セキュリティ ソース

このページでは、Security Command Center で利用可能な Google Cloud のセキュリティ ソースのリストを示します。セキュリティ ソースを有効にすると、Security Command Center のダッシュボードに脆弱性と脅威に関するデータが表示されます。

Security Command Center では、特定の検出タイプ、リソースタイプ、特定のアセットのフィルタリングなど、さまざまな方法で脆弱性と脅威の検出結果をフィルタして表示できます。セキュリティ ソースによって、組織の検出結果の整理に役立つフィルタが追加されることがあります。

Security Command Center のロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与されます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

脆弱性

脆弱性の検出機能は、Google Cloud リソースに存在する潜在的な弱点の特定に役立ちます。

Security Health Analytics の脆弱性タイプ

Google Cloud の Security Health Analytics マネージド脆弱性評価スキャンでは、次のような一般的な脆弱性と構成ミスを自動的に検出できます。

  • Cloud Monitoring と Cloud Logging
  • Compute Engine
  • Google Kubernetes Engine コンテナとネットワーク
  • Cloud Storage
  • Cloud SQL
  • Identity and Access Management(IAM)
  • Cloud Key Management Service(Cloud KMS)
  • Cloud DNS

Security Command Center のスタンダード ティアまたはプレミアム ティアを選択すると、Security Health Analytics が自動的に有効になります。Security Health Analytics の検出機能は、Cloud Asset Inventory(CAI)のリソースのサブセットをモニタリングし、次の 3 つのスキャンモードを使用して脆弱性を検出します。

  • バッチスキャン: 登録済みのすべての組織に対して 1 日に 2 回以上、すべての検出機能を実行するようにスケジュールが設定されます。特定のサービスレベル目標(SLO)を満たすため、検出機能は異なるスケジュールで実行されます。12 時間と 24 時間の SLO を満たすため、検出機能はそれぞれ 6 時間または 12 時間おきにバッチスキャンを実行します。バッチスキャンの実行中に発生したリソースまたはポリシーの変更はすぐに取得されず、次のバッチスキャンでチェックされます。注: バッチスキャンのスケジュールは、サービス保証目標ではなく、パフォーマンスの目標です。

  • リアルタイム スキャン: CAI からアセット構成の変更が報告されるたびに、サポートされている検出機能がスキャンを開始します。検出結果は直ちに Security Command Center に書き込まれます。

  • 混合モード: リアルタイム スキャンをサポートする一部の検出機能では、サポートされているすべてのアセットの変更をリアルタイムで検出できない場合があります。その場合、一部のアセット構成の変更は直ちにキャプチャされ、その他のアセット構成の変更はバッチスキャンでキャプチャされます。

Security Health Analytics の検出機能と検出結果の完全なリストを表示するには、Security Health Analytics の検出ページを確認するか、次のセクションを開いてださい。

Web Security Scanner

Web Security Scanner は、一般公開された App Engine、GKE、Compute Engine のサービス対象ウェブ アプリケーションにマネージドおよびカスタムウェブ脆弱性スキャンを実行します。

マネージド スキャン

Web Security Scanner のマネージド スキャンは Security Command Center によって構成され、管理されます。マネージド スキャンは、週に 1 回自動的に実行され、一般公開のウェブ エンドポイントを検出してスキャンします。このスキャンは認証を使用せず、公開ウェブサイトにはフォームを送信しないので、GET のみのリクエストを送信します。

マネージド スキャンは、プロジェクト レベルで定義したカスタム スキャンとは別に実行されます。マネージド スキャンを使用すると、個々のプロジェクト チームを関与させることなく、組織内のプロジェクトでウェブ アプリケーションの基本的な脆弱性の検出を一元管理できます。検出が見つかったら、それらのチームと協力してより包括的なカスタム スキャンを設定できます。

Web Security Scanner をサービスとして有効にする場合、マネージド スキャンの検出結果は、Security Command Center の [脆弱性] タブと関連レポートで自動的に利用可能になります。Web Security Scanner のマネージド スキャンを有効にする方法については、Security Command Center の構成をご覧ください。

