Feed Management API
このリファレンス ガイドでは、Chronicle のフィード管理 API を使用して、Chronicle インスタンスにログを送信するデータフィードをプログラムで作成、実行、管理する方法について説明します。Chronicle UI を使用してフィードを作成、管理する方法の詳細については、フィード管理ユーザーガイドをご覧ください。
データ フィードについて
Chronicle のデータフィードを使用して、以下から Chronicle インスタンスにログデータを取り込むことができます。
- Google Cloud Storage など、Chronicle がサポートするクラウド ストレージ サービス
- Chronicle がサポートする API(Microsoft 365 など)を使用するサードパーティのデータソース
- HTTP(S) リクエストを使用して直接アクセスできるファイル
作成する各フィードは、データのソースタイプとログタイプで構成されます。ソースタイプの例としては、Google Cloud Storage、サードパーティ API、HTTP でアクセスできるファイルがあります。Chronicle がサポートするデータソース タイプごとに、Chronicle は特定のログタイプもサポートしています。たとえば、Google Cloud Storage ソースタイプの場合、Chronicle は カーボンブラック ログタイプなどをサポートしています。サポートされているログタイプのリストは、ソースタイプによって異なります。
フィードを作成する際は、ソースタイプ、ログタイプ、必要な権限、認証の詳細などを指定します。 セキュリティ設計の一環として、Chronicle は、ユーザー認証情報(Chronicle フィードでサードパーティの API からログデータを取り込むために提供する認証情報など)Secret Manager に保存します。
Chronicle がログタイプに対してデフォルト パーサーを提供している場合、取り込まれたログデータは Chronicle Unified Data Model(UDM)形式と未加工ログ形式の両方で保存されます。
サポートされているソースタイプとログタイプ
Chronicle は次のソースタイプをサポートしています。
| フィードのソースタイプ | 説明 |
|---|---|
| サードパーティ API | サードパーティの API からデータを取り込む。 |
| Google Cloud Storage | Google Cloud Storage バケットからデータを取り込む。 |
| Amazon S3 | Amazon Simple Storage Service バケットからデータを取り込む。 |
| Amazon SQS | エントリが S3 に格納されたファイルを指す Amazon Simple Queue Service キューからデータを取り込む |
| Azure Blobstore | Azure Blob Storage からデータを取り込む。 |
| HTTP(S) | HTTP(S) リクエストでアクセス可能なファイルからデータを取り込む。このソースタイプをサードパーティの API とのやり取りに使用しないでください。Chronicle でサポートされているサードパーティ API に API フィード ソースタイプを使用します。 |
現在サポートされているログタイプを一覧表示するには、いくつかの方法があります。
Chronicle UI. 各ソースタイプでサポートされているログタイプのリストを表示するには、[設定] > [フィード] > [新規追加] に移動して、[ソースタイプ] と [ログタイプ] メニューを使用します。詳しくは、 フィードの作成と編集 をご覧ください。
API リファレンス ドキュメントサードパーティ API フィードでサポートされているログタイプのリストを確認するには、次をご覧ください。 ログタイプ別の構成
フィード スキーマ API。 任意のソースタイプのログタイプを表示するには、次を使用することもできます。 フィード スキーマ API 。
前提条件
各データフィードには独自の前提条件のセットがあり、Chronicle でフィードを設定する前に満たす必要があります。前提条件は次のように確認できます。
各ソースタイプの前提条件は、次のとおりです。 ソースタイプ別の構成 。
APIフィード ソースタイプを使用して取り込まれる各ログタイプの前提条件は、次のとおりです。 ログタイプ別の構成 。任意のソースタイプを使用して取り込まれたすべてのログタイプの前提条件は、Chronicle UI に記載されています。[設定] > [フィード] > [新規追加] に移動して、[ソースタイプ] と [ログタイプ] を選択し、必須項目を確認します。詳しくは、 をご覧ください。 フィードの作成と編集
たとえば、 Google Cloud Storage バケットからデータフィードを設定した場合、次の前提条件を満たす必要があります。
- フィード管理の
fetchFeedServiceAccountメソッドを使用して、Chronicle がデータの取り込みに使用する Chronicle サービス アカウントを取得します。 - Chronicle サービス アカウントに、関連する Cloud Storage オブジェクトへのアクセス権を付与します。 詳細については、Chronicle サービス アカウントへのアクセスを許可するをご覧ください。
Chronicle API での認証方法
Chronicle API は、認証と認可に OAuth 2.0 プロトコルを使用します。作成するアプリケーションでは、次のいずれかを実装して認証と認可を行うことができます。
使用するコンピュータ言語用の Google API クライアント ライブラリを利用する。
HTTP を使用して OAuth 2.0 システムと直接やり取りする。
Python の Google 認証ライブラリのリファレンス ドキュメントをご覧ください。
Google 認証ライブラリは Google API クライアント ライブラリのサブセットです。他の言語の実装をご覧ください。
API 認証情報の取得
API クライアントが API と通信できるように、Chronicle の担当者から Google デベロッパー サービス アカウント認証情報が提供されます。
また、API クライアントを初期化するときも認証スコープを指定する必要があります。OAuth 2.0 は、スコープを使用してアカウントに対するアプリケーションのアクセスを制限します。アプリケーションがスコープをリクエストした場合、そのアプリケーションに発行されたアクセス トークンは与えられたスコープに制限されます。
次のスコープを使用して Google API クライアントを初期化します。
https://www.googleapis.com/auth/chronicle-backstory
Python の例
次の Python の例は、google.oauth2 と googleapiclient を使用して OAuth2 認証情報と HTTP クライアントを使用する方法を示しています。
# Imports required for the sample - Google Auth and API Client Library Imports.
# Get these packages from https://pypi.org/project/google-api-python-client/ or run $ pip
# install google-api-python-client from your terminal
from google.oauth2 import service_account
from googleapiclient import _auth
SCOPES = ['https://www.googleapis.com/auth/chronicle-backstory']
# The apikeys-demo.json file contains the customer's OAuth 2 credentials.
# SERVICE_ACCOUNT_FILE is the full path to the apikeys-demo.json file
# ToDo: Replace this with the full path to your OAuth2 credentials
SERVICE_ACCOUNT_FILE = '/customer-keys/apikeys-demo.json'
# Create a credential using Google Developer Service Account Credential and Chronicle API
# Scope.
credentials = service_account.Credentials.from_service_account_file(SERVICE_ACCOUNT_FILE, scopes=SCOPES)
# Build an HTTP client to make authorized OAuth requests.
http_client = _auth.authorized_http(credentials)
# <your code continues here>
Chronicle API のクエリの上限
Chronicle API では、お客様が Chronicle プラットフォームに対して実行できるリクエスト数に上限があります。クエリの上限に達した場合、または上限を超えた場合、Chronicle API サーバーは HTTP 429(RESOURCE_EXHAUSTED)を呼び出し元に返します。Chronicle API 用のアプリケーションを開発する場合、Chronicle では、リソースの不足を避けるため、システム内でレート制限を適用することをおすすめします。これらの上限は、Feed Management API を含むすべての Chronicle API に適用されます。
フィード管理 API では次の上限が適用されます。これらの上限は秒間クエリ数(QPS)で測定されます。
| Chronicle API | API メソッド | 上限 |
| Feed Management | フィードの作成 | 1 QPS |
| フィードの取得 | 1 QPS | |
| フィードの一覧表示 | 1 QPS | |
| フィードの更新 | 1 QPS | |
| フィードの削除 | 1 QPS |
OAuth2 認証情報と HTTP クライアントを使用した Python の例
次の Python の例は、google.oauth2 と googleapiclient を使用して OAuth2 認証情報と HTTP クライアントを使用する方法を示しています。
# Imports required for the sample - Google Auth and API Client Library Imports.
# Get these packages from https://pypi.org/project/google-api-python-client/ or
# run $ pip install google-api-python-client from your terminal
from google.auth.transport import requests
from google.oauth2 import service_account
SCOPES = ['https://www.googleapis.com/auth/chronicle-backstory']
# The apikeys-demo.json file contains the customer's OAuth 2 credentials.
# SERVICE_ACCOUNT_FILE is the full path to the apikeys-demo.json file
# ToDo: Replace this with the full path to your OAuth2 credentials
SERVICE_ACCOUNT_FILE = '/customer-keys/apikeys-demo.json'
# Create a credential using Google Developer Service Account Credential and Chronicle # API Scope.
credentials = service_account.Credentials.from_service_account_file(SERVICE_ACCOUNT_FILE, scopes=SCOPES)
# Build an HTTP session to make authorized OAuth requests.
http_session = requests.AuthorizedSession(credentials)
# <your code continues here>
リージョン エンドポイント
Chronicle には、各 API のリージョン エンドポイントが用意されています。
- ダンマーム—
https://me-central2-backstory.googleapis.com - ヨーロッパ(マルチリージョン)—
https://europe-backstory.googleapis.com - フランクフルト—
https://europe-west3-backstory.googleapis.com - ロンドン—
http://europe-west2-backstory.googleapis.com - ムンバイ—
http://asia-south1-backstory.googleapis.com - シンガポール—
https://asia-southeast1-backstory.googleapis.com - シドニー—
https://australia-southeast1-backstory.googleapis.com - テルアビブ—
https://me-west1-backstory.googleapis.com - 米国(マルチリージョン)ー
https://backstory.googleapis.com - チューリッヒー
https://europe-west6-backstory.googleapis.com
フィード スキーマ API リファレンス
フィード スキーマ API は、有効なフィード管理 API リクエストの作成に役立つ情報を返します。たとえば、フィード スキーマ全体を表すデータ構造を取得できます。この構造では、フィードソース タイプとログタイプの有効な組み合わせごとに指定するフィールドを定義します。または、特定のフィード ソースタイプと互換性のあるログタイプのリストを取得することもできます。
具体的には、フィード スキーマに次の項目が含まれます。
- 有効な各フィード ソースタイプに関する情報:
- 人が読める形式の名前
- 人が読める形式の説明
- 特定のフィード ソースタイプのフィードを API で変更可能か、読み取り専用にするかどうか
- 各ログタイプに関する情報。
- 人が読める形式の名前
- 特定のログタイプのフィードを API で変更できるかどうか、または読み取り専用にするかどうか
- フィード ソースタイプと互換性があるログタイプ
- ログタイプとフィードソースタイプの有効な組み合わせごとに指定する特定のフィールドに関する情報:
- 人が読める形式のフィールド名と説明
- 他のフィールドとの互換性
- セマンティック タイプ(URI、シークレットなど)
- フィールドが必須かどうか
- フィールドの有効な値
スキーマには、いくつかの方法でアクセスできます。
GetFeedSchema
このメソッドは、フィード スキーマ全体を表す構造体を返します。スキーマは、サポートされているフィードソース タイプを示す「フィード ソース タイプのスキーマ」のリストで構成されています。各フィード ソースタイプのスキーマには、フィード ソースタイプと互換性があり、ログタイプを記述するログタイプのセットに対応する「ログタイプ スキーマ」のリストが含まれます。各ログタイプのスキーマには、「詳細フィールド スキーマ」のリストが含まれています。このフィールドには、フィード作成リクエストを発行するときに設定するフィールドや、ListFeed または GetFeed レスポンスの結果として表示されるフィールドなどが記述されています。指定されたフィールド スキーマは、ログタイプとフィードソース タイプの特定の組み合わせに固有のものです。
リクエスト
GET https://backstory.googleapis.com/v1/feedSchema
レスポンス
{
"feedSourceTypeSchemas": [{
"name": "feedSourceTypeSchemas/AMAZON_S3",
"displayName": "Amazon S3",
"description": "Amazon Simple Storage Service, a service offered by Amazon Web Services that provides object storage through a web service interface",
"feedSourceType": "AMAZON_S3",
"logTypeSchemas": [{
"name": "feedSourceTypeSchemas/AMAZON_S3/logTypeSchemas/AWS_CLOUDTRAIL",
"displayName": "AWS Cloudtrail",
"logType": "AWS_CLOUDTRAIL",
"detailsFieldSchemas": [{
"fieldPath": "details.amazon_s3_settings.authentication.access_key_id",
"displayName": "Access key ID",
"description": "An account access key that is a 20-character alphanumeric string, for example AKIAIOSFODNN7EXAMPLE",
"type": "STRING",
"exampleInput": "AKIAIOSFODNN7EXAMPLE",
},
...
{
"fieldPath": "details.amazon_s3_settings.s3_uri",
"displayName": "S3 URI",
"description": "The S3 bucket source URI",
"type": "STRING_URI",
"isRequired": true,
"exampleInput": "s3://cs-prod-cannon-00afe0c847a8/data/",
}],
},
...
{
"name": "feedSourceTypeSchemas/AMAZON_S3/logTypeSchemas/ABNORMAL_SECURITY",
"displayName": "Abnormal Security",
"logType": "ABNORMAL_SECURITY",
...
}],
},
...
{
"name": "feedSourceTypeSchemas/AMAZON_SQS",
"displayName": "Amazon SQS",
"description": "Amazon Simple Queue Service, a service offered by Amazon Web Services that provides fully managed message queuing service to transfer messages asynchronously",
"feedSourceType": "AMAZON_SQS",
...
}],
}
ListFeedSourceTypeSchemas
このメソッドは、すべてのフィード ソースのタイプに関する情報を返します。
リクエスト
GET https://backstory.googleapis.com/v1/feedSourceTypeSchemas
レスポンスの例
{
"feedSourceTypeSchemas": [{
"name": "feedSourceTypeSchemas/AMAZON_S3",
"displayName": "Amazon S3",
"description": "Amazon Simple Storage Service, a service offered by Amazon Web Services that provides object storage through a web service interface",
"feedSourceType": "AMAZON_S3",
},
...
{
"name": "feedSourceTypeSchemas/AMAZON_SQS",
"displayName": "Amazon SQS",
"description": "Amazon Simple Queue Service, a service offered by Amazon Web Services that provides fully managed message queuing service to transfer messages asynchronously",
"feedSourceType": "AMAZON_SQS",
}],
}
ListLogTypeSchemas
このメソッドは、特定のフィードソース タイプと互換性のあるすべてのログタイプに関する情報を返します。
リクエスト
GET https://backstory.googleapis.com/v1/feedSourceTypeSchemas/{feed source type}/logTypeSchemas
リクエストの例
https://backstory.googleapis.com/v1/feedSourceTypeSchemas/AMAZON_S3/logTypeSchemas
レスポンスの例
{
"logTypeSchemas": [{
"name": "feedSourceTypeSchemas/AMAZON_S3/logTypeSchemas/AWS_CLOUDTRAIL",
"displayName": "AWS Cloudtrail",
"logType": "AWS_CLOUDTRAIL",
},
...
