Zoho VaultとGoogle Security Operations(Chronicle)の連携
お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。
概要
Zoho VaultはGoogle Security Operations(旧Google Chronicle)と連携し、イベントをリアルタイムでストリーミングできます。設定すると、新しいイベントがGoogle SecOps環境にほぼ即時に表示され、セキュリティチームはVaultの活動に関する最新の状況を把握できます。
設定手順
Google CloudでのAPIキーの作成
- Google Cloudコンソールに移動し、Google SecOps環境に関連付けられているプロジェクトを選択します。
- [APIとサービス]に移動し、[認証情報]を選択します。
- [認証情報を作成]をクリックし、[APIキー]を選択します。
- キーが作成されたら、そのキーの[編集]をクリックして使用制限を適用します。
- APIキーをChronicle APIの機能のみに制限します。これにより、キーの範囲を限定し、セキュリティを強化できます。
- このAPIキーをコピーして保存します。手順4で必要になります。
Google SecOpsでのカスタムログタイプの作成
Zoho Vaultから送信されるイベントをGoogle SecOpsが正しく識別して分類できるように、新しいログタイプを定義する必要があります。
- Google SecOpsテナントで、[設定]に移動し、[SIEM設定]を選択します。
- 利用可能なログタイプで、[ログタイプをリクエスト]をクリックします。
- 次の詳細を入力します。
- [ベンダー/製品名]:ZohoVault
- [ログタイプ名]:ZOHOVAULT
フィードの作成
フィードは、Zoho Vaultから送信されるログデータの受信エンドポイントとして機能します。作成したログタイプに紐づくWebhookベースのフィードを設定します。
- Google SecOpsテナントで、[設定]に移動し、[SIEM設定]を選択して、[フィード]を選択します。
- [新しいフィードを追加]をクリックします。
- [ソース種別]をWebhookに設定し、[ログタイプ]としてZOHOVAULTを選択します。
- [次へ]をクリックし、設定を確認して、[送信]をクリックします。
- 確認画面が表示されたら、[シークレットキーを生成]をクリックします。次の手順で使用するため、[フィードエンドポイント]と[フィードシークレットキー]をコピーして保存します。
Zoho VaultでのGoogle SecOpsの設定
APIキー、シークレットキー、フィードエンドポイントの準備ができたら、Zoho Vault側の設定を完了してログのストリーミングを開始できます。
- 特権管理者としてZoho Vaultアカウントにサインインします。
- [設定]に移動し、[SIEM連携]を選択します。
- [Google SecOps]セクションで、[設定を編集]をクリックします。
- 各項目に次の詳細を入力します。
- [フィードエンドポイント]:手順3でコピーしたエンドポイントURL
- [フィードシークレットキー]:手順3で生成したシークレットキー
- [APIキー]:手順1で作成したAPIキー
- [プロトコル]:HTTPS
- [設定を保存]をクリックして連携を有効にします。
保存すると、Zoho VaultはGoogle SecOps環境へのイベントログのリアルタイムストリーミングを開始します。
Google SecOpsでのログの検索と確認
連携を有効にした後、Google SecOpsで検索を実行して、ログが正しく流れていることを確認できます。
- Google SecOpsテナントで、[調査]に移動し、[SIEM検索]を選択します。
- 検索バーに次のクエリを入力して、Zoho Vaultイベントに絞り込みます:metadata.log_type='ZOHOVAULT_CUSTOM'
- 結果を確認し、Zoho Vaultイベントが想定どおりに表示されていることを確認します。