Chronicle SOAR の監査ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Google Cloud Storage V2 を使用して Chronicle SOAR 監査ログを Google Security Operations に取り込む方法について説明します。

Google Security Operations SOAR（セキュリティオーケストレーション、自動化、対応）により、セキュリティチームは脅威への対応を自動化できます。具体的には、検出ツールからアラートを取り込み、グループ化して、優先順位を付け、ハンドブックを自動的に実行し、実践的な対応を調整します。SOAR ログには、Python スクリプトの実行、アラートの取り込み、プレイブックのパフォーマンスなど、ETL、プレイブック、Python 関数から重要なデータがキャプチャされます。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス
Cloud Storage API が有効になっている Google Cloud プロジェクト
GCS バケットを作成および管理する権限
GCS バケットの IAM ポリシーを管理する権限
Cloud Logging シンクを作成して管理する権限
Chronicle SOAR がデプロイされている Google Cloud プロジェクトへのアクセス権
Google Cloud プロジェクトに対する ログ閲覧者（roles/logging.viewer）IAM ロール
ログシンクを作成する Logging 管理者（roles/logging.admin）IAM ロール

注: SOAR Standalone デプロイの場合、ログのエクスポートを有効にするには、サービスアカウントを手動で構成し、Google SecOps サポートに認証情報を提供する必要があります。SIEM + SOAR 統合デプロイの場合、ログ収集はデフォルトで有効になっています。

Google Cloud Storage バケットを作成する

Google Cloud Console に移動します。
プロジェクトを選択するか、新しいプロジェクトを作成します。
ナビゲーションメニューで、[Cloud Storage > バケット] に移動します。
[バケットを作成] をクリックします。

次の構成情報を提供してください。

設定	値
バケットに名前を付ける	グローバルに一意の名前（`chronicle-soar-audit-logs` など）を入力します。
ロケーションタイプ	ニーズに基づいて選択します（リージョン、デュアルリージョン、マルチリージョン）。
ロケーション	ロケーションを選択します（例: `us-central1`）。
ストレージクラス	Standard（アクセス頻度の高いログにおすすめ）
アクセス制御	均一（推奨）
保護ツール	省略可: オブジェクトのバージョニングまたは保持ポリシーを有効にする

[作成] をクリックします。

SOAR ログ収集を有効にする（スタンドアロンデプロイのみ）

スタンドアロンデプロイで SOAR ログのエクスポートを有効にする手順は次のとおりです。

Google Cloud コンソールで、[IAM と管理] > [サービスアカウント] に移動します。
[サービスアカウントを作成] をクリックします。
次の構成の詳細を指定します。
- サービスアカウント名: 「soar-logs-export-sa」と入力します。
- サービスアカウントの説明: Service account for exporting SOAR logs to Cloud Logging と入力します。
[作成して続行] をクリックします。
[このサービスアカウントにプロジェクトへのアクセスを許可する] セクションで、次の操作を行います。
1. [ロールを選択] をクリックします。
2. [ログ書き込み] を検索して選択します。
[続行] をクリックします。
[完了] をクリックします。
[サービスアカウント] リストで、サービスアカウント（soar-logs-export-sa）を見つけます。
more_vert [その他] > [権限の管理] をクリックします。
[権限] セクションで、[アクセス権を付与] をクリックします。
[プリンシパルを追加] フィールドに、次のプリンシパルを入力します。
```
gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com
```
注: SOAR Google Cloud プロジェクト ID がわからない場合は、Google サポートからチケットを送信してください。
注: ドメイン制限の共有により、組織のポリシーで外部サービスアカウントへのアクセスが制限されることがあります。この場合は、言及されたプリンシパルに対して許可リストの例外を追加する必要があります。詳しくは、ドメインの制限: 例外を構成するをご覧ください。
[ロールを割り当てる] セクションで、次の操作を行います。
1. [ロールを選択] をクリックします。
2. [サービスアカウントトークン作成者] を検索して選択します。
[保存] をクリックします。
サービスアカウントの完全なメールアドレス（soar-logs-export-sa@PROJECT_ID.iam.gserviceaccount.com）をコピーします。
サービスアカウントのメールアドレスを指定して Google SecOps サポートにチケットを送信し、ログのエクスポートを有効にします。

