Network Connectivity Center のログを収集する Google Cloud

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Google Cloud Storage V2 を使用して Google Cloud Network Connectivity Center ログを Google Security Operations に取り込む方法について説明します。

Network Connectivity Center は、ハブと呼ばれる一元管理リソースに接続されているスポークリソース間のネットワーク接続を簡素化するオーケストレーションフレームワークです。Network Connectivity Center では、Google ネットワークを活用して Google Cloud 外部のさまざまなエンタープライズネットワークを結び付けます。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス
Cloud Storage API が有効になっているGoogle Cloud プロジェクト
GCS バケットを作成および管理する権限
GCS バケットの IAM ポリシーを管理する権限
Cloud Logging シンクを作成して管理する権限
Google Cloud プロジェクトで構成された Network Connectivity Center リソース

Google Cloud Storage バケットを作成する

Google Cloud Console に移動します。
プロジェクトを選択するか、新しいプロジェクトを作成します。
ナビゲーションメニューで、[Cloud Storage > バケット] に移動します。
[バケットを作成] をクリックします。

次の構成情報を提供してください。

設定	値
バケットに名前を付ける	グローバルに一意の名前（`ncc-logs-bucket` など）を入力します。
ロケーションタイプ	ニーズに基づいて選択します（リージョン、デュアルリージョン、マルチリージョン）。
ロケーション	ロケーションを選択します（例: `us-central1`）。
ストレージクラス	Standard（頻繁にアクセスされるログにおすすめ）
アクセス制御	均一（推奨）
保護ツール	省略可: オブジェクトのバージョニングまたは保持ポリシーを有効にする

[作成] をクリックします。

Network Connectivity Center ログを GCS にエクスポートするように Cloud Logging を構成する

Network Connectivity Center のログは、Logging によって 30 日間だけ保存されます。それよりも長い期間ログを保持するには、ログを転送する必要があります。

Google Cloud コンソールで、[ロギング] > [ログルーター] に移動します。
[シンクを作成] をクリックします。
次の構成の詳細を指定します。
- シンク名: わかりやすい名前を入力します（例: ncc-chronicle-export）。
- シンクの説明: 省略可能な説明。
[次へ] をクリックします。
[シンクサービスの選択] セクションで、次の操作を行います。
- シンクサービス: [Cloud Storage バケット] を選択します。
- Cloud Storage バケットを選択: リストからバケット（ncc-logs-bucket など）を選択します。
[次へ] をクリックします。
[シンクに含めるログの選択] セクションで、フィルタクエリを入力します。
```
protoPayload.serviceName="networkconnectivity.googleapis.com"
```
[次へ] をクリックします。
構成を確認して、[シンクを作成] をクリックします。

注: コンソールを使用すると、シンクの書き込み ID（サービスアカウント）に Cloud Storage バケットへの書き込みに必要な権限が自動的に付与されます。gcloud CLI を使用してシンクを作成する場合は、権限を手動で付与する必要があります。

Google SecOps サービスアカウントを取得する

Google SecOps は、一意のサービスアカウントを使用して GCS バケットからデータを読み取ります。このサービスアカウントにバケットへのアクセス権を付与する必要があります。

GCP Network Connectivity Center のログを取り込むように Google SecOps でフィードを構成する

[SIEM 設定] > [フィード] に移動します。
[Add New Feed] をクリックします。
[単一フィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Google Cloud Network Connectivity Center Logs）。
[ソースタイプ] として [Google Cloud Storage V2] を選択します。
[ログタイプ] として [GCP_NETWORK_CONNECTIVITY_CONTEXT] を選択します。
[サービスアカウントを取得する] をクリックします。一意のサービスアカウントメールアドレスが表示されます（例:）。
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
このメールアドレスをコピーして、次のステップで使用します。

注: 各 Google SecOps インスタンスには一意のサービスアカウントがあります。他のドキュメントや例のサービスアカウントは使用しないでください。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- ストレージバケットの URL: 接頭辞パスを含む GCS バケット URI を入力します。
```
gs://ncc-logs-bucket/
```
  - 次のように置き換えます。
    - ncc-logs-bucket: GCS バケット名。
注: Cloud Storage バケットにログをルーティングすると、Logging は一連のファイルをバケットに書き込みます。これらのファイルは、ログタイプと日時別のディレクトリ構造に編成されます。Cloud Logging は、ログタイプと日付に基づいてサブディレクトリを自動的に作成します。URI の末尾には必ず末尾のスラッシュ（/）を含めてください。
- Source deletion option: 必要に応じて削除オプションを選択します。
  - なし: 転送後にファイルを削除しません（テストにおすすめ）。
  - 転送されたファイルを削除する: 転送が完了した後にファイルを削除します。
  - 転送されたファイルと空のディレクトリを削除する: 転送が完了した後にファイルと空のディレクトリを削除します。
    
    注: 削除オプションを選択する場合は、サービスアカウントに Storage オブジェクト閲覧者ではなく、Storage オブジェクト管理者のロールが必要です。必要に応じて IAM 権限を更新します。
- ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

Google SecOps サービスアカウントに IAM 権限を付与する

Google SecOps サービスアカウントには、GCS バケットに対する Storage オブジェクト閲覧者ロールが必要です。

[Cloud Storage] > [バケット] に移動します。
バケット名（ncc-logs-bucket など）をクリックします。
[権限] タブに移動します。
[アクセス権を付与] をクリックします。
次の構成の詳細を指定します。
- プリンシパルを追加: Google SecOps サービスアカウントのメールアドレスを貼り付けます。
- ロールを割り当てる: [Storage オブジェクト閲覧者] を選択します。
[保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
resource.data.createTime	entity.resource.attribute.creation_time	リソースが作成されたときのタイムスタンプ
resource.data.updateTime	entity.resource.attribute.last_update_time	リソースが最後に更新されたときのタイムスタンプ
temp_discovery_document、temp_discovery_name、temp_ipcidr_range、temp_overlaps、temp_peer、temp_prefix_length、temp_resource_name、temp_resource_state、temp_target_cidr_range、temp_usage、temp_labels、temp_label	entity.resource.attribute.labels	追加のリソース属性の Key-Value ペア
resource.data.description	metadata.description	エンティティの説明
resource.data.locationId	entity.location.name	場所の名前
name, val.uri, resource.data.hub, val, val.virtualMachine, resource.parent, val	entity.resource.name	リソースの名前
temp_main_ancestor、tmp_ancestor_name	entity.resource_ancestors	祖先リソースのリスト
resource.data.uniqueId, obj_id	entity.resource.product_object_id	プロダクト内のリソースの一意の識別子
assetType、HUB	entity.resource.resource_subtype	リソースのサブタイプ
DEVICE、VPC_NETWORK、VIRTUAL_MACHINE、CLOUD_PROJECT	entity.resource.resource_type	リソースのタイプ
GOOGLE_CLOUD_PLATFORM	entity.resource.attribute.cloud.environment	クラウド環境（例: GOOGLE_CLOUD_PLATFORM)
reouting_vpc_relation、temp_hub_relation、linked_vpc_tunnel_relation、linked_attachments_relation、router_relation、anceator_relation、user_relations	entity.relations	他のエンティティとの関係
resource.version	metadata.product_version	イベントを生成したプロダクトのバージョン

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。