リモート エージェントを Google Cloudに移行する
このドキュメントでは、リモート エージェントを Google Cloud に移行し、認証と通信に Google Cloud サービス アカウントを使用する方法について説明します。
始める前に
以下のものが揃っていることを確認してください。
- Google Cloudでサービス アカウントを作成するために必要な権限。
- サービス アカウント キーの作成に必要なロール。
- 必要な最小 Remote Agent バージョンは 2.6.0 以降です。
サービス アカウントを作成する
サービス アカウントは、アプリケーションが承認済みの API 呼び出しを行うために使用する特別なタイプの Google アカウントです。サービス アカウントを作成するには、次の操作を行います。
- Google Cloud コンソールで、[サービス アカウント] ページに移動します。 [サービス アカウント] に移動
- [サービス アカウントを作成] をクリックします。
- [サービス アカウントの詳細] セクションで、次の操作を行います。
- サービス アカウントの名前を入力します。
- サービス アカウントの説明を入力します。
- [作成して続行] をクリックします。
- [権限] セクションで、次の操作を行います。
- [ロールを選択] リストで、[Chronicle SOAR リモート エージェント] ロールを選択します。
- [続行] をクリックします。
- [ユーザーにこのサービス アカウントへのアクセスを許可] セクションで、[完了] をクリックします。
サービス アカウント キーを作成する
リモート エージェントを認証するには、サービス アカウント キーが必要です。このキーを作成する手順は次のとおりです。
- Google Cloud コンソールで、[サービス アカウント] ページに移動します。 [サービス アカウント] に移動
- 作成したサービス アカウントの名前をクリックします。
- [キー] タブをクリックします。
- [鍵を追加] > [新しい鍵を作成] の順にクリックします。
- 鍵のタイプとして [JSON] を選択し、[作成] をクリックします。
A JSON file containing the key is downloaded to your computer. - [閉じる] をクリックします。
鍵ファイルを安全に保管する
サービス アカウント キーをダウンロードしたら、リモート エージェントが実行されるホストマシンに移動する必要があります。
Docker
- パソコンでダウンロードした JSON ファイルを見つけます。
- エージェント プロセスがアクセスできるホストマシンの安全な場所にファイルを保存します。
-
ホストマシン上のエージェントのサービス アカウント キーのフルパスを入力します。
AGENT_SERVICE_ACCOUNT_PATH
インストーラ
- パソコンでダウンロードした JSON ファイルを見つけます。
- ファイルを次の場所に保存します。
/opt/SiemplifyAgent/agent-key.json
- このファイルのフルパスは、リモート エージェントを構成するときに必要になるため、メモしておきます。
エージェントの REP 環境変数を準備する
- Chronicle API リファレンスからリージョン サービス エンドポイント(REP)を取得します。この REP をベースドメインとして使用します。
-
次のコマンドで REP を入力します。これは移行手順で使用します。
REP
[SOAR Settings] > [Advanced] > [Remote Agents] に移動し、必要なリモート エージェントを選択します。
.- [Docker Command] フィールドから次の値をコピーし、次のコマンドに貼り付けます。移行手順で使用します。
-
ONE PLATFORM URL PROJECT)にアクセスします。ONE_PLATFORM_URL_PROJECT
-
ONE PLATFORM URL LOCATION)にアクセスします。ONE_PLATFORM_URL_LOCATION
-
ONE PLATFORM URL INSTANCE)にアクセスします。ONE_PLATFORM_URL_INSTANCE
-
リモート エージェントを Google Cloudに移行する
Docker
新しいエージェントをデプロイする場合は、Docker を使用してエージェントをデプロイするをご覧ください。
エージェントをアップグレードする場合は、Docker を使用してエージェントをアップグレードするをご覧ください。
リモート エージェントを移行する手順は次のとおりです。
-
実行中の Docker コンテナの一覧を取得します。
docker ps -
エージェントのコンテナ ID を入力します。
CONTAINER_ID
-
次のコマンドを使用して、サービス アカウント キーをコンテナ内の専用パスにコピーします。
docker cp AGENT_SERVICE_ACCOUNT_PATH CONTAINER_ID:/opt/SiemplifyAgent/agent-key.json
次のコマンドを使用して、コンテナ内のサービス アカウント キーの所有者を変更します。
docker exec -u 0 CONTAINER_ID chown siemplify_agent:siemplify_agent /opt/SiemplifyAgent/agent-key.json
-
前の手順でコピーした次の環境変数を貼り付けて、このコマンドを実行します。
docker exec CONTAINER_ID sh -c 'printf "export ONE_PLATFORM_URL_DOMAIN=REP\nexport ONE_PLATFORM_URL_PROJECT=ONE_PLATFORM_URL_PROJECT\nexport ONE_PLATFORM_URL_LOCATION=ONE_PLATFORM_URL_LOCATION\nexport ONE_PLATFORM_URL_INSTANCE=ONE_PLATFORM_URL_INSTANCE\nexport GOOGLE_APPLICATION_CREDENTIALS=/opt/SiemplifyAgent/agent-key.json" >> /home/siemplify_agent/.bash_profile'
-
次のコマンドを実行して変更を適用します。
docker restart CONTAINER_ID
インストーラ
新しいエージェントをデプロイする場合は、CentOS でエージェントをデプロイする または RHEL でエージェントをデプロイするをご覧ください。
エージェントをアップグレードする場合は、CentOS でエージェントをアップグレードする または RHEL でエージェントをアップグレードする をご覧ください。
リモート エージェントを移行する手順は次のとおりです。
-
次のコマンドを使用して、コンテナ内のサービス アカウント キーの所有者を変更します。
chown siemplify_agent:siemplify_agent /opt/SiemplifyAgent/agent-key.json
-
前の手順でコピーした次の環境変数を貼り付けて、このコマンドを実行します。
cat << EOF >> /home/siemplify_agent/.bash_profile export ONE_PLATFORM_URL_DOMAIN=REP export ONE_PLATFORM_URL_PROJECT=ONE_PLATFORM_URL_PROJECT export ONE_PLATFORM_URL_LOCATION=ONE_PLATFORM_URL_LOCATION export ONE_PLATFORM_URL_INSTANCE=ONE_PLATFORM_URL_INSTANCE export GOOGLE_APPLICATION_CREDENTIALS=/opt/SiemplifyAgent/agent-key.json EOF
-
次のコマンドを実行して、エージェント サービスを再起動します。
supervisorctl restart siemplify_agent
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。