Cloud SIEM のための Google Cloud 構成ガイド

概要

Datadog Cloud SIEM は、Datadog で処理されたすべてのログに検出ルールを適用し、標的型攻撃や脅威インテリジェンスに記載された IP がシステムと通信している、あるいは安全でないリソース変更などの脅威を検出します。この脅威は、トリアージするためにセキュリティシグナルエクスプローラーでセキュリティシグナルとして表面化されます。

このガイドでは、Google Cloud の監査ログから脅威の検出を開始できるように、次の手順を説明します。

  1. Data Access の監査ログを有効にする
  2. Google Cloud のパブリッシュ/サブスクリプション (pub/sub) システムを新規に作成する
  3. Datadog にログを送信するための pub/sub を構成する
  4. Google Cloud Logging から pub/sub にログをエクスポートする
  5. Cloud SIEM でセキュリティシグナルのトリアージを行う

Data Access の監査ログを有効にする

  1. IAM & Admin Console > Audit Log に移動します。
  2. データアクセスログを有効にするサービスを選択します。
  3. Log Types パネルで、Admin ReadData ReadData Write を有効にします。
  4. Save をクリックします。

新サービスのデフォルト構成を変更する

新しい Google Cloud サービスが追加された場合、デフォルトの監査構成を引き継ぎます。

新しい Google Cloud サービスに対して Data Access の監査ログがキャプチャされるようにするには、デフォルトの監査構成を変更します。

  1. IAM & Admin Console > Audit Log に移動します。
  2. Admin ReadData ReadData Write を有効にします。
  3. 保存をクリックします。

Google Cloud のパブリッシュ/サブスクリプション (pub/sub) システムを新規に作成する

  1. Pub/Sub > Topics に移動します。
  2. Create Topic をクリックします。
  3. トピック名を入力します。例えば、export-audit-logs-to-datadog とします。
  4. 作成をクリックします。

Datadog にログを送信するための pub/sub を構成する

  1. Pub/Sub > Subscriptions に移動します。
  2. Create Subscription をクリックします。
  3. サブスクリプション名を入力します。
  4. 先ほど作成したトピックを選択します。
  5. Delivery type で、Push を選択します。
  6. 次のエンドポイント URL を入力し、DATADOG_API_KEY を既存または新規の Datadog API キーに置き換えます: https://gcp-intake.logs./api/v2/logs?dd-api-key=<DATADOG_API_KEY>&dd-protocol=gcp
  7. ユースケースに必要な追加オプションを構成します。
  8. 作成をクリックします。

pub/sub が Google Cloud Logging からログを受け取り、Datadog へ転送する準備ができました。

Google Cloud Logging から pub/sub にログをエクスポートする

  1. Cloud Logs Explorer に移動します。
  2. エクスポートしたいログにフィルターをかけるためのクエリを入力します。
  3. 左サイドメニューの Log Router を選択します。
  4. Create Sink をクリックします。
  5. シンクの名前を入力します。
  6. Next をクリックします。
  7. Select Sink Service ドロップダウンメニューで、Cloud Pub/Sub topic を選択します。
  8. Select a Cloud Pub/Sub topic で、先ほど作成した Pub/Sub を選択します。
  9. Create Sink をクリックします。

: 異なるシンクを使用して、Google Cloud Logging から同じ pub/sub への複数のエクスポートを作成することができます。

警告: pub/sub は、Google Cloud の割り当てと制限 に従います。ログの数がこれらの制限を上回る場合、Datadog はログをいくつかのトピックに分割することをお勧めします。これらの制限に近づいたときに通知するモニターを設定する方法については、ログ転送のモニターを参照してください。

Cloud SIEM でセキュリティシグナルのトリアージを行う

Cloud SIEM は、設定した Google Cloud の監査ログを含む、処理されたすべてのログに対して、すぐに検出ルールを適用します。検出ルールで脅威が検出されると、セキュリティシグナルが生成され、セキュリティシグナルエクスプローラーで確認することができます。

その他の参考資料

お役に立つドキュメント、リンクや記事:

Cloud SIEM のデフォルト検出ルールの確認DOCUMENTATION more more セキュリティシグナルエクスプローラーについて学ぶDOCUMENTATION more more 新しい検出ルールの作成DOCUMENTATION more more Google Cloud Platform のログを収集するDOCUMENTATION more more Datadog Cloud SIEM Investigator で Google Cloud 環境のアクティビティを視覚化するブログ more more