Zoom のオペレーション ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Amazon S3 を使用して Zoom オペレーション ログを Google Security Operations に取り込む方法について説明します。パーサーは、未加工ログを統合データモデル(UDM)に変換します。未加工のログ メッセージからフィールドを抽出し、データのクリーニングと正規化を行い、抽出した情報を対応する UDM フィールドにマッピングします。最終的に、SIEM システム内の分析と関連付けのためにデータを拡充します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Zoom への特権アクセス
- AWS(S3、IAM、Lambda、EventBridge)への特権アクセス
Zoom オペレーション ログの前提条件(ID、API キー、組織 ID、トークン)を収集する
- Zoom アプリ マーケットプレイスにログインします。
- [Develop] > [Build App] > [Server-to-Server OAuth] に移動します。
- アプリを作成し、
report:read:operation_logs:admin(またはreport:read:admin)のスコープを追加します。 - [アプリ認証情報] で、次の詳細情報をコピーして安全な場所に保存します。
- アカウント ID。
- クライアント ID。
- クライアント シークレット。
Google SecOps 用に AWS S3 バケットと IAM を構成する
- バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
- 後で参照できるように、バケットの名前とリージョンを保存します(例:
zoom-operation-logs)。 - IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
- 作成したユーザーを選択します。
- [セキュリティ認証情報] タブを選択します。
- [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
- [ユースケース] で [サードパーティ サービス] を選択します。
- [次へ] をクリックします。
- 省略可: 説明タグを追加します。
- [アクセスキーを作成] をクリックします。
- [CSV ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレット アクセスキー] を保存し、後で使用できるようにします。
- [完了] をクリックします。
- [権限] タブを選択します。
- [権限ポリシー] セクションで、[権限を追加] をクリックします。
- [権限を追加] を選択します。
- [ポリシーを直接アタッチする] を選択します。
- AmazonS3FullAccess ポリシーを検索して選択します。
- [次へ] をクリックします。
- [権限を追加] をクリックします。
S3 アップロードの IAM ポリシーとロールを構成する
- AWS コンソールで、[IAM] > [ポリシー] > [ポリシーの作成] > [JSON] タブに移動します。
次のポリシーを入力します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutZoomOperationLogs", "Effect": "Allow", "Action": ["s3:PutObject"], "Resource": "arn:aws:s3:::zoom-operation-logs/zoom/operationlogs/*" }, { "Sid": "AllowStateReadWrite", "Effect": "Allow", "Action": ["s3:GetObject", "s3:PutObject"], "Resource": "arn:aws:s3:::zoom-operation-logs/zoom/operationlogs/state.json" } ] }- 別のバケット名を入力した場合は、
zoom-operation-logsを置き換えます。
- 別のバケット名を入力した場合は、
[次へ] > [ポリシーを作成] をクリックします。
[IAM] > [ロール] > [ロールの作成] > [AWS サービス] > [Lambda] に移動します。
新しく作成したポリシーを関連付けます。
ロールに「
WriteZoomOperationLogsToS3Role」という名前を付けて、[ロールを作成] をクリックします。
Lambda 関数を作成する
- AWS コンソールで、[Lambda] > [Functions] > [Create function] に移動します。
- [Author from scratch] をクリックします。
- 次の構成情報を提供してください。
| 設定 | 値 |
|---|---|
| 名前 | zoom_operationlogs_to_s3 |
| ランタイム | Python 3.13 |
| アーキテクチャ | x86_64 |
| 実行ロール | WriteZoomOperationLogsToS3Role |
関数を作成したら、[コード] タブを開き、スタブを削除して次のコード(
zoom_operationlogs_to_s3.py)を入力します。#!/usr/bin/env python3 import os, json, gzip, io, uuid, datetime as dt, base64, urllib.parse, urllib.request import boto3 # ---- Environment ---- S3_BUCKET = os.environ["S3_BUCKET"] S3_PREFIX = os.environ.get("S3_PREFIX", "zoom/operationlogs/") STATE_KEY = os.environ.get("STATE_KEY", S3_PREFIX + "state.json") ZOOM_ACCOUNT_ID = os.environ["ZOOM_ACCOUNT_ID"] ZOOM_CLIENT_ID = os.environ["ZOOM_CLIENT_ID"] ZOOM_CLIENT_SECRET = os.environ["ZOOM_CLIENT_SECRET"] PAGE_SIZE = int(os.environ.get("PAGE_SIZE", "300")) # API default 30; max may