このページは Cloud Translation API によって翻訳されました。

Jenkins のログを収集する

以下でサポートされています。

Google SecOps SIEM

概要

このパーサーは、JSON 形式と SYSLOG 形式のログから、タイムスタンプ、ユーザー ID、送信元 IP、アクション、オブジェクト ID などのキー情報を抽出します。Grok パターンを使用してさまざまなログメッセージ形式を照合し、構造の違いを処理し、抽出されたフィールドを統合データモデル（UDM）に入力します。パーサーは、ユーザー情報または IP 情報の有無に基づいてイベントを分類します。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス。
Google Cloud IAM への特権アクセス。
Google Cloud Storage への特権アクセス。
Jenkins への特権アクセス。

Google Cloud Storage バケットの作成

[Cloud Storage] に移動します。
バケットを新規作成します。一意の名前と適切なリージョンを選択します。
バケットに適切なアクセス制御が設定されていることを確認します（たとえば、承認されたサービスアカウントのみがバケットに書き込めるようにします）。

Google Cloud サービスアカウントを作成する

[IAM と管理] > [サービスアカウント] に移動します。
新しいサービスアカウントを作成します。わかりやすい名前を付けます（jenkins-logs など）。
前の手順で作成した GCS バケットに対するストレージオブジェクト作成者のロールをサービスアカウントに付与します。
サービスアカウントの SSH キーを作成します: サービスアカウントキーを作成、削除します。
サービスアカウント用の JSON キーファイルをダウンロードします。

注: このファイルは安全に保管してください。Google OAuth Credentials プラグインで認証情報を作成するために必要です。

Jenkins に Google Cloud Storage プラグインをインストールする

[Jenkins の管理] > [プラグイン] に移動します。
[使用可能なプラグイン] を選択します。
Google Cloud Storage プラグインを検索します。
プラグインをインストールし、必要に応じて Jenkins を再起動します。

Jenkins に Google OAuth 認証情報プラグインをインストールする

[Jenkins の管理] > [プラグイン] に移動します。
[使用可能なプラグイン] を選択します。
Google OAuth Credentials プラグインを検索します。
プラグインをインストールし、必要に応じて Jenkins を再起動します。

Google Cloudで認証するように Jenkins を構成する

[Jenkins の管理] > [認証情報] > [システム] に移動します。

注: グローバル認証情報を使用するか、新しいドメインを追加できます（推奨）。
add [認証情報を追加] をクリックします。
Kind: [Google Service Account from private key] を選択します。
プロジェクト名: 認証情報の名前を設定します。
Google Cloud サービスアカウントの作成時に取得した JSON 鍵ファイルをアップロードします。
[作成] をクリックします。

Google SecOps にアップロードするように Jenkins ログを構成する

Jenkins ジョブの構成で、次のパラメータを使用して、ポストビルドアクションに Google Storage Build Log Upload を追加します。
- Google Credentials: 前の手順で作成した Google 認証情報の名前。
- ログ名: 指定された保存パスに Jenkins ビルドログを保存するファイルの名前。
- ストレージの場所: ログをアップロードするバケットの名前。バケットは、作成したサービスアカウントからアクセス可能である必要があります。
ログのアップロードをテストします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM Settings] > [Feeds] に移動します。
[Add New Feed] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Jenkins Logs）。
[Source type] として [Google Cloud Storage] を選択します。
[ログタイプ] として [Jenkins] を選択します。
Chronicle サービスアカウントとして [サービスアカウントを取得する] をクリックします。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- Storage Bucket URI:gs://my-bucket/<value> 形式の Google Cloud ストレージバケット URL。
- URI is a: [サブディレクトリを含むディレクトリ] を選択します。
- Source deletion options: 必要に応じて削除オプションを選択します。
注: Delete transferred files オプションまたは Delete transferred files and empty directories オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

Storage Bucket URI:gs://my-bucket/<value> 形式の Google Cloud ストレージバケット URL。
URI is a: [サブディレクトリを含むディレクトリ] を選択します。
Source deletion options: 必要に応じて削除オプションを選択します。

詳細オプション

フィード名: フィードを識別する事前入力された値。
ソースタイプ: Google SecOps にログを収集するために使用される方法。
アセットの名前空間: フィードに関連付けられた名前空間。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
対処	security_result.action_details	msg1 フィールドまたは msg2 フィールドから抽出されます。実行されたアクションを表します。先頭の空白文字は削除されます。
data	principal.user.userid または principal.ip または metadata.description	data が IP アドレスパターンと一致する場合、principal.ip にマッピングされます。ユーザー名パターンと一致する場合は、principal.user.userid にマッピングされます。それ以外の場合は、metadata.description にマッピングされます。
msg1	target.asset.product_object_id または security_result.action_details	object と act を抽出するために使用されます。`/` が存在する場合は、object と act に分割されます。`»` が存在する場合は、object と act に分割されます。それ以外の場合は、act として扱われ、さらに解析される可能性があります。
msg2	metadata.description または security_result.action_details	存在する場合は、最初は metadata.description にマッピングされます。「completed:」が含まれている場合、その後の値が抽出され、security_result.action_details にマッピングされます。
object	target.asset.product_object_id	msg1 から抽出されます。操作対象のオブジェクトを表します。
object_id	target.resource.attribute.labels.value	`/` が存在する場合は、object から抽出されます。より具体的なオブジェクト識別子を表します。キーは「Plugin Name」としてハードコードされています。
src_ip	principal.ip	message または data から抽出されます。送信元 IP アドレスを表します。
ユーザー	principal.user.userid	message または data から抽出されます。イベントに関連付けられたユーザーを表します。
	metadata.event_timestamp	計算された @timestamp フィールドからコピーされます。
	metadata.event_type	パーサーロジックによって決定されます。user が存在する場合は USER_UNCATEGORIZED、src_ip が存在する場合は STATUS_UNCATEGORIZED、それ以外の場合は GENERIC_EVENT に設定されます。
	metadata.product_name	Jenkins としてハードコードされています。
	metadata.product_version	Jenkins としてハードコードされています。
	metadata.vendor_name	JENKINS としてハードコードされています。
	metadata.event_timestamp	year、month、day、time、ampm の各フィールドから構成されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。