Docker を使用して Security Command Center データを Elastic Stack に送信する

このページでは、Docker コンテナを使用して Elastic Stack のインストールをホストし、Security Command Center の検出結果、アセット、監査ログ、セキュリティ ソースを Elastic Stack に自動的に送信する方法について説明します。また、エクスポートされたデータの管理方法についても説明します。

Docker はコンテナ内のアプリケーションを管理するためのプラットフォームです。Elastic Stack は、1 つ以上のソースからデータを取り込み、セキュリティ チームがインシデントへの対応を管理してリアルタイム分析を行えるセキュリティ情報イベント管理（SIEM）プラットフォームです。このガイドで説明する Elastic Stack の構成には、次の 4 つのコンポーネントが含まれています。

• Filebeat: 仮想マシン（VM）などのエッジホストにインストールされ、データを収集して転送するように構成できる軽量エージェント
• Logstash: データを取り込み、そのデータを必須項目にマッピングして、結果を Elasticsearch に転送する変換サービス
• Elasticsearch: データを保存する検索データベース エンジン
• Kibana: データの可視化と分析を可能にする強力なダッシュボード

このガイドでは、Docker を設定して、必要な Security Command Center と Google Cloud サービスが適切に構成されていることを確認し、カスタム モジュールを使用して検出結果、アセット、監査ログ、セキュリティ ソースを Elastic Stack に送信します。

次の図は、Security Command Center で Elastic Stack を使用した場合のデータパスを示しています。

認証と認可を構成する

Elastic Stack に接続する前に、接続する Google Cloud 組織ごとに Identity and Access Management（IAM）サービス アカウントを作成し、Elastic Stack に必要な組織レベルとプロジェクト レベルの両方の IAM ロールをアカウントに付与する必要があります。

サービス アカウントの作成と IAM ロールの付与

次の手順では、Google Cloud コンソールを使用します。その他の方法については、このセクションの最後にあるリンクをご覧ください。

Security Command Center データをインポートする Google Cloud 組織ごとに、次の操作を行います。

1. Pub/Sub トピックを作成するプロジェクトと同じプロジェクトで、Google Cloud コンソールの [サービス アカウント] ページを使用してサービス アカウントを作成します。手順については、サービス アカウントの作成と管理をご覧ください。

2. サービス アカウントに次のロールを付与します。

   • Pub/Sub 管理者（roles/pubsub.admin）
   • クラウド アセット オーナー（roles/cloudasset.owner）

3. 作成したサービス アカウントの名前をコピーします。

4. Google Cloud コンソールのプロジェクト セレクタを使用して、組織レベルに切り替えます。

5. 組織の [IAM] ページを開きます。

   [IAM] に移動

6. [IAM] ページで、[アクセスを許可] をクリックします。[アクセスを許可] パネルが開きます。

7. [アクセスを許可] パネルで、次の手順を完了します。

   1. [プリンシパルの追加] セクションの [新しいプリンシパル] フィールドに、サービス アカウントの名前を貼り付けます。

   2. [ロールの割り当てる] セクションの [ロール] フィールドで、サービス アカウントに次の IAM ロールを付与します。

      • セキュリティ センター管理編集者（roles/securitycenter.adminEditor）
      • セキュリティ センター通知構成編集者（roles/securitycenter.notificationConfigEditor）
      • 組織閲覧者（roles/resourcemanager.organizationViewer）
      • Cloud Asset 閲覧者（roles/cloudasset.viewer）
      • ログ構成書き込み（roles/logging.configWriter）

   3. [保存] をクリックします。セキュリティ アカウントは、[IAM] ページの [権限] タブにある [プリンシパル別に表示] に表示されます。

      また、継承により、サービス アカウントは組織のすべての子プロジェクトのプリンシパルにもなり、プロジェクト レベルで適用されるロールが、継承されたロールとしてリストされます。

