Security Command Center で [検出結果] ページが更新されると、Google Cloud コンソールで検出結果を表示、検索、検査できます。このページでは、[検出結果] ページの改善について説明します。
Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。
[検出結果] ページには以下の改善があります。
グローバルな変更
以下の改善は、クイック フィルタ)、クエリビルダー)、検出結果テーブル、検出結果の詳細に行われています。
- ユーザー補助の理由から、プロパティ名(またはフィルタ名)と値は文頭が大文字で表示されます。
- 同等の API ではなく、読み取り可能な属性やフィルタ名が表示されます。たとえば、
indicator.ip_addressesではなくIP addressesというフィルタ名が使用されます。 - セキュリティ マークが削除されました。セキュリティ マークの更新またはアクセスには、Security Command Center API を使用してください。
- 検出結果の状態を変更する機能は削除されました。このため、検出結果の状態をアクティブや非アクティブに変更することはできません。代わりにミュート オプションを使用してください。
クイック フィルタ
[クイック フィルタ] セクションには以下の改善が行われています。
クイック フィルタは、次の検出属性に適用できます。従来の [検出結果] ページでは、これらのクイック フィルタのサブセットのみを使用できます。
- カテゴリ
- 検出結果クラス
- ミュート状態
- プロジェクト ID
- リソースの種類
- 重大度
- ソースの表示名
- 状態
複数のフィルタ カテゴリから複数の値を選択できます。
このページの後半で、検出結果ワークフローの改善ビューでフィルタを適用する方法について説明します。
クエリビルダー
従来の [フィルタ] フィールドが [クエリのプレビュー] フィールド(クエリビルダーとも呼ばれます)に代わりました。クエリビルダーには以下の改善が行われています。
- グラフィカル ユーザー インターフェースを使用して、適切に形式のフィルタ名、演算子、フィルタ値を検索して選択できます。
- クエリビルダーにクエリを入力すると、フィルタ名と関数を選択できるオートコンプリート メニューが提供されます。
- クエリビルダーで、クエリ作成時にエラーがすべてハイライト表示されるので、クエリを適用する前に必要な修正を行うことができます。
クエリビルダーを使用すると、すべての Security Command Center サービスで利用可能な新しい検出結果の属性をフィルタリングできます。
- アクセス(
access) - コンプライアンス(
compliances[]) - 接続(
connections[]) - データの引き出し(
exfiltration) - IAM バインディング(
iamBindings[]) - MITRE ATT&CK(
mitreAttack) - プロセス(
processes[])
以前の [フィルタ] フィールドでは、これらの新しい属性はサポートされていません。
- アクセス(
このページの後半で、クエリビルダーを使用して検出結果クエリを作成または編集する方法を説明します。
検出結果の詳細
検出結果テーブルで検出結果のカテゴリ名をクリックすると、検出結果の詳細が表示されます。詳細ペインでは、次の操作を行えます。
- 現在の検出結果フィルタを更新して、属性を追加または除外します。変更は、メインの [検出結果] ページのクエリビルダーとクイック フィルタに適用されます。
(次へ)または (戻る)ボタンを使用して、[検出結果] ページに戻ることなく、次の検出結果または前の検出結果に移動できます。
Security Command Center API で使用されているように、検出属性名が表示されます。
[ミュート] メニューの代わりに、[操作] メニューが追加されました。これにより、次のことが可能になります。
- ミュートまたはミュート解除: 検出結果をミュートまたはミュート解除します。
- 次のような検出結果をミュートする: [ミュートルールを作成する] ページを表示し、現在の検索結果に類似する検出結果を今後すべてミュートするルールを構成できます。
リンクをコピーする: 検出結果への直接リンクをクリップボードにコピーして、他のユーザーと共有できるようにします。
フィードバックを送信する: 検出結果に関するフィードバックを Security Command Center チームに送信します。フィードバック ツールを使用すると、スクリーンショットを取得して送信できます。
以下のセクションでは、[概要] タブと [JSON] タブについて説明します。
概要タブ
[概要] タブのフォーマットが、Security Command Center で実行されるすべてのサービスで標準化されました。タブが再編成され、次の情報がハイライト表示されるようになりました。
- 検出された内容
- 検出結果の詳細(重大度、状態など)。
- 影響を受けているリソース
