このページは Cloud Translation API によって翻訳されました。

Identity and Access Management（IAM）分析ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Cloud Storage を使用して IAM 分析ログをエクスポートし、Google Security Operations に取り込む方法について説明します。パーサーは、IAM JSON データからユーザーとリソースの情報を抽出します。次に、抽出されたフィールドを UDM にマッピングし、関連するロールとリソースの関係を持つユーザーエンティティを作成して、最終的に Google SecOps プラットフォーム内のセキュリティコンテキストを強化します。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス。
Google Cloud 環境で IAM が設定され、有効になっている。
Google Cloud への特権アクセスと、IAM ログにアクセスするための適切な権限。

Cloud Storage バケットを作成する

Google Cloud コンソールにログインします。
[Cloud Storage バケット] のページに移動します。

[バケット] に移動
[作成] をクリックします。
[バケットの作成] ページでユーザーのバケット情報を入力します。以下のステップでは、操作を完了した後に [続行] をクリックして、次のステップに進みます。
1. [始める] セクションで、次の操作を行います。
  1. バケット名の要件を満たす一意の名前（google-cloud-iam-logs など）を入力します。
  2. 階層名前空間を有効にするには、展開矢印をクリックして [Optimize for file oriented and data-intensive workloads] セクションを開き、[このバケットで階層的な名前空間を有効にする] を選択します。
    
    注: 既存のバケットで階層型名前空間を有効にすることはできません。
  3. バケットラベルを追加するには、展開矢印をクリックして [ラベル] セクションを開きます。
  4. [ラベルを追加] をクリックし、ラベルのキーと値を指定します。
2. [データの保存場所の選択] セクションで、次の操作を行います。
  1. ロケーションタイプを選択してください。
  2. ロケーションタイプのメニューを使用して、バケット内のオブジェクトデータが永続的に保存されるロケーションを選択します。
    
    注: ロケーションタイプとしてデュアルリージョンを選択した場合は、関連するチェックボックスを使用してターボレプリケーションを有効にすることもできます。
  3. クロスバケットレプリケーションを設定するには、[クロスバケットレプリケーションを設定する] セクションを開きます。
3. [データのストレージクラスを選択する] セクションで、バケットのデフォルトのストレージクラスを選択します。あるいは、Autoclass を選択して、バケットデータのストレージクラスを自動的に管理します。
4. [オブジェクトへのアクセスを制御する方法を選択する] セクションで、[なし] を選択して公開アクセスの防止を適用し、バケットのオブジェクトの [アクセス制御モデル] を選択します。
  注: プロジェクトの組織のポリシーによって公開アクセスの防止がすでに適用されている場合、[公開アクセスの防止] チェックボックスはロックされています。
5. [オブジェクトデータを保護する方法を選択する] セクションで、次の操作を行います。
  1. [データ保護] で、バケットに設定するオプションを選択します。
  2. オブジェクトデータの暗号化方法を選択するには、[データ暗号化] というラベルの付いた展開矢印をクリックし、データの暗号化方法を選択します。
[作成] をクリックします。

IAM 分析ログのエクスポートを構成する

Google Cloud コンソールにログインします。
[ロギング>ログルーター] に移動します。
[シンクを作成] をクリックします。
次の構成パラメータを指定します。
- シンク名: わかりやすい名前を入力します（例: IAM-Analysis-Sink）。
- シンクの宛先: [Cloud Storage] を選択し、バケットの URI（例: gs://gcp-iam-analysis-logs）を入力します。
- ログフィルタ:
```
logName="*iam*"
resource.type="gce_instance"
```
  Cloud Storage の権限を構成する
[IAM と管理] > [IAM] に移動します。
Cloud Logging サービスアカウントを見つけます。
バケットに対する roles/storage.admin を付与します。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM Settings] > [Feeds] に移動します。
[Add New Feed] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: IAM 分析ログ）。
[Source type] として [Google Cloud Storage] を選択します。
[ログタイプ] として [GCP IAM Analysis] を選択します。
[Chronicle Service Account] フィールドの横にある [サービスアカウントを取得する] をクリックします。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- ストレージバケット URI: Cloud Storage バケットの URL（例: gs://gcp-iam-analysis-logs）。
- URI Is A: [サブディレクトリを含むディレクトリ] を選択します。
- Source deletion options: 必要に応じて削除オプションを選択します。
  
  注: Delete transferred files オプションまたは Delete transferred files and empty directories オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

ストレージバケット URI: Cloud Storage バケットの URL（例: gs://gcp-iam-analysis-logs）。
URI Is A: [サブディレクトリを含むディレクトリ] を選択します。
Source deletion options: 必要に応じて削除オプションを選択します。

詳細オプション

フィード名: フィードを識別する事前入力された値。
ソースタイプ: Google SecOps にログを収集するために使用される方法。
アセットの名前空間: フィードに関連付けられた名前空間。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
accessControlLists.accesses.permission	relations.entity.resource.attribute.permissions.name	未加工ログの `accessControlLists.accesses.permission` フィールドから直接取得されます。
attachedResourceFullName	relations.entity.resource.name	未加工ログの `attachedResourceFullName` フィールドから直接取得されますが、末尾のリソース名は削除されます。
	relations.entity.resource.attribute.cloud.environment	`GOOGLE_CLOUD_PLATFORM` に設定します。
	relations.entity.resource.product_object_id	STORAGE_BUCKET の場合、未加工ログの `attachedResourceFullName` フィールドから直接取得しますが、末尾のリソース名は削除されます。BigQuery データセットの場合、`projectName`（`attachedResourceFullName` から抽出）の後にコロンと `datasetName`（`attachedResourceFullName` から抽出）フィールドが続きます。
	relations.entity.resource.resource_type	未加工ログの `attachedResourceFullName` フィールドのパターンによって決まります。
	relations.entity_type	SERVICE_ACCOUNT を除くすべての項目は `RESOURCE` に設定されます。SERVICE_ACCOUNT は `USER` に設定されます。
	relations.relationship	`MEMBER` に設定します。
	metadata.collected_timestamp	未加工ログの `timestamp` フィールドから直接取得されます。
	metadata.entity_type	`USER` に設定します。
	metadata.product_name	`GCP IAM ANALYSIS` に設定します。
	metadata.vendor_name	`Google Cloud Platform` に設定します。
iamBinding.role	entity.user.attribute.roles.name	未加工ログの `iamBinding.role` フィールドから直接取得されます。
identityList.identities.name	entity.user.attribute.roles.type	`identityList.identities.name` フィールドに文字列 `serviceAccount` が含まれている場合は、`SERVICE_ACCOUNT` に設定します。
	entity.user.email_addresses	`identityList.identities.name` フィールドに `@` 記号が含まれている場合、メールアドレスとして扱われます。
	entity.user.userid	`identityList.identities.name` フィールドに `@` 記号が含まれていない場合は、userid として扱われます。
identityList.identities.product_object_id	entity.user.product_object_id	未加工ログの `identityList.identities.product_object_id` フィールドから直接取得されます。
timestamp	timestamp	未加工ログの `timestamp` フィールドから直接取得されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。