Google Security Operations SIEM フォワーダーの概要

Google Security Operations SIEM フォワーダーは、サーバーなどのネットワーク上のマシンまたはデバイスで実行されるソフトウェア コンポーネントです。Google Security Operations SIEM フォワーダーは、ログデータとネットワーク インターフェース パケットを収集し、そのデータを Google Security Operations SIEM インスタンスに転送できます。

デプロイされた Google Security Operations SIEM フォワーダーには、それぞれフォワーダー構成ファイルが必要です。フォワーダー構成ファイルでは、データ圧縮など、Google Security Operations SIEM インスタンスにデータを転送する方法を定義するさまざまな設定を指定します。フォワーダー構成ファイルでは、1 つ以上のコレクタ構成も指定します。 各コレクタ構成では、コレクタの取り込みメカニズム（File、Kafka、PCAP、Splunk、Syslog、WebProxy など）、ログタイプ、その他の設定を指定します。

同じフォワーダーで複数のコレクタを使用して、さまざまなメカニズムとログタイプからデータを取り込むことができます。たとえば、2 つの syslog コレクタがそれぞれ個別のポートで PAN_FIREWALL データと CISCO_ASA_FIREWALL データをリッスンするフォワーダーを構成できます。

Google Security Operations のユーザー インターフェースを使用してフォワーダー構成を作成、管理、ダウンロードするには、Google Security Operations UI でフォワーダー構成を管理するをご覧ください。

フォワーダー構成をプログラムで作成、管理、ダウンロードするには、Forwarder Management API をご覧ください。

各プラットフォームにフォワーダーをインストールして構成するには、以下をご覧ください。

1. Linux 向け Google Security Operations SIEM フォワーダー

2. Docker 上の Windows 向け Google Security Operations SIEM フォワーダー

3. Windows 用 Google Security Operations SIEM フォワーダー実行可能ファイル

フォワーダーを使用して特定のデータセットが取り込まれる方法については、以下をご覧ください。

• Carbon Black Event Forwarder をインストールする
• Cisco ASA ファイアウォール ログを収集する
• Corelight Sensor ログを収集する
• Fluentd ログを収集する
• Linux auditd と Unix システムログを収集する
• Microsoft Windows AD データを収集する
• Microsoft Windows DHCP データを収集する
• Microsoft Windows の DNS データを収集する
• Microsoft Windows Event データを収集する
• Microsoft Windows Sysmon データを収集する
• osquery ログを収集する
• OSSEC ログを収集する
• Palo Alto Networks ファイアウォール ログを収集する
• Splunk CIM ログを収集する
• Zeek のログを収集する