このページでは、Security Command Center で ID とアクセスの検出結果に対応するケースを確認する方法について説明します。
Security Command Center は、重大度が Critical または High の検出結果のケースを自動的に作成します。
始める前に
続行する前に、次の作業が完了していることを確認してください。
- Security Command Center の CIEM 機能について確認する。
- CIEM の権限を設定する。
- AWS 用の CIEM 検出サービスを有効にする。
- チケット発行システムを接続する。
Security Operations コンソールでケースの詳細を表示する
[検出結果] ページから ID とアクセス構成ミスのケースの詳細を表示するには、次の手順を行います。
- Security Command Center の [リスクの概要] ページの [ID とアクセスの検出結果] ペインで、検出結果名または [ID とアクセスの検出結果をすべて表示] リンクをクリックします。Security Command Center で [検出結果] ページが開き、ID とアクセスの検出結果が事前フィルタされたクエリで表示されます。
[カテゴリ] 列の検出結果の名前をクリックして、[検出結果の詳細] ペインを開きます。[ケース情報] セクションに移動し、[ケース ID] 行のケース ID 番号をクリックします。Security Operations コンソールの [ケース] ウィンドウが新しいタブで開き、その特定のケースの [アラート] タブが表示されます。[アラート] タブには、次の情報が含まれています。
- ケースに関連付けられているアラート イベントのリスト
- アラートにアタッチされているハンドブック
- 検出結果の説明
- 修復のための次のステップ
- 影響を受けるアセットに関する情報
- チケット情報(チケット発行システムを Security Command Center に接続している場合)
Security Command Center を Jira または ServiceNow に接続している場合は、チケット ID リンクを使用してチケット発行システムに移動できます。
[Case Wall] タブで、ケースで実行されたアクティビティと含まれているアラートの詳細を確認します。
[ケースの概要] タブでケースの詳細な概要を確認します。
セキュリティ運用コンソールの [ケース] ページには、ID とアクセスのケースだけでなく、環境用に作成されたすべてのケースが表示されます。ページの左側にある [ケースキュー] を使用して、既存のケースをすべて移動できます。キューの内容を検索してフィルタリングすることで、重要となるケースを簡単に特定できます。
ケースの操作の詳細については、ケースの概要をご覧ください。
次のステップ
- ID とアクセスの検出結果を調査する方法を学習する。
- Google SecOps ドキュメントでケースの詳細について確認する。