サービス アカウントの作成とロールの付与の詳細については、次のトピックをご覧ください。

• サービス アカウントを作成して管理する
• リソースへのアクセス権の付与、変更、取り消し

Elastic Stack に認証情報を指定する

Elastic Stack をホストする場所に応じて、IAM 認証情報を Elastic Stack に指定する方法は異なります。

• Google Cloud で Docker コンテナをホストしている場合は、Kubernetes ノードをホストする VM にサービス アカウントを追加します。複数の Google Cloud 組織を使用している場合は、このサービス アカウントを他の組織に追加し、サービス アカウントを作成して IAM のロールを付与するの手順 5～7 で説明されている IAM のロールを付与します。

• Docker コンテナをオンプレミス環境でホストしている場合は、Google Cloud の組織ごとにサービス アカウント キーを作成します。このガイドを完了するには、JSON 形式のサービス アカウント キーが必要です。

  サービス アカウント キーを安全に保存するためのベスト プラクティスについては、サービス アカウント キーの管理のベスト プラクティスをご覧ください。

• 別のクラウドに Docker コンテナをインストールする場合は、Workload Identity 連携を構成して、認証情報の構成ファイルをダウンロードします。複数の Google Cloud 組織を使用している場合は、このサービス アカウントを他の組織に追加し、サービス アカウントを作成して IAM のロールを付与するの手順 5～7 で説明されている IAM のロールを付与します。

通知を構成する

Security Command Center データをインポートする Google Cloud 組織ごとに、次の操作を行います。

1. 次のように検出結果の通知を設定します。

   1. Security Command Center API を有効にします。
   2. 目的の検出結果とアセットをエクスポートするフィルタを作成します。
   3. 4 つの Pub/Sub トピックを作成します（検出結果、リソース、監査ログ、アセットに 1 つずつ）。NotificationConfig では、検出用に作成した Pub/Sub トピックを使用する必要があります。

   Elastic Stack を構成するには、このタスクの組織 ID、プロジェクト ID、Pub/Sub トピック名が必要になります。

2. プロジェクトで Cloud Asset API を有効にします。

Docker と Elasticsearch のコンポーネントをインストールする

Docker と Elasticsearch のコンポーネントを環境にインストールする手順は次のとおりです。

Docker Engine と Docker Compose をインストールする

オンプレミスを使用する場合またはクラウド プロバイダで使用する場合は、Docker をインストールします。使用を開始するには、Docker のプロダクト ドキュメントで次の手順を完了してください。

• Docker Engine をインストールする（Linux）
• Docker Compose をインストールする

Elasticsearch と Kibana をインストールする

Docker のインストールでインストールした Docker イメージには、Logstash と Filebeat が含まれています。Elasticsearch と Kibana をまだインストールしていない場合は、次のガイドに沿ってアプリケーションをインストールします。

• Elasticsearch をインストールする

• Kibana をインストールする

このガイドを完了するには、これらのタスクの次の情報が必要です。

• Elastic Stack: ホスト、ポート、証明書、ユーザー名、パスワード
• Kibana: ホスト、ポート、証明書、ユーザー名、パスワード

GoApp モジュールをダウンロードする

このセクションでは、Security Command Center で管理されている Go プログラムの GoApp モジュールをダウンロードする方法について説明します。このモジュールは、Security Command Center API 呼び出しのスケジューリング プロセスを自動化し、Elastic Stack で使用するために Security Command Center のデータを定期的に取得します。

