Security Command Center での脆弱性の検出結果の表示

このページでは、フィルタを使用して特定の脆弱性検出結果を表示する方法について説明します。

脆弱性の検出結果は、次のGoogle Cloud コンソール ページで表示およびフィルタできます。

  • スタンダード ティアとプレミアム ティアの [脆弱性] ページ。
  • すべての階層の [検出結果] ページ。

重要な脆弱性の検出結果を表示した後、Security Command Center で脆弱性を選択して、特定の検出結果に関する詳細情報を表示できます。この情報には、脆弱性の説明とリスクに関する説明、修正の推奨事項が記載されています。

このページでは、脆弱性が Vulnerability クラスと Misconfiguration クラスの検出結果の両方を指します。

[脆弱性] ページと [検出結果] ページの比較

[脆弱性] ページのフィルタ オプションは、[検出結果] ページで使用できるフィルタ オプションやクエリ オプションに比べて制限されています。

[脆弱性] ページには、検出結果の Vulnerability クラスと Misconfiguration クラスのすべての検出結果カテゴリと、各カテゴリの現在のアクティブな検出結果の数と、各検出結果カテゴリがマッピングされているコンプライアンス標準が表示されます。特定のカテゴリにアクティブな脆弱性がない場合、[アクティブな検出結果] 列に 0 が表示されます。

一方、[検出結果] ページには、任意の検出結果クラスの検出結果カテゴリを表示できますが、指定した期間に環境内でそのカテゴリにセキュリティの問題が検出された場合のみ、検出結果カテゴリが表示されます。

詳しくは次のページをご覧ください。

クエリのプリセットを適用する

[脆弱性] ページでは、特定のセキュリティ目標に関連する検出結果を返す事前定義されたクエリ(クエリのプリセット)を選択できます。

たとえば、 Google Cloudのクラウド インフラストラクチャの利用資格管理(CIEM)を担当している場合は、ID とアクセスの構成ミスクエリ プリセットを選択して、誤って構成されたプリンシパル アカウントや、過剰な権限または機密情報に関わる権限が付与されたプリンシパル アカウントに関連するすべての検出結果を表示できます。

または、プリンシパルに実際に必要な権限のみを制限することが目的の場合は、[IAM Recommender] クエリ プリセットを選択して、必要以上の権限を持つプリンシパルの IAM Recommender からの検出結果を表示できます。

クエリ プリセットを選択する手順は次のとおりです。

  1. [脆弱性] ページに移動します。

    [脆弱性] に移動

  2. [クエリ プリセット] セクションで、クエリセレクタのいずれかをクリックします。

    表示が更新され、クエリで指定された脆弱性カテゴリのみが表示されます。

プロジェクトごとに脆弱性の検出結果を表示する

Google Cloud コンソールの [脆弱性] ページでプロジェクトごとに脆弱性の検出結果を表示するには、次の操作を行います。

  1. Google Cloud コンソールの [脆弱性] ページに移動します。

    [脆弱性] に移動

  2. ページの上部にあるプロジェクト セレクタで、脆弱性の検出結果を表示するプロジェクトを選択します。

[脆弱性] ページには、選択したプロジェクトの検出結果のみが表示されます。

または、コンソール ビューが組織に設定されている場合、[検出結果] ページの [クイック フィルタ] を使用して、1 つ以上のプロジェクト ID で脆弱性の検出をフィルタできます。