カスタム スキャン

Web Security Scanner のカスタム スキャンは、古いライブラリ、クロスサイト スクリプティング、混合コンテンツの使用など、アプリケーションの脆弱性の検出に関する詳細な情報を提供します。Web Security Scanner のカスタム スキャンを設定するためのガイドを完了すると、Security Command Center でカスタム スキャンによる検出が可能になります。

検出機能とコンプライアンス

Web Security Scanner は OWASP トップ 10 のカテゴリをサポートしています。これは、Open Web Application Security Project(OWASP)で決定される、ウェブ アプリケーションで最も重大な 10 個のウェブ アプリケーション セキュリティ リスクをランク付けして修正するドキュメントです。OWASP のリスク軽減のガイダンスについては、Google Cloud における OWASP トップ 10 緩和策をご覧ください。

コンプライアンス マッピングは参照用として含まれており、OWASP Foundation による提供や審査は行われません。

この機能は、コンプライアンス制御違反をモニタリングするためのものです。このマッピングは、規制、業界ベンチマーク、標準に準拠した製品またはサービスの監査、認定、コンプライアンス報告の基礎として使用できるものでも、これらの代用として使用できるものでもありません。

Web Security Scanner のカスタム スキャンとマネージド スキャンでは、次のタイプの検出結果が識別されます。スタンダード ティアの Web Security Scanner は、ファイアウォールの背後にない公開 URL と IP でデプロイされたアプリケーションのカスタム スキャンをサポートしています。

表 21. Web Security Scanner の検出
カテゴリ 検出の説明 OWASP 2017 Top 10 OWASP 2021 Top 10
Accessible Git repository

API のカテゴリ名: ACCESSIBLE_GIT_REPOSITORY

Git リポジトリが一般公開されている。この問題を解決するには、GIT リポジトリへの意図しない公開アクセスを削除します。

料金ティア: スタンダード

この問題を修正する

A5 A01
Accessible SVN repository

API のカテゴリ名: ACCESSIBLE_SVN_REPOSITORY

SVN リポジトリが一般公開されている。この問題を解決するには、SVN リポジトリへの意図しない公開アクセスを削除します。

料金ティア: スタンダード

この問題を修正する

A5 A01
Cacheable password input

API のカテゴリ名: CACHEABLE_PASSWORD_INPUT

ウェブ アプリケーションに入力したパスワードは、安全なパスワード ストレージではなく、通常のブラウザ キャッシュに保存できます。

料金ティア: プレミアム

この問題を修正する

A3 A04
Clear text password

API のカテゴリ名: CLEAR_TEXT_PASSWORD

パスワードがクリアテキストで送信されているため、傍受される可能性がある。この問題を解決するには、ネットワーク経由で送信されたパスワードを暗号化します。

料金ティア: スタンダード

この問題を修正する

A3 A02
Insecure allow origin ends with validation

API のカテゴリ名: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

クロスサイト HTTP または HTTPS エンドポイントは、Origin リクエスト ヘッダーのサフィックスのみを検査してから、Access-Control-Allow-Origin レスポンス ヘッダー内に反映されます。この検出結果を解決するには、想定どおりのルートドメインが Access-Control-Allow-Origin レスポンス ヘッダーに反映される前に、Origin ヘッダー値の一部になっていることを確認します。サブドメインのワイルドカードの場合は、ルートドメインに先頭にドットを追加します(例: .endsWith(".google.com"))。

料金ティア: プレミアム

この問題を修正する

A5 A01
Insecure allow origin starts with validation

API のカテゴリ名: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

クロスサイト HTTP または HTTPS エンドポイントは、Access-Control-Allow-Origin レスポンス ヘッダー内に反映する前に、Origin リクエスト ヘッダーのプレフィックスのみを検証します。この検出結果を解決するには、想定どおりのドメインが Access-Control-Allow-Origin レスポンス ヘッダーに反映される前に、Origin ヘッダー値に完全に一致しているかどうか確認します。例: .equals(".google.com")