GoApp のインストール手順は次のとおりです。

1. ターミナル ウィンドウで、wget（ウェブサーバーからコンテンツを取得するために使用される無料のソフトウェア ユーティリティ）をインストールします。

   Ubuntu と Debian ディストリビューションの場合は、次のコマンドを実行します。

     # apt-get install wget
   

   RHEL、CentOS、Fedora ディストリビューションの場合は、次のコマンドを実行します。

     # yum install wget
   

2. unzip（ZIP ファイルの内容を抽出する無料のソフトウェア ユーティリティ）をインストールします。

   Ubuntu と Debian ディストリビューションの場合は、次のコマンドを実行します。

   # apt-get install unzip
   

   RHEL、CentOS、Fedora ディストリビューションの場合は、次のコマンドを実行します。

   # yum install unzip
   

3. GoogleSCCElasticIntegration インストール パッケージのディレクトリを作成します。

   mkdir GoogleSCCElasticIntegration
   

4. GoogleSCCElasticIntegration インストール パッケージをダウンロードします。

   wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip
   

5. GoogleSCCElasticIntegration インストール パッケージの内容を GoogleSCCElasticIntegration ディレクトリに展開します。

   unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration
   

6. GoApp モジュール コンポーネントを保存して実行するための作業ディレクトリを作成します。

   mkdir WORKING_DIRECTORY
   

   WORKING_DIRECTORY は、ディレクトリ名に置き換えます。

7. GoogleSCCElasticIntegration インストール ディレクトリに移動します。

   cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/
   

   ROOT_DIRECTORY は、GoogleSCCElasticIntegration ディレクトリを含むディレクトリのパスに置き換えます。

8. install、config.yml、dashboards.ndjson、templates フォルダ（filebeat.tmpl、logstash.tmpl、docker.tmpl ファイルを含む）を作業ディレクトリに移動します。

   mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY
   

   WORKING_DIRECTORY は、作業ディレクトリのパスに置き換えます。

Docker コンテナをインストールする

Docker コンテナを設定するには、Logstash と Filebeat を含む Google Cloud から事前にフォーマットされたイメージをダウンロードしてインストールします。Docker イメージの詳細については、Google Cloud コンソールで Container Registry リポジトリに移動してください。

Container Registry に移動

インストール中に、Security Command Center と Elastic Stack の認証情報で GoApp モジュールを構成します。

1. 作業ディレクトリに移動します。

   cd /WORKING_DIRECTORY
   

   WORKING_DIRECTORY は、作業ディレクトリのパスに置き換えます。

2. 作業ディレクトリに次のファイルが存在することを確認します。

     ├── config.yml
     ├── install
     ├── dashboards.ndjson
     ├── templates
         ├── filebeat.tmpl
         ├── docker.tmpl
         ├── logstash.tmpl
   

