Tailscale のログを収集する

以下でサポートされています。

このドキュメントでは、Tailscale のネイティブ Amazon S3 ログ ストリーミング機能を使用して、Tailscale のログを Google Security Operations に取り込む方法について説明します。Tailscale は、構成監査ログとネットワーク フローログの形式で運用データを生成します。この統合では、Tailscale に組み込まれている S3 ストリーミング機能を使用して、これらのログを Google SecOps に自動的に送信し、分析とモニタリングを行います。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Tailscale 管理コンソール への特権アクセス(オーナー、管理者、ネットワーク管理者、IT 管理者のロール)
  • AWS への特権アクセス(S3、IAM)

Tailscale の前提条件(tailnet 情報)を収集する

  1. Tailscale 管理コンソール にログインします。
  2. tailnet 名example.com や組織名など)をメモします。
  3. 必要なプランがあることを確認します。
    • 構成監査ログのストリーミング: Personal、Personal Plus、Enterprise の各プランで利用できます。
    • ネットワーク フローログのストリーミング: Enterprise プランでのみ利用できます。

Google SecOps 用に AWS S3 バケットと IAM を構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケット を作成します。
  2. バケットの名前リージョン を保存して、今後の参照に備えます(例: tailscale-logs)。
  3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します
  4. 作成したユーザー を選択します。
  5. [セキュリティ認証情報] タブを選択します。
  6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
  7. [ユースケース] として [サードパーティ サービス] を選択します。
  8. [次へ] をクリックします。
  9. 省略可: 説明タグを追加します。
  10. [アクセスキーを作成] をクリックします。
  11. [CSV ファイルをダウンロード] をクリックして、アクセスキーシークレット アクセスキー を保存します。
  12. [完了] をクリックします。
  13. [権限] タブを選択します。
  14. [権限ポリシー] セクションで [権限を追加] をクリックします。
  15. [権限を追加] を選択します。
  16. [ポリシーを直接アタッチする] を選択します。
  17. AmazonS3FullAccess ポリシーを検索して選択します。
  18. [次へ] をクリックします。
  19. [権限を追加] をクリックします。

S3 アップロードの IAM ポリシーとロールを構成する

  1. AWS コンソールで、IAM > ポリシー > ポリシーを作成 > JSON タブに移動します。

  2. 次のポリシーを入力します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowTailscalePutObjects",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "arn:aws:s3:::tailscale-logs/*"
    }
  ]
}
    • 別のバケット名を入力した場合は、tailscale-logs を置き換えます。

  3. [次へ] > [ポリシーを作成] をクリックします。

  4. IAM > ロール > ロールの作成 > カスタム信頼ポリシー に移動します。

  5. 次の信頼ポリシーを入力します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::982722776073:role/tailscale-log-streaming"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "YOUR_TAILNET_NAME"
        }
      }
    }
  ]
}
    • YOUR_TAILNET_NAME は、実際の tailnet 名に置き換えます。

  6. [次へ] をクリックします。

  7. ステップ 1 で作成したポリシーをアタッチします。

  8. ロールに TailscaleS3StreamingRole という名前を付けて、[ロールを作成] をクリックします。

  9. Tailscale の構成で使用するロール ARN をコピーします。

Tailscale ネイティブ S3 ログ ストリーミングを構成する

構成監査ログのストリーミングを設定する

  1. [Tailscale 管理コンソール] で、[ログ > 構成ログ] に移動します。
  2. [ストリーミングを開始] をクリックします。
  3. 宛先として [Amazon S3] を選択します。
  4. 次の構成の詳細を指定します。
    • AWS アカウント ID: AWS アカウント ID。
    • S3 バケット名: tailscale-logs
    • ロール ARN: 作成した IAM ロールの ARN。
    • S3 キーの接頭辞: tailscale/configuration/(省略可)。
  5. [ストリーミングを開始] をクリックします。
  6. ステータスが [アクティブ] と表示されていることを確認します。

ネットワーク フローログのストリーミングを設定する(Enterprise プランのみ)

  1. まだ有効になっていない場合は、[設定] > [ネットワーク フローログ] に移動して、tailnet のネットワーク フローログを有効にします。
  2. [ログ] > [ネットワーク フローログ] に移動します。
  3. [ストリーミングを開始] をクリックします。
  4. 宛先として [Amazon S3] を選択します。
  5. 次の構成の詳細を指定します。
    • AWS アカウント ID: AWS アカウント ID
    • S3 バケット名: tailscale-logs
    • ロール ARN: 作成した IAM ロールの ARN
    • S3 キーの接頭辞: tailscale/network/(省略可)
  6. [ストリーミングを開始] をクリックします。
  7. ステータスが [アクティブ] と表示されていることを確認します。

省略可: Google SecOps 用の読み取り専用 IAM ユーザーとキーを作成する

  1. AWS コンソール で、IAM > ユーザー > ユーザーを追加 に移動します。
  2. [ユーザーを追加] をクリックします。
  3. 次の構成の詳細を指定します。
    • ユーザー: secops-reader
    • アクセスタイプ: アクセスキー - プログラムによるアクセス
  4. [Create user] をクリックします。
  5. 最小限の読み取りポリシー(カスタム)をアタッチします。ユーザー > secops-reader > 権限 > 権限を追加 > ポリシーを直接アタッチする > ポリシーを作成

  6. JSON エディタに次のポリシーを入力します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tailscale-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tailscale-logs"
    }
  ]
}

  7. 名前を secops-reader-policy に設定します。

  8. [ポリシーを作成]> [検索/選択]> [次へ]> [権限を追加] に移動します。

  9. [セキュリティ認証情報]> [アクセスキー]> [アクセスキーを作成] に移動します。

  10. CSV をダウンロードします(これらの値はフィードに入力されます)。

Tailscale のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [+ 新しいフィードを追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: Tailscale logs)。
  4. [ソースタイプ] として [Amazon S3 V2] を選択します。
  5. [ログタイプ] として [Tailscale] を選択します。
  6. [次へ] をクリックします。
  7. 次の入力パラメータの値を指定します。
    • S3 URI: s3://tailscale-logs/tailscale/
    • Source deletion options: 必要に応じて削除オプションを選択します。
    • Maximum File Age: 過去何日以内に変更されたファイルを含めます。デフォルトは 180 日です。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
    • アセットの名前空間: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。