料金ティア: プレミアム

この問題を修正する

A5 A01
Invalid content type

API のカテゴリ名: INVALID_CONTENT_TYPE

レスポンスの Content-Type HTTP ヘッダーに一致しないリソースが読み込まれた。この検出結果を解決するには、X-Content-Type-Options HTTP ヘッダーに正しい値を設定します。

料金ティア: スタンダード

この問題を修正する

A6 A05
Invalid header

API のカテゴリ名: INVALID_HEADER

セキュリティ ヘッダーに構文エラーがあり、ブラウザで無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。

料金ティア: スタンダード

この問題を修正する

A6 A05
Mismatching security header values

API のカテゴリ名: MISMATCHING_SECURITY_HEADER_VALUES

セキュリティ ヘッダーが重複し、値が一致しないため、未定義の動作が起こる。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。

料金ティア: スタンダード

この問題を修正する

A6 A05
Misspelled security header name

API のカテゴリ名: MISSPELLED_SECURITY_HEADER_NAME

セキュリティ ヘッダーにスペルミスがあるため、無視される。この問題を解決するには、HTTP セキュリティ ヘッダーを正しく設定します。

料金ティア: スタンダード

この問題を修正する

A6 A05
Mixed content

API のカテゴリ名: MIXED_CONTENT

HTTPS ページ上で HTTP を介してリソースが提供されている。この問題を解決するには、すべてのリソースが HTTPS を介して提供されるようにします。

料金ティア: スタンダード

この問題を修正する

A6 A05
Outdated library

API のカテゴリ名: OUTDATED_LIBRARY

既知の脆弱性があるライブラリが検出された。この問題を解決するには、ライブラリを新しいバージョンにアップグレードします。

料金ティア: スタンダード

この問題を修正する

A9 A06
Server side request forgery

API のカテゴリ名: SERVER_SIDE_REQUEST_FORGERY

サーバー側のリクエスト フォージェリ(SSRF)の脆弱性が検出された。この問題を解決するには、許可リストを使用して、ウェブ アプリケーションがリクエストできるドメインと IP アドレスを制限します。

料金ティア: スタンダード

この問題を修正する

該当なし A10
Session ID leak

API のカテゴリ名: SESSION_ID_LEAK

クロスドメイン リクエストを行う場合は、ウェブ アプリケーションの Referer リクエスト ヘッダーにユーザーのセッション ID を含めます。この脆弱性により、受信側ドメインにセッション ID へのアクセス権が付与されます。この ID は、ユーザーになりすますことや、ユーザーを一意に識別するために使用される可能性があります。

料金ティア: プレミアム

この問題を修正する

A2 A07
SQL injection

API のカテゴリ名: SQL_INJECTION

潜在的な SQL インジェクション脆弱性が検出された。この問題を解決するには、パラメータ化されたクエリを使用して、ユーザー入力が SQL クエリの構造に影響を与えないようにします。

料金ティア: プレミアム

この問題を修正する

A1 A03
Struts insecure deserialization

API のカテゴリ名: STRUTS_INSECURE_DESERIALIZATION

脆弱なバージョンの Apache Struts の使用が検出された。この問題を解決するには、Apache Struts を最新バージョンにアップグレードしてください。

料金ティア: プレミアム

この問題を修正する

A8 A08
XSS

API のカテゴリ名: XSS

このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング(XSS)攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。

料金ティア: スタンダード

この問題を修正する

A7 A03
XSS angular callback

API のカテゴリ名: XSS_ANGULAR_CALLBACK

ユーザーが指定した文字列がエスケープされず、AngularJS によって補間される場合がある。この問題を解決するには、信頼されていないユーザーが指定し、Angular フレームワークによって処理されたデータを検証してエスケープします。

料金ティア: スタンダード

この問題を修正する

A7 A03
XSS error

API のカテゴリ名: XSS_ERROR

このウェブ アプリケーションのフィールドは、クロスサイト スクリプティング攻撃に対して脆弱である。この問題を解決するには、信頼されていないユーザーが提供したデータを検証してエスケープします。