3. テキスト エディタで config.yml ファイルを開き、リクエストされた変数を追加します。変数が不要な場合は、空白のままにします。

   変数	説明	必須
   elasticsearch	Elasticsearch 構成のセクション。	必須
   host	Elastic Stack ホストの IP アドレス。	必須
   password	Elasticsearch のパスワード。	省略可
   port	Elastic Stack ホストのポート。	必須
   username	Elasticsearch のユーザー名。	省略可
   cacert	Elasticsearch サーバーの証明書（例: path/to/cacert/elasticsearch.cer）。	省略可
   http_proxy	プロキシホストのユーザー名、パスワード、IP アドレス、ポートへのリンク（例: http://USER:PASSWORD@PROXY_IP:PROXY_PORT）。	省略可
   kibana	Kibana の構成に関するセクション。	必須
   host	Kibana サーバーをバインドする IP アドレスまたはホスト名。	必須
   password	Kibana のパスワード。	省略可
   port	Kibana サーバーのポート。	必須
   username	Kibana のユーザー名。	省略可
   cacert	Kibana サーバーの証明書（例: path/to/cacert/kibana.cer）。	省略可
   cron	cron 構成のセクション。	省略可
   asset	アセットの cron 構成のセクション（例: 0 */45 * * * *）。	省略可
   source	ソース cron 構成のセクション（例: 0 */45 * * * *）。詳細については、cron 式の生成ツールをご覧ください。	省略可
   organizations	Google Cloud 組織の構成のセクション。複数の Google Cloud 組織を追加するには、resource の - id: から subscription_name までをすべてコピーします。	必須
   id	組織の ID。	必須
   client_credential_path	次のいずれか:: JSON ファイルのパス（サービス アカウント キーを使用している場合）。 認証情報の構成ファイル（始める前にで説明されている、Workload Identity 連携を使用している場合）。 Docker コンテナをインストールする Google Cloud 組織の場合は、何も指定しないでください。	省略可（環境によって異なる）
   update	以前のバージョンからアップグレードするかどうか（n（いいえ）または y（はい））	省略可
   project	プロジェクト ID 用のセクション	必須
   id	Pub/Sub トピックを含むプロジェクトの ID	必須
   auditlog	監査ログの Pub/Sub トピックとサブスクリプションのセクション。	省略可
   topic_name	監査ログ用の Pub/Sub トピックの名前	省略可
   subscription_name	監査ログ用の Pub/Sub サブスクリプションの名前	省略可
   findings	検出結果の Pub/Sub トピックとサブスクリプションのセクション。	省略可
   topic_name	検出結果の Pub/Sub トピックの名前。	省略可
   start_date	検出結果の移行を開始する日付（省略可、例: 2021-04-01T12:00:00+05:30）。	省略可
   subscription_name	検出結果の Pub/Sub サブスクリプションの名前。	省略可
   asset	アセット構成のセクション。	省略可
   iampolicy	IAM ポリシーの Pub/Sub トピックとサブスクリプションのセクション。	省略可
   topic_name	IAM ポリシーの Pub/Sub トピックの名前。	省略可
   subscription_name	IAM ポリシーの Pub/Sub サブスクリプションの名前。	省略可
   resource	リソースの Pub/Sub トピックとサブスクリプションのセクション。	省略可
   topic_name	リソースの Pub/Sub トピックの名前。	省略可
   subscription_name	リソースの Pub/Sub サブスクリプションの名前。	省略可

   config.yml ファイルの例

   次の例は、2 つの Google Cloud 組織を含む config.yml ファイルを示しています。

   elasticsearch:
     host: 127.0.0.1
     password: changeme
     port: 9200
     username: elastic
     cacert: path/to/cacert/elasticsearch.cer
   http_proxy: http://user:password@proxyip:proxyport
   kibana:
     host: 127.0.0.1
     password: changeme
     port: 5601
     username: elastic
     cacert: path/to/cacert/kibana.cer
   cron:
     asset: 0 */45 * * * *
     source: 0 */45 * * * *
   organizations:
     – id: 12345678910
       client_credential_path:
       update:
       project:
         id: project-id-12345
       auditlog:
         topic_name: auditlog.topic_name
         subscription_name: auditlog.subscription_name
       findings:
         topic_name: findings.topic_name
         start_date: 2021-05-01T12:00:00+05:30
         subscription_name: findings.subscription_name
       asset:
         iampolicy:
           topic_name: iampolicy.topic_name
           subscription_name: iampolicy.subscription_name
         resource:
           topic_name: resource.topic_name
           subscription_name: resource.subscription_name
     – id: 12345678911
       client_credential_path:
       update:
       project:
         id: project-id-12346
       auditlog:
         topic_name: auditlog2.topic_name
         subscription_name: auditlog2.subscription_name
       findings:
         topic_name: findings2.topic_name
         start_date: 2021-05-01T12:00:00+05:30
         subscription_name: findings1.subscription_name
       asset:
         iampolicy:
           topic_name: iampolicy2.topic_name
           subscription_name: iampolicy2.subscription_name
         resource:
           topic_name: resource2.topic_name
           subscription_name: resource2.subscription_name
   