検出結果のカテゴリごとに脆弱性の検出結果を表示する

カテゴリ別に脆弱性の検出結果を表示するには、次の操作を行います。

  1. Google Cloud コンソールの [脆弱性] ページに移動します。

    [脆弱性] に移動

  2. プロジェクト セレクタで、組織、フォルダ、またはプロジェクトを選択します。

  3. [カテゴリ] 列で、検出結果を表示する検出タイプを選択します。

選択したタイプに一致する検出結果が読み込まれ、[検出結果] ページに表示されます。

検出結果カテゴリの詳細については、脆弱性に関する検出をご覧ください。

アセットの種類ごとに検出結果を表示する

特定のアセットタイプの脆弱性の検出結果を表示するには、次の手順を行います。

  1. Google Cloud コンソールで Security Command Center の [検出結果] ページに移動します。

    [検出結果] に移動

  2. プロジェクト セレクタで、組織、フォルダ、またはプロジェクトを選択します。

  3. [クイック フィルタ] パネルで、以下を選択します。

    • [検出結果クラス] セクションで、[脆弱性] と [構成ミス] の両方を選択します。
    • (省略可)[プロジェクト ID] セクションで、アセットを表示するプロジェクトの ID を選択します。
    • [リソースの種類] セクションで、表示するリソースタイプを選択します。

[検出結果クエリの結果] パネルで検出結果のリストが更新され、選択内容に一致する検出結果のみが表示されます。

攻撃の発生可能性スコアごとに脆弱性の検出結果を表示する

高価値であるとして指定され、攻撃パス シミュレーションによってサポートされている脆弱性の検出結果には、攻撃の発生可能性スコアが割り当てられます。このスコアで検出結果をフィルタできます。

攻撃の発生可能性スコアごとに脆弱性の検出結果を表示するには、次の手順を行います。

  1. Google Cloud コンソールで Security Command Center の [検出結果] ページに移動します。

    [検出結果] に移動

  2. プロジェクト セレクタで、組織、フォルダ、またはプロジェクトを選択します。

  3. [クエリのプレビュー] パネルの右側にある [クエリを編集] をクリックします。

  4. [クエリエディタ] パネルの上部にある [フィルタを追加] をクリックします。

  5. [フィルタを選択] ダイアログで、次の操作を行います。

    • プレミアム サービスティアとスタンダード サービスティアの場合: [攻撃の発生可能性] を選択し、[次を超える攻撃の発生可能性] フィールドにスコア値を入力します。

    • エンタープライズ ティアの場合:

      • [属性カテゴリ] で [攻撃の発生可能性] を選択します。
      • 属性名として [スコア] を選択します。
      • [次を超える攻撃の発生可能性] フィールドにスコア値を入力します。

  6. [適用] をクリックします。

    フィルタ ステートメントがクエリに追加され、[検出結果クエリの結果] パネルの検出結果が更新されて、新しいフィルタ ステートメントで指定した値より大きい攻撃の発生可能性スコアの検出結果のみが表示されます。

CVE ID 別に脆弱性の検出結果を表示する

検出結果は、[概要] ページまたは [検出結果] ページで、対応する CVE ID ごとに確認できます。

  • スタンダード ティアとプレミアム ティアでは、[概要] ページの [上位の CVE 検出結果] セクションに移動します。

  • エンタープライズ ティアでは、[概要] > [CVE の脆弱性] ビューの [上位の共通脆弱性とエクスプロイト] セクションに移動します。

脆弱性の検出結果は、Mandiant が評価した対応する CVE の悪用可能性と影響ごとにインタラクティブなグラフにグループ化されます。グラフのブロックをクリックすると、環境で検出された CVE ID 別の脆弱性の一覧が表示されます。

[検出結果] ページでは、その CVE ID で検出結果をクエリできます。

CVE ID で脆弱性の検出結果をクエリするには、次の操作を行います。

  1. Google Cloud コンソールで Security Command Center の [検出結果] ページに移動します。

    [検出結果] に移動

  2. プロジェクト セレクタで、組織、フォルダ、またはプロジェクトを選択します。

  3. [クエリのプレビュー] フィールドの右側にある [クエリを編集] をクリックします。

  4. [クエリエディタ] で、クエリを編集して、検索する CVE ID を追加します。 例:

    state="ACTIVE"
 AND NOT mute="MUTED"
 AND vulnerability.cve.id="CVE-2016-5195"

