Google Security Operations (Chronicle)

Google Security Operations (旧Chronicle) とのKeeper SIEMプッシュ連携

概要

Keeperは、Google Security Operations (旧Google Chronicle) へのイベントストリーミングに対応しています。外部へのログ出力はリアルタイムで行われ、新しいイベントはほぼ即座に反映されます。設定手順は以下をご覧ください。

APIキーの作成

Google Cloudコンソールにアクセスし、Google Security Operations (Chronicle) 環境に関連付けられたプロジェクトを選択します。 [APIsとサービス] > [認証情報] を開き、[認証情報を作成] > [APIキー] を選択して新しいAPIキーを作成します。 APIキーの作成後、そのキーを編集し、制限を適用します。 APIキーが「Chronicle API」専用になるように制限を設定してください。このAPIキーは、次の手順 (3) で使用するため、必ず保存しておいてください。

フィードの作成

Google Security Operationsテナントで、以下の手順に従ってフィードを作成します。

[Settings] > [Feeds] > [Add Feed] に移動します。
ソースタイプに「Webhook」を選択し、ログタイプに「Keeper Enterprise Security」を選択します。
[Next] をクリックし、[Submit] で送信します。
プロンプトが表示されたら、シークレットキー (Secret Key) を生成し、手順3で使用するために保存してください。
あわせて、フィードエンドポイント (Feed Endpoint) もコピーし、同様に保存してください。

連携の有効化

Keeper管理コンソールで、[レポートとアラート] > [外部ログ出力] に移動します。
「Google Security Operations」を選択します。
手順1で取得したAPIキー、手順2で取得したフィードエンドポイントとフィードシークレットキーを入力します。
[テスト] をクリックして接続を確認し、[保存] をクリックします。

セットアップは完了です

KeeperからGoogleにSIEMログが送信されると、15分以内にデータが反映され始めます。

PreviousExabeam (LogRhythm)NextLogz.io

Last updated 1 month ago