料金ティア: スタンダード

この問題を修正する

A7 A03
XXE reflected file leakage

API のカテゴリ名: XXE_REFLECTED_FILE_LEAKAGE

XML 外部エンティティ(XXE)の脆弱性が検出された。この脆弱性により、ウェブ アプリケーションによりホスト上のファイルが漏洩する可能性があります。この検出結果を解決するには、外部エンティティを許可しないように XML パーサーを構成します。

料金ティア: プレミアム

この問題を修正する

A4 A05

VM Manager

VM Manager は、Compute Engine 上で Windows と Linux を実行している大規模な仮想マシン(VM)フリートでオペレーティング システムの管理を行うためのツールです。

VM Manager を有効にしており、Security Command Center Premium に登録されている場合、VM Manager は、プレビュー中の脆弱性レポートからの検出結果を取得し、Security Command Center に書き込みます。このレポートは、VM にインストールされたオペレーティング システム(OS)の脆弱性(Common Vulnerability and Exposures(CVE)など)が示されます。

Security Command Center Standard では、脆弱性レポートを使用できません。

検出結果を使用することで、VM Manager のパッチ コンプライアンス機能(プレビュー段階)を使用するプロセスが簡略化されます。この機能を使用すると、すべてのプロジェクトで組織レベルでパッチ管理を行うことができます。現在 VM Manager では、単一のプロジェクト レベルでのパッチ管理がサポートされています。

VM Manager の検出結果を修正するには、VM Manager の検出結果の修正をご覧ください。

脆弱性レポートが Security Command Center に書き込まれないようにするには、VM Manager の脆弱性レポートの無効化をご覧ください。

このタイプの脆弱性はすべて、サポートされている Compute Engine VM にインストールされたオペレーティング システム パッケージに関連しています。

表 20. VM Manager の脆弱性レポート
検出機能 概要 アセットのスキャン設定 コンプライアンス標準
OS vulnerability

API のカテゴリ名: OS_VULNERABILITY

検出結果の説明: VM Manager が、Compute Engine VM にインストールされているオペレーティング システム(OS)パッケージに脆弱性を検出しました。

料金ティア: プレミアム

サポートされているアセット
compute.googleapis.com/Instance

この問題を修正する

VM Manager の脆弱性レポートでは、Compute Engine VM のインストール済みオペレーティング システム パッケージの脆弱性(共通脆弱性識別子(CVE)など)が詳細に説明されています。

  • スキャン対象外のアセット: SUSE Linux Enterprise Server(SLES)、Windows オペレーティング システム

脆弱性が検出されると、Security Command Center に検出結果がすぐに表示されます。VM Manager の脆弱性レポートは次のように生成されます。

  • インストールされている OS パッケージのほとんどの脆弱性の場合、変更後数分以内に OS Config API によって脆弱性レポートが生成されます。
  • CVE の場合、OS Config API は OS に CVE が公開されてから 3~4 時間以内に脆弱性レポートを生成します。

脅威

脅威検出機能は、有害な可能性があるイベントを見つけるのに役立ちます。

異常検出

異常検出は、システム外部からの動作シグナルを使用する組み込みサービスです。漏洩した可能性のある認証情報やコイン マイニングなど、プロジェクトと仮想マシン(VM)インスタンスで検出されたセキュリティ異常に関する詳細な情報が表示されます。Security Command Center のスタンダード ティアまたはプレミアム ティアに登録すると、異常検出が自動的に有効になります。検出結果は、Security Command Center のダッシュボードで確認できます。

異常検出結果の例には、次のようなものがあります。

表 B. 異常検出結果のカテゴリ
不正使用の可能性 説明
account_has_leaked_credentials Google Cloud サービス アカウントの認証情報がオンラインで誤って漏洩したか、不正使用されています。
不正使用のシナリオ 説明
resource_involved_in_coin_mining 組織内の VM に関する動作シグナルは、リソースが不正使用され、クリプトマイニングに使用される可能性があることを示します。

Container Threat Detection

Container Threat Detection は一般的なコンテナ ランタイム攻撃を検出し、Security Command Center にアラートを表示します。必要に応じて Cloud Logging でアラートを受け取ることもできます。Container Threat Detection には、複数の検出機能、分析ツール、API が含まれています。