{
"name": "feedSourceTypeSchemas/AMAZON_S3/logTypeSchemas/ABNORMAL_SECURITY",
"displayName": "Abnormal Security",
"logType": "ABNORMAL_SECURITY",
...
}],
}
GetLogTypeSchema
このメソッドは、特定のソースタイプとログタイプのフィードを構成するために必要なすべてのフィールドに関する詳細情報を返します。
リクエスト
GET https://backstory.googleapis.com/v1/feedSourceTypeSchemas/{feed source type}/logTypeSchemas/{log type}
リクエストの例
https://backstory.googleapis.com/v1/feedSourceTypeSchemas/AMAZON_S3/logTypeSchemas/AWS_CLOUDTRAIL
レスポンスの例
{
"name": "feedSourceTypeSchemas/AMAZON_S3/logTypeSchemas/AWS_CLOUDTRAIL",
"displayName": "AWS Cloudtrail",
"logType": "AWS_CLOUDTRAIL",
"detailsFieldSchemas": [{
"fieldPath": "details.amazon_s3_settings.authentication.access_key_id",
"displayName": "Access key ID",
"description": "An account access key that is a 20-character alphanumeric string, for example AKIAIOSFODNN7EXAMPLE",
"type": "STRING",
"exampleInput": "AKIAIOSFODNN7EXAMPLE",
},
...
{
"fieldPath": "details.amazon_s3_settings.s3_uri",
"displayName": "S3 URI",
"description": "The S3 bucket source URI",
"type": "STRING_URI",
"isRequired": true,
"exampleInput": "s3://cs-prod-cannon-01abc2d345e6/data/",
}],
}
Feed Management API リファレンス
このセクションでは、フィードを作成、有効化、管理するためのエンドポイントについて説明します。
フィードを作成または編集するときは、リクエスト本文に feedSourceType と logType を指定する必要があります。これらのフィールドの詳細については、ソースタイプ別の構成とログタイプ別の構成をご覧ください。
フィードの作成
Chronicle インスタンスにサードパーティのデータフィードを作成します。
ログタイプごとに最大 5 つのフィードを追加できます。
リクエスト
POST https://backstory.googleapis.com/v1/feeds
リクエストの本文
この例では、Duo セキュリティから認証ログを収集する方法を示します。
{
"display_name": "some feed name",
"details": {
"feedSourceType": "API",
"logType": "DUO_AUTH",
"duoAuthSettings": {
"authentication": {
"user": "ABCUSERNAMEDEF",
"secret": "aBcS3cReTdEf"
},
"hostname": "api-abc123.duosecurity.com"
},
"namespace": "my-asset-namespace",
"labels": [{
"key": "my-ingestion-label-key",
"value": "my-ingestion-label-value"
}]
}
}
リクエストの例
https://backstory.googleapis.com/v1/feeds
{
"display_name": "some feed name",
"details": {
"feedSourceType": "API",
"logType": "DUO_AUTH",
"duoAuthSettings": {
"authentication": {
"user": "ABCUSERNAMEDEF",
"secret": "aBcS3cReTdEf"
},
"hostname": "api-abc123.duosecurity.com"
}
}
}
正常なレスポンスの例
{
"name": "feeds/12a34567-bc8d-1111-e9f0-gh1ijk234567",
"display_name": "some feed name",
"details": {
"logType": "DUO_AUTH",
"feedSourceType": "API",
"duoAuthSettings": {
"hostname": "api-abc123.duosecurity.com"
}
},
"feedState": "ACTIVE"
}
レスポンスが失敗した場合、200(OK)以外の HTTP ステータス コードが返されます。失敗の詳細については、レスポンスの本文を必ず確認してください。
アセットの名前空間
特定のフィードから取り込まれるすべてのイベントにアセットの名前空間を割り当てるには、details 内で "namespace" フィールドを設定します。namespace フィールドは文字列です。
取り込みラベル
取り込みラベルは、統合データモデル メタデータの一部です。これらは、キーと値のペアの繰り返しです。特定のフィードから取り込まれるすべてのイベントに取り込みラベルを割り当てるには、details 内で labels フィールドを設定します。labels フィールドは、key フィールドと value フィールドを持つ JSON オブジェクトの配列です。
フィードの削除
Chronicle Feed Management API を使用して構成されたフィードを削除します。
リクエスト
DELETE https://backstory.googleapis.com/v1/feeds/{feedID}
リクエストの例
DELETE https://backstory.googleapis.com/v1/feeds/12a34567-bc8d-1111-e9f0-gh1ijk234567
レスポンスの例
オペレーションが成功すると、Delete フィードは HTTP ステータス コード 200(OK)で空のレスポンスを返します。
{}
フィードを有効にする
INACTIVE フィードを有効にして、フィードを実行できるようにします。
リクエスト
POST https://backstory.googleapis.com/v1/feeds/{feedID}:enable
リクエストの例
POST https://backstory.googleapis.com/v1/feeds/12a34567-bc8d-1111-e9f0-gh1ijk234567:enable
レスポンスの例
{
"name": "feeds/12a34567-bc8d-1111-e9f0-gh1ijk234567",
"display_name": "some feed name",
"details": {
"logType": "DUO_AUTH",
"feedSourceType": "API",
"duoAuthSettings": {
"hostname": "api-abc123.duosecurity.com"
}
},
"feedState": "ACTIVE"
}
Disable Feed
フィードを無効にします。無効なフィードのステータスは INACTIVE になります。無効なフィードはデータを取得しなくなります。
リクエスト
POST https://backstory.googleapis.com/v1/feeds/{feedID}:disable
リクエストの例
POST https://backstory.googleapis.com/v1/feeds/12a34567-bc8d-1111-e9f0-gh1ijk234567:disable
レスポンスの例
{
"name": "feeds/12a34567-bc8d-1111-e9f0-gh1ijk234567",
"display_name": "some feed name",
"details": {
"logType": "DUO_AUTH",
"feedSourceType": "API",
"duoAuthSettings": {
"hostname": "api-abc123.duosecurity.com"
}
},
"feedState": "INACTIVE"
}
フィードの取得
構成されたフィードの詳細を取得します。
リクエスト
GET https://backstory.googleapis.com/v1/feeds/{feedID}
リクエストの例
https://backstory.googleapis.com/v1/feeds/12a34567-bc8d-1111-e9f0-gh1ijk234567
レスポンスの例
{
"name": "feeds/12a34567-bc8d-1111-e9f0-gh1ijk234567",
"display_name": "some feed name",
"details": {
"logType": "DUO_AUTH",
"feedSourceType": "API",
"duoAuthSettings": {
"hostname": "api-abc123.duosecurity.com"
}
},
"feedState": "ACTIVE"
}
フィードの一覧表示
特定の Chronicle インスタンスに構成されたすべてのフィードを取得します。
リクエスト
GET https://backstory.googleapis.com/v1/feeds
リクエストの例
https://backstory.googleapis.com/v1/feeds
レスポンスの例
{
"feeds": [
{
"name": "feeds/12a34567-bc8d-1111-e9f0-gh1ijk234567",
"details": {
"logType": "AZURE_AD_CONTEXT",
"feedSourceType": "API",
"azureAdContextSettings": {}
},
"feedState": "ACTIVE"
},
{
"name": "feeds/12a34567-bc8d-1111-e9f0-gh1ijk234567",
"display_name": "some feed name",
"details": {
"logType": "PAN_PRISMA_CLOUD",
"feedSourceType": "API",
"panPrismaCloudSettings": {
"hostname": "api2.prismacloud.io"
}
},
"feedState": "ACTIVE"
}
]
}
読み取り専用フィード
フィールド readOnly が true に設定されているリストフィード リクエストからフィードが返されることがあります。読み取り専用フィードの作成、更新、削除はできません。
フィードが読み取り専用になる理由はいくつかあります。次に例を示します。
- 現時点では、フィード管理で完全にサポートされていないフィード ソースタイプは、フィード管理のリリース前に作成されたものです。
- 一部の特殊なログタイプは、すべての Chronicle ユーザーが使用できるわけではありません。これらのタイプのフィードが存在する場合、そのフィードは読み取り専用と見なされます。
フィードの更新
指定されたフィードを新しい詳細情報で更新します。
リクエスト
PATCH https://backstory.googleapis.com/v1/feeds/{feedID}
リクエストの本文
次の例は、Duo Auth フィードを更新する方法を示しています。
リクエストの例
{
"display_name": "my feed",
"details": {
"feedSourceType": "API",
"logType": "DUO_AUTH",
"duoAuthSettings": {
"authentication": {
"user": "ABCUSERNAMEDEF",
"secret": "aBcS3cReTdEf"
},
"hostname": "api-abc123.duosecurity.com"
}
}
}
レスポンスの例
{
"display_name": "my feed",
"name": "feeds/12a34567-bc8d-1111-e9f0-gh1ijk234567",
"details": {
"logType": "DUO_AUTH",
"feedSourceType": "API",
"duoAuthSettings": {
"hostname": "api-abc123.duosecurity.com"
}
},
"feedState": "ACTIVE"
}
サービス アカウントの取得
Chronicle がデータの取り込みに使用する一意のサービス アカウントを取得します。この方法は、Cloud Storage フィードを設定する場合にのみ使用します。
リクエスト
GET https://backstory.googleapis.com/v1/fetchFeedServiceAccount
リクエストの例
GET https://backstory.googleapis.com/v1/fetchFeedServiceAccount
レスポンスの例
"serviceAccount": "xxxxxxxx-0-account@partnercontent.gserviceaccount.com"
レスポンス メッセージのフィールド
このセクションでは、レスポンス メッセージで返される次のフィールドについて説明します。
feedStatefailureMsg
フィードの状態
feedState フィールドは、ほとんどのオペレーションのレスポンス メッセージに含まれています。feedState は、フィードの現在の状態に関する分析情報を提供します。
feedState |
説明 |
|---|---|
"ACTIVE" |
フィードが正常に作成され、データの取得が開始されます。 |
"INACTIVE" |
フィードは無効になっています。 |
"IN_PROGRESS"
|
フィードは現在データを取得しようとしています。フィードにこのステータスが表示されるのは、過去にフィードが失敗した場合のみです。 |
"COMPLETED" |
フィードは最近、データが正常に取得されました。 |
"FAILED"
|
フィードが失敗し、失敗したため、データが正常に取得されていません。構成ミスはフィードエラーの一般的な原因です。詳細については、failureMsg フィールドをご覧ください。 |
Failure Message
failureMsg フィールドはほとんどのオペレーションのレスポンス メッセージで確認できますが、feedState が FAILED であるフィードでのみ使用できます。関連するサードパーティから返されたレスポンス コードなど、失敗の性質に関する詳細を確認できます。フィードを正しく構成する方法については、ご使用のフィードタイプについて、以下のドキュメントをご覧ください。
ソースタイプ別の構成
このセクションでは、フィード ソースタイプの設定について説明します。
フィード ソースタイプは、データの保存場所とアクセス方法を定義します。feedSourceType の有効な値は次のとおりです。
feedSourceType |
Description |
|---|---|
API |
サードパーティの API からデータを取り込む。 |
GOOGLE_CLOUD_STORAGE |
Google Cloud Storage バケットからデータを取り込む。 |
AMAZON_S3 |
Amazon Simple Storage Service バケットからデータを取り込む。 |
AMAZON_SQS |
エントリが S3 に格納されたファイルを指す Amazon Simple Queue Service キューからデータを取り込む |
AZURE_BLOBSTORE |
Azure Blob Storage からデータを取り込む。 |
HTTP |
HTTP(S) リクエストでアクセス可能なファイルからデータを取り込む。サードパーティの API とのやり取りには使用しないでください。Chronicle でサポートされているサードパーティ API に API フィード ソースタイプを使用します。 |
API
サードパーティ API からデータを取り込むには、API フィード ソースタイプを使用します。API フィード ソースタイプの構成設定は、フィードに指定したログタイプに固有のものです。
たとえば、Feeds API エンドポイントを使用して API フィード データソースの設定を構成する場合は、details.feedSourceType フィールドの値として API を指定します。また、サポートされているログタイプを details.logType フィールドの値として指定します。ログタイプによって、指定できる追加のフィード構成設定が決まります。これらの設定の詳細については、ログタイプ別の構成の特定のログタイプのセクションをご覧ください。
GOOGLE_CLOUD_STORAGE
| データ ソース | 取り込み スケジュール | details.feedSourceType
|
details.logType
|
|---|---|---|---|
| Google Cloud Storage バケット | 15 分ごと | GOOGLE_CLOUD_STORAGE
|
互換性のあるログタイプを取得するには、フィード スキーマの API リファレンスをご覧ください。 |
前提条件
Cloud Storage フィードを設定する前に、Chronicle サービス アカウントを取得して、Chronicle でデータを取り込めるようにアカウントへのアクセス権を付与する必要があります。
- フィード管理
fetchFeedServiceAccountメソッドを使用して、Chronicle サービス アカウントを取得します。 - Chronicle サービス アカウントに、関連する Cloud Storage オブジェクトへのアクセス権を付与します。 詳細については、Chronicle サービス アカウントへのアクセスを許可するをご覧ください。
- VPC Service Controls が有効になっている場合は、上り(内向き)ルールを構成して、Cloud Storage バケットへのアクセスを許可します。このドキュメントでは、VPC Service Controls を構成するをご覧ください。
VPC Service Controls を構成する
VPC Service Controls が有効になっている場合、Cloud Storage バケットへのアクセスを提供するには、上り(内向き)ルールが必要になります。
次の Cloud Storage メソッドを上り(内向き)ルールで許可する必要があります。
google.storage.objects.list。単一のファイル フィードに必須です。google.storage.objects.get。ディレクトリまたはサブディレクトリへのアクセスが必要なフィードの場合は必須です。google.storage.objects.delete。ソースファイルの削除が必要なフィードでは必須です。
上り(内向き)ルールの例
- ingressFrom:
identities:
- serviceAccount:8911409095528497-0-account@partnercontent.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.list
- method: google.storage.objects.get
- method: google.storage.objects.delete
resources:
- projects/PROJECT_ID
タイプ固有のリクエスト フィールド
| フィールド | 必須 | Description |
|---|---|---|
details.gcsSettings.bucketUri |
○ | Google Cloud Storage バケットに対応する URI。形式は、gsutil でリソースを指定するために使用する形式と同じです。 |
details.gcsSettings.sourceType |
○ | bucketUri で示されるオブジェクトのタイプ。指定できる値は次のとおりです。
|
details.gcsSettings.sourceDeletionOption |
○ | Chronicle への転送後にソースファイルを削除するかどうか。これにより、ストレージ費用を削減できます。指定できる値は次のとおりです。
|
フィード作成リクエストの例
{
"details": {
"feedSourceType": "GOOGLE_CLOUD_STORAGE",
"logType": "LOGTYPE_YOU_WANT_TO_BRING",
"gcsSettings": {
"bucketUri": "gs://bucket/file",
"sourceType": "FOLDERS_RECURSIVE",
"sourceDeletionOption": "SOURCE_DELETION_NEVER"
}
}
}
AMAZON_S3
| データ ソース | 取り込み スケジュール | details.feedSourceType
|
details.logType
|
|---|---|---|---|
| Amazon シンプル ストレージ サービス バケット | 15 分ごと | AMAZON_S3
|
互換性のあるログタイプを取得するには、フィード スキーマの API リファレンスをご覧ください。 |
前提条件
- S3 バケットを作成します。
- プログラムによるアクセス用のセキュリティ キーを作成する。
タイプ固有のリクエスト フィールド
| フィールド | 必須 | Description |
|---|---|---|
details.amazonS3Settings.s3Uri |
○ | 取り込む S3 URI。 |
details.amazonS3Settings.sourceType |
○ | URI で示されるファイルの種類。指定できる値は次のとおりです。
|
details.amazonS3Settings.sourceDeletionOption |
○ | Chronicle への転送後にソースファイルを削除するかどうか。これにより、ストレージ費用を削減できます。指定できる値は次のとおりです。
|
details.amazonS3Settings.authentication.region |
○ | S3 バケットが存在するリージョン。リージョンの一覧については、Amazon S3 のリージョンをご覧ください。 |
details.amazonS3Settings.authentication.accessKeyId |
○ | これは、Amazon IAM アカウントに関連付けられた 20 文字の ID です。 |
details.amazonS3Settings.authentication.secretAccessKey |
○ | これは、Amazon IAM アカウントに関連付けられた 40 文字のアクセスキーです。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "AMAZON_S3",
"logType": "LOGTYPE_YOU_WANT_TO_BRING",
"amazonS3Settings": {
"s3Uri": "s3://uri/to/file",
"sourceType": "FILES",
