GCP ログを Chronicle に取り込む

このページでは、Chronicle への GCP テレメトリーの取り込みを有効または無効にする方法を説明します。Chronicle を使用すると、集約したセキュリティ情報を数か月以上にわたって保存、検索、調査できます。

始める前に

GCP テレメトリーを Chronicle アカウントに取り込む前に、次の手順を実行する必要があります。

  1. Chronicle の担当者に問い合わせ、GCP テレメトリーの取り込みに必要な 1 回限りのアクセスコードを取得します。

  2. Chronicle セクションへのアクセスに必要な IAM のロールを付与します。

    • すべてのアクティビティを実行するための Chronicle サービス管理者 IAM ロール。
    • 取り込みの状態のみを閲覧する Chronicle サービス閲覧者 IAM ロール。

IAM ロールの付与

必要な IAM ロールを付与するには、Google Cloud Console または gcloud CLI を使用します。

Google Cloud Console を使用して IAM ロールを付与するには、次の操作を行います。

  1. 接続する GCP 組織にログインし、[プロダクト] > [IAM と管理] > [IAM] を使用して IAM 画面に移動します。
  2. IAM 画面でユーザーを選択し、[メンバーを編集] をクリックします。

  3. [権限の編集] 画面で、[別のロールを追加] をクリックして Chronicle を検索し、IAM ロールを見つけます。

  4. ロールを割り当てたら、[保存] をクリックします。

gCloud コマンドライン ツールを使用して IAM ロールを付与する手順は次のとおりです。

  1. 正しい組織にログインしていることを確認します。gcloud init コマンドを実行して、これを確認します。
  2. gCloud ツールから管理者 IAM ロールを付与するには、次のコマンドを実行します。

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.admin

  3. gCloud ツールから閲覧者 IAM ロールを付与するには、次のコマンドを実行します。

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.viewer

GCP テレメトリーの取り込みを有効にする

Chronicle アカウントで GCP テレメトリーの取り込みを有効にする手順は次のとおりです。

  1. Google Cloud Console の Chronicle のページに移動します。
    Chronicle のページに移動

  2. [1 回限りの Chronicle アクセスコード] フィールドに 1 回限りのアクセスコードを入力します。

  3. [Chronicle による Google Cloud データの使用に関する利用規約に同意します] チェックボックスをオンにします。

  4. [Connect Chronicle] をクリックします。

    [Chronicle 接続] ページ

GCP テレメトリーが Chronicle に送信されます。Chronicle の分析機能を使用して、セキュリティ関連の問題を調査できます。 以下のセクションでは、Chronicle に送信される GCP テレメトリーの種類を調整する方法について説明します。

Chronicle に Google Cloud ログをエクスポートする

Google Cloud ログを Chronicle にエクスポートするには、[Cloud ログを Chronicle にエクスポートする] を有効にします。

Google Cloud ログをエクスポートする。

Chronicle に Google Cloud アセット メタデータをエクスポートする

Google Cloud Asset メタデータを Chronicle にエクスポートできます。このアセットのメタデータは Google Cloud Asset Inventory から取得され、次のようなアセット、リソース、ID に関する情報で構成されます。

  • 環境
  • 場所
  • ゾーン
  • ハードウェア モデル

Google Cloud Asset メタデータの例を次に示します。

  • アプリケーション名: Google-iamSample/0.1
  • プロジェクト名: projects/my-project

Google Cloud Asset メタデータを Chronicle にエクスポートするには、[Export Cloud Asset Metadata to Chronicle] を有効に設定します。

Cloud Asset メタデータを有効にします。

Chronicle に Security Command Center の検出結果をエクスポートする

次の SCC Premium Event Threat Detection(ETD)の検出結果を Chronicle にエクスポートできます。

  • マルウェア: 不正 IP
  • マルウェア: 不正ドメイン
  • 永続性: IAM 異常付与
  • ブルート フォース SSH
  • データ漏洩: BigQuery データの漏洩

ETD の詳細については、こちらをご覧ください。

SCC Premium の ETD 検出結果を Chronicle にエクスポートするには、[Security Command Center Premium の検出結果を Chronicle にエクスポート] を有効に設定します。

Security Command Center のプレミアム検出結果を有効にします。

GCP テレメトリーの取り込みを無効にする

  1. [Chronicle の接続を解除し、Google Cloud ログの Chronicle への送信を停止する] チェックボックスをオンにします。

  2. [Chronicle の接続を解除] をクリックします。

    Chronicle の接続を解除する。

次のステップ

  • Chronicle の担当者から提供されたお客様固有の URL を使用して、Chronicle アカウントを開く。
  • Chronicle の詳細を確認する。