SOAR ログを GCS にエクスポートするように Cloud Logging シンクを構成する

Chronicle SOAR ログは、chronicle-soar Namespace の Google Cloud Logging に書き込まれます。これらのログを GCS バケットに転送するには、ログシンクを作成する必要があります。

Google Cloud コンソールで、[ロギング] > [ログルーター] に移動します。
Chronicle SOAR がデプロイされている Google Cloud プロジェクトを選択します。
[シンクを作成] をクリックします。
[シンクの詳細] パネルで、次の構成の詳細を指定します。
- シンク名: 「chronicle-soar-to-gcs」と入力します。
- シンクの説明: 「Export Chronicle SOAR audit logs to GCS for Chronicle SIEM ingestion」と入力します。
[次へ] をクリックします。
[シンクのエクスポート先] パネルで、次の操作を行います。
1. [シンクサービスの選択] メニューで、[Cloud Storage バケット] を選択します。
2. [Cloud Storage バケットを選択] メニューで、バケットを選択します（chronicle-soar-audit-logs）。
[次へ] をクリックします。
[シンクに含めるログの選択] パネルで、次の操作を行います。
1. [包含フィルタの作成] フィールドに、次のフィルタを入力します。
```
resource.labels.namespace_name="chronicle-soar"
```
  このフィルタは、ETL、Playbook、Python サービスからのすべての SOAR ログを照合します。
2. [ログをプレビュー] をクリックして、フィルタが想定どおりのログエントリと一致していることを確認します。
[次へ] をクリックします。
省略可: 必要に応じて、[シンクに含めないログの選択] パネルで除外フィルタを追加できます。ほとんどのデプロイでは、除外は必要ありません。
[シンクを作成] をクリックします。

注: シンクは、GCS バケットに書き込む権限を持つサービスアカウントを自動的に作成します。サービスアカウントのメールアドレスは、シンクの詳細に表示され、cloud-logs@system.gserviceaccount.com 形式またはプロジェクト固有のサービスアカウントの形式になります。

GCS へのログのエクスポートを確認する

ログが GCS バケットにエクスポートされるまで 5 ～ 10 分待ちます。
Google Cloud コンソールで、[Cloud Storage> バケット] に移動します。
バケット名（chronicle-soar-audit-logs）をクリックします。
ログファイルがバケットに作成されていることを確認します。ファイルは日時別に整理されます。
```
chronicle-soar/YYYY/MM/DD/HH:MM:SS_<unique-id>.json
```
ログファイルをクリックすると、その内容のプレビューが表示されます。各ファイルには JSON 形式のログエントリが含まれています。

注: ログデータを Cloud Storage バケットにルーティングする新しいシンクを作成した場合は、ログエントリのルーティングが開始されるまで数時間かかることがあります。これらのシンクは 1 時間ごとに処理されます。

Google SecOps サービスアカウントを取得する

Google SecOps は、一意のサービスアカウントを使用して GCS バケットからデータを読み取ります。このサービスアカウントにバケットへのアクセス権を付与する必要があります。

サービスアカウントのメールアドレスを取得する

[SIEM 設定] > [フィード] に移動します。
[Add New Feed] をクリックします。
[単一フィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Chronicle SOAR Audit Logs）。
[ソースタイプ] として [Google Cloud Storage V2] を選択します。
[ログタイプ] として [CHRONICLE_SOAR_AUDIT] を選択します。
[サービスアカウントを取得する] をクリックします。
一意のサービスアカウントメールアドレスが表示されます（例:）。
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
このメールアドレスをコピーして、次のステップで使用します。

