Security Command Center のエンタープライズ ティアを有効にする

Security Command Center Enterprise ティアでは、次のようなセキュリティ強化が提供されます。

  • Google Security Operations を使用した高度なセキュリティ運用。
  • Mandiant Attack Surface Management、Sensitive Data Protection、Assured OSS などの他の Google Cloud プロダクトとの統合。
  • マルチクラウド サポート。
  • リスク分析。

Enterprise ティアの機能の詳細については、Security Command Center の概要をご覧ください。

Enterprise ティアのアクティベーション プロセスは、Google Cloud コンソールの設定ガイドを使用して完了します。最初の必須タスクを完了したら、追加のタスクを完了して、組織に必要なオプション機能を設定できます。

料金とサブスクリプションの取得については、Security Command Center の料金をご覧ください。

別のティアで Security Command Center を有効にする手順については、組織で Security Command Center Standard ティアまたはプレミアム ティアを有効にするをご覧ください。

始める前に

Security Command Center を初めて有効にする前に、次の作業を完了します。

  1. 有効化を計画する
  2. 組織の作成
  3. 管理プロジェクトを作成する
  4. 権限と API を構成する
  5. 通知の連絡先を構成する

有効化を計画する

このセクションでは、有効化の準備に必要な意思決定と情報について説明します。

サポート連絡先を確認する

新しい Google SecOps インスタンスを有効にするときに、会社名と連絡先のメールアドレスを指定します。組織の連絡先を特定します。この構成は重要な連絡先には関係ありません。

Google SecOps 構成を選択する

有効化時に、Security Command Center Enterprise を Google SecOps インスタンスに接続します。

既存のインスタンスに接続する

Security Command Center Enterprise を既存の Google SecOps SIEM スタンドアロン インスタンスまたは Google SecOps SOAR スタンドアロン インスタンスに接続することはできません。使用している Google SecOps インスタンスのタイプについてご不明な点がある場合は、Google Cloud の営業担当者にお問い合わせください。

既存の Google SecOps インスタンスを選択すると、[SecOps インスタンスに接続] ページにインスタンスへのリンクが表示され、選択内容を確認できます。確認するには、そのインスタンスにアクセスできる必要があります。インスタンスにログインするには、管理プロジェクトに対する Chronicle API 制限付きデータアクセス閲覧者(roles/chronicle.restrictedDataAccessViewerロールが必要です。

新しいインスタンスをプロビジョニングする

新しいインスタンスをプロビジョニングすると、新しいインスタンスのみが Security Command Center に関連付けられます。Security Command Center を使用する場合は、Google Cloud コンソールと新しくプロビジョニングされた Security Operations コンソールを切り替えます。

有効化時に、新しい Google SecOps インスタンスをプロビジョニングするロケーションを指定します。サポートされているリージョンとマルチリージョンの一覧については、SecOps サービスのロケーションのページをご覧ください。このロケーションは、Google SecOps にのみ適用され、他の Security Command Center の機能やサービスには適用されません。

各 Google SecOps インスタンスには、所有して管理する専用の管理プロジェクトが必要です。このプロジェクトは、Security Command Center Enterprise を有効にする組織と同じ組織に存在する必要があります。複数の Google SecOps インスタンスに同じ管理プロジェクトを使用することはできません。

既存の Google SecOps インスタンスがあり、Security Command Center Enterprise 用に新しいインスタンスをプロビジョニングする場合、両方のインスタンスは Google Cloud データの直接取り込みに同じ構成を使用します。同じ構成設定が両方の Google SecOps インスタンスへの取り込みを制御し、同じデータを受信します。

Security Command Center Enterprise の有効化中に、有効化プロセスによって Google Cloud ログの取り込み設定が変更され、すべてのデータ型フィールド(Google Cloud LoggingCloud Asset MetadataSecurity Command Center Premium の検出結果)が有効になります。エクスポート フィルタの設定は変更されません。Security Command Center Enterprise では、すべての機能が設計どおりに機能するために、これらのデータ型が必要です。有効化が完了したら、Google Cloud ログの取り込み設定を変更できます。

組織の作成

Security Command Center には、ドメインに関連付けられた組織リソースが必要です。組織をまだ作成していない場合は、組織の作成と管理をご覧ください。

複数の組織がある場合は、Security Command Center Enterprise を有効にする組織を特定します。Security Command Center Enterprise を有効にする組織ごとに、次の有効化手順を行う必要があります。

