よくある質問

Security Command Center API には、数分以内に検出結果の更新と新しい検出結果を知らせるため、Pub/Sub トピックに情報を送信する通知機能があります。通知には、Google Cloud コンソールに表示されるすべての検出結果の情報が含まれます。開始するには、検出通知の設定をご覧ください。

Security Command Center には、Notifier アプリのカスタム クエリを定義できる App Engine アプリケーションも用意されています。Security Command Center の機能にすべての機能が追加されると、Notifier アプリやその他の Security Command Center ツールは廃止される予定です。現在は、このアプリを使用してユーザー定義の Pub/Sub トピックにクエリを発行し、フィードをメールと SMS に統合できます。サポートは、すべての Security Command Center ツールに対してベスト エフォート ベースでのみ提供されます。

ファイアウォール ルールに、検出結果を明示的に生成しない宛先ポートが含まれている可能性があります。

検出結果が作成されない理由は、いくつか考えられます。ファイアウォール ルールは、「拒否」のルールとして構成されます。ファイアウォール ルールでは、モジュールによって明示的に無視されたプロトコルまたはポートを使用するネットワークトラフィックが許可される場合があります。検出結果は、以下で説明されている場合を除き、任意のプロトコルの IP アドレス（0.0.0.0/0）から、または任意のポート（TCP、UDP、SCTP プロトコルに適用）へのトラフィックを許可するルールの場合に作成されます。

検出結果は、次のプロトコルに対して作成されません。

• ICMP
• TCP 443（HTTPS）
• TCP 22（SSH）
• SCTP 22（SSH）
• TCP 3389（RDP）
• UDP 3389（RDP）

検出結果のタイプによって、Security Command Center で解決後に検出結果の state フィールドが自動的に INACTIVE に設定されるかどうかが決まります。次のリストでは、さまざまな検出結果のタイプと、Security Command Center で検出結果の状態が自動的に INACTIVE に設定されるかどうかについて説明します。

脆弱性の検出結果は、脆弱性の修正手順が完了すると、自動的に INACTIVE に更新されます。脆弱性のあるアセットが削除されると、脆弱性の検出も自動的に INACTIVE に更新されます。Security Health Analytics と Web Security Scanner 検出器によって、Security Command Center で利用可能な脆弱性の検出結果が生成されます。VM Manager などの統合サービスでも、Security Command Center で有効にすると脆弱性の検出結果が生成されます。

脅威の検出は、プロセスの実行やネットワーク接続の開始など、1 つ以上のイベントの観察を表します。

脅威の検出が解決された後、Security Command Center では、state が INACTIVE に自動的に設定されることはありません。脅威の検出結果の状態は、手動で状態を変更しない限り、引き続き有効です。

脅威は動的であるという点で脆弱性とは異なります。これは、1 つ以上のリソースが現在悪用されている可能性があることを示します。このため、セキュリティ担当者は、Security Command Center の検出結果の情報を使用して、最適な方法を決定し、問題を解決して将来の攻撃からリソースを保護できます。

調査で脅威の検出結果が誤検出であると判断された場合は、代わりに検出結果のミュートルールを作成し、状態を ACTIVE のままにすることを検討してください。

エラーの検出結果は、構成の問題が修正されると、自動的に INACTIVE としてマークされます。エラー検出機能により、Security Command Center 環境の構成上の問題を示す検出結果が生成されます。このような構成上の問題が存在すると、サービス（検索プロバイダまたはソース）は検出結果を生成できません。