注: 各 Google SecOps インスタンスには一意のサービスアカウントがあります。他のドキュメントや例のサービスアカウントは使用しないでください。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- ストレージバケットの URL: 接頭辞パスを含む GCS バケット URI を入力します。
```
gs://chronicle-soar-audit-logs/chronicle-soar/
```
  注: URI の末尾には常にスラッシュ（/）を付けます。
- Source deletion option: 必要に応じて削除オプションを選択します。
  - なし: 転送後にファイルを削除しません（テストにおすすめ）。
  - 転送されたファイルを削除する: 転送が完了した後にファイルを削除します。
  - 転送されたファイルと空のディレクトリを削除する: 転送が完了した後にファイルと空のディレクトリを削除します。
  注: 削除オプションを選択する場合は、サービスアカウントに Storage オブジェクト閲覧者ではなく、Storage オブジェクト管理者のロールが必要です。必要に応じて IAM 権限を更新します。
- ファイルの最大経過日数: 過去の日数内に変更されたファイルを含めます（デフォルトは 180 日）。
- アセットの名前空間: アセットの名前空間
- Ingestion labels: このフィードのイベントに適用されるラベル
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

Google SecOps サービスアカウントに IAM 権限を付与する

Google SecOps サービスアカウントには、GCS バケットに対する Storage オブジェクト閲覧者ロールが必要です。

[Cloud Storage] > [バケット] に移動します。
バケット名（chronicle-soar-audit-logs）をクリックします。
[権限] タブに移動します。
[アクセス権を付与] をクリックします。
次の構成の詳細を指定します。
- プリンシパルを追加: Google SecOps サービスアカウントのメールアドレスを貼り付けます。
- ロールを割り当てる: [Storage オブジェクト閲覧者] を選択します。
[保存] をクリックします。

注: 削除オプションの [転送されたファイルを削除] または [転送されたファイルと空のディレクトリを削除] を使用する場合は、Storage オブジェクト閲覧者ではなく、Storage オブジェクト管理者ロールを付与します。

サービスタイプで SOAR ログをフィルタする

Chronicle SOAR ログは、ログを生成したサービス別に分類されます。Cloud Logging でログをフィルタするか、ログタイプごとに個別のシンクを作成できます。

使用可能なログサービス

次のサービスタイプを使用できます。

playbook: ブロック実行、アクション結果、ワークフローステータスなど、ハンドブック実行のログ
python: 統合アクション、コネクタ、ジョブなど、Python スクリプトの実行からのログ
etl: アラートの取り込みとデータ変換プロセスからのログ

Cloud Logging でサービス別にフィルタする

特定のサービスのログを表示するには:

Google Cloud コンソールで、[ロギング] > [ログエクスプローラ] に移動します。
Chronicle SOAR がデプロイされている Google Cloud プロジェクトを選択します。
特定のサービスのログを表示するには、次のフィルタを入力します。
```
resource.labels.namespace_name="chronicle-soar"
resource.labels.container_name="playbook"
```
playbook を python または etl に置き換えて、他のサービスのログを表示します。

ログの種類ごとに個別のシンクを作成する

異なるログタイプを別々の GCS バケットまたはプレフィックスにルーティングするには、サービス固有のフィルタを使用して追加のシンクを作成します。

Cloud Logging シンクを構成して SOAR ログを GCS にエクスポートするの手順に沿って操作します。

[包含フィルタの作成] フィールドで、次のいずれかのフィルタを使用します。

ハンドブックのログのみ:

resource.labels.namespace_name="chronicle-soar"
resource.labels.container_name="playbook"

Python ログのみ:

resource.labels.namespace_name="chronicle-soar"
resource.labels.container_name="python"

ETL ログのみ:

resource.labels.namespace_name="chronicle-soar"
resource.labels.container_name="etl"

