Chrome Enterprise Premium データを Google Security Operations に取り込む

このページでは、組織を Google Security Operations に接続し、Identity-Aware Proxy（IAP）API を有効にして、次のデータを Google Security Operations に取り込むフィードを設定する方法について説明します。

• Google Cloud Logs
• Cloud Identity デバイス
• Cloud Identity デバイス ユーザー

始める前に

Chrome Enterprise Premium データを取り込むフィードを設定する前に、次のタスクを完了します。

• 次のセクションで、 Google Cloud 組織を Google Security Operations に接続します。
  1. Google Security Operations へのテレメトリーの取り込みを有効にする。
  2. Google Cloud のログを Google Security Operations にエクスポートする。
• Cloud Identity API を有効にして、API を認証するサービス アカウントを作成します。
• ドメイン全体の委任を作成します。
• 権限借用用のユーザーを作成します。

Cloud Identity API を有効にしてサービス アカウントを作成する

1. Google Cloud コンソールで、API を有効にする Google Cloud プロジェクトを選択し、[API とサービス] ページに移動します。

   [API とサービス] に移動

2. [API とサービスの有効化] をクリックします。

3. 「Cloud Identity API」を検索します。

4. 検索結果で [Cloud Identity API] をクリックします。

5. [有効にする] をクリックします。

6. サービス アカウントの作成:

   1. Google Cloud コンソールで、[IAM と管理] > [サービス アカウント] を選択します。
   2. [サービス アカウントを作成] をクリックします。
   3. [サービス アカウントの作成ページ] で、サービス アカウントの名前を入力します。
   4. [完了] をクリックします。

7. 作成したサービス アカウントを選択します。

8. [一意の ID] 欄に表示されている ID をコピーして保存します。この ID は、ドメイン全体の委任を作成するときに使用します。

9. [キー] タブを選択します。

10. [鍵を追加] > [新しい鍵を作成] の順にクリックします。

11. 鍵のタイプとして [JSON] を選択します。

12. [作成] をクリックします。

13. JSON キーをコピーして保存します。このキーは、フィードを設定するときに使用します。

詳細については、Cloud Identity API を有効にして、API を認証するサービス アカウントを作成するをご覧ください。

ドメイン全体の委任を作成する

ドメイン全体の委任を使用してサービス アカウントの API アクセスを制御する手順は次のとおりです。

1. Google 管理コンソールのホームページで、[セキュリティ] > [アクセスとデータ管理] > [API の制御] を選択します。
2. [ドメイン全体の委任 > ドメイン全体の委任を管理] を選択します。
3. [新しく追加] をクリックします。
4. サービス アカウントのクライアント ID を入力します。サービス アカウントのクライアント ID は、サービス アカウントの作成時に取得した一意の ID です。
5. [OAuth スコープ] に「https://www.googleapis.com/auth/cloud-identity.devices.readonly」と入力します。
6. [承認] をクリックします。

詳細については、API アクセスをドメイン全体の委任で制御するをご覧ください。

権限借用用のユーザーを作成する

1. Google 管理コンソールのホームページで、[ディレクトリ] > [ユーザー] を選択します。
2. 新しいユーザーを追加する手順は次のとおりです。
   1. [新しいユーザーの追加] をクリックします。
   2. ユーザーの名前を入力します。
   3. ユーザーに関連付けられているメールアドレスを入力します。
   4. [作成]、[完了] の順にクリックします。
3. 新しいロールを作成して権限を割り当てる手順は次のとおりです。
   1. 新しく作成したユーザー名を選択します。
   2. [管理者ロールと権限] をクリックします。
   3. [カスタムの役割を作成] をクリックします。
   4. [新しいロールを作成] をクリックします。
   5. ロールの名前を入力します。
   6. [サービス] > [モバイル デバイス管理] を選択し、[デバイスと設定の管理] 権限を選択します。
   7. [続行] をクリックします。
4. ユーザーにロールを割り当てるには、次の操作を行います。
   1. [ユーザーへの割り当て] をクリックします。
   2. 新しく作成したユーザーに移動し、[ロールを割り当て] をクリックします。

Chrome Enterprise Premium ログを取り込むフィードを設定する

1. [SIEM 設定] > [フィード] に移動します。
2. [Add New] をクリックします。
3. [フィールド名] に一意の名前を入力します。
4. [ソースタイプ] として [サードパーティ API] を選択します。
5. [ログタイプ] リストで、[GCP Cloud Identity Devices] または [GCP Cloud Identity Device Users] を選択します。
6. [次へ] をクリックします。

7. [入力パラメータ] タブで、次の詳細を指定します。

   • OAuth JWT エンドポイント「https://oauth2.googleapis.com/token」と入力します。
   • JWT クレームの発行元。<insert_service_account@project.iam.gserviceaccount.com> を指定します。これは、Cloud Identity API を有効にしてサービス アカウントを作成するで作成したサービス アカウントです。
   • JWT クレームのサブジェクト。権限借用用のユーザーを作成するで作成したユーザーのメールアドレスを入力します。
   • JWT クレームのオーディエンス。「https://oauth2.googleapis.com/token」と入力します。
   • RSA 秘密鍵API を認証するためにサービス アカウントを作成したときに作成された JSON キーを入力します。
   • API のバージョン。省略可。このフィールドは空白のままにしておきます。

8. [次へ] をクリックします。

9. [Finalize] タブで入力した値を確認し、[Submit] をクリックします。