Google アラート センターと Google SecOps を統合する
このドキュメントでは、Google アラート センターを Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 8.0
Google SecOps プラットフォームでは、アラート センターの統合は Google アラート センターと呼ばれます。
ユースケース
アラート センターを Google SecOps と統合すると、次のユースケースを解決できます。
フィッシング キャンペーンの検出: Google SecOps の機能を使用して、組織を標的としたフィッシング メールに関するアラート センターの通知を取り込みます。Google SecOps は、メールの調査、悪意のある URL のブロック、影響を受けたユーザー アカウントの隔離を行う自動ワークフローをトリガーできます。
データ漏洩の試み: Google SecOps の機能を使用して、インシデント対応の自動化をトリガーし、影響を受けるシステムを隔離し、悪意のある行為者をブロックし、フォレンジック分析を開始します。
マルウェアの検出: Google SecOps の機能を使用して、感染したデバイスを隔離し、マルウェア スキャンを開始して、パッチをデプロイします。
脆弱性の特定: Google SecOps の機能を使用して、組織のシステムに影響する新たに発見された脆弱性に関するアラートを自動的に処理し、パッチ適用作業の優先順位付け、脆弱性スキャンの開始、関連チームへの通知を行います。
始める前に
Google アラート センターの統合を構成する前に、次のものを用意してください。
- 必要な API を有効にします。
- サービス アカウントと認証情報を作成します。
- サービス アカウントに
Alert Center Viewerロールを割り当てます。 - ドメイン全体の権限をサービス アカウントに委任する。
Google Workspace Alert Center API を有効にする
Google Workspace Alert Center API を有効にするには、Google Cloud コンソールのプロジェクト内で有効にする必要があります。
[API とサービス> ライブラリ] に移動します。
Google Workspace Alert Center API を検索して選択します。
[有効にする] をクリックします。
サービス アカウントを作成する
統合で Google アラート センターのデータに安全にアクセスできるようにするには、Google Cloud コンソールでサービス アカウントを作成して、その ID として使用する必要があります。
サービス アカウントの作成については、サービス アカウントを作成するをご覧ください。
サービス アカウントの JSON キーを作成する
JSON キーを作成する手順は次のとおりです。
作成したサービス アカウントを選択して、[キー] に移動します。
[鍵を追加] > [新しい鍵を作成] の順にクリックします。
鍵のタイプとして [JSON] を選択し、[作成] をクリックします。秘密鍵が自動的にパソコンにダウンロードされ、鍵を安全に保管するよう促す確認ダイアログが表示されます。
JSON ファイル内の
client_idを見つけてコピーします。これは、後でサービス アカウントにドメイン全体の権限を委任する際に使用します。
サービス アカウントにアラート センター閲覧者のロールを割り当てる
Google Cloud コンソールで、[IAM と管理] > [IAM] に移動します。
リストでサービス アカウントを見つけ、名前の横にある [編集] をクリックします。
[ロール] メニューで、
Alert Center Viewerロールを追加します。変更を保存します。
ドメイン全体の権限をサービス アカウントに委任する
サービス アカウントにユーザーのデータへのアクセスを許可するには、Google 管理コンソールでドメイン全体の権限を付与する必要があります。
ドメインの Google 管理コンソールから、 メインメニュー > [セキュリティ] > [アクセスとデータ管理] > [API の制御] に移動します。
[ドメイン全体の委任] ペインで、[ドメイン全体の委任を管理] を選択します。
[新しく追加] をクリックします。
[クライアント ID] フィールドに、作成した JSON キー(
client_id)にあるクライアント ID を入力します。[OAuth スコープ] フィールドに、次のスコープを入力します。
https://www.googleapis.com/auth/apps.alerts[承認] をクリックします。
Google SecOps のアラート センターの統合を構成する
統合には次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Service Account JSON Secret |
必須
アラート センターへの認証に使用したサービス アカウント ファイルの JSON コンテンツ全体。 |
Impersonation Email Address |
必須
アラート センターにアクセスできるユーザーを偽装するメールアドレス。このパラメータを構成するには、管理者のメールアドレスを入力します。アラート センターのデータは管理者のみが利用できます。 |
Verify SSL |
Optional 選択すると、統合によってアラート センターへの接続用の SSL 証明書が有効かどうかが検証されます。 デフォルトで選択されています。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。
操作
アクションについて詳しくは、デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
アラートを削除する
アラート センターのアラートを削除するには、[アラートを削除] アクションを使用します。
アラートを削除した後、30 日間は復元できます。30 日以上前に削除したアラートは復元できません。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[アラートを削除] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Alert ID |
必須
削除するアラートの ID。 |
アクションの出力
[アラートを削除] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
[アラートを削除] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Delete Alert". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、アラートを削除アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Ping
Ping アクションを使用して、アラート センターへの接続をテストします。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
Ping アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully connected to the alert center server with the
provided connection parameters! |
アクションが成功しました。 |
Failed to connect to the alert center server! Error is
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
コネクタ
Google SecOps でコネクタを構成する手順については、データを取り込む(コネクタ)をご覧ください。
Google アラート センター - アラート コネクタ
Google アラート センター - アラート コネクタを使用して、アラート センターからアラートに関する情報を取得します。
動的リストフィルタは、type パラメータと連動して機能します。
Google Alert Center - Alerts Connector には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Product Field Name |
必須 商品名が保存されるフィールドの名前。 デフォルト値は |
Event Field Name |
必須 イベント名(サブタイプ)を特定するために使用されるフィールド名。 デフォルト値は |
Environment Field Name |
省略可 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合、環境はデフォルトの環境に設定されます。 デフォルト値は |
Environment Regex Pattern |
省略可
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
PythonProcessTimeout |
必須
現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
Service Account JSON Secret |
必須
アラート センターへの認証に使用したサービス アカウント ファイルの JSON コンテンツ全体。 |
Impersonation Email Address |
必須
アラート センターにアクセスできるユーザーを偽装するメールアドレス。このパラメータを構成するには、管理者のメールアドレスを入力します。アラート センターのデータは管理者のみが利用できます。 |
Verify SSL |
Optional 選択すると、統合によってアラート センターへの接続用の SSL 証明書が有効かどうかが検証されます。 デフォルトで選択されています。 |
Max Hours Backwards |
Optional 最初のコネクタ イテレーションの何時間前からレスポンスを取得するか。このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーション、または期限切れのコネクタ タイムスタンプのフォールバック値に適用されます。 デフォルト値は 1 時間です。 |
Max Alerts To Fetch |
省略可 コネクタの反復処理ごとに取得するアラートの最大数。 最大数は 100 です。 |
Lowest Severity To Fetch |
省略可 取得するアラートの最も低い重大度。 |
Use whitelist as a blacklist |
省略可 選択すると、コネクタは動的リストを拒否リストとして使用します。 デフォルトでは選択されていません。 |
Proxy Server Address |
Optional 使用するプロキシ サーバーのアドレス。 |
Proxy Username |
Optional 認証に使用するプロキシのユーザー名。 |
Proxy Password |
Optional 認証に使用するプロキシ パスワード。 |
コネクタルール
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。