"sourceDeletionOption": "SOURCE_DELETION_NEVER",
"authentication": {
"region": "US_EAST_1",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"secretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
},
}
}
}
Amazon S3 のリージョン
| AWS リージョン | AWS リージョン コード | authentication.region |
|---|---|---|
| アジア太平洋(ムンバイ) | ap-south-1 | AP_SOUTH_1 |
| アジア太平洋(ソウル) | ap-northeast-2 | AP_NORTHEAST_2 |
| アジア太平洋(シンガポール) | ap-southeast-1 | AP_SOUTHEAST_1 |
| アジア太平洋(シドニー) | ap-southeast-2 | AP_SOUTHEAST_2 |
| アジア太平洋(東京) | ap-northeast-1 | AP_NORTHEAST_1 |
| AWS GovCloud(米国東部) | us-gov-east-1 | US_GOV_EAST_1 |
| AWS GovCloud(米国西部) | us-gov-west-1 | US_GOV_CLOUD |
| カナダ(中央) | ca-central-1 | CA_CENTRAL_1 |
| 中国(北京) | cn-north-1 | CN_NORTH_1 |
| 中国(寧夏) | cn-northwest-1 | CN_NORTHWEST_1 |
| ヨーロッパ(フランクフルト) | eu-central-1 | EU_CENTRAL_1 |
| ヨーロッパ(アイルランド) | eu-west-1 | EU_WEST_1 |
| ヨーロッパ(ロンドン) | eu-west-2 | EU_WEST_2 |
| ヨーロッパ(パリ) | eu-west-3 | EU_WEST_3 |
| ヨーロッパ(ストックホルム) | eu-north-1 | EU_NORTH_1 |
| 南アメリカ(サンパウロ) | sa-east-1 | SA_EAST_1 |
| 米国東部(北バージニア) | us-east-1 | US_EAST_1 |
| 米国東部(オハイオ) | us-east-2 | US_EAST_2 |
| 米国西部(北カリフォルニア) | us-west-1 | US_WEST_1 |
| 米国西部(オレゴン) | us-west-2 | US_WEST_2 |
AMAZON_SQS
| Data source | details.feedSourceType |
details.logType |
|---|---|---|
| Amazon シンプル キュー サービス キューに通知を送信する Amazon シンプル ストレージ サービス バケット | AMAZON_SQS
|
互換性のあるログタイプを取得するには、フィード スキーマの API リファレンスをご覧ください。 |
Amazon はモニタリング対象 S3 バケットからの通知を含む SQS キューをサポートしており、Chronicle は SQS キューからこれらの通知を読み取って、対応するファイルを S3 バケットから pull できます。これは実質的に、Amazon S3 フィードの「push ベース」のバージョンであり、スループットの向上のために活用できます。
ポリシーを適用する際は、sqs:DeleteMessage が含まれていることを確認してください。SQS キューに sqs:DeleteMessage 権限が接続されていない場合、Chronicle はメッセージを削除できません。すべてのメッセージは AWS 側に蓄積され、Chronicle が同じファイルを繰り返し転送しようとするため、遅延が発生します。
前提条件
- S3 バケットを作成します。
- SQS キューを作成します。
- キューは、FIFO キューではなく標準キューである必要があります。
- SQS キューに書き込むように S3 バケットに通知を設定します。
- 必ずアクセス ポリシーを接続してください。
- SQS キューと S3 バケットの両方にアクセスするために使用されるアクセスキーを作成します。
タイプ固有のリクエスト フィールド
| フィールド | 必須 | Description |
|---|---|---|
details.amazonSqsSettings.queue |
○ | SQS キュー名。 |
details.amazonSqsSettings.region |
○ | SQS キューと S3 バケットが存在するリージョン。リージョンの一覧については、Amazon S3 のリージョンをご覧ください。 |
details.amazonSqsSettings.accountNumber |
○ | SQS キューと S3 バケットのアカウント番号。 |
details.amazonSqsSettings.sourceDeletionOption |
○ | Chronicle への転送後に S3 バケット内のソースファイルを削除するかどうか。これにより、ストレージ費用を削減できます。指定できる値は次のとおりです。
|
details.amazonSqsSettings.authentication.sqsAccessKeySecretAuth.accessKeyId |
○ | これは、Amazon IAM アカウントに関連付けられた 20 文字の ID です。 |
details.amazonSqsSettings.authentication.sqsAccessKeySecretAuth.secretAccessKey |
○ | これは、Amazon IAM アカウントに関連付けられた 40 文字のアクセスキーです。 |
details.amazonSqsSettings.authentication.additionalS3AccessKeySecretAuth.accessKeyId |
いいえ | これは、Amazon IAM アカウントに関連付けられた 20 文字の ID です。S3 バケットに対して別のアクセスキーを使用する場合にのみ指定します。 |
details.amazonSqsSettings.authentication.additionalS3AccessKeySecretAuth.secretAccessKey |
いいえ | これは、Amazon IAM アカウントに関連付けられた 40 文字のアクセスキーです。S3 バケットに対して別のアクセスキーを使用する場合にのみ指定します。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "AMAZON_SQS",
"logType": "LOGTYPE_YOU_WANT_TO_BRING",
"amazonSqsSettings": {
"queue": "cs-prod-canon-queue-01234abc56de789f",
"region": "US_EAST_1",
"accountNumber": "123456789012",
"sourceDeletionOption": "SOURCE_DELETION_NEVER"
"authentication": {
"sqsAccessKeySecretAuth": {
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"secretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
},
},
}
}
}
AZURE_BLOBSTORE
| データ ソース | 取り込み スケジュール | details.feedSourceType
|
details.logType
|
|---|---|---|---|
| Microsoft Azure Blob ストレージ コンテナ | 15 分ごと | AZURE_BLOBSTORE
|
互換性のあるログタイプを取得するには、フィード スキーマの API リファレンスをご覧ください。 |
前提条件
次のいずれかが必要になります。
タイプ固有のリクエスト フィールド
| フィールド | 必須 | Description |
|---|---|---|
details.azureBlobStoreSettings.azureUri |
○ | Azure Blob ストレージ blob またはコンテナを指す URI。 |
details.azureBlobStoreSettings.sourceType |
○ | URI で示されるオブジェクトのタイプ。指定できる値は次のとおりです。
|
details.azureBlobStoreSettings.sourceDeletionOption |
○ | ソースファイルの削除は Azure ではサポートされていません。このフィールドの値は SOURCE_DELETION_NEVER に設定する必要があります。 |
details.azureBlobStoreSettings.authentication.sharedKey |
いいえ | Azure Blob ストレージへのアクセスが認可された共有キー(base64 でエンコードされた 512 ビットのランダムな文字列)。SAS トークンを指定しない場合は必須です。 |
details.azureBlobStoreSettings.authentication.sasToken |
いいえ | Azure Blob ストレージコンテナへのアクセスが承認された共有アクセス署名。 |
Azure URI ソースタイプ
Azure URI を指定する場合は、URI で示されるオブジェクトの種類も指定する必要があります。
details.sourceType |
ソースタイプ |
|---|---|
FILES
|
この URI は、フィードが実行されるたびに取り込まれる 1 つの blob を指します。 |
FOLDERS
|
URI はディレクトリを指します。ディレクトリ内のすべてのファイルは、フィードが実行されるたびに取り込まれます。 |
FOLDERS_RECURSIVE |
URI は、Blob ストレージコンテナを指します。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "AZURE_BLOBSTORE",
"logType": "LOGTYPE_YOU_WANT_TO_BRING",
"azureBlobStoreSettings": {
"azureUri": "https://myaccount.blob.core.windows.net/logging",
"sourceType": "FOLDERS_RECURSIVE",
"sourceDeletionOption": "SOURCE_DELETION_NEVER"
"authentication": {
"sharedKey": "Ab12CyDEFG3HI45JklMnopQrs00TU6xVw7xYZ8AbcdeFgHioJkL0MnoPqRsTUvWxYZaBCdEFg9hijKlm0N12pqR==",
},
}
}
}
HTTP
| データ ソース | 取り込み スケジュール | details.feedSourceType
|
details.logType
|
|---|---|---|---|
| ファイルは、HTTP リクエストによってオープン インターネット経由で利用可能です。 | 15 分ごと | HTTP
|
互換性のあるログタイプを取得するには、フィード スキーマの API リファレンスをご覧ください。 |
警告: API からのデータ収集に HTTP タイプを使用しないでください。サポートされている以下の API のフィードタイプをご覧ください。
タイプ固有のリクエスト フィールド
| フィールド | 必須 | Description |
|---|---|---|
details.httpSettings.uri |
○ | 1 つのファイルまたはファイルのコレクションを指す URI。 |
details.httpSettings.sourceType |
○ | URI で示されるファイルの種類。指定できる値は次のとおりです。
|
details.httpSettings.sourceDeletionOption |
○ | Chronicle への転送後にソースファイルを削除するかどうか。これにより、ストレージ費用を削減できます。指定できる値は次のとおりです。
|
フィード作成リクエストの例
{
"details": {
"feedSourceType": "HTTP",
"logType": "LOGTYPE_YOU_WANT_TO_BRING",
"httpSettings": {
"uri": "https://url.com/myfile",
"sourceType": "FILES",
"sourceDeletionOption": "SOURCE_DELETION_NEVER"
}
}
}
ログタイプ別の構成
次の表に、Chronicle が API フィード ソースタイプ(つまり、サードパーティの API からのデータの取り込み)に対してサポートされているログタイプを示します。
ログタイプが Chronicle パーサーをサポートしている場合、取り込まれたデータは未加工ログデータとともに Chronicle UDM 形式で保存されます。
データソース名をクリックすると、ログタイプの詳しいリファレンス情報、前提条件、API の例が表示されます。
他のログタイプとフィード ソースタイプの前提条件については、前提条件をご覧ください。フィードの概要については、データフィードについてをご覧ください。
| データソース | ログタイプ | Chronicle パーサーのサポート |
|---|---|---|
| Anomali ThreatStream | ANOMALI_IOC |
○ |
| CrowdStrike の検出のモニタリング | CS_DETECTS |
○ |
| Duo 認証ログ | DUO_AUTH |
○ |
| Duo ユーザー | DUO_USER_CONTEXT |
○ |
| Fidelis Cloud Passage イベント | CLOUD_PASSAGE |
○ |
| Fox-IT | FOX_IT_STIX |
いいえ |
| Google Cloud Identity デバイス | GCP_CLOUDIDENTITY_DEVICES |
○ |
| Google Cloud Identity デバイスのユーザー | GCP_CLOUDIDENTITY_DEVICEUSERS |
○ |
| Google Workspace のアクティビティ | WORKSPACE_ACTIVITY |
○ |
| Google Workspace アラート | WORKSPACE_ALERTS |
○ |
| Google Workspace Chrome | WORKSPACE_CHROMEOS |
○ |
| Google Workspace のグループ | WORKSPACE_GROUPS |
○ |
| Google Workspace モバイル | WORKSPACE_MOBILE |
○ |
| Google Workspace の権限 | WORKSPACE_PRIVILEGES |
○ |
| Google Workspace ユーザー | WORKSPACE_USERS |
○ |
| Imperva | IMPERVA_WAF |
○ |
| Microsoft Azure AD ディレクトリの監査 | AZURE_AD_AUDIT | ○ |
| Microsoft Azure AD コンテキスト | AZURE_AD_CONTEXT |
○ |
| Microsoft Azure AD ログイン | AZURE_AD |
○ |
| クラウド アラート用の Microsoft Azure Defender | MICROSOFT_SECURITY_CENTER_ALERT |
いいえ |
| Microsoft Azure MDM Intune 監査イベント | AZURE_MDM_INTUNE |
○ |
| Microsoft Graph Security API | MICROSOFT_GRAPH_ALERT |
○ |
| Microsoft 365 管理アクティビティ | OFFICE_365 |
○ |
| Mimecast Secure メール ゲートウェイ | MIMECAST_MAIL |
○ |
| Netskope のアラート | NETSKOPE_ALERT |
○ |
| Okta システムログ | OKTA |
○ |
| Okta ユーザー | OKTA_USER_CONTEXT |
○ |
| Palo Alto Networks 自動フォーカス | PAN_IOC |
○ |
| Palo Alto Networks Cortex XDR | CORTEX_XDR |
○ |
| Palo Alto Networks Prisma Cloud Audit Logs | PAN_PRISMA_CLOUD |
○ |
| Proofpoint on Demand | PROOFPOINT_ON_DEMAND |
○ |
| Proofpoint TAP | PROOFPOINT_MAIL |
○ |
| Qualys VM | QUALYS_VM |
○ |
| Qualys スキャン | QUALYS_SCAN |
いいえ |
| Rapid7 InsightVM | RAPID7_INSIGHT |
○ |
| Recorded Future | RECORDED_FUTURE_IOC |
○ |
| RH-ISAC | RH_ISAC_IOC |
○ |
| Salesforce | SALESFORCE |
○ |
| SentinelOne のアラート | SENTINELONE_ALERT |
○ |
| ServiceNow CMDB | SERVICENOW_CMDB |
○ |
| Symantec Event Export | SYMANTEC_EVENT_EXPORT |
○ |
| Thinkst Canary | THINKST_CANARY |
○ |
| ThreatConnect | THREATCONNECT_IOC |
○ |
| Workday | WORKDAY |
○ |
| Workday 監査ログ | WORKDAY_AUDIT |
いいえ |
| AWS EC2 ホスト | AWS_EC2_HOSTS |
○ |
| AWS EC2 インスタンス | AWS_EC2_INSTANCES |
○ |
| AWS EC2 VPC | AWS_EC2_VPCS |
○ |
| AWS Identity and Access Management | AWS_IAM |
○ |
Anomali ThreatStream
このセクションでは、ANOMALI_IOC ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Anomali ThreatStream のドキュメントをご覧ください。
| Data source | 取り込みスケジュール | details.feedSourceType |
details.logType |
|---|---|---|---|
| api.threatstream.com/api/v2/intelligence | 1 分ごと | API |
ANOMALI_IOC |
前提条件
- すべての必須リクエスト フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.anomaliSettings.authentication.user |
○ | ユーザー名 |
details.anomaliSettings.authentication.secret |
○ | API キー |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "ANOMALI_IOC",
"anomaliSettings": {
"authentication": {
"user": "USERNAME",
"secret": "APIKEY"
},
}
}
}
AWS EC2 ホスト
このセクションでは、AWS_EC2_HOSTS ログタイプの API リファレンスの詳細について説明します。
前提条件
- すべての必須リクエスト フィールドの値を取得します。
- 次の必要な権限を取得します。
-
認証情報を認証に使用するユーザーには、
AmazonEC2ReadOnlyAccess権限が必要です。
-
認証情報を認証に使用するユーザーには、
タイプ固有のリクエスト フィールド
次の表は、AWS_EC2_HOSTS ログタイプのデータを収集するためのフィードを作成する際に必要なフィールド値を示しています。
| フィールド | 必須 | 説明 |
|---|---|---|
details.awsEc2HostsSettings.authentication.user |
○ | これは、Amazon IAM アカウントに関連付けられた 20 文字の ID です。 |
details.awsEc2HostsSettings.authentication.secret |
○ | これは、Amazon IAM アカウントに関連付けられた 40 文字のアクセスキーです。 |
フィード作成リクエストの例
{
"details": {
"awsEc2HostsSettings": {
"authentication": {
"user": "AccessKeyID",
"secret": "SecretAccessKey"
}
},
"feedSourceType": "API",
"logType": "AWS_EC2_HOSTS"
}
}
AWS EC2 インスタンス
このセクションでは、AWS_EC2_INSTANCES ログタイプの API リファレンスの詳細について説明します。
前提条件
- すべての必須リクエスト フィールドの値を取得します。
- 次の必要な権限を取得します。
-
認証情報を認証に使用するユーザーには、
AmazonEC2ReadOnlyAccess権限が必要です。
-
認証情報を認証に使用するユーザーには、
タイプ固有のリクエスト フィールド
次の表は、AWS_EC2_INSTANCES ログタイプのデータを収集するためのフィードを作成する際に必要なフィールド値を示しています。
| フィールド | 必須 | 説明 |
|---|---|---|
details.awsEc2InstancesSettings.authentication.user |
○ | これは、Amazon IAM アカウントに関連付けられた 20 文字の ID です。 |
details.awsEc2InstancesSettings.authentication.secret |
○ | これは、Amazon IAM アカウントに関連付けられた 40 文字のアクセスキーです。 |
フィード作成リクエストの例
{
"details": {
"awsEc2InstancesSettings": {
"authentication": {
"user": "AccessKeyID",
"secret": "SecretAccessKey"
}
},
"feedSourceType": "API",
"logType": "AWS_EC2_INSTANCES"
}
}
AWS EC2 VPC
このセクションでは、AWS_EC2_VPCS ログタイプの API リファレンスの詳細について説明します。
前提条件
- すべての必須リクエスト フィールドの値を取得します。
- 次の必要な権限を取得します。
-
認証情報を認証に使用するユーザーには、
AmazonEC2ReadOnlyAccess権限が必要です。
-
認証情報を認証に使用するユーザーには、
タイプ固有のリクエスト フィールド
次の表は、AWS_EC2_VPCS ログタイプのデータを収集するためのフィードを作成する際に必要なフィールド値を示しています。
| フィールド | 必須 | 説明 |
|---|---|---|
details.awsEc2VpcsSettings.authentication.user |
