このページは Cloud Translation API によって翻訳されました。

Google Cloud の不正使用イベントログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Google SecOps への Google Cloud テレメトリーの取り込みを有効にして Google Cloud Abuse Events ログを収集する方法と、Google Cloud Abuse Events ログのログフィールドが Google SecOps 統合データモデル（UDM）フィールドにマッピングされる方法について説明します。

詳細については、Google Security Operations　へのデータの取り込みの概要をご覧ください。

デプロイには次のコンポーネントが含まれます。

Google Cloud: ログの収集元となる Google Cloud サービスとプロダクト。
Google Cloud 不正行為イベントのログ: Google SecOps への取り込みが有効になっている Google Cloud 不正行為イベントのログ。
Google SecOps: Google SecOps は、Google Cloud Abuse Events のログを保持して分析します。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル GCP_ABUSE_EVENTS が付加されたパーサーに適用されます。

始める前に

デプロイアーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。

Google Cloud 不正行為イベントログを取り込むように Google Cloud を構成する

Google Cloud Abuse Events ログを Google SecOps に取り込むには、 Google Cloud のログを Google SecOps に取り込むの手順に沿って操作します。

一般的なデプロイは、Google SecOps への取り込みが有効になっている Google Cloud 不正行為イベントログで構成されています。お客様のデプロイはそれぞれこの表現とは異なる可能性があり、より複雑になることがあります。

Google Cloud Abuse Events ログを取り込むときに問題が発生した場合は、Google SecOps サポートにお問い合わせください。

サポートされている Google Cloud Abuse Events ログ形式とサンプル

Google Cloud Abuse Events パーサーは、JSON 形式のログをサポートしています。次に例を示します。

    {
        "insertId": "dummy-insert-id",
        "jsonPayload": {
            "action": "NOTIFY",
            "@type": "type.googleapis.com/google.cloud.abuseevent.logging.v1.AbuseEvent",
            "cryptoMiningEvent": {
                "detectedMiningEndTime": "2048-03-18T07: 10: 00Z",
                "detectedMiningStartTime": "2016-07-10T05: 24: 00Z",
                "vmIp": [
                    "dummy.ip.address.1",
                    "dummy.ip.address.2",
                    "dummy.ip.address.3"
                ],
                "vmResource": [
                    "projects/dummy-project-id/zones/dummy-zone/instances/dummy-instance-id"
                ]
            },
            "detectionType": "CRYPTO_MINING",
            "reason": "The monitored resource is mining cryptocurrencies",
            "remediationLink": "https://dummy-remediation-link"
        },
        "resource": {
            "type": "abuseevent.googleapis.com/Location",
            "labels": {
                "location": "global",
                "resource_container": "projects/dummy-resource-container-id"
            }
        },
        "timestamp": "2025-07-10T17:31:53.966189618Z",
        "severity": "NOTICE",
        "labels": {
            "abuseevent.googleapis.com/vm_resource": "projects/dummy-project-id/zones/dummy-zone/instances/dummy-instance-id"
        },
        "logName": "projects/dummy-project-id/logs/abuseevent.googleapis.com%2Fabuse_events",
        "receiveTimestamp": "2025-07-10T17:31:54.754890208Z"
    }

