このページは Cloud Translation API によって翻訳されました。

Chrome Enterprise Premium のコンテキストアウェアアクセスデータを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、組織を Google Security Operations に接続し、Identity-Aware Proxy（IAP）API を有効にして、次のデータを Google Security Operations に取り込むようにフィードを設定する方法について説明します。フィードには、IAP とコンテキストアクセスアウェアデータに固有の Chrome Enterprise Premium コンテンツが含まれます。

始める前に

Chrome Enterprise Premium のデータを取り込むフィードを設定する前に、次のタスクを完了します。

次のセクションの手順に沿って、 Google Cloud 組織を Google Security Operations に接続します。
1. Google Security Operations へのテレメトリーの取り込みを有効にします。
2. Google Cloud ログの Google Security Operations へのエクスポートを有効にします。
Cloud Identity API を有効にして、API を認証するサービスアカウントを作成する。
ドメイン全体の委任を作成する。
権限借用用のユーザーを作成する。

Cloud Identity API を有効にしてサービスアカウントを作成する

Google Cloud コンソールで、API を有効にする Google Cloud プロジェクトを選択し、[API とサービス] ページに移動します。

[API とサービス] に移動
[API とサービスの有効化] をクリックします。
「Cloud Identity API」を検索します。
検索結果で、[Cloud Identity API] をクリックします。
[有効にする] をクリックします。
サービスアカウントの作成:
1. Google Cloud コンソールで、[IAM と管理] > [サービスアカウント] を選択します。
2. [サービスアカウントを作成] をクリックします。
3. [サービスアカウントの作成] ページで、サービスアカウントの名前を入力します。
4. [完了] をクリックします。
作成したサービスアカウントを選択します。
[一意の ID] フィールドに表示される ID をコピーして保存します。この ID は、ドメイン全体の委任を作成するときに使用します。
[キー] タブを選択します。
[鍵を追加] > [新しい鍵を作成] の順にクリックします。
鍵のタイプとして [JSON] を選択します。
[作成] をクリックします。
JSON キーをコピーして保存します。このキーは、フィードを設定するときに使用します。

詳細については、Cloud Identity API を有効にして、API を認証するサービスアカウントを作成するをご覧ください。

ドメイン全体の委任を作成する

ドメイン全体の委任を使用してサービスアカウントの API アクセスを制御する手順は次のとおりです。

Google 管理コンソールのホームページで、[セキュリティ]> [アクセスとデータ管理] > [API の制御] を選択します。
[ドメイン全体の委任> ドメイン全体の委任を管理] を選択します。
[新しく追加] をクリックします。
サービスアカウントのクライアント ID を入力します。サービスアカウントのクライアント ID は、サービスアカウントの作成時に取得した一意の ID です。
[OAuth スコープ] に「https://www.googleapis.com/auth/cloud-identity.devices.readonly」と入力します。
[承認] をクリックします。

詳しくは、API アクセスをドメイン全体の委任で制御するをご覧ください。

権限借用用のユーザーを作成する

管理コンソールのホームページで、[ディレクトリ> ユーザー] を選択します。
新しいユーザーを追加する手順は次のとおりです。
1. [新しいユーザーの追加] をクリックします。
2. ユーザーの名前を入力します。
3. ユーザーに関連付けられているメールアドレスを入力します。
4. [作成]、[完了] の順にクリックします。
新しいロールを作成して権限を割り当てるには、次の操作を行います。
1. 新しく作成したユーザー名を選択します。
2. [管理者ロールと権限] をクリックします。
3. [カスタムの役割を作成] をクリックします。
4. [新しいロールを作成] をクリックします。
5. ロールの名前を入力します。
6. [サービス> モバイルデバイス管理] を選択し、[デバイスと設定の管理] 権限を選択します。
7. [続行] をクリックします。
ユーザーにロールを割り当てるには、次の操作を行います。
1. [ユーザーの割り当て] をクリックします。
2. 新しく作成したユーザーに移動し、[ロールを割り当てる] をクリックします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM Settings] > [Feeds] に移動します。
[Add New Feed] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[Field name] に一意の名前を入力します（例: Chrome Enterprise Premium logs）。
[ソースタイプ] として [サードパーティ API] を選択します。
[Log type] リストで、[GCP Cloud Identity Devices] または [GCP Cloud Identity Device Users] を選択します。
[次へ] をクリックします。
[Input parameters] タブで、次の詳細を指定します。

注: [Input parameters] タブに表示されるオプションは、[Set Properties] タブで指定したソースとログのタイプによって異なります。
- OAuth JWT エンドポイント「https://oauth2.googleapis.com/token」と入力します。
- JWT クレームの発行元。<insert_service_account@project.iam.gserviceaccount.com> を指定します。これは、Cloud Identity API を有効にしてサービスアカウントを作成するセクションで作成したサービスアカウントです。
- JWT クレームのサブジェクト。権限借用用のユーザーを作成するで作成したユーザーのメールアドレスを入力します。
- JWT クレームのオーディエンス。「https://oauth2.googleapis.com/token」と入力します。
- RSA 秘密鍵サービスアカウントの作成時に作成した JSON キーを入力して、API を認証します。
- API のバージョン。省略可。この欄は空白のままにしておきます。
[次へ] をクリックします。
[Finalize] タブで、入力した値を確認し、[Submit] をクリックします。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

OAuth JWT エンドポイント「https://oauth2.googleapis.com/token」と入力します。
JWT クレームの発行元。<insert_service_account@project.iam.gserviceaccount.com> を指定します。これは、Cloud Identity API を有効にしてサービスアカウントを作成するセクションで作成したサービスアカウントです。
JWT クレームのサブジェクト。権限借用用のユーザーを作成するで作成したユーザーのメールアドレスを入力します。
JWT クレームのオーディエンス。「https://oauth2.googleapis.com/token」と入力します。
RSA 秘密鍵サービスアカウントの作成時に作成した JSON キーを入力して、API を認証します。
API のバージョン。省略可。この欄は空白のままにしておきます。

詳細オプション

フィード名: フィードを識別する事前入力された値。
ソースタイプ: Google SecOps にログを収集するために使用される方法。
アセットの名前空間: フィードに関連付けられた名前空間。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。