○ | これは、Amazon IAM アカウントに関連付けられた 20 文字の ID です。 |
details.awsEc2VpcsSettings.authentication.secret |
○ | これは、Amazon IAM アカウントに関連付けられた 40 文字のアクセスキーです。 |
フィード作成リクエストの例
{
"details": {
"awsEc2VpcsSettings": {
"authentication": {
"user": "AccessKeyID",
"secret": "SecretAccessKey"
}
},
"feedSourceType": "API",
"logType": "AWS_EC2_VPCS"
}
}
AWS の ID とアクセス管理
このセクションでは、AWS_IAM ログタイプの API リファレンスの詳細について説明します。
前提条件
- すべての必須リクエスト フィールドの値を取得します。
- 次の必要な権限を取得します。
- 認証情報を認証に使用するユーザーには、
IAMReadOnlyAccess権限が必要です。
- 認証情報を認証に使用するユーザーには、
タイプ固有のリクエスト フィールド
次の表は、AWS_IAM ログタイプのデータを収集するためのフィードを作成する際に必要なフィールド値を示しています。
| フィールド | 必須 | 説明 |
|---|---|---|
details.awsIamSettings.authentication.user |
○ | これは、Amazon IAM アカウントに関連付けられた 20 文字の ID です。 |
details.awsIamSettings.authentication.secret |
○ | これは、Amazon IAM アカウントに関連付けられた 40 文字のアクセスキーです。 |
details.awsIamSettings.apiType |
○ | 呼び出す必要がある API(Users/Roles/Groups)。 |
フィード作成リクエストの例
{
"details": {
"awsIamSettings": {
"authentication": {
"user": "AccessKeyID",
"secret": "SecretAccessKey"
},
"apiType": "USERS"
},
"feedSourceType": "API",
"logType": "AWS_IAM"
}
}
CrowdStrike の検出のモニタリング
このセクションでは、CS_DETECTS ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、CrowdStrike の検出のモニタリングのドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
details.logType |
|---|---|---|---|
|
1 分ごと | API |
CS_DETECTS |
前提条件
- すべての必須リクエスト フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.crowdstrikeDetectsSettings.authentication.clientId |
○ | OAuth クライアント ID |
details.crowdstrikeDetectsSettings.authentication.clientSecret |
○ | OAuth クライアント シークレット |
details.crowdstrikeDetectsSettings.authentication.tokenEndpoint |
○ | 認証 URL |
details.crowdstrikeDetectsSettings.hostname |
○ | API エンドポイント URL |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "CS_DETECTS",
"crowdstrikeDetectsSettings": {
"authentication": {
"clientId": "CLIENT ID",
"clientSecret": "CLIENT SECRET",
"tokenEndpoint": "https://api.us-2.crowdstrike.com/oauth2/token"
},
"hostname": "api.crowdstrike.com"
}
}
}
Crowdstrike Feed を有効にする手順
CrowdStrike API クライアントを作成する
CrowdStrike アプリケーション内で、[サポートとリソース] > [API クライアントとキー] の順に移動して、API クライアントを作成します。
読み取り検出の権限を付与する API スコープを持つ新しい API クライアントを作成します。
[ベース URL] + [クライアント ID] + [クライアント シークレット] の値を記録します。これらの情報は、Chronicle でフィードを設定するときに必要になります。
Chronicle フィードを設定する
- Chronicle を起動し、[設定] メニューを選択します。
- 左側のペインでフィードを選択し、[新しく追加] をクリックします。
[サードパーティ API] ソースタイプと [Crowdstrike Detection Monitoring] ログタイプを選択します。
以前に CrowdStrike から収集したリクエスト パラメータを入力し、[送信] をクリックします。
フィードは、CrowdStrike インスタンスからのすべての検出結果の取得を、時系列順に開始します。6 か月以上経過した検出は破棄されます。バックフィルが完了した後(CrowdStrike の検出数によっては時間がかかることがあります)、フィードは 5 分ごとに新しい検出結果を確認します。
Duo 認証ログ
このセクションでは、DUO_AUTH ログタイプの API リファレンスの詳細について説明します。データソースについて詳しくは、Duo 認証ログのドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
API_HOSTNAME/admin/v2/logs/authentication
|
30 分おき | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.duoAuthSettings.authentication.user |
○ | Duo の認証に使用するユーザー名。 |
details.duoAuthSettings.authentication.secret |
○ | Duo への認証に使用するシークレット。 |
details.duoAuthSettings.hostname |
○ | API のインスタンスの完全修飾ドメイン名(api-myinstance.duosecurity.com など)。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "DUO_AUTH",
"duoAuthSettings": {
"authentication": {
"user": "USERNAME",
"secret": "SECRET"
},
"hostname": "api-mytenant.duosecurity.com"
}
}
}
Duo ユーザー
このセクションでは、DUO_USER_CONTEXT ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Duo ユーザーのドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
API_HOSTNAME/admin/v1/users
|
24 時間ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.duoUserContextSettings.authentication.user |
○ | Duo の認証に使用するユーザー名。 |
details.duoUserContextSettings.authentication.secret |
○ | Duo への認証に使用するシークレット。 |
details.duoUserContextSettings.hostname |
○ | API のインスタンスの完全修飾ドメイン名(api-myinstance.duosecurity.com など)。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "DUO_USER_CONTEXT",
"duoUserContextSettings": {
"authentication": {
"user": "USERNAME",
"secret": "SECRET"
},
"hostname": "api-mytenant.duosecurity.com"
}
}
}
Fidelis Cloud Passage イベント
このセクションでは、CLOUD_PASSAGE ログタイプの API リファレンスの詳細について説明します。データソースについて詳しくは、Cloud Passage イベントのドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
api.cloudpassage.com/events?event_types |
1 分ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.cloudPassageSettings.authentication.user |
○ | 認証に使用されるユーザー名。 |
details.cloudPassageSettings.authentication.secret |
○ | 認証に使用されるシークレット。 |
details.cloudPassageSettings.eventTypes |
いいえ | レスポンスに含めるイベントの種類。イベントタイプを指定しない場合は、fim_target_integrity_changed、lids_rule_failed、sca_rule_failed のイベントタイプが取得されます。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "CLOUD_PASSAGE",
"cloudPassageSettings": {
"authentication": {
"user": "api_key_id",
"secret": "api_key_secret",
}
"eventTypes": [
"fim_target_integrity_changed",
"lids_rule_failed",
"sca_rule_failed"
],
}
}
}
Fox-IT
このセクションでは、FOX_IT_STIX ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Fox-IT のドキュメントをご覧ください。
前提条件
- すべての認証フィールドと SSL フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "FOX_IT_STIX",
"foxItStixSettings": {
"authentication": {
"user": "USERNAME",
"secret": "SECRET"
},
"ssl": {
"sslCertificate": "<cert>",
"encodedPrivateKey": "key"
}
"pollServiceURI": "https://stix.fox-it.com/services/poll",
"collection": "mycollection"
}
}
}
Google Cloud Identity デバイス
このセクションでは、GCP_CLOUDIDENTITY_DEVICES ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Google Cloud Identity デバイスのドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
cloudidentity.googleapis.com/v1/devices
|
24 時間ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.googleCloudIdentityDevicesSettings.authentication.tokenEndpoint |
○ | OAuth JSON ウェブトークンを取得するためのエンドポイント。 |
details.googleCloudIdentityDevicesSettings.authentication.claims.issuer |
○ | JWT クレーム発行元(通常はクライアント ID) |
details.googleCloudIdentityDevicesSettings.authentication.claims.subject |
○ | JWT クレームの件名。通常はメール ID です。 |
details.googleCloudIdentityDevicesSettings.authentication.claims.auidence |
○ | JWT クレームがオーディエンスであること。 |
details.googleCloudIdentityDevicesSettings.authentication.rsCredentials.privateKey |
○ | PEM 形式の RSA 秘密鍵。 |
details.googleCloudIdentityDevicesSettings.apiVersion |
いいえ | デバイス情報の取得に使用する API バージョン。値は v1、v1beta1、または vx のいずれかにする必要があります。バージョンが指定されていない場合は、v1 のバージョンが使用されます。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "GCP_CLOUDIDENTITY_DEVICES",
"googleCloudIdentityDevicesSettings": {
"authentication": {
"tokenEndPoint": "jwt_token_uri",
"claims": {
"issuer": "jwt_client_email",
"subject": "user_email",
"audience": "jwt_token_uri"
},
"rsCredentials": {
"private_key": "privatekey"
}
},
"apiVersion": "v1",
}
}
}
Google Cloud Identity デバイス ユーザー
このセクションでは、GCP_CLOUDIDENTITY_DEVICEUSERS ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Google Cloud Identity のデバイス ユーザーのドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
cloudidentity.googleapis.com/v1/devices/-/deviceUsers
|
24 時間ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.googleCloudIdentityDeviceUsersSettings.authentication.tokenEndpoint |
○ | OAuth JSON ウェブトークンを取得するためのエンドポイント。 |
details.googleCloudIdentityDeviceUsersSettings.authentication.claims.issuer |
○ | JWT クレーム発行元(通常はクライアント ID) |
details.googleCloudIdentityDeviceUsersSettings.authentication.claims.subject |
○ | JWT クレームの件名。通常はメール ID です。 |
details.googleCloudIdentityDeviceUsersSettings.authentication.claims.auidence |
○ | JWT クレームがオーディエンスであること。 |
details.googleCloudIdentityDeviceUsersSettings.authentication.rsCredentials.privateKey |
○ | PEM 形式の RSA 秘密鍵。 |
details.googleCloudIdentityDeviceUsersSettings.apiVersion |
いいえ | デバイス情報の取得に使用する API バージョン。値は v1、v1beta1、または vx のいずれかにする必要があります。バージョンが指定されていない場合は、v1 のバージョンが使用されます。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "GCP_CLOUDIDENTITY_DEVICEUSERS",
"googleCloudIdentityDeviceUsersSettings": {
"authentication": {
"tokenEndPoint": "jwt_token_uri",
"claims": {
"issuer": "jwt_client_email",
"subject": "user_email",
"audience": "jwt_token_uri"
},
"rsCredentials": {
"private_key": "privatekey"
}
},
}
}
}
Google Workspace アクティビティ
このセクションでは、WORKSPACE_ACTIVITY ログタイプの API リファレンスの詳細について説明します。データソースについて詳しくは、Google Workspace アクティビティのドキュメントをご覧ください。
| Data source | 取り込みスケジュール | details.feedSourceType |
details.logType |
|---|---|---|---|
| admin.googleapis.com | 1 時間ごと | API |
WORKSPACE_ACTIVITY |
前提条件
Chronicle で Google Workspace のアクティビティを取り込むには、次のことを行う必要があります。
- Google Cloud プロジェクトで Admin SDK API を有効にします。
- Admin API に対する認証に使用するサービス アカウントを作成します。
- サービス アカウントに JSON キーを作成する
- 次の OAuth スコープを使用して、サービス アカウントのドメイン全体の委任を作成します。
- Google Workspace ユーザーを作成し、レポート管理者権限を含む管理者ロールを割り当てるか、その権限を含む カスタムロールを作成します。
- Google Workspace お客様 ID を確認する。
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.workspaceActivitySettings.authentication.tokenEndpoint |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの token_uri フィールドの値。 |
details.workspaceActivitySettings.authentication.claims.issuer |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの client_email フィールドの値。 |
details.workspaceActivitySettings.authentication.claims.subject |
○ | レポート権限を持つ Google Workspace 管理者ユーザーのメールアドレス。 |
details.workspaceActivitySettings.authentication.claims.audience |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの token_uri フィールドの値。 |
details.workspaceActivitySettings.authentication.rsCredentials.privateKey |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの private_key フィールドの値。リテラルの改行文字(\n)は復帰文字に置き換える必要があります。また、フィールド名は rsaCredentials ではなく rsCredentials です。 |
details.workspaceActivitySettings.workspaceCustomerId |
○ | Google Workspace お客様 ID。お客様 ID の先頭は「C」にする必要があります。お客様 ID の表示は、Google 管理コンソールの場所によって異なる場合があります。お客様 ID の先頭に「C」がない場合は、先頭に「C」を付加します。 |
details.workspaceActivitySettings.applications |
○ | アクティビティを収集する Google Workspace アプリケーション。有効な値については、以下をご覧ください。 |
Google Workspace アプリケーション
アクティビティは 1 つ以上のアプリケーションに関連付けられます。Chronicle がサポートするアプリケーションは次のとおりです。
details.workspaceActivitySettings.applications |
説明 |
|---|---|
access_transparency |
アクセスの透明性に関するログイベント |
admin |
管理ログイベント |
calendar |
カレンダーのログイベント |
chat |
Chat のログイベント |
drive |
ドライブのログイベント |
gcp |
Google Cloud のアクティビティ イベント |
gplus |
Currents のログイベント |
groups |
グループのログイベント |
groups_enterprise |
Groups Enterprise のログイベント |
jamboard |
Jamboard のログイベント |
login |
ユーザーのログイベント |
meet |
Meet のログイベント |
mobile |
デバイスのログイベント |
rules |
ルールのログのイベント(ベータ版) |
saml |
SAML ログイベント |
token |
OAuth のログイベント |
user_accounts |
ユーザーのログイベント |
context_aware_access |
コンテキストアウェア アクセスのログイベント |
chrome |
Chrome のログイベント |
data_studio |
Looker Studio のログイベント |
keep |
Keep のログイベント |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "WORKSPACE_ACTIVITY",
"workspaceActivitySettings": {
"authentication": {
"tokenEndpoint": "https://accounts.google.com/o/oauth2/token",
"claims": {
"issuer": "service-account@project.iam.gserviceaccount.com",
"subject": "user@domain.com",
