Enterprise ティアのアクティベーション プロセスは、Google Cloud コンソールの設定ガイドを使用して完了します。最初の必須タスクの後、追加のタスクを完了して、組織に必要なオプション機能を設定できます。
料金とサブスクリプションの取得については、Security Command Center の料金をご覧ください。
別のティアで Security Command Center を有効にする手順については、組織で Security Command Center Standard ティアまたはプレミアム ティアを有効にするをご覧ください。
始める前に
以下のタスクを完了してから、このページの残りのタスクを完了してください。
組織の作成
Security Command Center には、ドメインに関連付けられた組織リソースが必要です。組織をまだ作成していない場合は、組織の作成と管理をご覧ください。
権限を設定する
このセクションでは、Security Command Center の設定に必要な Identity and Access Management のロールと、付与方法について説明します。
-
Make sure that you have the following role or roles on the organization: Organization Admin, Cloud Asset Owner, Security Center Admin, Security Admin.
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
[IAM] に移動 - 組織を選択します。
- [ アクセスを許可] をクリックします。
-
[新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。
- [ロールを選択] リストでロールを選択します。
- 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
- [保存] をクリックします。
詳細については、Security Command Center のロールをご覧ください。
組織のポリシーを確認する
組織のポリシーがドメイン別に ID を制限するように設定されている場合は、次の点を考慮してください。
- 許可されたドメイン内のアカウントで Google Cloud コンソールにログインする必要があります。
- サービス アカウントは、許可されたドメイン内にあるか、ドメイン内のグループのメンバーである必要があります。この要件により、ドメインで制限された共有が有効な場合に、
@*.gserviceaccount.comサービス アカウントを使用するサービスがリソースにアクセスできるようになります。
組織のポリシーがリソース使用量を制限するように設定されている場合は、次の API が許可されていることを確認します。
chronicle.googleapis.comsecuritycenter.googleapis.comsecuritycentermanagement.googleapis.com
管理プロジェクトを作成する
Security Command Center Enterprise には、セキュリティ運用と Mandiant の統合を可能にするために、管理プロジェクトと呼ばれるプロジェクトが必要です。
以前に Google SecOps を有効にした場合は、既存の管理プロジェクトを使用できます。それ以外の場合は、新しく作成します。プロジェクトのロールと API を確認します。
-
In the Google Cloud console, go to the project selector page.
-
Select or create a Google Cloud project.
-
Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.
-
Make sure that you have the following role or roles on the project: Service Usage Admin, Service Account Token Creator, Chronicle API Admin, Chronicle Service Admin, Chronicle SOAR Admin, Service Account Key Admin, and Service Account Admin.
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
[IAM] に移動 - プロジェクトを選択します。
- [ アクセスを許可] をクリックします。
-
[新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。
- [ロールを選択] リストでロールを選択します。
- 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
- [保存] をクリックします。
既存の Google Security Operations 環境に接続する
有効化中に、リストからテナントを選択して、既存の Google Security Operations Standard、Enterprise、Enterprise Plus 環境に接続できます。接続後、追加の構成が必要になります。Security Command Center と連携するように Google Security Operations テナントを構成する方法については、アカウント チームにお問い合わせください。
通知の連絡先を構成する
セキュリティ管理者が重要な通知を受信できるように、重要な連絡先を構成します。手順については、通知の連絡先の管理をご覧ください。
Security Command Center Enterprise ティアを初めて有効にする
