このページは Cloud Translation API によって翻訳されました。

Security Command Center の有害な組み合わせログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Cloud Storage を使用して Security Command Center の有害な組み合わせログをエクスポートし、Google Security Operations に取り込む方法について説明します。パーサーは、JSON ログからセキュリティ検出結果データを抽出して構造化します。データを統合データモデル（UDM）に正規化し、さまざまなデータ形式を処理して、ネットワーク情報やユーザーエージェントの詳細などの追加コンテキストでデータを拡充します。

始める前に

次の前提条件を満たしていることを確認します。

Security Command Center が Google Cloud 環境で有効になり、構成されている。
Google SecOps インスタンス。
Security Command Center と Cloud Logging への特権アクセス。

Cloud Storage バケットを作成する

Google Cloud コンソールにログインします。
[Cloud Storage バケット] のページに移動します。

[バケット] に移動
[作成] をクリックします。
[バケットの作成] ページでユーザーのバケット情報を入力します。以下のステップでは、操作を完了した後に [続行] をクリックして、次のステップに進みます。
1. [始める] セクションで、次の操作を行います。
  1. バケット名の要件を満たす一意の名前を入力します（例: gcp-scc-toxic-combination-logs）。
  2. 階層名前空間を有効にするには、展開矢印をクリックして [Optimize for file oriented and data-intensive workloads] セクションを開き、[このバケットで階層的な名前空間を有効にする] を選択します。
    
    注: 既存のバケットで階層型名前空間を有効にすることはできません。
  3. バケットラベルを追加するには、展開矢印をクリックして [ラベル] セクションを開きます。
  4. [ラベルを追加] をクリックし、ラベルのキーと値を指定します。
2. [データの保存場所の選択] セクションで、次の操作を行います。
  1. ロケーションタイプを選択してください。
  2. ロケーションタイプのメニューを使用して、バケット内のオブジェクトデータが永続的に保存されるロケーションを選択します。
    
    注: ロケーションタイプとして [デュアルリージョン] を選択した場合は、関連するチェックボックスを使用してターボレプリケーションを有効にすることもできます。
  3. クロスバケットレプリケーションを設定するには、[クロスバケットレプリケーションを設定する] セクションを開きます。
3. [データのストレージクラスを選択する] セクションで、バケットのデフォルトのストレージクラスを選択します。あるいは、Autoclass を選択して、バケットデータのストレージクラスを自動的に管理します。
4. [オブジェクトへのアクセスを制御する方法を選択する] セクションで、[なし] を選択して公開アクセスの防止を適用し、バケットのオブジェクトの [アクセス制御モデル] を選択します。
  注: プロジェクトの組織のポリシーによって公開アクセスの防止がすでに適用されている場合、[公開アクセスの防止] チェックボックスはロックされています。
5. [オブジェクトデータを保護する方法を選択する] セクションで、次の操作を行います。
  1. [データ保護] で、バケットに設定するオプションを選択します。
  2. オブジェクトデータの暗号化方法を選択するには、[データ暗号化] というラベルの付いた展開矢印をクリックし、データの暗号化方法を選択します。
[作成] をクリックします。

Security Command Center のロギングを構成する

Google Cloud コンソールにログインします。
[Security Command Center] ページに移動します。

Security Command Center に移動
組織を選択する。
[設定] をクリックします。
[継続的エクスポート] タブをクリックします。
[エクスポート名] で [Logging エクスポート] をクリックします。
[シンク] で、[検出を Logging にロギング] をオンにします。
[ロギングプロジェクト] で、検出結果を記録するプロジェクトを入力または検索します。
[保存] をクリックします。

Security Command Center の有害な組み合わせログのエクスポートを構成する

Google Cloud コンソールにログインします。
[ロギング>ログルーター] に移動します。
[シンクを作成] をクリックします。
次の構成パラメータを指定します。
- シンク名: わかりやすい名前を入力します（例: scc-toxic-combination-logs-sink）。
- シンクの宛先: [Cloud Storage] を選択し、バケットの URI（例: gs://gcp-scc-toxic-combination-logs）を入力します。
- ログフィルタ:
```
logName="projects/<your-project-id>/logs/cloudsecurityscanner.googleapis.com%2Ftoxic_combinations"
resource.type="security_command_center_toxic_combination"
```
- エクスポートオプションを設定: すべてのログエントリを含めます。
[作成] をクリックします。

Cloud Storage の権限を構成する

[IAM と管理] > [IAM] に移動します。
Cloud Logging サービスアカウントを見つけます。
バケットに対する roles/storage.admin を付与します。

フィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM Settings] > [Feeds] に移動します。
[Add New Feed] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Security Command Center Toxic Combination logs）。
[ソースタイプ] として [Google Cloud Storage V2] を選択します。
[ログタイプ] として [Security Command Center Toxic Combination] を選択します。
[Chronicle Service Account] フィールドの横にある [サービスアカウントを取得する] をクリックします。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- ストレージバケット URI: Cloud Storage バケットの URL（例: gs://gcp-scc-toxic-combination-logs）。
- Source deletion options: 必要に応じて削除オプションを選択します。
  