"audience": "https://accounts.google.com/o/oauth2/token"
},
"rsCredentials": {
"privateKey": "-----BEGIN PRIVATE KEY-----
ABCDeFGHIJKLMnopqrsT0u1VWXY...z/abCdefgHIJK+lMN2o345P=
-----END PRIVATE KEY-----"
},
},
"workspaceCustomerId": "C1e2x3ample",
"applications": [
"admin",
"groups",
"mobile"
],
}
}
}
Google Workspace アラート
このセクションでは、WORKSPACE_ALERTS ログタイプの API リファレンスの詳細について説明します。データソースについて詳しくは、Google Workspace アラートのドキュメントをご覧ください。
| Data source | 取り込みスケジュール | details.feedSourceType |
details.logType |
|---|---|---|---|
| alertcenter.googleapis.com | 1 時間ごと | API |
WORKSPACE_ALERTS |
前提条件
Chronicle で Google Workspace アラートを取り込むには、次の手順を行います。
- Google Cloud プロジェクトで Alert Center API を有効にします。
- Alert Center API に対する認証に使用するサービス アカウントを作成します。
- サービス アカウントに JSON キーを作成する
- 次の OAuth スコープを使用して、サービス アカウントのドメイン全体の委任を作成します。
- Google Workspace ユーザーを作成し、アラート センターの閲覧アクセス権を含む管理者ロールを割り当てるか、その権限を含むカスタムロールを作成します。
- Google Workspace お客様 ID を確認する。
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.workspaceAlertsSettings.authentication.tokenEndpoint |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの token_uri フィールドの値。 |
details.workspaceAlertsSettings.authentication.claims.issuer |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの client_email フィールドの値。 |
details.workspaceAlertsSettings.authentication.claims.subject |
○ | アラート センターの閲覧権限を持つ Google Workspace 管理者ユーザーのメールアドレス。 |
details.workspaceAlertsSettings.authentication.claims.audience |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの token_uri フィールドの値。 |
details.workspaceAlertsSettings.authentication.rsCredentials.privateKey |
○ | Alert Center API にアクセスするために作成されたサービス アカウントの JSON キーの private_key フィールドの値。リテラルの改行文字(\n)は復帰文字に置き換える必要があります。また、フィールド名は rsaCredentials ではなく rsCredentials です。 |
details.workspaceAlertsSettings.workspaceCustomerId |
○ | Google Workspace お客様 ID。お客様 ID の先頭に「C」は使用できないことに注意してください。お客様 ID の表示は、Google 管理コンソールの場所によって異なる場合があります。お客様 ID の先頭に「C」が含まれている場合は、リクエストに含める前に削除します。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "WORKSPACE_ALERTS",
"workspaceAlertsSettings": {
"authentication": {
"tokenEndpoint": "https://accounts.google.com/o/oauth2/token",
"claims": {
"issuer": "service-account@project.iam.gserviceaccount.com",
"subject": "user@domain.com",
"audience": "https://accounts.google.com/o/oauth2/token"
},
"rsCredentials": {
"privateKey": "-----BEGIN PRIVATE KEY-----
ABCDeFGHIJKLMnopqrsT0u1VWXY...z/abCdefgHIJK+lMN2o345P=
-----END PRIVATE KEY-----"
},
},
"workspaceCustomerId": "1e2x3ample",
}
}
}
Google Workspace ChromeOS デバイス
このセクションでは、WORKSPACE_CHROMEOS ログタイプの API リファレンスの詳細について説明します。データソースについて詳しくは、Google Workspace ChromeOS デバイスのドキュメントをご覧ください。
| Data source | 取り込みスケジュール | details.feedSourceType |
details.logType |
|---|---|---|---|
| admin.googleapis.com | 24 時間ごと | API |
WORKSPACE_CHROMEOS |
前提条件
Chronicle で Google Workspace ChromeOS デバイスを取り込むには、次の手順を行います。
- Google Cloud プロジェクトで Admin SDK API を有効にします。
- Admin API に対する認証に使用するサービス アカウントを作成します。
- サービス アカウントに JSON キーを作成する
- 次の OAuth スコープを使用して、サービス アカウントのドメイン全体の委任を作成します。
- Google Workspace ユーザーを作成し、Chrome 管理設定へのアクセス権を含む管理者ロールを割り当てるか、Chrome 管理設定へのアクセス権を含むカスタムロールを作成します。
- Google Workspace お客様 ID を確認する。
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.workspaceChromeOsSettings.authentication.tokenEndpoint |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの token_uri フィールドの値。 |
details.workspaceChromeOsSettings.authentication.claims.issuer |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの client_email フィールドの値。 |
details.workspaceChromeOsSettings.authentication.claims.subject |
○ | レポート権限を持つ Google Workspace 管理者ユーザーのメールアドレス。 |
details.workspaceChromeOsSettings.authentication.claims.audience |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの token_uri フィールドの値。 |
details.workspaceChromeOsSettings.authentication.rsCredentials.privateKey |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの private_key フィールドの値。リテラルの改行文字(\n)を復帰文字に置き換えます。フィールド名は rsCredentials であり、rsaCredentials ではありません。 |
details.workspaceChromeOsSettings.workspaceCustomerId |
○ | Google Workspace お客様 ID。お客様 ID の先頭は「C」にする必要があります。お客様 ID の表示は、Google 管理コンソールの場所によって異なる場合があります。お客様 ID の先頭に「C」がない場合は、先頭に「C」を付加します。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "WORKSPACE_CHROMEOS",
"workspaceChromeOsSettings": {
"authentication": {
"tokenEndpoint": "https://accounts.google.com/o/oauth2/token",
"claims": {
"issuer": "service-account@project.iam.gserviceaccount.com",
"subject": "user@domain.com",
"audience": "https://accounts.google.com/o/oauth2/token"
},
"rsCredentials": {
"privateKey": "-----BEGIN PRIVATE KEY-----
ABCDeFGHIJKLMnopqrsT0u1VWXY...z/abCdefgHIJK+lMN2o345P=
-----END PRIVATE KEY-----"
},
},
"workspaceCustomerId": "C1e2x3ample",
}
}
}
Google Workspace のグループ
このセクションでは、WORKSPACE_GROUPS ログタイプの API リファレンスの詳細について説明します。データソースについて詳しくは、Google Workspace グループのドキュメントをご覧ください。
| Data source | 取り込みスケジュール | details.feedSourceType |
details.logType |
|---|---|---|---|
| admin.googleapis.com | 24 時間ごと | API |
WORKSPACE_GROUPS |
前提条件
Chronicle で Google Workspace ChromeOS デバイスを取り込むには、次の手順を行います。
- Google Cloud プロジェクトで Admin SDK API を有効にします。
- Admin API に対する認証に使用するサービス アカウントを作成します。
- サービス アカウントに JSON キーを作成する
- 次の OAuth スコープを使用して、サービス アカウントのドメイン全体の委任を作成します。
- Google Workspace ユーザーを作成し、Admin API Group への読み取り権限を含む管理者ロールを割り当てるか、Chrome 管理設定へのアクセス権を含むカスタムロールを作成します。
- Google Workspace お客様 ID を確認する。
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.workspaceGroupsSettings.authentication.tokenEndpoint |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの token_uri フィールドの値。 |
details.workspaceGroupsSettings.authentication.claims.issuer |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの client_email フィールドの値。 |
details.workspaceGroupsSettings.authentication.claims.subject |
○ | 管理 API グループの読み取り権限を持つ Google Workspace 管理者ユーザーのメールアドレス。 |
details.workspaceGroupsSettings.authentication.claims.audience |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの token_uri フィールドの値。 |
details.workspaceGroupsSettings.authentication.rsCredentials.privateKey |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの private_key フィールドの値。リテラルの改行文字(\n)は復帰文字に置き換える必要があります。フィールド名は rsaCredentials ではなく rsCredentials です。 |
details.workspaceGroupsSettings.workspaceCustomerId |
○ | Google Workspace お客様 ID。お客様 ID の先頭は「C」にする必要があります。お客様 ID の表示は、Google 管理コンソールの場所によって異なる場合があります。お客様 ID の先頭に「C」がない場合は、先頭に「C」を付加します。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "WORKSPACE_GROUPS",
"workspaceGroupsSettings": {
"authentication": {
"tokenEndpoint": "https://accounts.google.com/o/oauth2/token",
"claims": {
"issuer": "service-account@project.iam.gserviceaccount.com",
"subject": "user@domain.com",
"audience": "https://accounts.google.com/o/oauth2/token"
},
"rsCredentials": {
"privateKey": "-----BEGIN PRIVATE KEY-----
ABCDeFGHIJKLMnopqrsT0u1VWXY...z/abCdefgHIJK+lMN2o345P=
-----END PRIVATE KEY-----"
},
},
"workspaceCustomerId": "C1e2x3ample",
}
}
}
Google Workspace のモバイル デバイス
このセクションでは、WORKSPACE_MOBILE ログタイプの API リファレンスの詳細について説明します。データソースについて詳しくは、Google Workspace のモバイル デバイスのドキュメントをご覧ください。
| Data source | 取り込みスケジュール | details.feedSourceType |
details.logType |
|---|---|---|---|
| admin.googleapis.com | 24 時間ごと | API |
WORKSPACE_GROUPS |
前提条件
Chronicle で Google Workspace ChromeOS デバイスを取り込むには、次の手順を行います。
- Google Cloud プロジェクトで Admin SDK API を有効にします。
- Admin API に対する認証に使用するサービス アカウントを作成します。
- サービス アカウントに JSON キーを作成する
- 次の OAuth スコープを使用して、サービス アカウントのドメイン全体の委任を作成します。
- Google Workspace ユーザーを作成し、Admin API Group への読み取り権限を含む管理者ロールを割り当てるか、Chrome 管理設定へのアクセス権を含むカスタムロールを作成します。
- Google Workspace お客様 ID を確認する。
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.workspaceGroupsSettings.authentication.tokenEndpoint |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの token_uri フィールドの値。 |
details.workspaceGroupsSettings.authentication.claims.issuer |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの client_email フィールドの値。 |
details.workspaceGroupsSettings.authentication.claims.subject |
○ | 管理 API グループの読み取り権限を持つ Google Workspace 管理者ユーザーのメールアドレス。 |
details.workspaceGroupsSettings.authentication.claims.audience |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの token_uri フィールドの値。 |
details.workspaceGroupsSettings.authentication.rsCredentials.privateKey |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの private_key フィールドの値。リテラルの改行文字(\n)は復帰文字に置き換える必要があります。フィールド名は rsaCredentials ではなく rsCredentials です。 |
details.workspaceGroupsSettings.workspaceCustomerId |
○ | Google Workspace お客様 ID。お客様 ID の先頭は「C」にする必要があります。お客様 ID の表示は、Google 管理コンソールの場所によって異なる場合があります。お客様 ID の先頭に「C」がない場合は、先頭に「C」を付加します。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "WORKSPACE_MOBILE",
"workspaceMobileSettings": {
"authentication": {
"tokenEndpoint": "https://accounts.google.com/o/oauth2/token",
"claims": {
"issuer": "service-account@project.iam.gserviceaccount.com",
"subject": "user@domain.com",
"audience": "https://accounts.google.com/o/oauth2/token"
},
"rsCredentials": {
"privateKey": "-----BEGIN PRIVATE KEY-----
ABCDeFGHIJKLMnopqrsT0u1VWXY...z/abCdefgHIJK+lMN2o345P=
-----END PRIVATE KEY-----"
},
},
"workspaceCustomerId": "C1e2x3ample",
}
}
}
Google Workspace の権限
このセクションでは、WORKSPACE_PRIVILEGES ログタイプの API リファレンスの詳細について説明します。データソースについて詳しくは、Google Workspace の権限のドキュメントをご覧ください。
| Data source | 取り込みスケジュール | details.feedSourceType |
details.logType |
|---|---|---|---|
| admin.googleapis.com | 24 時間ごと | API |
WORKSPACE_PRIVILEGES |
前提条件
Chronicle で Google Workspace ChromeOS デバイスを取り込むには、次の手順を行います。
- Google Cloud プロジェクトで Admin SDK API を有効にします。
- Admin API に対する認証に使用するサービス アカウントを作成します。
- サービス アカウントに JSON キーを作成する
- 次の OAuth スコープを使用して、サービス アカウントのドメイン全体の委任を作成します。
- Google Workspace ユーザーを作成し、特権管理者のロールを割り当てます。
- Google Workspace お客様 ID を確認する。
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.workspacePrivilegesSettings.authentication.tokenEndpoint |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの token_uri フィールドの値。 |
details.workspacePrivilegesSettings.authentication.claims.issuer |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの client_email フィールドの値。 |
details.workspacePrivilegesSettings.authentication.claims.subject |
○ | Google Workspace 管理者ユーザーのメールアドレス。 |
details.workspacePrivilegesSettings.authentication.claims.audience |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの token_uri フィールドの値。 |
details.workspacePrivilegesSettings.authentication.rsCredentials.privateKey |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの private_key フィールドの値。リテラルの改行文字(\n)は復帰文字に置き換える必要があります。フィールド名は rsaCredentials ではなく rsCredentials です。 |
details.workspacePrivilegesSettings.workspaceCustomerId |
○ | Google Workspace お客様 ID。お客様 ID の先頭は「C」にする必要があります。お客様 ID の表示は、Google 管理コンソールの場所によって異なる場合があります。お客様 ID の先頭に「C」がない場合は、先頭に「C」を付加します。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "WORKSPACE_PRIVILEGES",
"workspacePrivilegesSettings": {
"authentication": {