Google Cloud コンソールで、Security Command Center の [リスクの概要] ページに移動します。
Security Command Center Enterprise ティアを有効にする組織が表示されていることを確認します。
[Security Command Center Enterprise スタートガイド] ページで、[Enterprise を有効にする] をクリックします。このオプションでは、Security Command Center Enterprise ティアに含まれるすべてのサービス(Google Security Operations や Mandiant など)にサービス アカウントとロールが自動的に作成されます。これらのオプションを表示するには、[サービス アカウントと権限を表示] をクリックします。
[Security Command Center Enterprise スタートガイド] ページが表示されない場合は、Google Cloud セールスに連絡して、サブスクリプションの利用資格が有効になっていることを確認します。
管理プロジェクトを選択し、[次へ] をクリックします。
[API を有効にする] をクリックし、[次へ] をクリックします。
次のいずれかを行います。
- Google SecOps インスタンスを有効にしている場合は、[はい、既存の Chronicle インスタンスに接続します] を選択して、アクセスコードを貼り付けます。
- Google SecOps がない場合は、[いいえ、新しい Chronicle インスタンスを作成します] を選択します。連絡先情報と会社情報を入力し、Google SecOps を有効にするリージョンを選択します。このリージョンは Google SecOps にのみ使用され、その他の Security Command Center 機能には使用されません。
[Activate] をクリックします。[リスクの概要] ページに戻り、プロビジョニングのステータスが表示されます。セキュリティ運用の機能の準備が整い、検出結果が利用可能になるまでに時間がかかることがあります。
Google Cloud コンソールの設定ガイドを使用して、追加機能を構成できます。
Security Command Center の追加機能を構成する
Google Cloud コンソールの設定ガイドは、6 つの手順と追加の構成に関する推奨事項で構成されています。最初の 2 つの手順は、Security Command Center を有効化するときに完了します。残りの手順と推奨事項は、組織の必要に応じて、時間の経過とともに完了してください。
Google Cloud コンソールで、Security Command Center の [リスクの概要] ページに移動します。
[設定] > [ティアの詳細] に移動します。
Security Command Center Enterprise ティアを有効にした組織が表示されていることを確認します。
[設定ガイドを読む] をクリックします。
Amazon Web Services(AWS)も使用していて、Security Command Center を AWS に接続して脆弱性とリスク評価を行う場合は、[手順 3: Amazon Web Services(AWS)の統合を設定する] をクリックします。手順については、脆弱性の検出とリスク評価のために AWS に接続するをご覧ください。
セキュリティ運用を実行するユーザーとグループを追加するには、[手順 4: ユーザーとグループを設定する] をクリックします。手順については、IAM を使用して SecOps 機能へのアクセスを制御するをご覧ください。
セキュリティ オーケストレーション、自動化、レスポンス(SOAR)を構成するには、[手順 5: 統合を構成する] をクリックします。Google Security Operations インスタンスの設定によっては、ユースケースがすでにインストールされている場合があります。インストールされていない場合は、アカウント担当者または Google Cloud の営業担当者にお問い合わせください。チケット発行システムと統合するには、Security Command Center Enterprise をチケット発行システムと統合するをご覧ください。
セキュリティ情報およびイベント管理(SIEM)へのデータの取り込みを構成するには、手順 6: ログの取り込みを構成するをクリックしてください。キュレーテッド検出やクラウド インフラストラクチャ資格管理などの機能を有効にするには、データの取り込みを構成する必要があります。手順については、ログの取り込みのために AWS に接続するをご覧ください。
Google Cloud 組織内の機密データをモニタリングするには、[Sensitive Data Protection を設定する] をクリックします。機密データの検出は、サービスティアに関係なく、Security Command Center とは別に課金されます。検出用のサブスクリプションを購入しない場合は、使用量(スキャンされたバイト数)に基づいて課金されます。詳細については、Sensitive Data Protection に関するドキュメントの検出料金をご覧ください。手順については、機密データの検出を有効にするをご覧ください。
コード セキュリティを強化するには、[コード セキュリティを設定する] をクリックします。手順については、コード セキュリティのために Assured OSS と統合するをご覧ください。
次のステップ
- Security Command Center の検出結果を操作する方法を学習します。
- Google Cloud のセキュリティ ソースについて学習します。
- Google Security Operations のキュレートされた検出結果で脅威を調査する。
-
-