vary TIMEOUT = int(os.environ.get("TIMEOUT", "30")) TOKEN_URL = "https://zoom.us/oauth/token" REPORT_URL = "https://api.zoom.us/v2/report/operationlogs" s3 = boto3.client("s3") # ---- Helpers ---- def _http(req: urllib.request.Request): return urllib.request.urlopen(req, timeout=TIMEOUT) def get_token() -> str: params = urllib.parse.urlencode({ "grant_type": "account_credentials", "account_id": ZOOM_ACCOUNT_ID, }).encode() basic = base64.b64encode(f"{ZOOM_CLIENT_ID}:{ZOOM_CLIENT_SECRET}".encode()).decode() req = urllib.request.Request( TOKEN_URL, data=params, headers={ "Authorization": f"Basic {basic}", "Content-Type": "application/x-www-form-urlencoded", "Accept": "application/json", "Host": "zoom.us", }, method="POST", ) with _http(req) as r: body = json.loads(r.read()) return body["access_token"] def get_state() -> dict: try: obj = s3.get_object(Bucket=S3_BUCKET, Key=STATE_KEY) return json.loads(obj["Body"].read()) except Exception: # initial state: start today today = dt.date.today().isoformat() return {"cursor_date": today, "next_page_token": None} def put_state(state: dict): state["updated_at"] = dt.datetime.utcnow().isoformat() + "Z" s3.put_object(Bucket=S3_BUCKET, Key=STATE_KEY, Body=json.dumps(state).encode()) def write_chunk(items: list[dict], ts: dt.datetime) -> str: key = f"{S3_PREFIX}{ts:%Y/%m/%d}/zoom-operationlogs-{uuid.uuid4()}.json.gz" buf = io.BytesIO() with gzip.GzipFile(fileobj=buf, mode="w") as gz: for rec in items: gz.write((json.dumps(rec) + "n").encode()) buf.seek(0) s3.upload_fileobj(buf, S3_BUCKET, key) return key def fetch_page(token: str, from_date: str, to_date: str, next_page_token: str | None) -> dict: q = { "from": from_date, "to": to_date, "page_size": str(PAGE_SIZE), } if next_page_token: q["next_page_token"] = next_page_token url = REPORT_URL + "?" + urllib.parse.urlencode(q) req = urllib.request.Request(url, headers={ "Authorization": f"Bearer {token}", "Accept": "application/json", }) with _http(req) as r: return json.loads(r.read()) def lambda_handler(event=None, context=None): token = get_token() state = get_state() cursor_date = state.get("cursor_date") # YYYY-MM-DD # API requires from/to in yyyy-mm-dd, max one month per request from_date = cursor_date to_date = cursor_date total_written = 0 next_token = state.get("next_page_token") while True: page = fetch_page(token, from_date, to_date, next_token) items = page.get("operation_logs", []) or [] if items: write_chunk(items, dt.datetime.utcnow()) total_written += len(items) next_token = page.get("next_page_token") if not next_token: break # Advance to next day if we've finished this date today = dt.date.today().isoformat() if cursor_date < today: nxt = (dt.datetime.fromisoformat(cursor_date) + dt.timedelta(days=1)).date().isoformat() state["cursor_date"] = nxt state["next_page_token"] = None else: # stay on today; continue later with next_page_token=None state["next_page_token"] = None put_state(state) return {"ok": True, "written": total_written, "date": from_date} if __name__ == "__main__": print(lambda_handler())[構成> 環境変数 > 編集 > 新しい環境変数を追加] に移動します。
次の環境変数を入力し、実際の値に置き換えます。
キー 値の例 S3_BUCKETzoom-operation-logsS3_PREFIXzoom/operationlogs/STATE_KEYzoom/operationlogs/state.jsonZOOM_ACCOUNT_ID<your-zoom-account-id>ZOOM_CLIENT_ID<your-zoom-client-id>ZOOM_CLIENT_SECRET<your-zoom-client-secret>PAGE_SIZE300TIMEOUT30関数が作成されたら、そのページにとどまるか、[Lambda] > [関数] > [your-function] を開きます。
[CONFIGURATION] タブを選択します。
[全般設定] パネルで、[編集] をクリックします。
[Timeout] を [5 minutes (300 seconds)] に変更し、[Save] をクリックします。
EventBridge スケジュールを作成する
- Amazon EventBridge > Scheduler に移動します。
- [スケジュールを作成] をクリックします。
- 次の構成の詳細を入力します。
- 定期的なスケジュール: レート(
15 min)。 - ターゲット: Lambda 関数
zoom_operationlogs_to_s3。 - 名前:
zoom-operationlogs-schedule-15min
- 定期的なスケジュール: レート(
- [スケジュールを作成] をクリックします。
省略可: Google SecOps 用の読み取り専用の IAM ユーザーと鍵を作成する
- AWS コンソールで、[IAM] > [Users] > [Add users] に移動します。
- [ユーザーを追加] をクリックします。
- 次の構成の詳細を入力します。
- ユーザー:
secops-reader。 - アクセスタイプ: アクセスキー - プログラマティック アクセス。
- ユーザー:
- [ユーザーを作成] をクリックします。
- 最小限の読み取りポリシー(カスタム)を関連付ける: [ユーザー] > [secops-reader] > [権限] > [権限を追加] > [ポリシーを直接関連付ける] > [ポリシーを作成]。
JSON エディタで、次のポリシーを入力します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::zoom-operation-logs/*" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::zoom-operation-logs" } ] }名前を
secops-reader-policyに設定します。[ポリシーの作成> 検索/選択> 次へ> 権限を追加] に移動します。
[セキュリティ認証情報] > [アクセスキー] > [アクセスキーを作成] に移動します。
CSV をダウンロードします(これらの値はフィードに入力されます)。
Zoom オペレーション ログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [+ 新しいフィードを追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
Zoom Operation Logs)。 - [ソースタイプ] として [Amazon S3 V2] を選択します。
- [ログタイプ] として [Zoom オペレーション ログ] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- S3 URI:
s3://zoom-operation-logs/zoom/operationlogs/ - Source deletion options: 必要に応じて削除オプションを選択します。
- ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
- アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
- シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
- S3 URI:
- [次へ] をクリックします。
- [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| アクション | metadata.product_event_type | 未加工ログの「action」フィールドがこの UDM フィールドにマッピングされます。 |
| category_type | additional.fields.key | 未加工ログのフィールド「category_type」がこの UDM フィールドにマッピングされます。 |
| category_type | additional.fields.value.string_value | 未加工ログのフィールド「category_type」がこの UDM フィールドにマッピングされます。 |
| 部門 | target.user.department | 未加工ログの「Department」フィールド(「operation_detail」フィールドから抽出)がこの UDM フィールドにマッピングされます。 |
| 説明 | target.user.role_description | 未加工ログの「Description」フィールド(「operation_detail」フィールドから抽出)がこの UDM フィールドにマッピングされます。 |
| 表示名 | target.user.user_display_name | 未加工ログの「Display Name」フィールド(「operation_detail」フィールドから抽出)がこの UDM フィールドにマッピングされます。 |
| メールアドレス | target.user.email_addresses | 未加工ログの「メールアドレス」フィールド(「operation_detail」フィールドから抽出)がこの UDM フィールドにマッピングされます。 |
| 名 | target.user.first_name | 未加工ログの「First Name」フィールド(「operation_detail」フィールドから抽出)は、この UDM フィールドにマッピングされます。 |