"tokenEndpoint": "https://accounts.google.com/o/oauth2/token",
"claims": {
"issuer": "service-account@project.iam.gserviceaccount.com",
"subject": "user@domain.com",
"audience": "https://accounts.google.com/o/oauth2/token"
},
"rsCredentials": {
"privateKey": "-----BEGIN PRIVATE KEY-----
ABCDeFGHIJKLMnopqrsT0u1VWXY...z/abCdefgHIJK+lMN2o345P=
-----END PRIVATE KEY-----"
},
},
"workspaceCustomerId": "C1e2x3ample",
}
}
}
Google Workspace ユーザー
このセクションでは、WORKSPACE_USERS ログタイプの API リファレンスの詳細について説明します。データソースについて詳しくは、Google Workspace ユーザーのドキュメントをご覧ください。
| Data source | 取り込みスケジュール | details.feedSourceType |
details.logType |
|---|---|---|---|
| admin.googleapis.com | 24 時間ごと | API |
WORKSPACE_USERS |
前提条件
Chronicle で Google Workspace ChromeOS デバイスを取り込むには、次の手順を行います。
- Google Cloud プロジェクトで Admin SDK API を有効にします。
- Admin API に対する認証に使用するサービス アカウントを作成します。
- サービス アカウントに JSON キーを作成する
- 次の OAuth スコープを使用して、サービス アカウントのドメイン全体の委任を作成します。
- Google Workspace ユーザーを作成し、Admin API ユーザーへの読み取り権限を含む管理者ロールを割り当てるか、Chrome 管理設定へのアクセス権を含むカスタムロールを作成します。
- Google Workspace お客様 ID を確認する。
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.workspaceUserSettings.authentication.tokenEndpoint |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの token_uri フィールドの値。 |
details.workspaceUserSettings.authentication.claims.issuer |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの client_email フィールドの値。 |
details.workspaceUserSettings.authentication.claims.subject |
○ | 管理 API ユーザー読み取り権限を持つ Google Workspace 管理者ユーザーのメールアドレス。 |
details.workspaceUserSettings.authentication.claims.audience |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの token_uri フィールドの値。 |
details.workspaceUserSettings.authentication.rsCredentials.privateKey |
○ | 管理 API にアクセスするために作成されたサービス アカウントの JSON キーの private_key フィールドの値。リテラルの改行文字(\n)は復帰文字に置き換える必要があります。フィールド名は rsaCredentials ではなく rsCredentials です。 |
details.workspaceUserSettings.workspaceCustomerId |
○ | Google Workspace お客様 ID。お客様 ID の先頭は「C」にする必要があります。お客様 ID の表示は、Google 管理コンソールの場所によって異なる場合があります。お客様 ID の先頭に「C」がない場合は、先頭に「C」を付加します。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "WORKSPACE_USERS",
"workspaceUserSettings": {
"authentication": {
"tokenEndpoint": "https://accounts.google.com/o/oauth2/token",
"claims": {
"issuer": "service-account@project.iam.gserviceaccount.com",
"subject": "user@domain.com",
"audience": "https://accounts.google.com/o/oauth2/token"
},
"rsCredentials": {
"privateKey": "-----BEGIN PRIVATE KEY-----
ABCDeFGHIJKLMnopqrsT0u1VWXY...z/abCdefgHIJK+lMN2o345P=
-----END PRIVATE KEY-----"
},
},
"workspaceCustomerId": "C1e2x3ample",
}
}
}
Imperva
このセクションでは、IMPERVA_WAF ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Imperva のドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
api.imperva.com/audit-trail/v2/events
|
24 時間ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.impervaWafSettings.authentication.headerKeyValues |
○ | api.imperva.com を認証するために使用される HTTP ヘッダー。 |
任意の項目
initialStartTime
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "IMPERVA_WAF",
"impervaWafSettings": {
"authentication": {
"headerKeyValues": [{
"key": "key"
"value": "value"
}],
}
}
}
}
Microsoft Azure Active ディレクトリの監査
このセクションでは、AZURE_AD_AUDIT ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Azure Active ディレクトリの監査のドキュメントをご覧ください。
| Data source | 取り込みスケジュール | details.feedSourceType |
details.logType |
|---|---|---|---|
| graph.microsoft.com | 1 分ごと | API |
AZURE_AD_AUDIT |
前提条件
- Azure AD Premium P1 または P2 ライセンスを取得します。詳しくは、必要なライセンスをご覧ください。
- すべての必須リクエスト フィールドの値を取得します。なお、OAuth 2.0 のトークン エンドポイントは https://login.microsoftonline.com/{tenantId}/oauth2/token です。
- 次の必要な権限を取得します。
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.azureAdAuditSettings.authentication.clientId |
○ | OAuth クライアント ID(UUID) |
details.azureAdAuditSettings.authentication.clientSecret |
○ | OAuth クライアント シークレット |
details.azureAdAuditSettings.tenantId |
○ | テナント ID(UUID) |
details.azureAdAuditSettings.hostname |
いいえ | API のフルパス、デフォルト値 : "graph.microsoft.com/v1.0/auditLogs/directoryAudits" |
curl コマンドを使用して認証とフィードをテストする
フィードを作成する前に、curl コマンドを使用してエンドポイントをテストします。
認証エンドポイントをテストするには、次の curl コマンドを使用します。
curl -X POST -d 'grant_type=client_credentials&client_id=CLIENT_ID&client_secret=CLIENT_SECRET&resource=https%3A%2F%2Fgraph.microsoft.com%2F'
https://login.microsoftonline.com/TENANT_ID/oauth2/token
次のように置き換えます。
CLIENT_ID: OAuth クライアント ID(UUID)。CLIENT_SECRET: OAuth クライアント シークレット。TENANT_ID: テナント ID(UUID)。
Microsoft Azure フィードをテストするには、次の curl コマンドを使用します。
curl -H 'Accept: application/json' -H "Authorization: Bearer ACCESS_TOKEN"
"https://graph.microsoft.com/v1.0/auditLogs/signIns"
ACCESS_TOKEN は、前のステップで取得したアクセス トークンの値に置き換えます。
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "AZURE_AD_AUDIT",
"azureAdAuditSettings": {
"authentication": {
"clientId": "0ab12c34-d5ef-678g-9012-hi34j56k78l9",
"clientSecret": "clientSecret",
}
"tenantId": "0ab123c4-de56-78fg-90h1-ijk2l3456789",
"hostname": "graph.microsoft.com/v1.0/auditLogs/directoryAudits",
}
}
}
Microsoft Azure Active ディレクトリ組織コンテキスト
このセクションでは、AZURE_AD_CONTEXT ログタイプの API リファレンスの詳細について説明します。データソースについて詳しくは、Microsoft Graph API のユーザー エンドポイントの一覧表示をご覧ください。このフィードは、デバイスとグループのデータを取得するために使用します。
| Data source | 取り込みスケジュール | details.feedSourceType |
details.logType |
|---|---|---|---|
| graph.microsoft.com | 24 時間ごと | API |
AZURE_AD_CONTEXT |
前提条件
- すべての必須リクエスト フィールドの値を取得します。OAuth 2.0 のトークン エンドポイントは
https://login.microsoftonline.com/{tenantId}/oauth2/tokenです。 - 次の必要な権限を取得します。
- Microsoft Graph API に対する認証を使用して組織のコンテキストにアクセスするために、認証情報を使用するユーザーには、権限
Directory.Read.Allが必要です。
- Microsoft Graph API に対する認証を使用して組織のコンテキストにアクセスするために、認証情報を使用するユーザーには、権限
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.azureAdContextSettings.authentication.clientId |
○ | OAuth クライアント ID(UUID) |
details.azureAdContextSettings.authentication.clientSecret |
○ | OAuth クライアント シークレット |
details.azureAdContextSettings.tenantId |
○ | テナント ID(UUID) |
details.azureAdContextSettings.retrieveDevices |
いいえ | デバイス情報を取得するかどうか |
details.azureAdContextSettings.retrieveGroups |
いいえ | ユーザー グループ情報を取得するかどうか |
details.azureAdContextSettings.hostname |
いいえ | API のフルパス、デフォルト値 : graph.microsoft.com/beta |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "AZURE_AD_CONTEXT",
"azureAdContextSettings": {
"authentication": {
"clientId": "0ab12c34-d5ef-678g-9012-hi34j56k78l9",
"clientSecret": "clientSecret",
}
"tenantId": "0ab123c4-de56-78fg-90h1-ijk2l3456789",
"retrieveDevices": false,
"retrieveGroups": false,
"hostname": "graph.microsoft.com/beta",
}
}
}
Microsoft Azure Active ディレクトリログイン
このセクションでは、AZURE_AD ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Azure Active ディレクトリログインのドキュメントをご覧ください。
| Data source | 取り込みスケジュール | details.feedSourceType |
details.logType |
|---|---|---|---|
| graph.microsoft.com | 1 分ごと | API |
AZURE_AD |
前提条件
- Azure AD Premium P1 または P2 ライセンスを取得します。詳しくは、必要なライセンスをご覧ください。
- すべての必須リクエスト フィールドの値を取得します。OAuth 2.0 のトークン エンドポイントは
https://login.microsoftonline.com/{tenantId}/oauth2/tokenです。 - 次の必要な権限を取得します。
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.azureAdSettings.authentication.clientId |
○ | OAuth クライアント ID(UUID) |
details.azureAdSettings.authentication.clientSecret |
○ | OAuth クライアント シークレット |
details.azureAdSettings.tenantId |
○ | テナント ID(UUID) |
details.azureAdSettings.hostname |
いいえ | API のフルパス、デフォルト値 : graph.microsoft.com/v1.0/auditLogs/signIns |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "AZURE_AD",
"azureAdSettings": {
"authentication": {
"clientId": "0ab12c34-d5ef-678g-9012-hi34j56k78l9",
"clientSecret": "clientSecret",
}
"tenantId": "0ab123c4-de56-78fg-90h1-ijk2l3456789",
"hostname": "graph.microsoft.com/v1.0/auditLogs/signIns",
}
}
}
クラウドアラート用の Microsoft Azure Defender
このセクションでは、MICROSOFT_SECURITY_CENTER_ALERT ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Azure Defender for Cloud Alerts のドキュメントをご覧ください。
- すべての必須リクエスト フィールドの値を取得します。OAuth 2.0 のトークン エンドポイントは
https://login.microsoftonline.com/{tenantId}/oauth2/tokenです。 - 次の必要な権限を取得します。
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "MICROSOFT_SECURITY_CENTER_ALERT",
"microsoftSecurityCenterAlertSettings": {
"authentication": {
"clientId": "0ab12c34-d5ef-678g-9012-hi34j56k78l9",
"clientSecret": "clientSecret",
}
"tenantId": "0ab123c4-de56-78fg-90h1-ijk2l3456789",
"subscriptionId": "0ab1234c5-de67-89fg-01h2-ijk3l4567890",
"hostname": "management.azure.com",
}
}
}
Microsoft Azure Microsoft Device Management Intune 監査イベント
このセクションでは、AZURE_MDM_INTUNE ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Azure Microsoft Device Management Intune 監査イベントのドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
Microsoft Graph REST API エンドポイントの URL。デフォルト値は graph.microsoft.com/beta/deviceManagement/auditEvents です。
|
1 分ごと | API |
前提条件
- アクティブな Intune ライセンスを取得します。
- すべての認証フィールドの値を取得します。OAuth 2.0 のトークン エンドポイントは
https://login.microsoftonline.com/{tenantId}/oauth2/tokenです。 - 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.azureMdmIntuneSettings.authentication.clientId |
○ | OAuth クライアント ID。 |
details.azureMdmIntuneSettings.authentication.clientSecret |
○ | クライアント シークレット。 |
details.azureMdmIntuneSettings.tenantId |
○ | テナント ID。これは UUID です。 |
details.azureMdmIntuneSettings.hostname |
いいえ | Microsoft Graph REST API エンドポイントの URL。デフォルト値は graph.microsoft.com/beta/deviceManagement/auditEvents です。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "AZURE_MDM_INTUNE",
"azureMdmIntuneSettings": {
"authentication": {
"clientId": "0ab12c34-d5ef-678g-9012-hi34j56k78l9",
"clientSecret": "clientSecret",
}
"tenantId": "0ab123c4-de56-78fg-90h1-ijk2l3456789",
"hostname": "graph.microsoft.com/beta/deviceManagement/auditEvents",
}
}
}
Microsoft Graph Security API のアラート
このセクションでは、MICROSOFT_GRAPH_ALERT ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Microsoft Graph Security の以前のリストのアラートと List Alerts_v2 をご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
|
1 分ごと | API |
前提条件
- 認証フィールドの値を取得します。OAuth 2.0 のトークン エンドポイントは
https://login.microsoftonline.com/{tenantId}/oauth2/tokenです。 - 次の必要な権限を取得します。
- 認証情報が使用されるユーザーには、権限
SecurityEvents.Read.Allが必要です。
- 認証情報が使用されるユーザーには、権限
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.microsoftGraphAlertSettings.authentication.clientId |
○ | OAuth クライアント ID(UUID) |
details.microsoftGraphAlertSettings.authentication.clientSecret |
○ | OAuth クライアント シークレット |
details.microsoftGraphAlertSettings.tenantId |
○ | テナント ID(UUID) |
details.microsoftGraphAlertSettings.authEndpoint |
○ | Microsoft Active Directory 認証エンドポイント。デフォルト値は login.microsoftonline.com です。 |
details.microsoftGraphAlertSettings.hostname |
いいえ | API のフルパス。デフォルト値は graph.microsoft.com/v1.0/security/alerts です。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "MICROSOFT_GRAPH_ALERT",
"microsoftGraphAlertSettings": {
"authentication": {
"clientId": "0ab12c34-d5ef-678g-9012-hi34j56k78l9",
"clientSecret": "clientSecret",
