フィード管理ユーザーガイド
概要と前提条件
Google Security Operations のフィード管理では、Google Security Operations アカウントへのデータフィードを作成、管理できます。フィード管理 UI は、Feed Management API に基づいています。詳しくは、Feed Management API をご覧ください。
各データフィードには独自の前提条件のセットがあり、Google Security Operations でフィードを設定する前に満たす必要があります。これらの前提条件については、Feed Management API ドキュメントのタイプ別のフィード構成セクションに説明されています。設定する必要があるデータフィード タイプを検索し、提示される手順に従います。
ソースファイルを削除する
概要セクションで説明したように、フィードの種類によって前提条件が異なります。
Cloud Storage を含む複数のフィードタイプでは、[新しく追加] または [フィードを編集] ワークフローに [ソースの削除オプション] というラベルの付いたフィールドがあります。このプルダウン メニューには 3 つのオプションがあります。
- ファイルを削除しない
- 転送されたファイルと空のディレクトリを削除する
- 転送されたファイルを削除する
オプション 2 と 3 では、ファイルの削除と、ファイルおよび空のディレクトリの削除が行われます。いずれかのオプションを選択した場合は、Feed management API ドキュメントのタイプ別のフィード構成セクションにある、フィードタイプに固有の権限を追加する必要があります。
このオプションを使用すると、オブジェクトを転送した後に、ストレージ システムからオブジェクトを削除できます。フィードでは転送されたオブジェクト(またはファイル)が常に記憶されるため、ファイルが更新されている場合を除き、同じファイルが 2 回転送されることはありません。ただし、(正常に)転送された後にソース オブジェクトを削除する場合は、このオプションを設定する必要があります。
Microsoft Azure Blob Storage では、ソースファイルの削除はサポートされていません。次のソース削除オプションは、Microsoft Azure Blob Storage ソースタイプでは使用できません。
- 転送されたファイルと空のディレクトリを削除する
- 転送されたファイルを削除する
Microsoft Azure Blob Storage ソースでフィードを作成する場合は、[ファイルを削除しない] オプションのみを選択します。
フィードを作成および編集する
フィード管理インターフェースにアクセスする方法は次のとおりです。
ナビゲーション バーで [設定] をクリックします。
[設定] で [フィード] をクリックします。
このページに一覧表示されるデータ フィードには、ご自身が設定したフィードに加えて、Google がアカウントに設定したすべてのフィードが含まれます。
フィードを追加
Google Security Operations アカウントにフィードを追加する手順は次のとおりです。新しいフィードをここに追加する前に、追加する予定のデータフィード タイプの前提条件を必ず満たすようにします。詳細については、概要と前提条件をご覧ください。
ログタイプごとに 5 個までフィードを追加できます。
[Add New] をクリックします。 [ADD FEED] ウィンドウが表示されます。
[プロパティの設定] タブで、プルダウン メニューから [SOURCE TYPE] を選択します。ソースタイプは、Google Security Operations にデータを送り込むメカニズムです。次のフィード ソースタイプから選択できます。
- Amazon S3
- Amazon SQS
- Google Cloud Storage
- HTTP(S) ファイル(API 以外)
- Microsoft Azure Blob Storage
- サードパーティ API
プルダウン メニューから [ログタイプ] を選択します。使用可能なログは、前に選択したソースタイプによって異なります。[次へ] をクリックします。
ソースタイプとして [Google Cloud Storage] を選択した場合は、[サービス アカウントの取得] オプションを使用して一意のサービス アカウントを取得します。このドキュメントの Google Cloud Storage フィード設定例をご覧ください。
図 2. ログタイプの選択
[Input Parameters] タブで必要なパラメータを指定します。ここに表示されるオプションは、[Set Properties] タブで選択したソースとログのタイプによって異なります。各フィールドの質問アイコンの上にポインタを置くと、提供する必要がある内容に関する追加情報が表示されます。
(省略可)ここで名前空間を指定できます。名前空間の詳細については、アセットの名前空間のドキュメントをご覧ください。
[次へ] をクリックします。
[完了] タブで新しいフィード構成を確認します。準備ができたら [送信] をクリックします。Google Security Operations が新しいフィードの検証チェックを完了します。フィードがチェックに合格すると、フィードの名前が生成されて Google Security Operations に送信され、Google Security Operations でデータの取得が開始されます。
図 4. フィード リクエストの完了
Google Cloud Storage フィード設定例
- Google Security Operations メニューから [設定] を選択し、[フィード] をクリックします。
- [Add New] をクリックします。
- [ソースタイプ] で [Google Cloud Storage] を選択します。
- ログタイプを選択します。たとえば、Google Kubernetes Engine 監査ログのフィードを作成するには、[ログタイプ] として [Google Kubernetes Engine 監査ログ] を選択します。
- [サービス アカウントを取得する] をクリックします。Google Security Operations は、Google Security Operations がデータの取り込みに使用する一意のサービス アカウントを提供します。
- Cloud Storage オブジェクトにアクセスするためのサービス アカウントのアクセス権を構成します。このドキュメントでは、Google Security Operations サービス アカウントへのアクセス権を付与するをご覧ください。