4. 次のコマンドを実行して Docker イメージをインストールし、GoApp モジュールを構成します。

   chmod +x install
   ./install
   

   GoApp モジュールが Docker イメージをダウンロードしてインストールし、コンテナをセットアップします。

5. プロセスが完了したら、インストールの出力から WriterIdentity サービス アカウントのメールアドレスをコピーします。

   docker exec googlescc_elk ls
   docker exec googlescc_elk cat Sink_}}HashId{{
   

   作業ディレクトリの構造は次のようになります。

     ├── config.yml
     ├── dashboards.ndjson
     ├── docker-compose.yml
     ├── install
     ├── templates
         ├── filebeat.tmpl
         ├── logstash.tmpl
         ├── docker.tmpl
     └── main
         ├── client_secret.json
         ├── filebeat
         │          └── config
         │                   └── filebeat.yml
         ├── GoApp
         │       └── .env
         └── logstash
                    └── pipeline
                               └── logstash.conf
   

監査ログの権限を更新する

監査ログが SIEM に送信されるように権限を更新するには:

1. Pub/Sub トピックページに移動します。

   [Pub/Sub] に移動

2. Pub/Sub トピックを含むプロジェクトを選択します。

3. 監査ログ用に作成した Pub/Sub トピックを選択します。

4. [権限] で、新しいプリンシパルとして WriterIdentity サービス アカウント（インストール手順の手順 4 でコピーしたもの）を追加し、Pub/Sub パブリッシャー ロールを割り当てます。監査ログポリシーが更新されます。

Docker と Elastic Stack の構成が完了しました。これで、Kibana を設定できます。

Docker ログを表示する

1. ターミナルを開き、次のコマンドを実行して、コンテナ ID などのコンテナ情報を表示します。Elastic Stack がインストールされているコンテナの ID をメモします。

   docker container ls
   

2. コンテナを起動してログを表示するには、次のコマンドを実行します。

   docker exec -it CONTAINER_ID /bin/bash
   cat go.log
   

   CONTAINER_ID は、Elastic Stack がインストールされているコンテナの ID に置き換えます。

Kibana を設定する

Docker コンテナを初めてインストールする場合は、以下の手順を行います。

1. テキスト エディタで kibana.yml を開きます。

   sudo vim KIBANA_DIRECTORY/config/kibana.yml
   

   KIBANA_DIRECTORY は、Kibana インストール フォルダのパスに置き換えます。

2. 次の変数を更新します。

   • server.port: Kibana のバックエンド サーバーに使用するポート（デフォルトは 5601）
   • server.host: Kibana サーバーをバインドする IP アドレスまたはホスト名
   • elasticsearch.hosts: クエリに使用する Elasticsearch インスタンスの IP アドレスとポート
   • server.maxPayloadBytes: 受信サーバー リクエストの最大ペイロード サイズ（バイト単位、デフォルトは 1,048,576）
   • url_drilldown.enabled: Kibana ダッシュボードから内部または外部 URL に移動する機能を制御するブール値（デフォルトは true）

   完成した構成は次のようになります。

     server.port: PORT
     server.host: "HOST"
     elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
     server.maxPayloadBytes: 5242880
     url_drilldown.enabled: true
   

Kibana ダッシュボードをインポートする

1. Kibana アプリケーションを開きます。
2. ナビゲーション メニューで、[Stack Management] に移動し、[Saved Objects] をクリックします。
3. [Import] をクリックして作業ディレクトリに移動し、dashboards.ndjson を選択します。ダッシュボードがインポートされ、インデックス パターンが作成されます。

Docker コンテナをアップグレードする

以前のバージョンの GoApp モジュールをデプロイした場合は、新しいバージョンにアップグレードできます。Docker コンテナを新しいバージョンにアップグレードするときに、既存のサービス アカウントの設定、Pub/Sub トピック、ElasticSearch コンポーネントを維持できます。

Docker コンテナを使用していない統合からアップグレードする場合は、最新リリースにアップグレードするをご覧ください。

1. v1 からアップグレードする場合は、次の手順を完了します。

   1. サービス アカウントにログ構成書き込み（roles/logging.configWriter）のロールを追加します。

   2. 監査ログ用の Pub/Sub トピックを作成します。

2. 別のクラウドに Docker コンテナをインストールする場合は、Workload Identity 連携を構成して、認証情報の構成ファイルをダウンロードします。