Container Threat Detection の検出計測は、ゲストカーネルで低レベルの動作を収集し、スクリプトに自然言語処理を実行して次のイベントを検出します。

  • 追加されたバイナリの実行
  • 追加されたライブラリの読み込み
  • 悪意のあるスクリプトの実行
  • リバースシェル

Container Threat Detection の詳細

Cloud Data Loss Prevention

Cloud DLP データ検出を使用すると、Cloud Data Loss Prevention(Cloud DLP)のスキャン結果を Security Command Center のダッシュボードと検出結果のインベントリに直接表示できます。Cloud DLP を使用すると、次のような機密データと個人情報(PII)を把握し、管理するのに役立ちます。

  • クレジット カード番号
  • 名前
  • 社会保障番号
  • 米国および一部の国際識別番号
  • 電話番号
  • Google Cloud の認証情報

各 Cloud DLP データ検出の結果に含まれているのは、識別された PII データのカテゴリタイプとそのデータが見つかったリソースのみです。基礎となるデータは含まれません。

DLP API の結果を Security Command Center に送信するのガイドにある設定手順を完了すると、Cloud DLP のスキャン結果が Security Command Center に表示されます。

詳細:

Event Threat Detection

Event Threat Detection は、システム内部のログデータを使用します。1 つ以上のプロジェクトについて組織の Cloud Logging ストリームをモニタリングし、利用可能になるとログを使用します。脅威が検出されると、Event Threat Detection は検出結果を Security Command Center と Cloud Logging プロジェクトに書き込みます。Event Threat Detection は、Security Command Center のプレミアム ティアに登録すると自動的に有効になり、検出結果を Security Command Center のダッシュボードで確認できます。

Event Threat Detection の検出結果の例は次のとおりです。

表 C. Event Threat Detection の検出結果タイプ
データの引き出し

Event Threat Detection は、監査ログで次のシナリオを調査することで、BigQuery と Cloud SQL からのデータの引き出しを検出します。

  • BigQuery リソースが組織外に保存されているか、VPC Service Controls によってブロックされているコピー オペレーションが試行されている。
  • VPC Service Controls によって保護されている BigQuery リソースへのアクセスが試行されている。
  • Cloud SQL リソースの全体または一部が組織外の Cloud Storage バケットにエクスポートされているか、組織が所有する一般公開のバケットにエクスポートされている。
  • Cloud SQL バックアップが組織外の Cloud SQL インスタンスに復元される。
  • Cloud SQL ユーザーに、Cloud SQL Postgres データベースと、スキーマ内のすべてのテーブル、プロシージャ、または関数に対するすべての権限が付与されている。プレビュー
  • 組織が所有する BigQuery リソースが、組織外の Cloud Storage バケットか、一般からアクセス可能な組織内のバケットにエクスポートされている。
  • 組織が所有する BigQuery リソースが Google ドライブ フォルダにエクスポートされる。
ブルート フォース SSH Event Threat Detection は syslog ログを使用して、繰り返し失敗した後に成功したエラーを調査し、パスワード認証 SSH のブルート フォースを検出します。
クリプトマイニング Event Threat Detection は、既知の不正ドメインまたはマイニング プールの IP アドレスへの接続についての VPC フローログと Cloud DNS ログを調査し、コイン マイニングのマルウェアを検出します。
IAM の不正使用