フィールドマッピングリファレンス

フィールドマッピングリファレンス: GCP_ABUSE_EVENTS

次の表に、ログフィールドと対応する UDM フィールドを示します。

Log field	UDM mapping	Logic
	`metadata.event_type`	The `metadata.event_type` UDM field is set to `SCAN_UNCATEGORIZED`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `Google Cloud Platform`.
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `GCP Abuse Events`.
`insertId`	`metadata.product_log_id`
`resource.type`	`target.resource.resource_subtype`
`resource.labels.location`	`target.location.name`
`timestamp`	`metadata.event_timestamp`
	`security_result.severity`	If the `severity` log field value is equal to `CRITICAL` then, the `security_result.severity` UDM field is set to `CRITICAL`. Else, if `severity` log field value is equal to `ERROR` then, the `security_result.severity` UDM field is set to `ERROR`. Else, if `severity` log field value contain one of the following values `ALERT` `EMERGENCY` then, the `security_result.severity` UDM field is set to `HIGH`. Else, if `severity` log field value contain one of the following values `INFO` `NOTICE` then, the `security_result.severity` UDM field is set to `INFORMATIONAL`. Else, if `severity` log field value is equal to `DEBUG` then, the `security_result.severity` UDM field is set to `LOW`. Else, if `severity` log field value is equal to `WARNING` then, the `security_result.severity` UDM field is set to `MEDIUM`. Else, the `security_result.severity` UDM field is set to `UNKNOWN_SEVERITY`.
`severity`	`security_result.severity_details`
`logName`	`metadata.url_back_to_product`
`receiveTimestamp`	`metadata.collected_timestamp`
`jsonPayload.detectionType`	`security_result.category_details`
	`security_result.category`	If the `security_result.category_mapping` log field value is equal to `DETECTION_TYPE_UNSPECIFIED` then, the `security_result.category` UDM field is set to `UNKNOWN_CATEGORY`. Else, if `security_result.category_mapping` log field value is equal to `CRYPTO_MINING` then, the `security_result.category` UDM field is set to `EXPLOIT`. Else, if `security_result.category_mapping` log field value is equal to `LEAKED_CREDENTIALS` then, the `security_result.category` UDM field is set to `PHISHING`. Else, if `security_result.category_mapping` log field value is equal to `PHISHING` then, the `security_result.category` UDM field is set to `PHISHING`. Else, if `security_result.category_mapping` log field value is equal to `MALWARE` then, the `security_result.category` UDM field is set to `SOFTWARE_MALICIOUS`. Else, if `security_result.category_mapping` log field value is equal to `NO_ABUSE` then, the `security_result.category` UDM field is set to `POLICY_VIOLATION`.
`jsonPayload.reason`	`security_result.description`
	`security_result.action`	If the `jsonPayload.action` log field value is equal to `ACTION_TYPE_UNSPECIFIED` then, the `security_result.action` UDM field is set to `UNKNOWN_ACTION`. Else, if the `jsonPayload.action` log field value is equal to `NOTIFY` then, the `security_result.action` UDM field is set to `ALLOW`. Else, if the `jsonPayload.action` log field value is equal to `PROJECT_SUSPENSION` then, the `security_result.action` UDM field is set to `BLOCK`. Else, if the `jsonPayload.action` log field value is equal to `REINSTATE` then, the `security_result.action` UDM field is set to `ALLOW`. Else, if the `jsonPayload.action` log field value is equal to `WARN` then, the `security_result.action` UDM field is set to `ALLOW`. Else, if the `jsonPayload.action` log field value is equal to `RESOURCE_SUSPENSION` then, the `security_result.action` UDM field is set to `BLOCK`.
`labels.abuseevent.googleapis.com/vm_resource`	`principal.resource.name`
	`principal.resource.resource_type`	If the `event_type.crypto_mining_event.vm_resource` log field value is not empty then, the `target.resource.resource_type` UDM field is set to `VIRTUAL_MACHINE`.
`jsonPayload.cryptoMiningEvent.detectedMiningStartTime`	`security_result.detection_fields[detected_mining_start_time]`
`jsonPayload.cryptoMiningEvent.detectedMiningEndTime`	`security_result.detection_fields[detected_mining_end_time]`
`jsonPayload.cryptoMiningEvent.vmIp`	`principal.ip`
`jsonPayload.leaked_credential_event.credential_type.service_account_credential.service_account.service_account`	`principal.user.userid`
`jsonPayload.leaked_credential_event.credential_type.service_account_credential.service_account.key_id`	`principal.user.attribute.labels[service_account_key_id]`
`jsonPayload.leakedCredentialEvent.apiKeyCredential.apiKey`	`principal.user.attribute.labels[api_key_credential_api_key]`
`jsonPayload.leakedCredentialEvent.detectedUri`	`security_result.about.url`
`jsonPayload.harmfulContentEvent.uri`	`security_result.detection_fields[harmful_content_event_uri]`
`jsonPayload.remediationLink`	`security_result.detection_fields[remediation_link]`
`jsonPayload.@type`	`security_result.detection_fields[jsonPayload_type]`
`resource.labels.resource_container`	`principal.resource.attribute.labels[resource_container]`

次のステップ

Google SecOps へのデータ取り込み

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。