Question#5(Associate Cloud Engineer)

最近のセキュリティインシデントの後、あなたのスタートアップ企業は Google Cloud 環境で何が起きているのかをよりよく把握したいと考えています。予期せぬファイアウォールの変更とインスタンスの作成を監視する必要があります。あなたの会社はシンプルなソリューションを好みます。どうすべきですか？

A. ファイアウォールと Compute Engine インスタンスにフィルタリングされた Cloud Audit Logs を Cloud Storage に転送するログシンクを作成します。ストレージバケット内のログイベントを BigQuery で定期的に分析します。
B. Cloud Logging フィルタを使用して、ファイアウォールとインスタンスのアクションに関するログベースの指標を作成します。変更を監視し、適切なアラートを設定します。
C. Compute Engine インスタンスに Kibana をインストールします。ファイアウォールと Compute Engine インスタンスにフィルタリングされた Cloud Audit Logs を Pub/Sub に転送するログシンクを作成します。Pub/Sub トピックを Kibana インスタンスにメッセージをプッシュするようにターゲット設定します。Kibana でログをリアルタイムで分析します。
D. Google Cloud ファイアウォールルールのロギングを有効にし、挿入、更新、または削除イベントに対してアラートを設定します。

正解と解説ディスカッション 0

正解：B

Cloud Audit Logs: Google Cloud は、プロジェクト内のすべての管理アクティビティ（リソースの作成、更新、削除など）を自動的にCloud Audit Logsに記録します。これには、ファイアウォールルールの変更や Compute Engine インスタンスの作成も含まれます。これらのログは、サービスアカウントやユーザーが実行した操作を追跡するための主要な情報源です。
Cloud Logging フィルタ: Cloud Logging を使用すると、監査ログを簡単にフィルタリングして、特定のイベント（例: compute.firewalls.insert、compute.instances.insert など）を特定できます。
ログベースの指標 (Log-based Metrics): フィルタリングされたログエントリに基づいてログベースの指標を作成できます。たとえば、「ファイアウォール作成イベントの数」や「インスタンス作成イベントの数」といった指標を定義できます。
Cloud Monitoring とアラート: 作成されたログベースの指標は Cloud Monitoring に自動的に公開され、そこでアラートポリシーを設定できます。これにより、特定の期間内に予期せぬ数のイベントが発生した場合（例: 営業時間外にファイアウォールルールが変更された場合）に、セキュリティチームに即座に通知を送信できます。

このアプローチは、Google Cloud の組み込みサービス（Cloud Logging と Cloud Monitoring）のみを使用するため、設定が比較的シンプルであり、外部ツールや複雑なデータウェアハウスを導入する必要がないため、運用コストを最小限に抑えることができます。

コメント