- [次へ] をクリックします。
- 作成した Cloud Storage 構成に基づいて、次のフィールドに値を指定します。
- ストレージ バケット URI
- URI は
- ソース削除オプション
- [次へ] をクリックしてから、[送信] をクリックします。
Google Security Operations サービス アカウントへのアクセス権を付与する
- Google Cloud コンソールで、Cloud Storage の [バケット] ページに移動します。
サービス アカウントに、関連する Cloud Storage オブジェクトへのアクセス権を付与します。
特定のファイルへの読み取り権限を付与するには、次の手順を行います。
- ファイルを選択し、[アクセス権を編集] をクリックします。
- [プリンシパルを追加] をクリックします。
- [新しいプリンシパル] フィールドに、Google Security Operations サービス アカウントの名前を入力します。
- Google Security Operations サービス アカウントに、読み取り権限を含むロールを割り当てます。たとえば、Storage オブジェクト閲覧者(
roles/storage.objectViewer)。これは、均一なバケットレベルのアクセス権が有効になっていない場合にのみ実行できます。 - [保存] をクリックします。
複数のファイルへの読み取り権限を付与するには、バケットレベルでアクセス権を付与する必要があります。Google Security Operations サービス アカウントをプリンシパルとしてストレージ バケットに追加し、IAM ストレージ オブジェクト閲覧者(
roles/storage.objectViewer)のロールを付与する必要があります。ソースファイルを削除するようにフィードを構成する場合、Google Security Operations サービス アカウントをプリンシパルとしてバケットに追加し、IAM ストレージ オブジェクト管理者(
roles/storage.objectAdmin)のロールを付与する必要があります。
VPC Service Controls を構成する
VPC Service Controls が有効になっている場合、Cloud Storage バケットへのアクセスを提供する上り(内向き)ルールが必要です。
上り(内向き)ルールで、次の Cloud Storage メソッドを許可する必要があります。
google.storage.objects.list。単一のファイル フィードに必須です。google.storage.objects.get。ディレクトリまたはサブディレクトリへのアクセスが必要なフィードに必要です。google.storage.objects.delete。ソースファイルの削除を必要とするフィードに必要です。
上り(内向き)ルールの例
- ingressFrom:
identities:
- serviceAccount:8911409095528497-0-account@partnercontent.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.list
- method: google.storage.objects.get
- method: google.storage.objects.delete
resources:
- projects/PROJECT_ID
フィードのステータス
最初の [フィード] ページでフィードのステータスをモニタリングできます。フィードは次のステータスになることができます。
- アクティブ - フィードが構成され、Google Security Operations アカウントにデータを取り込む準備が整っています。
- InProgress - 現在、Google Security Operations は、構成済みのサードパーティからデータを pull しています。
- 完了 - このフィードによってデータは正常に取得されました。
- アーカイブ済み - 無効なフィード。
- Failed - フィードでデータを正常に取得できません。構成の問題が原因と考えられます。質問をクリックして、構成エラーを表示します。エラーを修正し、フィードを再送信したら、[フィード] ページに戻って、現在、フィードが機能しているかどうかを確認します。
フィードを編集
[フィード] ページから、既存のフィードを編集できます。
既存のフィードの上にポインタを置き、右側の列のその他メニューをクリックします。
[フィードを編集] をクリックします。これで、フィードの入力パラメータを変更し、Google Security Operations に再送信できるようになりました。Google Security Operations は編集されたフィードの使用を試行します。
フィードを有効または無効にする
[ステータス] 列で、有効なフィードには、[有効]、[進行中]、[完了]、または [失敗] のラベルが付けられます。無効なフィールドは [アーカイブ済み] のラベルが付けられます。詳しくは、フィードのステータスをご覧ください。
[フィード] ページから、任意の既存のフィードを有効化または無効化できます。
既存のフィードの上にポインタを置き、右側の列のその他メニューをクリックします。
フィードを有効にするには、[フィードを有効にする] の切り替えボタンをクリックします。
フィードを無効にするには、[フィードを無効にする] の切り替えボタンをクリックします。これで、フィードに [アーカイブ済み] というラベルが付けられました。
フィードの削除
[フィード] ページから、任意の既存のフィードを削除することもできます。
既存のフィードの上にポインタを置き、右側の列のその他メニューをクリックします。
[フィードを削除] をクリックします。[フィードの削除] ウィンドウが開きます。フィードを完全に削除するには、[はい、削除します] をクリックします。
取り込みレートを制御する
テナントのデータの取り込みレートが特定のしきい値に達すると、Google Security Operations は新しいデータフィードの取り込みレートを制限して、取り込みレートが高いソースが別のデータソースの取り込みレートに影響を与えないようにします。
しきい値を超えるレートでデータを取り込むフィードが制限されるため、取り込みが遅延します。フィードの取り込みレートを制限すると、過剰なデータが取り込みキューに入れられるため、遅延は生じますが、データが失われることはありません。
しきい値は取り込み量とテナントの使用履歴によって決まります。 取り込みレートに大きな変化がなければ、取り込みレートに影響しません。