IAM 異常付与: Event Threat Detection は、次のような異常と思われる IAM 付与を検出します。

  • プロジェクト編集者ロールを含むポリシーに gmail.com ユーザーを追加する。
  • Google Cloud Console からプロジェクト オーナーとして gmail.com ユーザーを招待する。
  • 機密性の高い権限を付与するサービス アカウント。
  • 機密性の高い権限を付与されたカスタムロール。
  • 組織外から追加されたサービス アカウント。
Log4j Event Threat Detection は、Log4j の悪用とアクティブな Log4j の脆弱性を検出します。
マルウェア Event Threat Detection は VPC フローログと Cloud DNS ログを使用して、既知のコマンド、制御ドメイン、IP への接続を調査し、マルウェアを検出します。
送信 DoS Event Threat Detection は VPC フローログを調査して、サービス拒否攻撃の送信トラフィックを検出します。
異常アクセス Event Threat Detection は、Tor IP アドレスなどの匿名プロキシ IP アドレスから発生した Google Cloud サービスの変更についての Cloud Audit Logs を調査して、異常アクセスを検出します。
異常な IAM 動作 Event Threat Detection は Cloud Audit Logs を使用して、通常とは異なる IP アドレスやユーザー エージェントからのアクセスを調査し、異常な IAM 動作を検出します。
サービス アカウントの自己調査 Event Threat Detection は、同じサービス アカウントに関連付けられたロールと権限の調査にサービス アカウントの認証情報が使用されたことを検出します。
Compute Engine 管理者による SSH 認証鍵の追加
Event Threat Detection は、確立されたインスタンス(1 週間以上経過)での Compute Engine インスタンス メタデータ SSH 認証鍵の値の変更を検出します。
Compute Engine 管理者による起動スクリプトの追加
Event Threat Detection は、確立されたインスタンス(1 週間以上経過)での Compute Engine インスタンス メタデータ起動スクリプトの値の変更を検出します。
不審なアカウントのアクティビティ Event Threat Detection は監査ログを使用して、パスワードの漏洩や不審なログインの試行など、異常なアカウント アクティビティを調査し、Google Workspace アカウントの不正使用の可能性を検出します。
政府が支援する攻撃 Event Threat Detection は、Google Workspace の監査ログを調査し、政府の支援を受けた攻撃者がユーザーのアカウントまたはパソコンを不正使用しようとした可能性を検出します。
シングル サインオン(SSO)の変更 Event Threat Detection は、Google Workspace の監査ログを調査して、SSO の無効化や Google Workspace 管理者アカウントの設定変更を検出します。
2 段階認証プロセス Event Threat Detection は、Google Workspace の監査ログを調査して、ユーザー アカウントと管理者アカウントで 2 段階認証プロセスが無効になっていることを検出します。
異常な API 動作プレビュー Event Threat Detection は、プリンシパルが認識していない Google Cloud サービスに対するリクエストを Cloud Audit Logs で調べることで、異常な API 動作を検出します。
防御回避 Event Threat Detection は、実施している保護対策を弱める可能性のある、既存の VPC Service Controls 境界に対する変更を検出します。
検出

Event Threat Detection は、監査ログで次のシナリオを調査することで、検出オペレーションを検出します。

  • 悪意のある行為者が、kubectl コマンドを使用して GKE 内のクエリ可能な機密オブジェクトを特定しようとした。Preview
  • サービス アカウントの認証情報が、同じサービス アカウントに関連付けられたロールと権限の調査に使用される。
権限昇格プレビュー

Event Threat Detection は、監査ログで次のシナリオを調査することで、GKE における権限昇格を検出します。

  • 悪意のある行為者が、RBAC 機密オブジェクトを変更して権限を昇格させようとした。
  • 悪意のある者が Kubernetes マスター証明書を作成し、cluster-admin アクセス権が付与された。
  • 悪意のある行為者が、機密性の高い新しい RoleBindings または ClusterRoleBindings を作成して、権限を昇格させようとした。
  • 悪意のある行為者が、漏洩したブートストラップ認証情報を使用して kubectl コマンドを実行し、証明書署名リクエスト(CSR)をクエリした。
  • 悪意のある行為者が、特権コンテナか権限昇格機能を備えたコンテナを含む Pod を作成した。

Event Threat Detection の詳細

Forseti Security

Forseti Security には、Google Cloud のすべてのリソースの状況を把握するためのツールが用意されています。Forseti のコアモジュールが連携して機能し、詳細な情報を提供します。これにより、リソースを保護し、セキュリティ リスクを最小限に抑えることができます。

Security Command Center に Forseti 違反通知を表示する方法については、Forseti の Security Command Center 通知ガイドをご覧ください。

