商品ごとにフィードを設定する

以下でサポートされています。

始める前に

IAM カスタムロールを使用している場合は、次の操作を行う必要があります。

  1. [IAM と管理]> [ロール] に移動します。
  2. 既存のカスタムロールを選択し、[ロールを編集] をクリックします。
  3. [権限を追加] をクリックします。
  4. 次のように入力します。
    • chronicle.feedPacks.get
    • chronicle.feedPacks.list
  5. [保存] をクリックします。

ログフィードを構成する

効果的な脅威の検出と調査を実現するため、Google Security Operations は構造化されたログの取り込みに依存しています。ログフィードを適切に構成すると、関連データが正規化され、相関関係、アラート、分析に使用できるようになります。

このドキュメントでは、Google SecOps 内でログフィードを設定して管理する方法について説明します。ログタイプに応じて、プロダクト ファミリーごとに複数のフィードを設定できます。Google がベースラインとして識別したログタイプは、必須としてマークされます。

プラットフォームには、設定手順、必要な手順、構成パラメータの説明が用意されています。構成プロセスを簡素化するために、一部のパラメータは事前定義されています。たとえば、CrowdStrike Falcon などのプロダクト内で、必須ログタイプとオプション ログタイプの両方で複数のフィードを作成できます。

複数のフィードの設定ページにアクセスする

複数のフィードの構成画面にアクセスする方法は 2 つあります。

  • [Content Hub] > [Content Packs]
  • [設定] > [フィード]

CrowdStrike EDR のフィードを構成する

CrowdStrike EDR のログフィードを構成する手順は次のとおりです。

  1. [設定> フィード] で、[新しいフィードを追加] をクリックします。
    1. [CrowdStrike Falcon] プロダクトをクリックします。
    2. [CrowdStrike EDR] ログタイプを選択します。
  2. または、[Content Hub > Content Packs] で、[CrowdStrike Falcon] プロダクトをクリックします。
    1. [利用開始] をクリックします。
    2. [CrowdStrike EDR] ログタイプを選択します。
  3. 次のフィールドに値を指定します。

    フィールド 説明
    Source Type Amazon SQS
    Region URI に関連付けられている AWS S3 リージョン。
    Queue Name 読み取り元の SQS キュー名。
    Account Number SQS アカウント番号。
    Source Deletion Option 転送後にファイルとディレクトリを削除するかどうかを示します。
    Queue Access Key ID アカウントの 20 文字の英数字のアクセスキー(AKIAOSFOODNN7EXAMPLE など)。
    Queue Secret Access Key アカウントの 40 文字の英数字のシークレット アクセスキー(例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)。

  4. 省略可: 次のパラメータを構成します。

    • Feed Name(フィード名): フィードの一意の名前が事前入力されています。
    • アセットの Namespace: フィードに関連付けられた Namespace。
    • 取り込みラベル: このフィードのイベントに適用されるラベル。
  5. [フィードを作成] をクリックします。

このプロセスを繰り返して、同じログタイプに追加のフィードを作成できます。このページから、他の使用可能なログタイプのフィードを直接構成することもできます。完了したら、[フィード管理] ページに移動して、構成されたすべてのログタイプの詳細な概要を表示します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。