}
"tenantId": "0ab123c4-de56-78fg-90h1-ijk2l3456789",
"hostname": "graph.microsoft.com/v1.0/security/alerts",
"authEndpoint": "login.microsoftonline.com",
}
}
}
Microsoft Office 365 管理アクティビティ
このセクションでは、OFFICE_365 ログタイプの API リファレンスの詳細について説明します。データソースについて詳しくは、Microsoft Office 365 の管理アクティビティのドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
details.logType |
|---|---|---|---|
|
1 分ごと | API |
OFFICE_365 |
前提条件
- すべての必須リクエスト フィールドの値を取得します。OAuth 2.0 のトークン エンドポイントは
https://login.microsoftonline.com/{tenantId}/oauth2/tokenです。 - 次の必要な権限を取得します。
- API に対する認証に認証情報を使用するユーザーには、権限
ActivityFeed.Readが必要です。DLP データを取り込む場合は、権限ActivityFeed.ReadDlpを指定する必要があります。
- API に対する認証に認証情報を使用するユーザーには、権限
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.office365Settings.authentication.clientId |
○ | OAuth クライアント ID(UUID) |
details.office365Settings.authentication.clientSecret |
○ | OAuth クライアント シークレット |
details.office365Settings.tenantId |
○ | テナント ID(UUID) |
details.office365Settings.contentType |
○ | 取得するログの種類。contentType の有効な値については、以下をご覧ください。 |
details.office365Settings.hostname |
いいえ | API フルパス、デフォルト値: manage.office.com/api/v1.0 |
Office 365 コンテンツ タイプ
このセクションでは、OFFICE_365 ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Office 365 コンテンツ タイプのドキュメントをご覧ください。
details.office365Settings.contentType |
説明 |
|---|---|
AUDIT_AZURE_ACTIVE_DIRECTORY |
Azure Active Directory の監査ログ |
AUDIT_EXCHANGE |
Azure Exchange 監査ログ。 |
AUDIT_SHARE_POINT |
Azure 共有ポイント監査ログ |
AUDIT_GENERAL
|
他のすべてのワークロードは、他の監査コンテンツ タイプに含まれません。 |
DLP_ALL |
すべてのワークロードに対応する DLP イベントのみ。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "OFFICE_365",
"office365Settings": {
"authentication": {
"clientId": "0ab12c34-d5ef-678g-9012-hi34j56k78l9",
"clientSecret", "clientSecret",
},
"tenantId": "0ab123c4-de56-78fg-90h1-ijk2l3456789"",
"contentType": "AUDIT_AZURE_ACTIVE_DIRECTORY",
"hostname": "manage.office.com/api/v1.0",
}
}
}
Mimecast
このセクションでは、MIMECAST_MAIL ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Mimecast のドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
Mimecast API エンドポイントの完全修飾ドメイン名(us-api.mimecast.com など)。 |
1 分ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.mimecastMailSettings.authentication.headerKeyValues |
○ | 認証ヘッダーの作成に使用される Key-Value 形式の構成。 |
details.mimecastMailSettings.hostname |
○ | Mimecast API エンドポイントの完全修飾ドメイン名(us-api.mimecast.com など)。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "MIMECAST_MAIL",
"mimecastMailSettings": {
"authentication": {
"headerKeyValues": [
{
"key": "access_key",
"value": "ACCESS_KEY"
},
{
"key": "app_id",
"value": "APP_ID"
},
{
"key": "app_key",
"value": "APP_KEY"
},
{
"key": "secret_key",
"value": "SECRET_KEY"
}
]
},
"hostname": "xx-api.mimecast.com"
}
}
}
Netskope アラート
このセクションでは、NETSKOPE_ALERT ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Netskope アラートのドキュメントをご覧ください。Netskope REST API v1 データがサポートされています。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
API_HOSTNAME/api/v1/alerts
|
10 分おき | API |
前提条件
- すべての認証フィールドの値を取得します。Netskope REST API v1 の認証トークンを使用します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.netskopeAlertSettings.authentication.headerKeyValues |
○ | Netskope を認証するために使用される HTTP ヘッダー(Key-Value 形式)。 |
details.netskopeAlertSettings.hostname |
○ | Netskope REST API エンドポイントの完全修飾ドメイン名。 |
details.netskopeAlertSettings.feedname |
○ | 接続先の REST エンドポイント。値は alerts または events です。 |
details.netskopeAlertSettings.contentType |
○ | 取得するイベントまたはアラートの種類を決定する type クエリ パラメータの値。 |
任意の項目
initialStartTime
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "NETSKOPE_ALERT",
"netskopeAlertSettings": {
"authentication": {
"headerKeyValues": [{
"key": "token",
"value": "token_value"
}]
},
"content_type": "all",
"hostname": "myinstance.goskope.com",
"feedName": "alerts"
}
}
}
Okta システムログ
このセクションでは、OKTA ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Okta システムログのドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
API_HOSTNAME/api/v1/logs
|
1 分ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.oktaUserContextSettings.authentication.headerKeyValues |
○ | Okta の認証に使用される HTTP ヘッダー(Key-Value 形式)。 |
details.oktaUserContextSettings.hostname |
○ | Okta インスタンスの完全修飾ドメイン名。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "OKTA",
"oktaSettings": {
"authentication": {
"headerKeyValues": [{
"key": "Authorization",
"value": "APITOKEN"
}]
},
"hostname": "hostname"
}
}
}
Okta ユーザー
このセクションでは、OKTA_USER_CONTEXT ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Okta ユーザーのドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
API_HOSTNAME/api/v1/logs
|
1 分ごと | API |
前提条件
hostnameとすべての認証フィールドの値を取得します。- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.oktaUserContextSettings.authentication.headerKeyValues |
○ | Okta の認証に使用される HTTP ヘッダー(Key-Value 形式)。 |
details.oktaUserContextSettings.hostname |
○ | Okta インスタンスの完全修飾ドメイン名。 |
details.oktaUserContextSettings.managerIdReferenceField |
いいえ | Okta 以外の ID を使用してマネージャーを参照する場合は、この ID が必要です。 |
フィード作成リクエストの例
Okta 以外の ID を使用してマネージャーを参照する場合は、managerIdReferenceField が必要です。これは、「ユーザーの」Okta API の呼び出しの結果としてマネージャー ID を含むフィールドを指す JSON フィールドパスである必要があります。
{
"details": {
"feedSourceType": "API",
"logType": "OKTA_USER_CONTEXT",
"oktaSettings": {
"authentication": {
"headerKeyValues": [{
"key": "Authorization",
"value": "APITOKEN"
}]
},
"hostname": "hostname",
"managerIdReferenceField": "fooId"
}
}
}
Palo Alto Networks AutoFocus
このセクションでは、PAN_IOC ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Palo Alto Networks AutoFocus のドキュメントをご覧ください。
前提条件
feedId、feed、およびすべての認証フィールドの値を取得します。- 次の必要な権限を取得します。
- なし
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "PAN_IOC",
"panIocSettings": {
"authentication": {
"headerKeyValues": [{
"key": "key"
"value": "value"
}],
}
"feedId": "ID",
"feed": "feed"
}
}
}
Palo Alto Networks Cortex XDR
このセクションでは、CORTEX_XDR ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Palo Alto Networks Cortex XDR のドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
API_HOSTNAME/public_api/v1/incidents/get_incidents
|
5 分ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- API キーは、標準キーではなく、高度なキーであることを確認してください。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.cortexXdrSettings.authentication.headerKeyValues |
○ | Cortex XDR API の認証に使用される HTTP ヘッダー(Key-Value 形式)。 |
details.cortexXdrSettings.hostname |
○ | Cortex XDR インスタンスの完全修飾ドメイン名。 |
details.cortexXdrSettings.endpoint |
いいえ | ログを取得するために接続する API エンドポイント。incidents や alerts が含まれます。 |
任意の項目
initialStartTime
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "CORTEX_XDR",
"cortexXdrSettings": {
"authentication": {
"headerKeyValues": [{
"key": "Authorization"
"value": "api_key"
},
{
"key": "x-xdr-auth-id"
"value": "api_key_id"
}
],
},
"hostname": "api-abcd.xdr.ab.paloaltonetworks.com",
"endpoint": "incidents"
}
}
}
Palo Alto Networks Prisma Cloud 監査ログ
このセクションでは、PAN_PRISMA_CLOUD ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Palo Alto Networks Prisma Cloud Audit Logs のドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
autofocus.paloaltonetworks.com/api/v1.0/IOCFeed/FEED_ID/FEED_NAME
|
5 分ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.panPrismaCloudSettings.authentication.user |
○ | Prisma Cloud のユーザー名。 |
details.panPrismaCloudSettings.authentication.password |
○ | Prisma Cloud のパスワード。 |
details.panPrismaCloudSettings.hostname |
○ | Palo Alto Prisma Cloud API ホスト名。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "PAN_PRISMA_CLOUD",
"panPrismaCloudSettings": {
"authentication": {
"user": "user",
"password": "password"
},
"hostname": "api2.prismacloud.io"
}
}
}
Proofpoint On Demand
このセクションでは、PROOFPOINT_ON_DEMAND ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Proofpoint on Demand のドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
| デフォルトのデータ エンドポイントが使用されます。 | 1 時間ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.proofpointOnDemandSettings.authentication.headerKeyValues |
○ | logstream.proofpoint.com を認証するために使用される HTTP ヘッダー(Key-Value 形式)。 |
details.proofpointOnDemandSettings.clusterId |
○ | クラスタ ID。ユーザー グループ文字列です。 |
その他のフィールド
proofpointOnDemandSourceDetails
任意の項目
initialStartTime
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "PROOFPOINT_ON_DEMAND",
"proofpointOnDemandSettings": {
"authentication": {
"user": "user",
"secret": "secret"
},
"clusterId": "ID"
}
}
}
Proofpoint TAP
このセクションでは、PROOFPOINT_MAIL ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Proofpoint SIEM API のドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
| デフォルトのデータ エンドポイントが使用されます。 | 24 時間ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.proofpointMailSettings.authentication.user |
○ | 認証に必要なユーザー アカウント。 |
details.proofpointMailSettings.authentication.secret |
○ | 認証に必要なシークレット。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "PROOFPOINT_MAIL",
"proofpointMailSettings": {
"authentication": {
"user": "user",
"secret": "secret"
}
}
}
}
Qualys VM
このセクションでは、QUALYS_VM ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Qualys VM のドキュメント(PDF)をご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
リソースのドメインとフルパス(qualysapi.qualys.com/api/2.0/fo/asset/host/?action=list など)。 |
1 分ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.qualysVmSettings.authentication.user |
○ | 認証に必要なユーザー アカウント。 |
details.qualysVmSettings.authentication.secret |
○ | 認証に必要なシークレット。 |
details.qualysVmSettings.hostname |
○ | リソースのドメインとフルパス(qualysapi.qualys.com/api/2.0/fo/asset/host/?action=list など)。 |
Qualys VM Host List API のフィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "QUALYS_VM",
"qualysVmSettings": {
"authentication": {
"user": "USERNAME",
"secret": "PASSWORD"
},
"hostname": "qualysapi.qualys.com/api/2.0/fo/asset/host/?action=list"
}
}
}
Qualys VM Host List Detection API のフィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "QUALYS_VM",
"qualysVmSettings": {
"authentication": {
"user": "USERNAME",
"secret": "PASSWORD"
},
"hostname": "qualysapi.qualys.com/api/2.0/fo/asset/host/vm/detection/?action=list"
}
}
}
Qualys スキャン
このセクションでは、QUALYS_SCAN ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Qualys VM のドキュメント(PDF)をご覧ください。
| データソース | 取り込み スケジュール | details.feedSourceType
|
details.logType
|
|---|---|---|---|
| qualysapi.qualys.com | 毎日 | API
|
QUALYS_SCAN
|
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- ユーザーに対して API アクセスが有効になっていることを確認します。
API をスキャンする
Chronicle がサポートする Qualys Scan API は次のとおりです。
details.qualysScanSettings.api_type |
説明 |
|---|---|
SCAN_SUMMARY_OUTPUT |
Scan Summaries API を使用して、スキャンされたホスト、スキャンされなかったホスト、理由を特定します。 |
SCAN_COMPLIANCE_OUTPUT |
Scan Compliance API を使用して、Qualys アカウントのコンプライアンス スキャンを一覧表示します。 |
SCAN_COMPLIANCE_CONTROL_OUTPUT |
ユーザーに表示されるコンプライアンス管理のリストを表示するための Compliance Control API。 |
Qualys Scan API のフィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "QUALYS_SCAN",
"qualysScanSettings": {
"authentication": {
"user": "USERNAME",
"secret": "PASSWORD"
},
"hostname": "qualysapi.qualys.com",
"api_type": "SCAN_SUMMARY_OUTPUT"
