このページは Cloud Translation API によって翻訳されました。

Google Cloud IoT ログを収集する

以下でサポートされています。

Google SecOps SIEM

このガイドでは、Cloud Storage を使用して Google Cloud IoT ログを Google Security Operations にエクスポートする方法について説明します。パーサーは JSON 形式のログからフィールドを抽出し、それらのフィールドを Google SecOps UDM スキーマの対応するフィールドにマッピングします。最終的に、未加工のログデータをセキュリティ分析に適した構造化形式に変換します。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス。
IoT が Google Cloud 環境で設定され、有効になっている。
Google Cloudへの特権アクセス。

Google Cloud Storage バケットを作成する

Google Cloud コンソールにログインします。
[Cloud Storage バケット] のページに移動します。

[バケット] に移動
[作成] をクリックします。
[バケットの作成] ページでユーザーのバケット情報を入力します。以下のステップでは、操作を完了した後に [続行] をクリックして、次のステップに進みます。
1. [始める] セクションで、次の操作を行います。
  1. バケット名の要件を満たす一意の名前（例: cloudiot-logs）を入力します。
  2. 階層名前空間を有効にするには、展開矢印をクリックして [Optimize for file oriented and data-intensive workloads] セクションを開き、[このバケットで階層的な名前空間を有効にする] を選択します。
    
    注: 既存のバケットで階層名前空間を有効にすることはできません。
  3. バケットラベルを追加するには、展開矢印をクリックして [ラベル] セクションを開きます。
  4. [ラベルを追加] をクリックし、ラベルのキーと値を指定します。
2. [データの保存場所の選択] セクションで、次の操作を行います。
  1. ロケーションタイプを選択してください。
  2. ロケーションタイプのメニューを使用して、バケット内のオブジェクトデータが永続的に保存されるロケーションを選択します。
    
    注: ロケーションタイプとしてデュアルリージョンを選択した場合は、関連するチェックボックスを使用してターボレプリケーションを有効にすることもできます。
  3. クロスバケットレプリケーションを設定するには、[クロスバケットレプリケーションを設定する] セクションを開きます。
3. [データのストレージクラスを選択する] セクションで、バケットのデフォルトのストレージクラスを選択します。あるいは、Autoclass を選択して、バケットデータのストレージクラスを自動的に管理します。
4. [オブジェクトへのアクセスを制御する方法を選択する] セクションで、[なし] を選択して公開アクセスの防止を適用し、バケットのオブジェクトの [アクセス制御モデル] を選択します。
  注: プロジェクトの組織のポリシーによって公開アクセスの防止がすでに適用されている場合、[公開アクセスの防止] チェックボックスはロックされています。
5. [オブジェクトデータを保護する方法を選択する] セクションで、次の操作を行います。
  1. [データ保護] で、バケットに設定するオプションを選択します。
  2. オブジェクトデータの暗号化方法を選択するには、[データ暗号化] というラベルの付いた展開矢印をクリックし、データの暗号化方法を選択します。
[作成] をクリックします。

Google Cloud IoT でログのエクスポートを構成する

特権アカウントを使用して Google Cloud アカウントにログインします。
検索バーで [ロギング] を検索して選択します。
ログエクスプローラで、[Cloud IoT Core] を選択してログをフィルタし、[適用] をクリックします。
[その他の操作] をクリックします。
[シンクを作成] をクリックします。
次の構成を指定します。
1. シンクの詳細: 名前と説明を入力します。
2. [次へ] をクリックします。
3. シンクのエクスポート先: [Cloud Storage バケット] を選択します。
4. Cloud Storage バケット: 先ほど作成したバケットを選択するか、新しいバケットを作成します。
5. [次へ] をクリックします。
6. シンクに含めるログを選択: Cloud Storage バケットでオプションを選択すると、デフォルトのログが入力されます。
7. [次へ] をクリックします。
8. 省略可: シンクに含めないログの選択: シンクしないログを選択します。
[シンクを作成] をクリックします。
GCP コンソールで、[ロギング] > [Log Router] に移動します。
[シンクを作成] をクリックします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM Settings] > [Feeds] に移動します。
[Add New Feed] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: GCP Cloud IoT ログ）。
[Source type] として [Google Cloud Storage] を選択します。
[ログタイプ] として [GCP Cloud IoT] を選択します。
Chronicle サービスアカウントとして [サービスアカウントを取得する] をクリックします。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- Storage Bucket URI:gs://my-bucket/<value> 形式の Google Cloud ストレージバケット URL。
- URI Is A: [サブディレクトリを含むディレクトリ] を選択します。
- Source deletion options: 必要に応じて削除オプションを選択します。
  
  注: Delete transferred files オプションまたは Delete transferred files and empty directories オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

Storage Bucket URI:gs://my-bucket/<value> 形式の Google Cloud ストレージバケット URL。
URI Is A: [サブディレクトリを含むディレクトリ] を選択します。
Source deletion options: 必要に応じて削除オプションを選択します。

詳細オプション

フィード名: フィードを識別する事前入力された値。
ソースタイプ: Google SecOps にログを収集するために使用される方法。
アセットの名前空間: フィードに関連付けられた名前空間。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
insertId	metadata.product_log_id	`insertId` フィールドから直接マッピングされます。
jsonPayload.eventType	metadata.product_event_type	`jsonPayload.eventType` フィールドから直接マッピングされます。
jsonPayload.protocol	network.application_protocol	`jsonPayload.protocol` フィールドから直接マッピングされます。
jsonPayload.serviceName	target.application	`jsonPayload.serviceName` フィールドから直接マッピングされます。
jsonPayload.status.description	metadata.description	`jsonPayload.status.description` フィールドから直接マッピングされます。
jsonPayload.status.message	security_result.description	`jsonPayload.status.message` フィールドから直接マッピングされます。
labels.device_id	principal.asset_id	値は、`Device ID:` と `labels.device_id` フィールドの値を連結した値に設定されます。
receiveTimestamp	metadata.event_timestamp	`receiveTimestamp` フィールドから解析され、`events.timestamp` と `metadata.event_timestamp` の両方に値を設定するために使用されます。
resource.labels.device_num_id	target.resource.product_object_id	`resource.labels.device_num_id` フィールドから直接マッピングされます。
resource.labels.location	target.location.name	`resource.labels.location` フィールドから直接マッピングされます。
resource.labels.project_id	target.resource.name	`resource.labels.project_id` フィールドから直接マッピングされます。
resource.type	target.resource.resource_subtype	`resource.type` フィールドから直接マッピングされます。
重要度	security_result.severity	次のロジックに基づいて `severity` フィールドからマッピングされます。 - `severity` が `DEFAULT`、`DEBUG`、`INFO`、`NOTICE` のいずれかの場合、`security_result.severity` は `INFORMATIONAL` に設定されます。 - `severity` が `WARNING` または `ERROR` の場合、`security_result.severity` は `MEDIUM` に設定されます。 - `severity` が `CRITICAL`、`ALERT`、`EMERGENCY` のいずれかの場合、`security_result.severity` は `HIGH` に設定されます。
なし	metadata.log_type	`GCP_CLOUDIOT` にハードコードされています。
なし	metadata.vendor_name	`Google Cloud Platform` にハードコードされています。
なし	metadata.event_type	`GENERIC_EVENT` にハードコードされています。
なし	metadata.product_name	`GCP_CLOUDIOT` にハードコードされています。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。