Security Command Center と Google SecOps による Backup and DR Service

このガイドでは、Security Command Center、Google Security Operations(Google SecOps)、Backup and DR Service の統合について説明します。この統合により、Backup and DR Service 内で発生したリスクの高いアクションのアラートを Security Command Center と Google SecOps に表示できます。

Security Command Center と Backup and DR サービス用の Google SecOps を使用すると、次のことができます。

  • ワークロードからの保護の削除など、高リスクの操作に関する即時アラートを受け取る
  • 脅威を調査して、影響を受けたバックアップ リソースを特定する
  • ケースにバックアップの脅威を集約して、迅速かつ体系的な修復を行う

Security Command Center は、 Google Cloud 全体からログとイベントを取り込み、潜在的なセキュリティ リスクを特定します。Security Command Center Enterprise に含まれている Google SecOps は、SIEM(セキュリティ情報およびイベント管理)と SOAR(セキュリティ オーケストレーション、自動化、対応)のツールであり、複数のソースの脅威をインテリジェントに集約して関連付けます。Google SecOps では、脅威のケース管理と修復も可能です。

始める前に

Security Command Center Premium がまだ有効になっていない場合は、有効にします。これは、 Google Cloud コンソールを使用して行うことができます。Security Command Center Enterprise の場合は、 Google Cloudアカウント チームにお問い合わせください。

検出結果の生成

バックアップと DR サービスでユーザーが行った高リスクのアクションは、Event Threat Detection(Security Command Center Premium と Security Command Center Enterprise の一部)を使用してモニタリングされます。これらのアクションはリアルタイムでモニタリングされ、 Google Cloud全体の他のリスクイベントと相関付けられ、検出結果(Security Command Center)、アラート(Google SecOps)、自動キュレートされたケース(Google SecOps)として表示されます。

これらのアクションは次のとおりです。

  • バックアップの削除
  • バックアップ プランの削除
  • ワークロードからバックアップ保護を削除する
  • 復元に影響する可能性のあるバックアップ インフラストラクチャの削除

検出項目の一覧は、Security Command Center のドキュメントをご覧ください。

Security Command Center のリアルタイム検出結果

アクションが Security Command Center によってセキュリティ リスクと見なされると、検出結果が生成されます。セキュリティ管理者は、影響を受けるリソースを詳しく調べて、推奨される次のステップを実施できます。検出結果には、影響を受けるリソースの詳細、セキュリティ イベントが発生した日時、脅威を修正するために必要なアクションが含まれます。

Security Command Center には、お客様向けの組み込み調査ツールが用意されています。Cloud Logging、MITRE インジケーター、影響を受けるリソースへのリンクにより、迅速な修正が可能になります。

  • Cloud Logging の統合により、詳細な Cloud Logging クエリにクリックで移動できます。
  • Cloud Monitoring との統合により、類似イベントに関する追加アラートの作成が可能になります。
  • MITRE の分類は、このに示すように、検出結果で示される攻撃の種類を示します。

Google SecOps でのケース管理と修復

Google SecOps には、リスクの高いイベントをアラートとして表示するキュレーションされた検出機能があります。これらのキュレートされた検出には、バックアップとバックアップ リソースに対する潜在的な脅威が含まれます。キュレートされた検出では、追加の構成は必要ありません。アラートは、トリアージと修復のためにケースに集約されます。

バックアップと DR サービスの脅威検出は、Security Command Center Premium と Security Command Center Enterprise のすべてのお客様が利用できます。Google SecOps for Backup and DR Service は、Security Command Center Enterprise をご利用のお客様専用のサービスです。