Backup and DR Service 用の Security Command Center Premium

Security Command Center(SCC)は、 Google Cloud全体の可視性、モニタリング、アラートを提供する一元化されたプラットフォームです。SCC は、 Google Cloud 全体のログとイベントをインポートしてセキュリティ リスクを特定することで、リアルタイムの検出とアラートを提供します。

バックアップと DR 検出機能は、すべての Security Command Center Premium のお客様が利用できるようになりました。セキュリティ管理者は、異常なバックアップ アクティビティに関する事前構成済みのアラートを受け取ることができます。バックアップがランサムウェアや内部脅威の標的になっている場合、このバックアップと DR と SCC の統合により、高リスクのイベントがすぐに表示され、潜在的な脅威の調査と修復が可能になります。

お客様へのアラートは、SCC で生成された検出結果の形式で届きます。検出結果には、リスクイベント、そのイベントの重大度、影響を受けるバックアップ リソース、調査と修復のワークフローに関する詳細情報が含まれます。

始める前に

セキュリティ アラートを有効にするには、Security Command Center Premium がまだ有効になっていない場合は有効にします。

  1. Google Cloud コンソールで [Security Command Center] に移動します。
  2. [プレミアム] ティアを選択します。これは、Event Threat Detection を有効にするために必要です。
  3. [サービス] を選択します。デフォルトでは、BackupDR が事前選択されています。
  4. ロールを付与します。

Event Threat Detection の使用Event Threat Detection の概要の Event Threat Detection ルールを確認することをおすすめします。

検出結果を生成する

バックアップと DR サービスでユーザーが行った高リスクの操作により、検出結果が生成される場合があります。これらのアクションは次のとおりです。

  • バックアップ イメージの有効期限を切る
  • すべてのイメージの有効期限が切れる
  • バックアップ プランを削除する
  • バックアップ テンプレートを削除する
  • バックアップ ポリシーを削除する
  • プロファイルを削除する
  • バックアップ/リカバリ アプライアンスを削除する
  • ホストを削除した
  • ストレージ プールの削除
  • バックアップの有効期限の短縮
  • バックアップ頻度の削減

すべてのプロダクトの検出結果の完全なリストは、Security Command Center のドキュメントにあります。

バックアップと DR サービスでいずれかのアクションを実行すると、Event Threat Detection がトリガーされ、イベントがセキュリティ リスクを表すかどうかが分析されます。

検出結果の確認方法

アクションが Security Command Center によってセキュリティ リスクと見なされると、検出結果が生成されます。セキュリティ管理者は、影響を受けるリソースを詳しく調べて、推奨される次のステップを実施できます。重大度の高い検出結果については、調査と修正が必要になる場合があります。検出結果には、影響を受けるリソース、セキュリティ イベントが発生した日時、脅威を修正するために必要なアクションの詳細が含まれます。

詳しくは、検出結果クエリの結果をご覧ください。

バックアップ リソース

検出結果には、影響を受けるバックアップ リソースに関する情報が含まれます。

  • テンプレート名: テンプレートはバックアップ ポリシーで構成されます。
  • ポリシー名: ポリシーは、バックアップの実行日時、頻度、保持を定義します。
  • アプリケーション名: アプリケーションは、バックアップと DR サービスの管理コンソールに知られている VM、データベース、ファイル システムです。
  • ホスト名: ホストは、保護するデータベースまたはファイル システムをホストする VM です。
  • ストレージ プール名: ストレージ プールは、OnVault バックアップが保存される Cloud Storage バケットです。
  • ポリシー オプション名: ポリシー オプションは、ユーザーが特定のポリシーに適用できる追加の構成です。
  • プロファイル名: プロファイルには、バックアップの保存場所を定義します。
  • バックアップの種類: バックアップには、スナップショット、リモート スナップショット、OnVault の 3 種類があります。
  • バックアップの日時: 影響を受けるバックアップが作成された日時が表示されます。

調査と修復

検出結果が得られた場合は、脅威の調査と対応をご覧ください。JSON の例については、Event Threat Detection の使用をご覧ください。

Security Command Center には、お客様向けの追加の組み込み調査ツールが用意されています。Cloud Logging、MITRE インジケーター、影響を受けるリソースへのリンクにより、迅速な修正が可能になります。

  • Cloud Logging の統合により、詳細な Cloud Logging クエリにクリックで移動できます。

  • Cloud Monitoring との統合により、類似イベントに関する追加アラートの作成が可能になります。

  • MITRE の分類は、検出結果で示される攻撃の種類を示します()。