ログを SIEM システムにエクスポートする

このページでは、Google Distributed Cloud（GDC）エアギャップから外部のセキュリティ情報およびイベント管理（SIEM）システムにログをエクスポートする方法について説明します。この統合により、ログ分析の一元化とセキュリティ モニタリングの強化が可能になります。

ログ エクスポートの中核となるのは、SIEMOrgForwarder カスタム リソースのデプロイです。このリソースは構成ファイルとして機能し、ログを受信する外部 SIEM インスタンスの詳細を指定します。これらのパラメータを SIEMOrgForwarder ファイル内で定義することで、管理者は効率的で安全なログ エクスポート パイプラインを確立できます。

始める前に

SIEMOrgForwarder カスタム リソースの管理に必要な権限を取得するには、関連付けられた SIEM エクスポート組織ロールのいずれかを付与するよう組織の IAM 管理者に依頼してください。

必要なアクセスレベルと権限に応じて、プロジェクト Namespace でこのリソースの作成者、編集者、閲覧者のロールを取得できます。詳細については、IAM 権限を準備するをご覧ください。

必要な権限を取得したら、ログを外部 SIEM システムにエクスポートする前に、次の手順を完了します。

1. 接続を確立する: GDC と外部 SIEM 転送先の間に接続が存在することを確認します。必要に応じて、インフラストラクチャ オペレーター（IO）と連携して、顧客ネットワークへのアップリンク接続を確立します。

2. 環境変数を設定する: このページのコマンドを実行するには、次の環境変数を設定します。

   • kubeconfig ファイルのパス:

     export KUBECONFIG=KUBECONFIG_PATH
     

     KUBECONFIG_PATH は、Management API サーバーの kubeconfig ファイルへのパスに置き換えます。

   • プロジェクトの Namespace:

     export PROJECT_NAMESPACE=PROJECT_NAMESPACE
     

ログ エクスポートを構成する

外部の SIEM システムにログをエクスポートします。

1. ロギング スタックを SIEM システムに接続するためのトークンを指定します。この操作を行うには、プロジェクト Namespace に Secret を作成してトークンを保存する必要があります。

   cat <<EOF | kubectl --kubeconfig=${KUBECONFIG} apply -f -
   apiVersion: v1
   kind: Secret
   metadata:
     name: SECRET_NAME
     namespace: ${PROJECT_NAMESPACE}
   type: Opaque
   stringData:
     SECRET_FIELD: TOKEN
   EOF
   

   次のように置き換えます。

   • SECRET_NAME: Secret の名前。
   • SECRET_FIELD: シークレットを保存するフィールドの名前。
   • TOKEN: 自分のトークン。

2. プロジェクトの Namespace に SIEMOrgForwarder カスタム リソースをデプロイします。監査ログまたは運用ログのいずれかを選択して、ログタイプを指定する必要があります。両方のログタイプでログのエクスポートを構成するには、タイプごとに SIEMOrgForwarder リソースをデプロイする必要があります。

   次の例は、SIEMOrgForwarder カスタム リソースに構成を適用する方法を示しています。

     cat <<EOF | kubectl --kubeconfig=${KUBECONFIG} apply -f -
     apiVersion: logging.gdc.goog/v1
     kind: SIEMOrgForwarder
     metadata:
       name: SIEM_ORG_FORWARDER
       namespace: ${PROJECT_NAMESPACE}
     spec:
       source: LOG_TYPE
       splunkOutputs:
         - host: SIEM_HOST
           token:
             name: SECRET_NAME
             field: SECRET_FIELD
           tls: "TLS"
           netConnectTimeout: NET_CONNECT_TIMEOUT
     EOF
   

   次のように置き換えます。

   • SIEM_ORG_FORWARDER: SIEMOrgForwarder 定義ファイルの名前。
   • LOG_TYPE: エクスポートするログタイプ。指定できる値は audit と operational です。
   • SIEM_HOST: SIEM ホストの名前。
   • SECRET_NAME: Secret の名前。
   • SECRET_FIELD: Secret を保存したフィールドの名前。
   • TLS: Transport Layer Security（TLS）のステータス。指定できる値は "On" と "Off" です。
   • NET_CONNECT_TIMEOUT: 接続が確立されるまで待機する最大時間（秒）。たとえば、値 180 は 180 秒待つことを意味します。

3. デプロイされた SIEMOrgForwarder カスタム リソースのステータスを確認します。

     kubectl --kubeconfig=${KUBECONFIG} describe siemorgforwarder/SIEM_ORG_FORWARDER \
         -n ${PROJECT_NAMESPACE}
   

   ログタイプに応じて、次のステータスを確認します。

   • 監査ログ: AuditLoggingReady ステータスを確認します。

   • オペレーション ログ: OperationalLoggingReady のステータスを確認します。