワードの変更: パスワードの変更イベント
- パスワードの再利用: パスワードの再利用イベント
- センシティブ データの転送: センシティブ データの転送イベント
- 不審な URL: 不審な URL イベント
- 安全ではないサイトへのアクセス: 安全ではないサイトへのアクセス イベント
- URL のフィルタリングに関するインタースティシャル: URL のフィルタリングに関するインタースティシャル イベント
- URL ナビゲーション: URL ナビゲーション イベント
[保存] をクリックします。
または、組織部門の [オーバーライド] をクリックします。後で継承した値を復元するには、[継承] をクリックします。
組織部門をコネクタにリンクする
Chrome Enterprise レポート コネクタを構成したら、ログを収集する特定の組織部門(OU)に対してコネクタを有効にする必要があります。
Google 管理コンソールで、メニュー アイコン > [デバイス] > [Chrome] > [設定] に移動します。
デフォルトでは [ユーザーとブラウザ] タブが選択されています。
[組織部門] パネルで、ログを収集する OU を選択します。
メインの設定リストで、[Chrome Enterprise レポート コネクタ] 設定に移動します。
ステータスを [有効] に設定し、前の手順で作成した構成を選択します。
[保存] をクリックします。
ログの取り込みが必要な他の OU について、これらの手順を繰り返します。
ChromeOS デバイスのレポートを設定する
省略可: Chrome ブラウザのイベントに加えて ChromeOS デバイスのイベントも収集する場合は、ChromeOS デバイスのレポートを有効にします。
- Google 管理コンソールで、メニュー アイコン > [デバイス] > [Chrome] > [設定] > [デバイスの設定] に移動します。
- 省略可: 設定を部門やチームに適用するには、横で組織部門を選択します。
- [ユーザーとデバイスのレポート] に移動します。
- [広範な検出と対応(XDR)イベントを報告する] の横にある [広範な検出と対応(XDR)イベントに関する情報を報告する] を選択します。
[保存] をクリックします。
データフローを確認する
Chrome Enterprise ログが Google SecOps に取り込まれていることを確認するには:
- Google SecOps インスタンスを開きます。
- メニュー アイコン > 検索 に移動します。
次の検索クエリを実行して、Chrome 管理イベントを検索します。
metadata.log_type = "CHROME_MANAGEMENT"設定後数分以内にイベントが表示されます。イベントが表示されない場合:
- Google 管理コンソールでイベント レポートが有効になっていることを確認する
- コネクタが正しい組織部門にリンクされていることを確認する
- Chrome ブラウザがクラウド管理に登録されていることを確認する
- API キーが有効で、期限切れになっていないことを確認する
- ホスト名が Google SecOps インスタンスのリージョンと一致することを確認する
サポートされているログタイプ
Chrome Enterprise レポート コネクタは、次のイベントタイプを Google SecOps に転送します。
Chrome ブラウザに関するイベント
| イベントタイプ | 説明 | セキュリティ カテゴリ |
|---|---|---|
| badNavigationEvent | ユーザーが悪意のある URL または不審な URL にアクセスした | SOFTWARE_MALICIOUS、SOCIAL_ENGINEERING、NETWORK_SUSPICIOUS |
| browserCrashEvent | Chrome ブラウザがクラッシュした | STATUS_UPDATE |
| browserExtensionInstallEvent | ブラウザの拡張機能がインストールされた | USER_RESOURCE_UPDATE_CONTENT |
| contentTransferEvent | ファイルがアップロードまたはダウンロードされた | SCAN_FILE |
| dangerousDownloadEvent | 危険なファイルがダウンロードされました | SOFTWARE_PUA、SOFTWARE_MALICIOUS |
| extensionTelemetryEvent | 拡張機能のテレメトリー データ | USER_RESOURCE_ACCESS、NETWORK_HTTP |
| loginEvent | ユーザーが Google アカウントにログインしている | USER_LOGIN |
| malwareTransferEvent | マルウェアが転送された | SOFTWARE_MALICIOUS |
| passwordBreachEvent | パスワードが漏洩で検出されました | USER_RESOURCE_ACCESS |
| passwordChangedEvent | ユーザーがパスワードを変更した | USER_CHANGE_PASSWORD |
| passwordReuseEvent | 許可されていないサイトでパスワードが再利用された | POLICY_VIOLATION、AUTH_VIOLATION、PHISHING |
| sensitiveDataEvent | 機密データが検出されました | DATA_EXFILTRATION |
| sensitiveDataTransferEvent | センシティブ データが転送された | DATA_EXFILTRATION |
| suspiciousUrlEvent | 不審な URL にアクセスした | SOFTWARE_SUSPICIOUS |
| unsafeSiteVisitEvent | ユーザーが安全ではないサイトにアクセスしました | SOFTWARE_MALICIOUS、NETWORK_SUSPICIOUS |
| urlFilteringInterstitialEvent | URL のフィルタリングに関するインタースティシャルが表示されました | POLICY_VIOLATION |