  注: Delete transferred files オプションまたは Delete transferred files and empty directories オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
- ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
category	read_only_udm.metadata.product_event_type	未加工ログの `category` フィールドから直接マッピングされます。
createTime	read_only_udm.security_result.detection_fields.value	未加工ログの `createTime` フィールドから直接マッピングされます。ここで、キーは「createTime」です。
ミュート	read_only_udm.security_result.detection_fields.value	未加工ログの `mute` フィールドから直接マッピングされます。ここで、キーは「mute」です。
name	read_only_udm.metadata.product_log_id	未加工ログの `name` フィールドから直接マッピングされます。
親	read_only_udm.target.resource_ancestors.name	未加工ログの `parent` フィールドから直接マッピングされます。
parentDisplayName	read_only_udm.metadata.description	未加工ログの `parentDisplayName` フィールドから直接マッピングされます。
resource.displayName	read_only_udm.target.resource.attribute.labels.value	未加工ログの `resource.displayName` フィールドから直接マッピングされます。ここで、キーは「resource_displayName」です。
resource.folders	read_only_udm.target.resource_ancestors	パーサーは、`resource` オブジェクトの `folders` 配列からリソースフォルダ情報を抽出します。各フォルダを反復処理し、キーが「folder_resourceFolderDisplayName」の場合に `resourceFolder` を `name` に、`resourceFolderDisplayName` を `attribute.labels.value` にマッピングします。
resource.name	read_only_udm.target.resource.name	未加工ログの `resource.name` フィールドから直接マッピングされます。
resource.parent	read_only_udm.target.resource.attribute.labels.value	未加工ログの `resource.parent` フィールドから直接マッピングされます。ここで、キーは「resource_parent」です。
resource.parentDisplayName	read_only_udm.target.resource.attribute.labels.value	未加工ログの `resource.parentDisplayName` フィールドから直接マッピングされます。ここで、キーは「resource_parentDisplayName」です。
resource.project	read_only_udm.target.resource.attribute.labels.value	未加工ログの `resource.project` フィールドから直接マッピングされます。ここで、キーは「resource_project」です。
resource.projectDisplayName	read_only_udm.target.resource.attribute.labels.value	未加工ログの `resource.projectDisplayName` フィールドから直接マッピングされます。ここで、キーは「resource_projectDisplayName」です。
resource.service	read_only_udm.target.application	未加工ログの `resource.service` フィールドから直接マッピングされます。
resource.type	read_only_udm.target.resource.attribute.labels.value	未加工ログの `resource.type` フィールドから直接マッピングされます。キーは「resource_type」です。
resourceName	read_only_udm.target.resource.name	未加工ログの `resourceName` フィールドから直接マッピングされます。
securityMarks.name	read_only_udm.security_result.detection_fields.value	未加工ログの `securityMarks.name` フィールドから直接マッピングされます。ここで、キーは securityMarks_name です。
重要度	read_only_udm.security_result.severity	未加工ログの `severity` フィールドから直接マッピングされます。
state	read_only_udm.security_result.detection_fields.value	未加工ログの `state` フィールドから直接マッピングされます。ここで、キーは「state」です。
eventTime	read_only_udm.metadata.event_timestamp.seconds	パーサーは `eventTime` フィールドからタイムスタンプを抽出し、Unix エポック秒に変換します。
	read_only_udm.metadata.product_name	パーサーは、ログソースに基づいて `product_name` を `Security Command Center` に設定します。
	read_only_udm.metadata.vendor_name	パーサーは、ログソースに基づいて `vendor_name` を `Google` に設定します。
	read_only_udm.security_result.alert_state	このログはアクティブなアラートを表しているため、パーサーは `alert_state` を `ALERTING` に設定します。
	read_only_udm.security_result.category_details	パーサーは、ログソースに基づいて `category_details` を `POSTURE_VIOLATION` に設定します。
	read_only_udm.security_result.url_back_to_product	パーサーは、ログから抽出された組織、ソース、検出 ID を使用して `url_back_to_product` を動的に構築します。
親	read_only_udm.target.resource.product_object_id	パーサーは `parent` フィールドからソース ID を抽出し、`product_object_id` として設定します。
resourceName	read_only_udm.target.resource_ancestors.name	パーサーは `resourceName` フィールドからプロジェクト ID を抽出し、`resource_type` を `CLOUD_PROJECT` として `resource_ancestors` エントリとして設定します。
	read_only_udm.target.resource_ancestors.resource_subtype	パーサーは、ログソースに基づいて、フォルダの祖先の `resource_subtype` を `google.cloud.resourcemanager.Project` に設定します。
	read_only_udm.target.resource.attribute.labels.key	パーサーは、ターゲットリソースの `attribute` オブジェクトの `labels` フィールドに複数のキーを設定します。これらのキーには、resource_parentDisplayName、resource_type、resource_projectDisplayName、resource_displayName、finding_id、source_id、resource_parent、resource_project が含まれます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。