3. 必要に応じて、新しいダッシュボードをインポートする際の問題を避けるために、Kibana から既存のダッシュボードを削除します。

   1. Kibana アプリケーションを開きます。
   2. ナビゲーション メニューで、[Stack Management] に移動し、[Saved Objects] をクリックします。
   3. Google SCC を検索します。
   4. 削除するダッシュボードをすべて選択します。
   5. [Delete] をクリックします。

4. 既存の Docker コンテナを削除します。

   1. ターミナルを開いてコンテナを停止します。

      docker stop CONTAINER_ID
      

      CONTAINER_ID は、Elastic Stack がインストールされているコンテナの ID に置き換えます。

   2. Docker コンテナを削除します。

      docker rm CONTAINER_ID
      

      必要に応じて、コンテナ ID の前に -f を追加して、コンテナを強制的に削除します。

5. GoApp モジュールをダウンロードするの手順 1～7 を完了します。

6. 以前のインストールから既存の config.env ファイルを \update ディレクトリに移動します。

7. 必要に応じて、./update を実行する実行権限を付与します。

   chmod +x ./update
   ./update
   

8. ./update を実行して config.env を config.yml に変換します。

9. config.yml ファイルに既存の構成が含まれていることを確認します。実行されていない場合は、./update を再実行します。

10. 複数の Google Cloud 組織をサポートするには、config.yml ファイルに別の組織構成を追加します。

11. config.yml ファイルを install のある作業ディレクトリに移動します。

12. Docker のインストールの手順を完了します。

13. 監査ログの権限を更新するの手順を完了します。

14. Kibana ダッシュボードのインポートの説明に沿って、新しいダッシュボードをインポートします。これにより、既存の Kibana ダッシュボードが上書きされます。

Kibana ダッシュボードの表示と編集

Elastic Stack のカスタム ダッシュボードを使用すると、検出結果、アセット、セキュリティ ソースを可視化して分析できます。ダッシュボードには重要な検出結果が示され、セキュリティ チームが修正の優先順位を決めるのに役立ちます。

[Overview] ダッシュボード

[Overview] ダッシュボードには、重要度レベル、カテゴリ、状態別に、Google Cloud 組織で見つかった検出結果の合計数を表示する一連のグラフが表示されます。検出結果は、Security Command Center の組み込みサービス（Security Health Analytics、Web Security Scanner、Event Threat Detection、Container Threat Detection）と、有効にした統合サービスから編集されます。

構成ミスや脆弱性などの条件でコンテンツをフィルタするには、[Finding class] を選択します。

追加のグラフには、最も多くの検出結果を生成したカテゴリ、プロジェクト、アセットが表示されます。

[Assets] ダッシュボード

[Assets] ダッシュボードには、Google Cloud アセットを示すテーブルが表示されます。テーブルには、アセットのオーナー、リソースタイプとプロジェクトごとのアセット数、最近追加または更新されたアセットが表示されます。

アセットデータを組織、アセット名、アセットタイプ、親でフィルタして、特定のアセットの検出結果にすばやくドリルダウンできます。アセット名をクリックすると、Google Cloud コンソールの Security Command Center の [アセット] ページにリダイレクトされ、選択したアセットの詳細が表示されます。

[Audit logs] ダッシュボード

[Audit logs] ダッシュボードには、監査ログ情報を示す一連のグラフとテーブルが表示されます。ダッシュボードに含まれる監査ログは、管理者のアクティビティ、データアクセス、システム イベント、ポリシーで拒否された監査ログです。テーブルには、時間、重大度、ログタイプ、ログ名、サービス名、リソース名、リソースタイプが含まれます。

