このページでは、ファイアウォール インサイトで観察期間と更新サイクルを構成する方法について説明します。
利用可能な分析情報の概要については、ファイアウォール インサイトのカテゴリと状態をご覧ください。
ファイアウォールの使用状況の指標の一覧については、ファイアウォール インサイトの指標を表示するをご覧ください。
必要なロールと権限
観察期間と更新サイクルを構成するために必要な権限を取得するには、プロジェクトに対する Firewall Recommender 管理者(roles/recommender.firewallAdmin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。
この事前定義ロールには、観察期間と更新サイクルを構成するために必要な recommender.computeFirewallInsightTypeConfigs.update 権限が含まれています。
カスタムロールや他の事前定義ロールを使用して、この権限を取得することもできます。
観察期間を構成する
一部の分析情報では、観察期間(分析情報がカバーする期間)を構成できます。たとえば、制限が緩すぎる deny ルールの分析情報の観察期間を構成できます。デフォルトの観察期間は 6 週間です。観察期間は 7 日から 1 年の範囲で構成できます。
たとえば、deny ルールの分析情報の観察期間を 2 か月に設定した場合、観察期間の終了後にヒットした deny ルールのリストを確認すると、ファイアウォール インサイトには過去 2 か月間にヒットしたルールのみが表示されます。観察期間を 1 か月に変更した場合、分析期間が短いため、ファイアウォール インサイトで異なる数のルールが識別される可能性があります。
分析情報の確認と観察期間の構成を行う際には、次の点に注意してください。
ヒットがある
denyルールの観察期間を構成すると、ファイアウォール インサイトが分析情報の結果をすぐに更新します。制限が緩すぎるルールの分析情報の観察期間を更新すると、ファイアウォール インサイトが既存の結果を更新するまでに最大 48 時間かかることがあります。その間、既存の結果の観察期間は以前に構成された観察期間と一致します。
制限が緩すぎる分析情報でファイアウォール ルールが特定されていない場合、ファイアウォール インサイトでは、使用されている分析情報を特定するために観察期間は表示されません。
シャドウルールの分析情報は過去のデータを評価しないため、観察期間はありません。シャドウルールの分析では、既存のファイアウォール ルールの構成が 24 時間ごとに評価されます。
過去 24 時間のトラフィック ログデータは、分析情報の生成時に含まれないことがあります。
コンソール
観察期間を構成する
Google Cloud コンソールで [ファイアウォール インサイト] ページに移動します。
[構成] をクリックします。
[観察期間] をクリックします。
必要に応じて、次の項目ごとに [観測期間] プルダウン リストで適切な時間を設定します。
制限が緩すぎるルールの分析情報
拒否ルールの分析情報
API
ヒットがある deny ルールの観察期間を設定するには、Cloud Console を使用する必要があります。制限が緩すぎるルールの分析情報については、Recommender API を使用して観察期間を設定できます。また、この API を使用すると、分析情報を有効にしたり、構成の詳細を取得することもできます。
制限が緩すぎるルールの分析情報の観察期間を設定するには、updateConfig メソッドを使用します。
updateConfig メソッドを使用するには、すべてのパラメータの値を設定します。また、シャドウルールの分析情報と制限が緩すぎるルールの分析情報を有効にするか無効にするかを指定します。
この更新を行うには、次のリクエストを使用します。
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
次の値を置き換えます。
- PROJECT_ID: オブジェクトの ID
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: 制限が緩すぎるルールの分析情報のモニタリング期間(秒)
- ENABLEMENT_SHADOWED: シャドウルールの分析情報を有効にするかどうかを示すブール値
- ENABLEMENT_OVERLY_PERMISSIVE: 制限が緩すぎるルールの分析情報を有効にするかどうかを示すブール値
- ETAG: IAM ポリシーの ETag 値。ETag 値を取得するには、次のセクションで説明するように
getConfigメソッドを使用します。
例
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
構成の詳細を取得する
ファイアウォール インサイトの構成の詳細を取得するには、次の例に示すように getConfig メソッドを使用します。
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
カスタム更新サイクルをスケジュールする
プロジェクトのシャドウルールの分析情報を生成する更新サイクルを設定します。
指定した日付に更新サイクルが開始するようにスケジュールを設定できます。また、サイクルの頻度もカスタマイズできます。デフォルトのサイクルは 1 日(24 時間)です。
コンソール
分析情報のカスタム更新サイクルを構成します。
Google Cloud コンソールで [ファイアウォール インサイト] ページに移動します。
[構成] をクリックします。
[Enablement] をクリックします。
シャドウルールの分析情報を有効にするには、切り替えボタンをクリックします。
[開始日] フィールドに、カスタム更新サイクルの開始日を入力します。
[繰り返す間隔] で、サイクルの開始日以降の更新サイクルの間隔を選択します。
- 日: 24 時間ごと
- 週: 選択した曜日に毎週
- 月: 毎月
- 四半期: 四半期ごと
新しい分析情報の生成スケジュールは、スケジュールへの変更を保存してから 24 時間後に有効になります。