| 役職 | target.user.title | 未加工ログの「Job Title」フィールド(「operation_detail」フィールドから抽出)がこの UDM フィールドにマッピングされます。 |
| 姓 | target.user.last_name | 未加工ログの「姓」フィールド(「operation_detail」フィールドから抽出)がこの UDM フィールドにマッピングされます。 |
| 場所 | target.location.name | 未加工ログの「Location」フィールド(「operation_detail」フィールドから抽出)は、この UDM フィールドにマッピングされます。 |
| operation_detail | metadata.description | 未加工ログのフィールド「operation_detail」がこの UDM フィールドにマッピングされます。 |
| 演算子 | principal.user.email_addresses | 未加工ログフィールド「operator」がメールの正規表現と一致する場合、この UDM フィールドにマッピングされます。 |
| 演算子 | principal.user.userid | 未加工ログフィールド「operator」がメールの正規表現と一致しない場合、この UDM フィールドにマッピングされます。 |
| Room Name | target.user.attribute.labels.value | 未加工ログの「Room Name」フィールド(「operation_detail」フィールドから抽出)がこの UDM フィールドにマッピングされます。 |
| ロール名 | target.user.attribute.roles.name | 未加工ログの「Role Name」フィールド(「operation_detail」フィールドから抽出)がこの UDM フィールドにマッピングされます。 |
| 時間 | metadata.event_timestamp.seconds | 未加工ログの「time」フィールドが解析され、この UDM フィールドにマッピングされます。 |
| タイプ | target.user.attribute.labels.value | 未加工ログの「Type」フィールド(「operation_detail」フィールドから抽出)は、この UDM フィールドにマッピングされます。 |
| User Role | target.user.attribute.roles.name | 未加工ログのフィールド「User Role」(「operation_detail」フィールドから抽出)がこの UDM フィールドにマッピングされます。 |
| ユーザータイプ | target.user.attribute.labels.value | 未加工ログのフィールド「User Type」(「operation_detail」フィールドから抽出)がこの UDM フィールドにマッピングされます。 |
| metadata.log_type | この UDM フィールドには「ZOOM_OPERATION_LOGS」という値が割り当てられます。 | |
| metadata.vendor_name | この UDM フィールドには「ZOOM」という値が割り当てられます。 | |
| metadata.product_name | この UDM フィールドには「ZOOM_OPERATION_LOGS」という値が割り当てられます。 | |
| metadata.event_type | 値は次のロジックに基づいて決定されます。 1. 「event_type」フィールドが空でない場合は、その値が使用されます。 2. 「operator」、「email」、「email2」のいずれかのフィールドが空でない場合、値は「USER_UNCATEGORIZED」に設定されます。 3. それ以外の場合、値は「GENERIC_EVENT」に設定されます。 |
|
| json_data | about.user.attribute.labels.value | 未加工ログ フィールド「json_data」(「operation_detail」フィールドから抽出)が JSON として解析されます。解析された JSON 配列の各要素の「assistant」フィールドと「options」フィールドは、UDM の「labels」配列の「value」フィールドにマッピングされます。 |
| json_data | about.user.userid | 未加工ログ フィールド「json_data」(「operation_detail」フィールドから抽出)が JSON として解析されます。解析された JSON 配列の各要素(最初の要素を除く)の「userId」フィールドは、UDM の「about.user」オブジェクトの「userid」フィールドにマッピングされます。 |
| json_data | target.user.attribute.labels.value | 未加工ログ フィールド「json_data」(「operation_detail」フィールドから抽出)が JSON として解析されます。解析された JSON 配列の最初の要素の「assistant」フィールドと「options」フィールドは、UDM の「labels」配列の「value」フィールドにマッピングされます。 |
| json_data | target.user.userid | 未加工ログ フィールド「json_data」(「operation_detail」フィールドから抽出)が JSON として解析されます。解析された JSON 配列の最初の要素の「userId」フィールドは、UDM の「target.user」オブジェクトの「userid」フィールドにマッピングされます。 |
| メール | target.user.email_addresses | 未加工ログの「email」フィールド(「operation_detail」フィールドから抽出)がこの UDM フィールドにマッピングされます。 |
| email2 | target.user.email_addresses | 未加工ログのフィールド「email2」(「operation_detail」フィールドから抽出)がこの UDM フィールドにマッピングされます。 |
| ロール | target.user.attribute.roles.name | 未加工ログの「role」フィールド(「operation_detail」フィールドから抽出)がこの UDM フィールドにマッピングされます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。