| urlNavigationEvent | ユーザーが URL にアクセスした | NETWORK_HTTP |
ChromeOS デバイスのイベント
| イベントタイプ | 説明 | セキュリティ カテゴリ |
|---|---|---|
| CHROME_OS_LOGIN_EVENT | ユーザーが ChromeOS デバイスにログインしました | USER_LOGIN |
| CHROME_OS_LOGIN_FAILURE_EVENT | ChromeOS のログイン失敗 | USER_LOGIN |
| CHROME_OS_LOGOUT_EVENT | ユーザーが ChromeOS デバイスからログアウトしました | USER_LOGOUT |
| CHROME_OS_ADD_USER | ユーザーが ChromeOS デバイスに追加されました | USER_CREATION |
| CHROME_OS_REMOVE_USER | ユーザーが ChromeOS デバイスから削除されました | USER_DELETION |
| CHROMEOS_AFFILIATED_LOCK_SUCCESS | ChromeOS デバイスがロックされた | USER_LOGOUT |
| CHROMEOS_AFFILIATED_UNLOCK_SUCCESS | ChromeOS デバイスのロックが解除された | USER_LOGIN |
| CHROMEOS_AFFILIATED_UNLOCK_FAILURE | ChromeOS のロック解除に失敗しました | USER_LOGIN |
| CHROMEOS_DEVICE_BOOT_STATE_CHANGE | デバイスのブート ステータスの変更 | SETTING_MODIFICATION |
| CHROMEOS_PERIPHERAL_ADDED | USB デバイスが追加されました | USER_RESOURCE_ACCESS |
| CHROMEOS_PERIPHERAL_REMOVED | USB デバイスが取り外されました | USER_RESOURCE_DELETION |
| CHROMEOS_PERIPHERAL_STATUS_UPDATED | USB デバイスのステータスが変更された | USER_RESOURCE_UPDATE_CONTENT |
| CHROME_OS_CRD_HOST_STARTED | Chrome リモート デスクトップ ホストを起動しました | STATUS_STARTUP |
| CHROME_OS_CRD_CLIENT_CONNECTED | Chrome リモート デスクトップのクライアントの接続 | USER_LOGIN |
| CHROME_OS_CRD_CLIENT_DISCONNECTED | Chrome リモート デスクトップのクライアントの接続解除 | USER_LOGOUT |
| CHROME_OS_CRD_HOST_ENDED | Chrome リモート デスクトップ ホストを停止しました | STATUS_STARTUP |
UDM マッピング テーブル
次の表は、Chrome 管理ログフィールドが Google SecOps Unified Data Model(UDM)フィールドにマッピングされる方法を示しています。
| Chrome のログフィールド | UDM フィールド | 説明 |
|---|---|---|
| イベント | metadata.product_event_type | イベントタイプ識別子 |
| 時間 | metadata.event_timestamp | イベント タイムスタンプ |
| device_id | principal.asset.product_object_id | デバイス ID |
| device_name | principal.hostname | デバイスのホスト名 |
| device_user | principal.user.user_display_name | デバイスのユーザー |
| profile_user | principal.user.email_addresses | プロフィールのユーザーのメールアドレス |
| os_platform | principal.platform | オペレーティング システム プラットフォーム |
| os_version | principal.platform_version | OS のバージョン |
| browser_version | target.resource.attributes.labels[browser_version] | ブラウザのバージョン |
| user_agent | network.http.user_agent | HTTP ユーザー エージェント |
| URL | target.url | ターゲット URL |
| reason | security_result.category_details | イベントの発生理由 |
| 結果 | security_result.action_details | イベントの結果 |
| content_name | target.file.full_path | ファイル名 |
| content_type | target.file.mime_type | ファイルの MIME タイプ |
| content_hash | target.file.sha256 | ファイルの SHA256 ハッシュ |
| content_size | target.file.size | ファイルサイズ |
| extension_id | target.resource.product_object_id | 拡張機能の識別子 |
| extension_name | target.resource.name | 拡張機能名 |
| extension_version | target.resource.attribute.labels[extension_version] | 拡張機能のバージョン |
フィールド マッピングのリファレンスについては、Chrome Management パーサーのドキュメントをご覧ください。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。