詳細:

Virtual Machine Threat Detection

Virtual Machine Threat Detection は、Security Command Center Premium の組み込みサービスで、ハイパーバイザ レベルの計測を使用して脅威を検出します。VM Threat Detection は暗号通貨マイニング ソフトウェアを検出します。暗号通貨マイニング ソフトウェアは、不正使用されたクラウド環境にインストールされる最も一般的なタイプのソフトウェアです。

VM Threat Detection は、Security Command Center Premium の脅威検出スイートの一部であり、Event Threat DetectionContainer Threat Detection の既存の機能を補完するように設計されています。

VM Threat Detection には、次の暗号通貨マイニングの検出機能があります。

VM Threat Detection の脅威の検出
カテゴリ 検出技術 説明
Execution: Cryptocurrency Mining Hash Match ハッシュ マッチング 実行中のプログラムのメモリハッシュを、暗号通貨マイニング ソフトウェアの既知のメモリハッシュと照合します。
Execution: Cryptocurrency Mining YARA Rule YARA ルール 暗号通貨マイニング ソフトウェアによって使用されることが確認されているプルーフオブワーク定数などのメモリパターンと照合します。
Execution: Cryptocurrency Mining Combined Detection ハッシュ マッチング / YARA ルール 24 時間以内に検出された複数の検出結果のカテゴリを結合します。脅威は 1 つの検出結果にまとめられます。詳細については、複合検出をご覧ください。

VM Threat Detection では、次のモニタリング検出結果も生成されます。

VM Threat Detection の検出結果
カテゴリ名 API 名 概要 重大度
VMTD disabled VMTD_DISABLED

組織で VM Threat Detection が無効になっています。有効にするまで、このサービスは Compute Engine プロジェクトと VM インスタンスをスキャンしません。不要なアプリケーションを検出することはできません。

この検出結果は、30 日後に INACTIVE に設定されます。その後、この検出結果が再度生成されることはありません。

VM Threat Detection の詳細については、VM Threat Detection の概要をご覧ください。

エラー

エラー検出機能を使用すると、セキュリティ ソースによる検出結果の生成を妨げる構成エラーを検出できます。エラーの検出結果は Security Command Center セキュリティ ソースによって生成され、検出クラスが SCC errors に設定されます。

意図しないアクション

次の検出結果のカテゴリは、意図しないアクションが原因の可能性があるエラーを示します。

意図しないアクション
カテゴリ名 API 名 概要 重大度
API disabled API_DISABLED

検出結果の説明: プロジェクトに必要な API が無効になっています。無効になっているサービスは、Security Command Center に検出結果を送信できません。

料金ティア: プレミアムまたはスタンダード

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

バッチスキャン: 60 時間ごと

この問題を修正する

重大
Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

検出結果の説明: サービス アカウントに Container Threat Detection に必要な権限がありません。検出計測の有効化、アップグレード、または無効化ができないため、Container Threat Detection が正常に機能できなくなりました。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Project

バッチスキャン: 30 分ごと

この問題を修正する

重大
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

検出結果の説明: クラスタの GKE のデフォルト サービス アカウントに権限が不足しているため、Container Threat Detection は Google Kubernetes Engine クラスタの検出結果を生成できません。このため、クラスタで Container Threat Detection を有効にできません。

料金ティア: プレミアム

サポートされているアセット
container.googleapis.com/Cluster

バッチスキャン: 毎週

この問題を修正する

Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

検出結果の説明: Cloud Logging への継続的なエクスポート用に構成されたプロジェクトを使用できません。Security Command Center は、検出結果を Logging に送信できません。

料金ティア: プレミアム

サポートされているアセット
cloudresourcemanager.googleapis.com/Organization

バッチスキャン: 30 分ごと

この問題を修正する

VPC Service Controls Restriction VPC_SC_RESTRICTION

検出結果の説明: Security Health Analytics では、プロジェクトの特定の検出結果を生成できません。プロジェクトがサービス境界で保護されており、Security Command Center のサービス アカウントがその境界にアクセスできません。

料金ティア: