Tailscale ログを収集する

以下でサポートされています。

このドキュメントでは、Tailscale のネイティブ Amazon S3 ログ ストリーミング機能を使用して、Tailscale ログを Google Security Operations に取り込む方法について説明します。Tailscale は、構成監査ログとネットワーク フローログの形式で運用データを生成します。この統合では、Tailscale の組み込みの S3 ストリーミング機能を使用して、これらのログを Google SecOps に自動的に送信し、分析とモニタリングを行います。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Tailscale 管理コンソールへの特権アクセス(オーナー、管理者、ネットワーク管理者、IT 管理者のロール)
  • AWS(S3、IAM)への特権アクセス

Tailscale の前提条件(tailnet 情報)を収集する

  1. Tailscale 管理コンソールにログインします。
  2. tailnet 名example.com や組織名など)をメモします。
  3. 必要なプランがあることを確認します。
    • 構成監査ログのストリーミング: Personal、Personal Plus、Enterprise の各プランで利用できます。
    • ネットワーク フローログのストリーミング: Enterprise プランでのみ使用できます。

Google SecOps 用に AWS S3 バケットと IAM を構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
  2. 後で参照できるように、バケットの名前リージョンを保存します(例: tailscale-logs)。
  3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
  4. 作成したユーザーを選択します。
  5. [セキュリティ認証情報] タブを選択します。
  6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
  7. [ユースケース] で [サードパーティ サービス] を選択します。
  8. [次へ] をクリックします。
  9. 省略可: 説明タグを追加します。
  10. [アクセスキーを作成] をクリックします。
  11. [CSV ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレット アクセスキー] を保存し、後で使用できるようにします。
  12. [完了] をクリックします。
  13. [権限] タブを選択します。
  14. [権限ポリシー] セクションで、[権限を追加] をクリックします。
  15. [権限を追加] を選択します。
  16. [ポリシーを直接アタッチする] を選択します。
  17. AmazonS3FullAccess ポリシーを検索して選択します。
  18. [次へ] をクリックします。
  19. [権限を追加] をクリックします。

S3 アップロードの IAM ポリシーとロールを構成する

  1. AWS コンソールで、[IAM] > [ポリシー] > [ポリシーの作成] > [JSON] タブに移動します。

  2. 次のポリシーを入力します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowTailscalePutObjects",
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl"
      ],
      "Resource": "arn:aws:s3:::tailscale-logs/*"
    }
  ]
}
    • 別のバケット名を入力した場合は、tailscale-logs を置き換えます。

  3. [次へ] > [ポリシーを作成] をクリックします。

  4. [IAM] > [ロール] > [ロールの作成] > [カスタム信頼ポリシー] に移動します。

  5. 次の信頼ポリシーを入力します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::982722776073:role/tailscale-log-streaming"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "YOUR_TAILNET_NAME"
        }
      }
    }
  ]
}
    • YOUR_TAILNET_NAME は、実際の tailnet 名に置き換えます。

  6. [次へ] をクリックします。

  7. 手順 1 で作成したポリシーを接続します。

  8. ロールに「TailscaleS3StreamingRole」という名前を付けて、[ロールを作成] をクリックします。

  9. Tailscale 構成で使用する ロール ARN をコピーします。

Tailscale ネイティブの S3 ログ ストリーミングを構成する

構成監査ログのストリーミングを設定する

  1. Tailscale 管理コンソールで、[ログ] > [構成ログ] に移動します。
  2. [ストリーミングを開始] をクリックします。
  3. 宛先として [Amazon S3] を選択します。
  4. 次の構成の詳細を入力します。
    • AWS アカウント ID: AWS アカウント ID。
    • S3 バケット名: tailscale-logs
    • ロール ARN: 作成した IAM ロールの ARN。
    • S3 キーの接頭辞: tailscale/configuration/(省略可)。
  5. [ストリーミングを開始] をクリックします。
  6. ステータスが [アクティブ] と表示されていることを確認します。

ネットワーク フローログのストリーミングを設定する(Enterprise プランのみ)

  1. まだ有効になっていない場合は、[設定] > [ネットワーク フローログ] に移動し、tailnet のネットワーク フローログを有効にします。
  2. [ログ] > [ネットワーク フローログ] に移動します。
  3. [ストリーミングを開始] をクリックします。
  4. 宛先として [Amazon S3] を選択します。
  5. 次の構成の詳細を入力します。
    • AWS アカウント ID: AWS アカウント ID
    • S3 バケット名: tailscale-logs
    • ロール ARN: 作成した IAM ロールの ARN
    • S3 キーの接頭辞: tailscale/network/(省略可)
  6. [ストリーミングを開始] をクリックします。
  7. ステータスが [アクティブ] と表示されていることを確認します。

省略可: Google SecOps 用の読み取り専用の IAM ユーザーと鍵を作成する

  1. AWS コンソールで、[IAM] > [Users] > [Add users] に移動します。
  2. [ユーザーを追加] をクリックします。
  3. 次の構成の詳細を入力します。
    • ユーザー: secops-reader
    • アクセスタイプ: アクセスキー - プログラムによるアクセス
  4. [ユーザーを作成] をクリックします。
  5. 最小限の読み取りポリシー(カスタム)を関連付ける: [ユーザー] > [secops-reader] > [権限] > [権限を追加] > [ポリシーを直接関連付ける] > [ポリシーを作成]

  6. JSON エディタで、次のポリシーを入力します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::tailscale-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::tailscale-logs"
    }
  ]
}

  7. 名前を secops-reader-policy に設定します。

  8. [ポリシーの作成> 検索/選択> 次へ> 権限を追加] に移動します。

  9. [セキュリティ認証情報] > [アクセスキー] > [アクセスキーを作成] に移動します。

  10. CSV をダウンロードします(これらの値はフィードに入力されます)。

Tailscale のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [+ 新しいフィードを追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: Tailscale logs)。
  4. [ソースタイプ] として [Amazon S3 V2] を選択します。
  5. [ログタイプ] として [Tailscale] を選択します。
  6. [次へ] をクリックします。
  7. 次の入力パラメータの値を指定します。
    • S3 URI: s3://tailscale-logs/tailscale/
    • Source deletion options: 必要に応じて削除オプションを選択します。
    • ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
    • Asset namespace: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。