}
}
}
Rapid7 InsightVM
このセクションでは、RAPID7_INSIGHT ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Rapid7 InsightVM のドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
REST エンドポイント。vulnerabilities または assets のいずれかにする必要があります。 |
1 分ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.rapid7InsightSettings.authentication.headerKeyValues |
○ | us.api.insight.rapid7.com を認証するために使用される HTTP ヘッダー(Key-Value 形式)。 |
details.rapid7InsightSettings.endpoint |
○ | 接続先の REST エンドポイント。endpoint 値は、vulnerabilities または assets のいずれかにする必要があります。 |
details.rapid7InsightSettings.hostname |
いいえ | Rapid7 エンドポイントの完全修飾ドメイン名(us.api.insight.rapid7.com など)。 |
任意の項目
initialStartTime
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "RAPID7_INSIGHT",
"rapid7InsightSettings": {
"authentication": {
"headerKeyValues": [{
"key": "X-Api-Key",
"value": "APIKEY"
}],
},
"endpoint": "assets"
"hostname": "us.api.insight.rapid7.com"
}
}
}
Recorded Future
このセクションでは、RECORDED_FUTURE_IOC ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Recorded Future のドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
api.recordedfuture.com/v2/fusion/files)にアクセスします。
|
2 時間ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.recordedFutureIocSettings.authentication.headerKeyValues |
○ | api.recordedfuture.com への認証に使用される HTTP ヘッダー(Key-Value 形式)。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "RECORDED_FUTURE_IOC",
"recordedFutureIocSettings": {
"authentication": {
"user": "user",
"secret": "secret"
},
}
}
}
RH-ISAC
このセクションでは、RH_ISAC_IOC ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、RH-ISAC のドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
api.trustar.co/api/1.3/indicators/search。 |
24 時間ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.rhIsacIocSettings.authentication.tokenEndpoint |
○ | OAuth トークンを取得するためのエンドポイント。 |
details.rhIsacIocSettings.authentication.clientId |
○ | OAuth クライアント ID。 |
details.rhIsacIocSettings.authentication.clientSecret |
○ | OAuth クライアント シークレット。 |
その他のフィールド
tags、queueDelay
任意の項目
initialStartTime
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "RH_ISAC_IOC",
"rhIsacIocSettings": {
"authentication": {
"tokenEndPoint": "endpoint",
"clientId": "clientId",
"clientSecret": "clientSecret"
}
}
}
}
Salesforce
このセクションでは、SALESFORCE ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、Salesforce のドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
API_HOSTNAME/services/data/v50.0/query
|
1 分ごと | API |
前提条件
- Salesforce Shield は必須です。
- 特別なシナリオでの OAuth 2.0 のユーザー名とパスワードのフローの説明に沿って、すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.salesforceSettings.hostname |
○ | Salesforce REST API エンドポイントの完全修飾ドメイン名(例: myinstance.salesforce.com)。 |
details.salesforceSettings.oauthPasswordGrantAuth.tokenEndpoint |
いいえ | OAuth トークンを取得するためのエンドポイント。このフィールドは、https://SF_INSTANCE.my.salesforce.com/services/oauth2/token?grant_type=password の形式で指定する必要があります。SF_INSTANCE は、Salesforce インスタンス名に置き換えます。このフィールドは、OAuth パスワード付与でのみ必要です。 |
details.salesforceSettings.oauthPasswordGrantAuth.clientId |
いいえ | OAuth クライアント ID。このフィールドは、OAuth パスワード付与でのみ必要です。 |
details.salesforceSettings.oauthPasswordGrantAuth.clientSecret |
いいえ | OAuth クライアント シークレット。このフィールドは、OAuth パスワード付与でのみ必要です。 |
details.salesforceSettings.oauthPasswordGrantAuth.user |
いいえ | 認証に使用するユーザー名。このフィールドは、OAuth パスワード付与でのみ必要です。 |
details.salesforceSettings.oauthPasswordGrantAuth.password |
いいえ | 認証に使用するパスワード。このフィールドは、OAuth パスワード付与でのみ必要です。 |
details.salesforceSettings.oauthJwtCredentials.tokenEndpoint |
いいえ | OAuth JSON ウェブトークンを取得するためのエンドポイント。このフィールドは、OAuth JWT 付与でのみ必要です。 |
details.salesforceSettings.oauthJwtCredentials.claims.issuer |
いいえ | JWT クレーム発行元(通常はクライアント ID) このフィールドは、OAuth JWT 付与でのみ必要です。 |
details.salesforceSettings.oauthJwtCredentials.claims.subject |
いいえ | JWT クレームの件名。通常はメール ID です。このフィールドは、OAuth JWT 付与でのみ必要です。 |
details.salesforceSettings.oauthJwtCredentials.claims.audience |
いいえ | JWT クレームがオーディエンスであること。このフィールドは、OAuth JWT 付与でのみ必要です。 |
details.salesforceSettings.oauthJwtCredentials.rsCredentials.privateKey |
いいえ | PEM 形式の RSA 秘密鍵。このフィールドは、OAuth JWT 付与でのみ必要です。 |
任意の項目
initialStartTime
OAuth パスワード付与を使用したフィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "SALESFORCE",
"salesforceSettings": {
"authentication": {
"tokenEndpoint": "endpoint",
"clientId": "clientId",
"clientSecret": "clientSecret",
"user": "user",
"password": "password"
},
"hostname": "hostname"
}
}
}
OAuth JWT 付与を使用したフィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "SALESFORCE",
"salesforceSettings": {
"authentication": {
"tokenEndpoint": "endpoint",
"issuer": "clientId",
"subject": "emailID",
"audience": "audience",
"privateKey": "RSAKey"
},
"hostname": "hostname"
}
}
}
SentinelOne のアラート
このセクションでは、SENTINELONE_ALERT ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、SentinelOne のアラートのドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
API_HOSTNAME/web/api/v2.1/cloud-detection/alerts
|
5 分ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.sentineloneAlertSettings.authentication.headerKeyValues |
○ | SenitnelOne アラート、脅威、Static-Indicator API を認証するための HTTP ヘッダー(Key-Value 形式で記述)。 |
details.sentineloneAlertSettings.hostname |
○ | SenitnelOne API の完全修飾ドメイン名。 |
details.sentineloneAlertSettings.initialStartTime |
いいえ | アラートを取得する時刻。 |
details.sentineloneAlertSettings.isAlertApiSubscribed |
いいえ | Alerts API が登録されているかどうかを示します。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "SENTINELONE_ALERT",
"sentineloneAlertSettings": {
"authentication": {
"headerKeyValues": [{
"key": "Authorization",
"value": "ApiToken"
}]
},
"hostname": "hostname",
"isAlertApiSubscribed": false
}
}
}
ServiceNow CMDB
このセクションでは、SERVICENOW_CMDB ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、ServiceNow CMDB のドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
ServiceNow REST API エンドポイントの完全修飾ドメイン名(myinstance.servicenow.com など)。 |
24 時間ごと | API |
前提条件
- すべての必須フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.serviceNowCmdbSettings.authentication.user |
○ | 認証に必要なユーザー名。 |
details.serviceNowCmdbSettings.authentication.secret |
○ | 認証に必要なシークレット。 |
details.serviceNowCmdbSettings.hostname |
○ | ServiceNow REST API エンドポイントの完全修飾ドメイン名(myinstance.servicenow.com など)。 |
details.serviceNowCmdbSettings.feedname |
○ | レコードのコレクションに対応する ServiceNow テーブル。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "SERVICENOW_CMDB",
"servicenowCmdbSettings": {
"authentication": {
"user": "user",
"secret": "secret"
},
"hostname": "hostname",
"feedname": "feedname"
}
}
}
Symantec Event Export
このセクションでは、SYMANTEC_EVENT_EXPORT ログタイプの API リファレンスの詳細について説明します。データソースについて詳しくは、Symantec のイベント エクスポートのドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
| Symantec Event Export API。 | 1 時間ごと | API |
前提条件
- すべての認証フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.symantecEventExportSettings.authentication.tokenEndpoint |
○ | OAuth トークンを取得するためのエンドポイント。 |
details.symantecEventExportSettings.authentication.clientId |
○ | OAuth クライアント ID。 |
details.symantecEventExportSettings.authentication.clientSecret |
○ | OAuth クライアント シークレット。 |
details.symantecEventExportSettings.authentication.refreshToken |
○ | アクセス トークンの有効期限が切れたときに更新するために使用される OAuth 2.0 トークン。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "SYMANTEC_EVENT_EXPORT",
"symantecEventExportSettings ": {
"authentication": {
"tokenEndPoint": "REFRESH TOKEN URI",
"clientId": "CLIENT ID",
"clientSecret": "CLIENT SECRET",
"refreshToken": "REFRESH TOKEN",
}
}
}
}
Thinkst Canary
このセクションでは、THINKST_CANARY ログタイプの API リファレンスの詳細について説明します。データソースについて詳しくは、Thinkst Canary のドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
API_HOSTNAME/api/v1/incidents/all
|
30 分おき | API |
前提条件
- すべての必須フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.sentineloneAlertSettings.authentication.headerKeyValues |
○ | Key-Value 形式の HTTP ヘッダー。 |
details.thinkstCanarySettings.hostname |
○ | Thinkst Canary REST API エンドポイントの完全修飾ドメイン名(myinstance.canary.tools など)。 |
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "THINKST_CANARY",
"thinkstCanarySettings": {
"authentication": {
"user": "user",
"secret": "secret"
},
"hostname": "hostname"
}
}
}
ThreatConnect
このセクションでは、THREATCONNECT_IOC ログタイプの API リファレンスの詳細について説明します。データソースの詳細については、ThreatConnect のドキュメントをご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
|---|---|---|
ThreatConnect REST API エンドポイントの完全修飾ドメイン名(例: myinstance.threatconnect.com)。 |
5 分ごと | API |
前提条件
- すべての必須フィールドの値を取得します。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | 説明 |
|---|---|---|
details.threatConnectIocSettings.authentication.user |
○ | 認証に必要なユーザー名。 |
details.threatConnectIocSettings.authentication.password |
○ | 認証に必要なパスワード |
details.threatConnectIocSettings.hostname |
○ | ThreatConnect REST API エンドポイントの完全修飾ドメイン名(例: myinstance.threatconnect.com)。 |
details.threatConnectIocSettings.owners |
○ | すべてのオーナー名。オーナーは IoC のコレクションを識別します。 |
その他のフィールド
queueDelay
任意の項目
initialStartTime
フィード作成リクエストの例
{
"details": {
"feedSourceType": "API",
"logType": "THREATCONNECT_IOC",
"threatConnectIocSettings": {
"authentication": {
"user": "user",
"secret": "secret"
},
"hostname": "hostname",
"owners": [{
"owner"
}]
}
}
}
Workday
このセクションでは、WORKDAY ログタイプの API リファレンスの詳細について説明します。データソースについて詳しくは、Workday 管理者ガイド([統合] > [Workday REST API])をご覧ください。
| データソース | 取り込みスケジュール | details.feedSourceType |
details.logType |
|---|---|---|---|
|
24 時間ごと | API |
WORKDAY |
前提条件
- REST API クライアント用に OAuth 2.0 を構成するための Workday ドキュメントの API クライアントの登録の手順に従います。
- 次の必要な権限を取得します。
- なし
タイプ固有のリクエスト フィールド
| フィールド | 必須 | Description |
|---|---|---|
details.workdaySettings.authentication.secret |
○ | OAuth 2.0 クライアントを Workday に登録する手順を完了した後に Workday によって生成されたアクセス トークン。 認証を設定するには、アクセス トークンまたは次の OAuth フィールド(トークン エンドポイント、クライアント ID、クライアント シークレット、更新トークン)をすべて指定する必要があります。 |
details.workdaySettings.authentication.tokenEndpoint" |
○ | アクセス トークンの取得元のエンドポイント。 |
details.workdaySettings.authentication.user |
○ | OAuth 2.0 クライアントを Workday に登録する手順を完了した後に Workday によって生成されたクライアント ID。 |
details.workdaySettings.authentication.secret |
○ | OAuth 2.0 クライアントを Workday に登録する手順を完了した後に Workday によって生成されたクライアント シークレット。 |
details.workdaySettings.authentication.refreshToken |
○ | OAuth 2.0 クライアントを Workday に登録する手順を完了した後に Workday によって生成された更新トークン。 |
details.workdaySettings.hostname |
○ | Workday REST ウェブサービスのホスト名。例: services1.workday.com。 |
details.workdaySettings.tenantId |
○ | テナントの名前。 |
フィード作成リクエストの例
次のサンプルでは、トークン エンドポイント、クライアント ID、クライアント シークレット、更新トークンを使用します。
{
"details": {
"feedSourceType": "API",
"logType": "WORKDAY",
"workdaySettings": {
"authentication": {
"tokenEndpoint": "TokenEndpoint",
"user": "ClientID",
"clientSecret": "ClientSecret"
"refreshToken": "RefreshToken"
},
"hostname": "hostname",
"tenantId": "ID"
}
}
}
次のサンプルでは、アクセス トークンを使用します。
{
"details": {
"feedSourceType": "API",
"logType": "WORKDAY",
"workdaySettings": {
"authentication": {
"secret": "AccessToken"
},
"hostname": "hostname",
"tenantId": "ID"
}
}
}