組織、ソース（プロジェクトなど）、重大度、ログタイプ、リソースタイプでデータをフィルタできます。

[Findings] ダッシュボード

[Findings] ダッシュボードには、最新の検出結果を示すグラフが表示されます。グラフには、検出結果の数、重大度、カテゴリ、状態に関する情報が表示されます。アクティブな検出結果や、検出結果が最も多いプロジェクトやリソースを表示することもできます。

組織や検出クラスでデータをフィルタできます。

検出結果の名前をクリックすると、Google Cloud コンソールの Security Command Center の [検出結果] ページにリダイレクトされ、選択した検出結果の詳細が表示されます。

[Sources] ダッシュボード

[Sources] ダッシュボードには、検出結果とセキュリティ ソースの総数、検出結果の数（ソース名別）、すべてのセキュリティ ソースを含むテーブルが表示されます。テーブルの列には、名前、表示名、説明が含まれています。

列を追加する

1. ダッシュボードに移動します。
2. [Edit] をクリックし、[Edit visualization] をクリックします。
3. [Add sub-bucket] で、[Split rows] を選択します。
4. リストから期間集計を選択します。
5. [Descending] プルダウン メニューで、昇順または降順を選択します。[Size] フィールドにテーブルの最大行数を入力します。
6. 追加する列を選択し、[更新] をクリックします。
7. 変更を保存します。

列の非表示または削除

1. ダッシュボードに移動します。
2. [編集] をクリックします。
3. 列を非表示にするには、列名の横にある表示アイコン（目のアイコン）をクリックします。
4. 列を削除するには、列名の横にある [X]（削除）のアイコンをクリックします。

Elasticsearch との統合をアンインストールする

Security Command Center と Elasticsearch の統合を削除するには、次のセクションを完了します。

ダッシュボード、インデックス、インデックス パターンを削除する

このソリューションをアンインストールする場合は、ダッシュボードを削除します。

1. ダッシュボードに移動します。

2. 「Google SCC」を検索し、すべてのダッシュボードを選択します。

3. [ダッシュボードを削除] をクリックします。

4. [Stack Management] > [Index Management] に移動します。

5. 次のインデックスを閉じます。

   • gccassets
   • gccfindings
   • gccsources
   • gccauditlogs

6. [Stack Management] > [Index Patterns] に移動します。

7. 次のパターンを閉じます。

   • gccassets
   • gccfindings
   • gccsources
   • gccauditlogs

Docker をアンインストールする

1. Pub/Sub の NotificationConfig を削除します。NotificationConfig の名前を確認するには、次のコマンドを実行します。

   docker exec googlescc_elk ls
   docker exec googlescc_elk cat NotificationConf_}}HashId{{
   

2. アセット、検出結果、IAM ポリシー、監査ログの Pub/Sub フィードを削除します。フィードの名前を確認するには、次のコマンドを実行します。

   docker exec googlescc_elk ls
   docker exec googlescc_elk cat Feed_}}HashId{{
   

3. 監査ログのシンクを削除します。シンクの名前を確認するには、次のコマンドを実行します。

   docker exec googlescc_elk ls
   docker exec googlescc_elk cat Sink_}}HashId{{
   

4. コンテナ ID などのコンテナ情報を表示するには、ターミナルを開いて次のコマンドを実行します。

   docker container ls
   

5. コンテナを停止します。

   docker stop CONTAINER_ID
   

   CONTAINER_ID は、Elastic Stack がインストールされているコンテナの ID に置き換えます。

6. Docker コンテナを削除します。

   docker rm CONTAINER_ID
   

   必要に応じて、コンテナ ID の前に -f を追加して、コンテナを強制的に削除します。

7. Docker イメージを削除します。

   docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest
   

8. 作業ディレクトリと docker-compose.yml ファイルを削除します。

   rm -rf ./main docker-compose.yml
   

次のステップ

• Security Command Center での検出結果の通知の設定について確認する。

• Security Command Center での検出通知のフィルタリングについて確認する。