フィルタリングに使用できるログラベル

Chronicle SOAR ログには、フィルタリングと分析のための追加のコンテキストを提供するラベルが含まれています。

ハンドブックのラベル

ハンドブックログには次のラベルを使用できます。

playbook_definition: プレイブック定義の一意の識別子
playbook_name: 人が読める形式のハンドブック名
block_name: 実行されているプレイブックブロックの名前
block_definition: ブロック定義の固有識別子
case_id: Chronicle SOAR ケース ID
correlation_id: サービス全体でプレイブックの実行をトレースするための一意の識別子
integration_name: 使用されている統合の名前
action_name: 実行されているアクションの名前

Python ラベル

Python サービスログでは、次のラベルを使用できます。

インテグレーションとコネクタのラベル:

integration_name: 統合の名前
integration_version: 統合のバージョン
connector_name: コネクタの名前
connector_instance: コネクタのインスタンス識別子

ジョブラベル:

integration_name: 統合の名前
integration_version: 統合のバージョン
job_name: スケジュール設定されたジョブの名前

アクションラベル:

integration_name: 統合の名前
integration_version: 統合のバージョン
integration_instance: 統合のインスタンス識別子
correlation_id: 実行をトレースするための一意の識別子
action_name: 実行されているアクションの名前

ETL ラベル

ETL サービスログには次のラベルを使用できます。

correlation_id: アラートの取り込みフローをトレースするための一意の識別子

完全なトレースに correlation_id を使用する

correlation_id ラベルは、プレイブックと Python サービスログの両方で使用できます。このラベルを使用して、プレイブックの実行全体に関連付けられているすべてのログを取得します。

Google Cloud コンソールで、[ロギング] > [ログエクスプローラ] に移動します。
次のフィルタを入力します。
```
resource.labels.namespace_name="chronicle-soar"
labels.correlation_id="<correlation-id-value>"
```
<correlation-id-value> は、ログエントリの実際の相関 ID に置き換えます。

このフィルタは、完全な実行トレースのプレイブックサービスと Python サービスの両方からすべてのログを返します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
module、screenSize、activityItem、modificationTimeUnixTimeInMs	additional.fields	各フィールドから作成された結合ラベル（存在する場合）
user、operation	extensions.auth.type	ユーザーが空でなく、オペレーションが「Login」の場合は、「AUTHTYPE_UNSPECIFIED」に設定します。
creationTimeUnixTimeInMs	metadata.event_timestamp	UNIX_MS タイムスタンプとして解析
user、operation、address	metadata.event_type	ユーザーが空でなく、オペレーションが「ログイン」の場合は「USER_LOGIN」、ユーザーが空でない場合は「USER_RESOURCE_ACCESS」、アドレスが空の場合は「STATUS_UNCATEGORIZED」、それ以外の場合は「GENERIC_EVENT」に設定します。
オペレーション	metadata.product_event_type	値を直接コピーしました
id	metadata.product_log_id	文字列に変換しました
browser	network.http.parsed_user_agent	解析されたユーザーエージェントに変換されました
browser	network.http.user_agent	値を直接コピーしました
住所	principal.hostname	アドレスが IP パターンと一致しない場合に設定
住所	principal.ip	grok パターンを使用して IP を抽出
ソース	principal.resource.resource_subtype	値を直接コピーしました
ユーザー	principal.user.userid	値を直接コピーしました
ContactEmails	security_result.about.user.email_addresses	Grok パターンを使用して抽出されたメールアドレス
ContactPhone	security_result.about.user.phone_numbers	値を直接コピーしました
ContactName	security_result.about.user.user_display_name	値を直接コピーしました
名前	security_result.about.user.userid	値を直接コピーしました
currentActivity、previousActivity	security_result.detection_fields	currentActivity と previousActivity のラベルをマージ（存在する場合）
userGuid	target.user.product_object_id	値を直接コピーしました
	metadata.product_name	「CHRONICLE_SOAR_AUDIT」に設定します。
	metadata.vendor_name	「CHRONICLE_SOAR_AUDIT」に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。