Chronicle への GCP ログの取り込み

このページでは、Chronicle への GCP ログの取り込みを有効または無効にする方法を説明します。Chronicle を使用すると、過去数か月以上にわたる企業のセキュリティの集約情報を保管、検索、確認ができます。

始める前に

Chronicle アカウントに GCP ログを取り込むには、次の手順を完了する必要があります。

  1. Chronicle の担当者に問い合わせ、GCP ログの取り込みに必要な 1 回限りのアクセスコードを取得します。
  2. Chronicle セクションへのアクセスに必要な IAM のロールを付与します。
    • すべてのアクティビティを実行するための Chronicle サービス管理者 IAM ロール。
    • 取り込みの状態のみを閲覧する Chronicle サービス閲覧者 IAM ロール。

IAM ロールの付与

必要な IAM ロールを付与するには、Google Cloud Console または gcloud CLI を使用します。

Google Cloud Console を使用して IAM ロールを付与するには、次の操作を行います。

  1. 接続する GCP 組織にログインし、[プロダクト] > [IAM と管理] > [IAM] を使用して IAM 画面に移動します。
  2. IAM 画面でユーザーを選択し、[メンバーを編集] をクリックします。

  3. [権限の編集] 画面で、[別のロールを追加] をクリックして Chronicle を検索し、IAM ロールを見つけます。

  4. ロールを割り当てたら、[保存] をクリックします。

gCloud コマンドライン ツールを使用して IAM ロールを付与する手順は次のとおりです。

  1. 正しい組織にログインしていることを確認します。gcloud init コマンドを実行して、これを確認します。
  2. gCloud ツールから管理者 IAM ロールを付与するには、次のコマンドを実行します。

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.admin

  3. gCloud ツールから閲覧者 IAM ロールを付与するには、次のコマンドを実行します。

    $ gcloud organizations add-iam-policy-binding <ORGANIZATION_ID> --member user:<USER_EMAIL> --role roles/chroniclesm.viewer

GCP ログの取り込みを有効にする

Chronicle アカウントで GCP ログの取り込みを有効にする手順は次のとおりです。

  1. Google Cloud Console の Chronicle ページに移動します。
    Chronicle ページに移動

  2. [1 回限りの Chronicle アクセスコード] フィールドに 1 回限りのアクセスコードを入力します。

  3. [Chronicle による Google Cloud データの使用に関する利用規約に同意します] のチェックボックスをオンにします。

  4. [Connect Chronicle] をクリックします。

    Connect Chronicle ページ。

これで GCP ログが Chronicle に送信されるようになりました。Chronicle の分析機能を使用して、セキュリティ関連の問題を調査できます。

GCP ログの取り込みを一時的に無効にする

Chronicle アカウントに対する GCP ログの取り込みを一時的に無効にする手順は次のとおりです。

  1. [Google Cloud ログの取り込み] で、プルダウン メニューから [無効] を選択します。

  2. [保存] をクリックします。

    GCP ログの取り込み。

  3. プルダウン メニューを [有効] に設定して [保存] をクリックすることで、いつでも GCP ログの取り込みを再開できます。

GCP ログの取り込みを完全に無効にする

  1. [Chronicle の接続を解除し、Google Cloud ログの Chronicle への送信を停止する] チェックボックスをオンにします。

  2. [Chronicle の接続を解除] をクリックします。

    Chronicle の接続を解除する。

GCP ログの種類

GCP ログの取り込みを有効にすると、次のタイプの GCP ログが Chronicle アカウントに取り込まれます。

サポートされるログタイプ サポートされるサブログタイプ 詳細情報
Cloud DNS ログ 該当なし ロギングとモニタリング
Cloud Audit Logs 管理アクティビティの監査ログ
システム イベントの監査ログ
Cloud Audit Logs

次のステップ

  • Chronicle の担当者から提供されたお客様固有の URL を使用して、Chronicle アカウントを開く。
  • Chronicle の詳細を確認する。