Cloud SIEM のための Google Cloud 構成ガイド
概要
Datadog Cloud SIEM は、Datadog で処理されたすべてのログに検出ルールを適用し、標的型攻撃や脅威インテリジェンスに記載された IP がシステムと通信している、あるいは安全でないリソース変更などの脅威を検出します。この脅威は、トリアージするためにセキュリティシグナルエクスプローラーでセキュリティシグナルとして表面化されます。
Google Cloud Dataflow と Datadog テンプレートを使用して、Google Cloud サービスから Datadog にログを転送します。このガイドでは、Google Cloud の監査ログを使用して脅威を検出するために、次の手順について説明します。
- Data Access の監査ログを有効にする
- Google Cloud のパブリッシュ/サブスクリプション (Pub/Sub) トピックとプルサブスクリプションを作成して、構成済みのログシンクからログを受信します。
- カスタム Dataflow ワーカーのサービスアカウントを作成します。
- ログを Pub/Sub に公開するためのログシンクを作成します。
- Dataflow ジョブを作成して実行します。
- Cloud SIEM でセキュリティシグナルのトリアージを行う
Pub/Sub Push サブスクリプションを使用した Google Cloud のログ収集は、以下の理由で非推奨となっています。
- Google Cloud VPC を使用している場合、Push サブスクリプションは VPC 外部のエンドポイントにアクセスできない。
- Push サブスクリプションは、イベントの圧縮やバッチ処理を提供しないため、少ないログ量にのみ適している。
Push サブスクリプションのドキュメントは、トラブルシューティングやレガシーセットアップの変更のためにのみ維持されています。代わりに、Datadog Dataflow テンプレートを使用して Pull サブスクリプションで Google Cloud ログを Datadog に転送してください。
Data Access の監査ログを有効にする
- IAM & Admin Console > Audit Log に移動します。
- データアクセスログを有効にするサービスを選択します。
- Log Types パネルで、Admin Read、Data Read、Data Write を有効にします。
- Save をクリックします。
新サービスのデフォルト構成を変更する
新しい Google Cloud サービスが追加された場合、デフォルトの監査構成を引き継ぎます。
新しい Google Cloud サービスに対して Data Access の監査ログがキャプチャされるようにするには、デフォルトの監査構成を変更します。
- IAM & Admin Console > Audit Log に移動します。
- Admin Read、Data Read、Data Write を有効にします。
- Save をクリックします。
Google Cloud のパブリッシュ/サブスクリプション (Pub/Sub) システムを作成する
- Pub/Sub > Topics に移動します。
- Create Topic をクリックします。
- わかりやすいトピック名を入力します。例えば、
export-audit-logs-to-datadog とします。 - Add a default subscription を選択したままにしておくと、デフォルトの構成値でサブスクリプションが作成されます。サブスクリプション名はトピック名に「-sub」を付加したものが自動生成され、後で Dataflow ジョブを作成する際に使用します。
- 作成をクリックします。
outputDeadletterTopic パラメーター用の追加トピックとサブスクリプションを作成します。
Datadog API によって拒否されたログメッセージを処理するために、追加のトピックとデフォルトのサブスクリプションを作成します。このトピックは後で Dataflow ジョブ を設定する際に使用します。
- Pub/Sub > Topics に戻ります。
- Create Topic をクリックします。
- わかりやすいトピック名を入力します。
- Add a default subscription を選択したままにしておきます。
- 作成をクリックします。
警告: pub/sub は、Google Cloud の割り当てと制限に従います。ログの数がこれらの制限を上回る場合、Datadog はログをいくつかのトピックに分割することをお勧めします。これらの制限に近づいたときに通知するモニターを設定する方法については、ログ転送のモニターを参照してください。
Secret Manager でシークレットを作成する
Datadog では、有効な Datadog API キー値を使用して Secret Manager でシークレットを作成することを推奨しています。このシークレットは後で Dataflow ジョブをセットアップする際に使用します。
- Security > Secret Manager に移動します。
- Create Secret をクリックします。
- シークレットの名前を入力します。
- Datadog API キーをコピーして、Secret value セクションに貼り付けます。
- オプションで、ユースケースに応じてその他の構成を設定します。
- Create Secret をクリックします。
カスタム Dataflow ワーカーサービスアカウントを作成する
Dataflow パイプラインワーカーのデフォルトの動作は、プロジェクトの Compute Engine のデフォルトのサービスアカウントを使用することです。このアカウントは、プロジェクト内のすべてのリソースへの権限を付与します。本番環境からログを転送している場合は、必要なロールと権限のみを持つカスタムワーカーのサービスアカウントを作成し、このサービスアカウントを Dataflow パイプラインワーカーに割り当てます。
注: Dataflow パイプラインワーカー用のカスタムサービスアカウントを作成していない場合は、デフォルトの Compute Engine のサービスアカウントが下記の必要な権限を持っていることを確認してください。
- Google Cloud の Service Account ページに移動します。
- プロジェクトを選択します。
- Create Service Account をクリックします。
- わかりやすいサービスアカウント名を入力します。
- Create and Continue をクリックします。
- 以下のロールを追加します。
必要な権限
| ロール | パス | 説明 |
|---|
| Dataflow Admin | roles/dataflow.admin | このサービスアカウントが Dataflow の管理者タスクを実行することを許可します。 |
| Dataflow Worker | roles/dataflow.worker | このサービスアカウントが Dataflow のジョブオペレーションを実行することを許可します |
| Pub/Sub Viewer | roles/pubsub.viewer | このサービスアカウントが Google Cloud ログで Pub/Sub サブスクリプションからのメッセージを表示することを許可します |
| Pub/Sub Subscriber | roles/pubsub.subscriber | このサービスアカウントが Google Cloud ログで Pub/Sub サブスクリプションからのメッセージを取得することを許可します |
| Pub/Sub Publisher | roles/pubsub.publisher | このサービスアカウントが別のサブスクリプションに失敗したメッセージを公開することを許可します。これにより、ログの解析や再送信が可能になります |
| Secret Manager Secret Accessor | roles/secretmanager.secretAccessor | このサービスアカウントが Secret Manager で Datadog API キーにアクセスすることを許可します |
| Storage Object Admin | roles/storage.objectAdmin | このサービスアカウントがファイルのステージング用に指定された Cloud Storage バケットに対する読み取りと書き込みを行うことを許可します |
- Continue をクリックします。
- Done をクリックします。
Pub/Sub にログを公開するためのログシンクを作成する
- Google Cloud の Logs Explorer に移動します。
- 左サイドメニューの Log Router を選択します。
- Create Sink をクリックします。
- わかりやすいシンク名を入力します。
- Next をクリックします。
- Select Sink Service ドロップダウンメニューで、Cloud Pub/Sub topic を選択します。
注: Cloud Pub/Sub トピックは別のプロジェクトに配置できます。
- Select a Cloud Pub/Sub topic で、先ほど作成した Pub/Sub を選択します。
- Next をクリックします。
- Datadog に送信するログの包含フィルターを入力します。
- Next をクリックします。
- オプションで、Datadog に送信しないログを除外するための除外フィルターを入力します。
- Create Sink をクリックします。
注: 異なるシンクを利用して、Google Cloud Logging から同一の Pub/Sub トピックに対して複数のエクスポートを行うことが可能です。
Dataflow ジョブを作成して実行する
- Google Cloud Dataflow に移動します。
- Create job from template をクリックします。
- ジョブの名前を入力します。
- 地域のエンドポイントを選択します。
- Dataflow template ドロップダウンメニューで、Pub/Sub to Datadog を選択します。
- Required Parameters セクションで、次を行います。
a. Pub/Sub input subscription ドロップダウンメニューで、新しい Pub/Sub システムを作成したときに作成されたデフォルトのサブスクリプションを選択します。
b. Datadog Logs API URL フィールドに以下の値を入力します。注: 上記の URL をコピーする前に、このドキュメントページの右側にある Datadog サイトセレクタが Datadog サイトに設定されていることを確認してください。
c. Output deadletter Pub/Sub topic フィールドで、Datadog API によって拒否されたメッセージを受信するために以前に作成した 追加トピックを選択します。
d. Temporary location フィールドで、ストレージバケット内の一時ファイルのパスを指定します。
- 先ほど Datadog API キー値用の シークレットを Secret Manager で作成した場合:
a. Optional Parameters をクリックして、追加フィールドを表示します。
b. Google Cloud Secret Manager ID フィールドにシークレットのリソース名を入力します。
リソース名を取得するには、Secret Manager の自分のシークレットに移動します。シークレットをクリックします。Action の下にある 3 つの点をクリックし、Copy resource name を選択します。
c. Source of the API key passed フィールドに SECRET_MANAGER と入力します。 - Datadog API キーの値にシークレットを使用していない場合:
- 推奨:
Source of API key passed を KMS に設定します。Google Cloud KMS key for the API key を Cloud KMS キー ID に設定します。- 暗号化された API キーを
Logs API Key に設定します。
- 推奨しません:
Source of API key passed を PLAINTEXT に設定し、Logs API Key に平文の API キーを設定します。
- その他の使用可能なオプションの詳細については、Dataflow テンプレートのテンプレートパラメーターを参照してください。
- カスタムワーカーサービスアカウントを作成した場合は、Service account email ドロップダウンメニューでそれを選択します。
- Run Job をクリックします。
Datadog Log Explorer で Cloud Pub/Sub トピックに配信された新規ログイベントを確認します。
Cloud SIEM でセキュリティシグナルのトリアージを行う
Cloud SIEM は、設定した Google Cloud の監査ログを含む、処理されたすべてのログに対して、すぐに検出ルールを適用します。検出ルールで脅威が検出されると、セキュリティシグナルが生成され、セキュリティシグナルエクスプローラーで確認することができます。
参考資料
