このページでは、ファイアウォール インサイトの使用に必要な API と機能を有効にする方法について説明します。
ファイアウォール インサイトを使用する前に、プロジェクトを選択し、必要なロールと権限があることを確認してから、必要な設定タスクを完了します。最初の 2 つのステップの詳細については、ロールと権限をご覧ください。
設定タスクは、使用する指標と分析情報によって異なります。詳しくは、次の表をご覧ください。
| タスク | すべての指標 | シャドウルールの分析情報 | 制限が緩すぎるルールの分析情報 | ヒットが含まれる拒否ルール |
|---|---|---|---|---|
| Firewall Insights API を有効にする | ✔ | ✔ | ✔ | ✔ |
| ファイアウォール ルール ロギングを有効にする | ✔ | ✔ | ✔ | |
| Recommender API を有効にする | ✔ | ✔ | ||
| このタイプの分析情報を有効にする | ✔ | ✔ | ||
| 観察期間を構成する | ✔ | ✔ | ||
| カスタム更新サイクルをスケジュールする | ✔ |
以降のセクションでは、API と機能を有効にする方法について説明します。
Firewall Insights API を有効にする
ファイアウォール インサイトを使用してタスクを実行する前に、Firewall Insights API を有効にする必要があります。
API を有効にするには、次の手順または Google Cloud コンソール API ライブラリ(Cloud APIs で API を有効にするを参照)を使用します。
コンソール
Google Cloud Console で [ファイアウォール インサイト] ページに移動します。
Firewall Insights API のページで [有効にする] をクリックします。
gcloud
次のコマンドを使用します。
gcloud services enable firewallinsights.googleapis.com
ファイアウォール ルール ロギングを有効にする
次のいずれかを表示するには、ファイアウォール ルール ロギングを有効にする必要があります。
- ファイアウォール ルールに関する指標
- 制限が緩すぎるルールまたは
denyルールに関する分析情報。これらの分析情報は、まとめてログベースの指標と呼ばれます。
ファイアウォール インサイトは、ロギングが有効になっているルールについてのみ、指標とログベースの分析情報を生成します。詳細については、ファイアウォール ルール ロギングの概要をご覧ください。
Recommender API を有効にする
Recommender API を有効にすると、次のことができます。
- シャドウルールの分析情報を使用する
- 制限が緩すぎるルールの分析情報を使用する
API 呼び出しまたは Google Cloud CLI を使用してデータを取得する
コンソール
Google Cloud コンソールで、[API を有効にする] ページに移動します。
正しいプロジェクトが選択されていることを確認して、[次へ] をクリックします。
[有効にする] をクリックします。
gcloud
次のコマンドを使用します。
gcloud services enable recommender.googleapis.com
シャドウルールや制限が緩すぎるルールの分析情報を有効にする
ファイアウォール インサイトは、[ファイアウォール インサイト] ページで有効にしない限り、シャドウルールまたは制限が緩すぎるルールの分析情報を生成しません。
いずれかの機能を有効にしてから、生成された分析情報が表示されるまでに、最長で 48 時間ほどかかることがあります。
ファイアウォール ルールを作成または更新した場合、制限が過度に緩いルールの分析情報の機械学習予測が表示されるまでに最大で 10 日ほどかかります。それまでの間、ファイアウォール ルール ロギングから収集されたデータに基づいて分析情報を表示できます。
コンソール
Google Cloud Console で [ファイアウォール インサイト] ページに移動します。
[構成] をクリックします。
[Enablement] をクリックします。
必要に応じて、次のいずれか、または両方のスライダーを [有効] または [無効] に移動します。
シャドウルールの分析情報
制限が緩すぎるルールの分析情報
API
Recommender API を使用して、シャドウルールの分析情報と制限が緩すぎるルール分析情報の両方またはいずれか一方を有効または無効にできます。また、API を使用して、制限が緩すぎるルールの分析情報の観察期間を設定したり、構成の詳細を取得することもできます。
シャドウルールの分析情報と制限が緩すぎるルールの分析情報を有効にするには、updateConfig メソッドを使用します。
updateConfig メソッドを使用するには、すべてのパラメータの値を設定する必要があります。分析情報を有効または無効にする場合は、制限が緩すぎる分析情報の観察期間も構成する必要があります。
この更新を行うには、次のリクエストを使用します。
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
次の値を置き換えます。
- PROJECT_ID: オブジェクトの ID
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE: 制限が緩すぎるルールの分析情報のモニタリング期間(秒)
- ENABLEMENT_SHADOWED: シャドウルールの分析情報を有効にするかどうかを示すブール値
- ENABLEMENT_OVERLY_PERMISSIVE: 制限が緩すぎるルールの分析情報を有効にするかどうかを示すブール値
- ETAG: IAM ポリシーの ETag 値。ETag 値を取得するには、次のセクションで説明するように
getConfigメソッドを使用します。
例
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
構成の詳細を取得する
ファイアウォール インサイトの構成の詳細を取得するには、次の例に示すように getConfig メソッドを使用します。
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
観察期間を構成する
一部の分析情報では、観察期間、または分析情報の対象となる期間を構成できます。詳細については、観察期間と更新サイクルの設定の観察期間を構成するをご覧ください。
カスタム更新サイクルをスケジュールする
プロジェクトのシャドウルールの分析情報を生成する更新サイクルを設定できます。詳細については、「観察期間と更新サイクルの設定」のカスタム更新サイクルをスケジュールするをご覧ください。