    [検出結果クエリの結果] が更新され、ミュートされていない、CVE ID を含むアクティブな検出結果がすべて表示されます。

重大度別に脆弱性の検出結果を表示する

重大度別に脆弱性の検出結果を表示する手順は次のとおりです。

  1. Google Cloud コンソールで Security Command Center の [検出結果] ページに移動します。

    [検出結果] に移動

  2. プロジェクト セレクタで、組織、フォルダ、またはプロジェクトを選択します。

  3. [クイック フィルタ] パネルで、[検出結果クラス] セクションに移動し、[脆弱性] と [構成ミス] の両方を選択します。

    表示される検出結果は、Vulnerability クラスと Misconfiguration クラスの検出結果のみを表示するように更新されます。

  4. また、[クイック フィルタ] パネルで [重大度] セクションに移動し、表示する必要がある検出結果の重大度を選択します。

    表示される検出結果は、選択した重大度の脆弱性の検出結果のみを表示するように更新されます。

アクティブな検出結果の数による検出結果カテゴリの表示

含まれるアクティブな検出結果の数ごとに検出結果カテゴリを表示するには、 Google Cloud コンソールまたは Google Cloud CLI コマンドを使用します。

コンソール

[脆弱性] ページに含まれるアクティブな検出結果の数ごとに検出結果カテゴリを表示するには、[アクティブな検出結果] 列でカテゴリを並べ替えることも、それぞれに含まれるアクティブな検出結果の数でカテゴリをフィルタすることもできます。

含まれるアクティブな検出結果の数ごとに脆弱性の検出結果カテゴリをフィルタするには、次の手順を実施します。

  1. Google Cloud コンソールで [脆弱性] ページを開きます。

    [脆弱性] に移動

  2. プロジェクト セレクタで、組織、フォルダ、またはプロジェクトを選択します。

  3. フィルタ フィールドにカーソルを置くと、フィルタのリストが表示されます。

  4. フィルタのリストから [アクティブな検出結果] を選択します。論理演算子のリストが表示されます。

  5. フィルタで使用する論理演算子(>= など)を選択します。

  6. 番号を入力して Enter キーを押します。

画面が更新され、フィルタに一致するアクティブな検出結果の数を含む脆弱性カテゴリのみが表示されます。

gcloud

gcloud CLI を使用してすべての検出結果の数を取得するには、まず Security Command Center にクエリを送信し、脆弱性サービスのソース ID を取得してから、ソース ID を使用して有効な検出結果の数をクエリします。

手順 1: ソース ID を取得する

この手順を完了するには、組織 ID を取得してから、脆弱性検出サービスのソース ID を取得します。これは、検出結果のソースとも呼ばれます。Security Command Center API をまだ有効にしていない場合は、有効にするように求められます。

  1. gcloud organizations list を実行して組織 ID を取得してから、組織名の横にある数字をメモします。

  2. 次のコマンドを実行して、Security Health Analytics のソース ID を取得します。

    gcloud scc sources describe organizations/ORGANIZATION_ID \
  --source-display-name='SOURCE_DISPLAY_NAME'

    次のように置き換えます。

    • ORGANIZATION_ID: 組織の ID。Security Command Center の有効化レベルに関係なく、組織 ID が必要です。
    • SOURCE_DISPLAY_NAME: 検出結果を表示する必要がある脆弱性検出サービスの表示名。例: Security Health Analytics

  3. プロンプトが表示されたら、Security Command Center API を有効にしてから前述のコマンドを実行し、ソース ID を再度取得します。

ソース ID を取得するコマンドから、次のような出力が返されます。

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

SOURCE_ID をメモします。これは次の手順で使用します。

手順 2: 有効な検出結果の数を取得する

前の手順でメモした SOURCE_ID を使用して、検出結果をフィルタします。次の gcloud CLI コマンドは、検出結果の数をカテゴリごとに返します。

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

ページサイズは 1,000 までの任意の値に設定できます。このコマンドにより、特定の組織またはプロジェクトの結果とともに、次のような出力が表示されます。

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50