管理プロジェクトを作成する

Security Command Center Enterprise には、Google SecOps と Mandiant Attack Surface Management の統合を有効にするために、管理プロジェクトと呼ばれるプロジェクトが必要です。このプロジェクトは、Security Command Center Enterprise 専用に使用することをおすすめします。

以前に Google SecOps を有効にしたときに作成した既存のインスタンスに接続する場合は、Google SecOps に接続されている既存の管理プロジェクトを使用します。

新しい Google SecOps インスタンスをプロビジョニングする場合は、新しいインスタンス専用の新しい管理プロジェクトを作成します。別の Google SecOps インスタンスに接続されている管理プロジェクトを再利用しないでください。

詳細については、プロジェクトの作成と管理をご覧ください。

権限と API を構成する

このセクションでは、Security Command Center Enterprise の設定に必要な Identity and Access Management ロールの一覧と、組織と管理プロジェクトでロールを付与する方法について説明します。また、Security Command Center Enterprise ティアに必要なすべての API を有効にする方法についても説明します。詳細については、Security Command Center のロールGoogle Cloud APIs をご覧ください。

組織の権限を構成する

Make sure that you have the following role or roles on the organization:

  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Cloud Asset Owner (roles/cloudasset.owner)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Admin (roles/iam.securityAdmin)
  • Chronicle Service Viewer (roles/chroniclesm.viewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    [IAM] に移動
  2. 組織を選択します。
  3. [ アクセスを許可] をクリックします。
  4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

  5. [ロールを選択] リストでロールを選択します。
  6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
  7. [保存] をクリックします。
  8. Google SecOps を確認するには、次のことを行う必要があります。

    管理プロジェクトで権限を構成して API を有効にする

    1. Google Cloud コンソールで、Security Command Center Enterprise ティアを有効にする組織が表示されていることを確認します。
    2. 前回作成した管理プロジェクトを選択します。
    3. Make sure that you have the following role or roles on the project:

      • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
      • Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
      • Chronicle API Admin (roles/chronicle.admin)
      • Chronicle Service Admin (roles/chroniclesm.admin)
      • Chronicle SOAR Admin (roles/chronicle.soarAdmin)
      • Service Account Key Admin (roles/iam.serviceAccountKeyAdmin)
      • Service Account Admin (roles/iam.serviceAccountAdmin)

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.
      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        [IAM] に移動
      2. プロジェクトを選択します。
      3. [ アクセスを許可] をクリックします。
      4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

      5. [ロールを選択] リストでロールを選択します。
      6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
      7. [保存] をクリックします。
      8. Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.

        Enable the APIs

      通知の連絡先を構成する

      セキュリティ管理者が重要な通知を受け取れるように、重要な連絡先を構成します。手順については、通知の連絡先の管理をご覧ください。

      Security Command Center のエンタープライズ ティアを有効にする

      有効化プロセスでは、Security Command Center Enterprise に含まれるサービス アカウント、権限、サービスが自動的に構成されます。既存の Google SecOps Standard、Enterprise、Enterprise Plus インスタンスに接続することも、新しいインスタンスをプロビジョニングすることもできます。

      1. Google Cloud コンソールで、Security Command Center の [リスクの概要] ページに移動します。

        Security Command Center に移動

      2. Security Command Center Enterprise ティアを有効にする組織が表示されていることを確認します。

      3. [Security Command Center] ページで、[Security Command Center を取得] をクリックします。

      4. [Security Command Center Enterprise スタートガイド] ページで、構成されるサービス アカウントと API を確認し、[Enterprise を有効にする] をクリックします。

        • 作成されるサービス アカウントを表示するには、[サービス アカウントと権限を表示] をクリックします。
        • 有効にする API を表示するには、[Security Command Center Enterprise API を確認] をクリックします。
        • 利用規約を表示するには、Security Command Center Enterprise の利用規約をクリックします。

        [Security Command Center Enterprise スタートガイド] ページが表示されない場合は、Google Cloud セールスに連絡して、サブスクリプションの利用資格が有効になっていることを確認します。

        次のページには、環境に応じて異なるビューが表示されます。

      5. 次のいずれかを選択して、新しいインスタンスを作成するか、既存のインスタンスを使用します。

        • [はい、既存の Google Security Operations インスタンスに接続します] を選択し、メニューからインスタンスを選択します。手順 7 に進んで有効化を開始します。

