このページは Cloud Translation API によって翻訳されました。

Cloud Identity Devices のログを収集する

以下でサポートされています。

Google SecOpsSIEM

このガイドでは、Cloud Storage を使用して Cloud Identity Devices ログを Google Security Operations にエクスポートする方法について説明します。パーサーは JSON ログからフィールドを抽出し、deviceType や日付などの特定のフィールドを変換して UDM にマッピングします。これにより、デバイスを表す asset_entity が作成され、ハードウェアとメタデータの情報で拡充されます。

始める前に

プロジェクトで Google Cloud Identity が有効になっていることを確認します。 Google Cloud
Google SecOps インスタンスがあることを確認します。
Google Cloud Identity と Cloud Logging への特権アクセス権があることを確認します。

Cloud Storage バケットを作成する

Google Cloud コンソールにログインします。
[Cloud Storage バケット] のページに移動します。

[バケット] に移動
[作成] をクリックします。
[バケットの作成] ページでユーザーのバケット情報を入力します。以下のステップでは、操作を完了した後に [続行] をクリックして、次のステップに進みます。
1. [始める] セクションで、次の操作を行います。
  1. バケット名の要件を満たす一意の名前を入力します（例: gcp-cloudidentity-devices-logs）。
  2. 階層名前空間を有効にするには、展開矢印をクリックして [Optimize for file oriented and data-intensive workloads] セクションを開き、[このバケットで階層的な名前空間を有効にする] を選択します。
    
    注: 既存のバケットで階層名前空間を有効にすることはできません。
  3. バケットラベルを追加するには、展開矢印をクリックして [ラベル] セクションを開きます。
  4. [ラベルを追加] をクリックし、ラベルのキーと値を指定します。
2. [データの保存場所の選択] セクションで、次の操作を行います。
  1. ロケーションタイプを選択してください。
  2. ロケーションタイプのメニューを使用して、バケット内のオブジェクトデータが永続的に保存されるロケーションを選択します。
    
    注: ロケーションタイプとしてデュアルリージョンを選択した場合は、関連するチェックボックスを使用してターボレプリケーションを有効にすることもできます。
  3. クロスバケットレプリケーションを設定するには、[クロスバケットレプリケーションを設定する] セクションを開きます。
3. [データのストレージクラスを選択する] セクションで、バケットのデフォルトのストレージクラスを選択します。あるいは、Autoclass を選択して、バケットデータのストレージクラスを自動的に管理します。
4. [オブジェクトへのアクセスを制御する方法を選択する] セクションで、[なし] を選択して公開アクセスの防止を適用し、バケットのオブジェクトの [アクセス制御モデル] を選択します。
  注: プロジェクトの組織のポリシーによって公開アクセスの防止がすでに適用されている場合、[公開アクセスの防止] チェックボックスはロックされています。
5. [オブジェクトデータを保護する方法を選択する] セクションで、次の操作を行います。
  1. [データ保護] で、バケットに設定するオプションを選択します。
  2. オブジェクトデータの暗号化方法を選択するには、[データ暗号化] というラベルの付いた展開矢印をクリックし、データの暗号化方法を選択します。
[作成] をクリックします。

Cloud Identity デバイスのログのエクスポートを構成する

Google Cloud コンソールにログインします。
[ロギング] > [ログルーター] に移動します。
[シンクを作成] をクリックします。
次の構成パラメータを指定します。
- シンク名: わかりやすい名前を入力します（例: cloud-identity-devices-logs-sink）。
- シンクデスティネーション: [Cloud Storage Storage] を選択し、バケットの URI（gs://gcp-cloudidentity-devices-logs など）を入力します。
- ログフィルタ:
```
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="cloud_identity_device"
```
- エクスポートオプションを設定する: すべてのログエントリを含めます。
[作成] をクリックします。

Cloud Storage の権限を構成する

[IAM と管理] > [IAM] に移動します。
Cloud Logging サービスアカウントを見つけます。
バケットに対する roles/storage.admin を付与します。

Cloud Identity Devices のログを取り込むように Google SecOps でフィードを構成する

[SIEM 設定] > [フィード] に移動します。
[新しく追加] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: GCP Cloud Identity Devices Logs）。
[Source type] として [Google Cloud Storage] を選択します。
[ログタイプ] として [GCP Cloud Identity Devices] を選択します。
[Chronicle Service Account] フィールドの横にある [Get Service Account] をクリックします。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- ストレージバケット URI: Cloud Storage バケットの URL（gs://gcp-cloudidentity-devices-logs など）。
- URI Is A: [サブディレクトリを含むディレクトリ] を選択します。
- Source deletion options: 必要に応じて削除オプションを選択します。
  
  注: Delete transferred files オプションまたは Delete transferred files and empty directories オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
- Asset namespace: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`createTime`	`entity.metadata.creation_timestamp`	`createTime` の値はタイムスタンプとして解析され、マッピングされます。
`deviceId`	`entity.entity.asset.asset_id`	直接マッピングされます。
`deviceType`	`entity.entity.asset.platform_software.platform`	元の値が `MAC_OS` または `IOS` の場合、`MAC` にマッピングされます。元の値が一致する場合は、`WINDOWS`、`MAC`、または `LINUX` にマッピングされます。それ以外の場合は `UNKNOWN_PLATFORM` に設定します。
`encryptionState`	`entity.entity.asset.attribute.labels.key`	値は `encryptionState` に設定されます。ラベルの一部として使用されます。
`encryptionState`	`entity.entity.asset.attribute.labels.value`	直接マッピングされます。ラベルの一部として使用されます。
`lastSyncTime`	`entity.entity.asset.system_last_update_time`	`lastSyncTime` の値はタイムスタンプとして解析され、マッピングされます。
`managementState`	`entity.entity.asset.attribute.labels.key`	値は `managementState` に設定されています。ラベルの一部として使用されます。
`managementState`	`entity.entity.asset.attribute.labels.value`	直接マッピングされます。ラベルの一部として使用されます。
`model`	`entity.entity.asset.hardware.model`	直接マッピングされます。
`name`	`entity.entity.asset.product_object_id`	`devices/` の後の部分が抽出され、マッピングされます。
`name`	`entity.entity.resource.name`	直接マッピングされます。
`osVersion`	`entity.entity.asset.platform_software.platform_version`	直接マッピングされます。
`securityPatchTime`	`entity.entity.asset.attribute.labels.key`	値は `securityPatchTime` に設定されます。ラベルの一部として使用されます。
`securityPatchTime`	`entity.entity.asset.attribute.labels.value`	直接マッピングされます。ラベルの一部として使用されます。
`serialNumber`	`entity.entity.asset.hardware.serial_number`	直接マッピングされます。未加工ログの最上位の `create_time` フィールドからコピーされます。値は `ASSET` に設定されています。値は `GCP Cloud Identity Devices` に設定されています。値は `Google Cloud Platform` に設定されます。未加工ログの最上位の `create_time` フィールドからコピーされます。

変更点

2022-03-27

resource.name を長い一意のリソース名 name にマッピングしました。

2022-04-13

新しく作成されたパーサー。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。