このページは Cloud Translation API によって翻訳されました。

セルフマネージド Google Cloud プロジェクトで BigQuery へのデータエクスポートを構成する

Google Security Operations では、統合データモデル（UDM）データを、ユーザーが所有および管理するセルフマネージドプロジェクトにエクスポートできます。独自の Google Cloud プロジェクトを Google SecOps インスタンスにリンクして、Google 管理の設定に依存することなく IAM 権限を個別に管理できます。[SIEM 設定] > [データエクスポート] を選択して、Bring Your Own BigQuery（BYOBQ）機能を有効にして構成することもできます。

Google SecOps は、次のカテゴリのデータを BigQuery プロジェクトにエクスポートします。

udm_events: UDM スキーマに正規化されたログデータ。
udm_events_aggregates: 正規化されたイベントの各時間で集計されたデータ。
entity_graph: エンティティグラフには、3 つのディメンション（コンテキストデータ、派生データ、グローバルコンテキスト）があります。コンテキストデータと派生データ、およびグローバルコンテキストデータの一部は、UDM として書き込まれ、保存されるデータです。
rule_detections: Google SecOps で実行されるルールによって返された検出結果。
ioc_matches: UDM イベントに対して検出された IOC Matches。
ingestion_metrics: 取り込みと正規化のパイプラインに関連する指標（デフォルトでエクスポートされます）。
udm_enum_value_to_name_mapping: 列挙型の値を UDM フィールド名にマッピングします（デフォルトでエクスポートされます）。
entity_enum_value_to_name_mapping: 列挙値をエンティティフィールド名にマッピングします（デフォルトでエクスポートされます）。

保持期間

既存のお客様の場合、設定した保持期間によって、BigQuery のエクスポートデータが Google 管理プロジェクトに保持される期間が決まります。

保持期間は、エクスポートされた最も古いレコードの日付から始まります。各データソースに個別の保持期間を構成できます。最大期間は、Google SecOps のデフォルトのログ保持期間と一致します。

保持期間が指定されていない場合、デフォルトの動作では、クリーンアップや削除を行わずにデータのエクスポートを継続し、保持期間を制限します。

この場合、保持期間を [無制限] に設定できます。

[SIEM 設定] > [データエクスポート] をクリックします。
[データエクスポート] テーブルの [保持期間] 列で、関連するデータタイプのリストから [無制限] を選択します。

その後、 Google Cloud ストレージバケットでオブジェクトライフサイクルルールを設定して、必要に応じてオブジェクトを削除できます。

既存のお客様のデータ移行

既存のお客様の場合、既存の Google マネージドプロジェクトのデータはセルフマネージドプロジェクトに移行されません。データは移行されないため、データは 2 つの別々のプロジェクトに存在します。セルフマネージドプロジェクトの有効化日を含む期間のデータをクエリするには、次のいずれかの操作を行う必要があります。

両方のプロジェクトのデータを結合する単一のクエリを使用します。
それぞれのプロジェクトに対して、セルフマネージドプロジェクトの有効化日より前のデータと、それ以降のデータに対して、別々のクエリを 2 つ実行します。Google 管理プロジェクトの保持期間が終了すると、そのデータは削除されます。この時点以降は、 Google Cloudプロジェクト内のデータに対してのみクエリを実行できます。

データをエクスポートするために必要な権限

BigQuery データにアクセスするには、BigQuery 内でクエリを実行します。アクセスが必要なユーザーに次の IAM ロールを割り当てます。

BigQuery データ閲覧者（roles/bigquery.dataViewer）
BigQuery ジョブユーザー（roles/bigquery.jobUser）
ストレージオブジェクト閲覧者（roles/storage.objectViewer）データセットレベルでロールを割り当てることもできます。詳細については、BigQuery の IAM ロールと権限をご覧ください。

セルフマネージドプロジェクトへの BigQuery データのエクスポートを開始する

データをエクスポートする Google Cloud プロジェクトを作成します。詳細については、Google SecOps 用に Google Cloud プロジェクトを構成するをご覧ください。

注: セルフマネージドプロジェクトは、Google SecOps インスタンスにリンクされている必要があります。この機能を有効にすると、Google マネージドプロジェクトに戻すことはできません。
セルフマネージドプロジェクトを Google SecOps インスタンスにリンクして、Google SecOps とセルフマネージドプロジェクト間の接続を確立します。詳細については、Google Security Operations を Google Cloud サービスにリンクするをご覧ください。[SIEM 設定] > [データエクスポート] を選択して、Bring Your Own BigQuery（BYOBQ）機能を有効にして構成することもできます。
データがセルフマネージドプロジェクトにエクスポートされたことを確認するには、BigQuery の datalake データセットにあるテーブルを確認します。

BigQuery テーブルに保存されている Google SecOps データに対してアドホッククエリを作成できます。BigQuery と統合された他のサードパーティツールを使用して、より高度な分析を作成することもできます。

エクスポートを有効にするためにセルフマネージドプロジェクトで作成されたすべてのリソース（Cloud Storage バケットや BigQuery テーブルなど）は、Google SecOps と同じリージョンにあります。 Google Cloud

BigQuery のクエリで Unrecognized name: <field_name> at [<some_number>:<some_number>] のようなエラーが発生した場合、アクセスしようとしているフィールドがデータセットに存在しないことを意味します。これは、スキーマがエクスポートプロセス中に動的に生成されるためです。

BigQuery の Google SecOps データについて詳しくは、BigQuery の Google SecOps データをご覧ください。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。