          このメニューには、Security Command Center Enterprise を有効にする組織に関連付けられている Google SecOps インスタンスが表示されます。各項目には、Google SecOps カスタマー ID、プロビジョニングされているリージョン、関連付けられている Google Cloud プロジェクト名が含まれます。Security Command Center Enterprise と互換性のないインスタンスを選択することはできません。

          このページには、選択した Google SecOps インスタンスへのリンクが表示されます。インスタンスを開くときにエラーが発生した場合は、インスタンスにアクセスするために必要な IAM 権限があることを確認します。

        • [いいえ、新しい Google Security Operations インスタンスを作成します] を選択し、ステップ 6 に進んで新しい Google SecOps インスタンスを作成します

      6. 新しい Google SecOps インスタンスを作成するには、追加の設定情報を指定します。

        1. 会社の連絡先情報を指定します。

          • テクニカル サポートの連絡先: 個人のメールアドレスまたはグループのメールアドレスを入力します。
          • 会社名: 会社名を入力します。
        2. Google Security Operations をプロビジョニングするロケーション タイプを選択します。

          • リージョン: 単一のリージョンを選択します。
          • マルチリージョン: マルチリージョンのロケーションを選択します。

          このロケーションは Google SecOps でのみ使用され、他の Security Command Center 機能では使用されません。サポートされているリージョンとマルチリージョンの一覧については、SecOps サービスのロケーション ページをご覧ください。

        3. [次へ] をクリックし、専用の管理プロジェクトを選択します。前の手順で専用の管理プロジェクトを作成しました。

          既存の Google SecOps インスタンスにリンクされているプロジェクトを選択すると、有効化を開始するときにエラーが発生します。

        4. 手順 7 に進んで有効化を開始します。

      7. [Activate] をクリックします。[設定ガイド] ページとプロビジョニング ステータスが表示されます。セキュリティ オペレーション機能の準備が整って検出結果が利用可能になるまでには、時間がかかることがあります。

      Google Cloud コンソールの設定ガイドを使用して、追加機能を構成できます。

      Security Command Center の追加機能を構成する

      Google Cloud コンソールの設定ガイドは、6 つの手順と追加の構成に関する推奨事項で構成されています。最初の 2 つのステップは、Security Command Center を有効にするときに完了します。残りの手順と推奨事項は、組織のニーズに応じて、時間をかけて完了できます。

      1. Google Cloud コンソールで、Security Command Center の [リスクの概要] ページに移動します。

        [概要] に移動

      2. [設定] > [ティアの詳細] に移動します。

      3. Security Command Center Enterprise ティアを有効にした組織が表示されていることを確認します。

      4. [設定ガイドを読む] をクリックします。

      5. Amazon Web Services(AWS)を使用していて、Security Command Center を AWS に接続して脆弱性とリスク評価を行う場合は、[ステップ 3: Amazon Web Services(AWS)の統合を設定する] をクリックします。手順については、脆弱性の検出とリスク評価のために AWS に接続するをご覧ください。

      6. セキュリティ運用を実行するユーザーとグループを追加するには、[手順 4: ユーザーとグループを設定する] をクリックします。手順については、IAM を使用して SecOps 機能へのアクセスを制御するをご覧ください。

      7. セキュリティ オーケストレーション、自動化、レスポンス(SOAR)を構成するには、[手順 5: 統合を構成する] をクリックします。Google Security Operations インスタンスの設定によっては、ユースケースがすでにインストールされている場合があります。インストールされていない場合は、アカウント担当者または Google Cloud の営業担当者にお問い合わせください。チケット発行システムと統合するには、Security Command Center Enterprise をチケット発行システムと統合するをご覧ください。

      8. セキュリティ情報およびイベント管理(SIEM)へのデータの取り込みを構成するには、手順 6: ログの取り込みを構成するをクリックしてください。キュレーテッド検出やクラウド インフラストラクチャ資格管理などの機能を有効にするには、データの取り込みを構成する必要があります。手順については、ログの取り込みのために AWS に接続するをご覧ください。

      9. Google Cloud 組織内の機密データをモニタリングするには、[Sensitive Data Protection を設定する] をクリックします。手順については、機密データ検出を有効にするをご覧ください。

      10. コードのセキュリティを強化するには、[コードのセキュリティを設定する] をクリックします。手順については、コードのセキュリティを確保するために Assured OSS と統合するをご覧ください。

      次のステップ