- 検出結果に関連するアセットの詳細(技術担当者およびセキュリティ担当者の連絡先など)。このセクションには、リソースの詳細を表示できるメニューも含まれています。
- 次のステップ
- 省略可。Security Health Analytics などの特定のサービスでは、検出された問題への対処方法についてガイダンスが提供されます。
- 関連リンク
- 省略可。Event Threat Detection などの特定のサービスでは、Security Command Center の外部にあるセキュリティ情報の情報源へのリンクが提供されます。
- 検出サービス
- 検出結果を検出したサービス(ソースとも呼ばれます)の詳細。
[JSON] タブ
[JSON] タブが追加されました。次のオブジェクトが表示されます。
findings: 検出結果の属性。これらの属性は、すべての組み込みサービスと統合サービス(セキュリティ ソースとも呼ばれます)で標準化されています。詳細については、Findingをご覧ください。resource: 影響を受けるリソースの属性。詳細については、Resourceをご覧ください。sourceProperties: 検出結果のサービス固有のプロパティ。
検出結果ワークフローの改善にアップグレードする
Security Command Center で、検出結果ワークフローの改善ビューに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
[アップグレード] をクリックして、[検出結果のワークフローの改良版へアップグレード] を選択します。
従来の検出結果ビューに戻す
Security Command Center で、検出結果ワークフローの改善ビューに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
検出ワークフローの改善ビューから以前のビューに切り替えるには、[オプション] をクリックして、[以前の検出結果ページに戻る] を選択します。[フィードバックを送信して戻る] または [戻る] をクリックして、選択した内容を確認します。
クイック フィルタを適用する
Security Command Center で、検出結果ワークフローの改善ビューに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
デフォルトでは、ミュートされていないアクティブな検出結果のみを表示するようにフィルタリングされます。[クイック フィルタ] セクションとクエリビルダーには、現在適用されているフィルタが表示されます。
[クイック フィルタ] セクションで、フィルタを適用する属性のサブセクション(カテゴリなど)を見つけます。
検出結果に必要な属性値を選択します。
デフォルトでは、選択可能な属性値が検出回数の降順で表示されます。値をアルファベット順に並べ替える場合は、[もっと見る] をクリックし、[名前別] をクリックします。
値を選択またはクリアすると、[検出結果クエリの編集] フィールドのクエリが更新されます。
クイック フィルタをリセットするには、[すべてをクリア] をクリックします。
クイック・フィルタおよびクエリビルダーに自動的に追加されたフィルタはすべてクリアされます。
検出結果クエリを作成または編集する
[クエリエディタ] パネルでクエリを編集する手順は次のとおりです。
Security Command Center ダッシュボードの [検出結果] ページに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
[検出結果] ページに [クエリのプレビュー] フィールドにデフォルトのクエリが表示されます。
右側の [クエリのプレビュー] セクションで、edit [クエリを編集] またはパネル展開アイコン expand_more をクリックして、クエリエディタパネルを開きます。
[フィルタを追加] を選択して、事前定義された属性フィルタを閲覧、検索し、クエリに追加します。
[フィルタを選択] ダイアログでは、サポートされている検出属性と値を選択できます。
- 検出属性を選択するか、[検出属性の検索] ボックスに名前を入力します。
- サブ属性を選択します。その属性で使用可能な値のリストが表示されます。
- 属性値に適用する演算子を選択します。使用可能な演算子は、選択した属性によって異なります。
- 選択した値について、プルダウン メニューで次のいずれかの演算子を選択します。
- 等しい: この正確なフィルタ値を持つ検出結果に一致します
- 等しくない: この正確なフィルタ値を持たない検索結果に一致します。
- 次を含む: [キーワード] フィールドに入力したテキストを含むフィルタ値を持つ検索結果に一致します。
- 次を含まない: [キーワード] フィールドに入力したテキストを含まないフィルタ値を持つ検索結果に一致します。
- 含む: 値の配列を含む属性の場合は、配列内の 1 つ以上の属性値のいずれかまたはすべてを含むか、または含まない検出結果を選択します。
- [適用] を選択します。
ダイアログが閉じて、クエリが更新されます。
- 検出クエリに必要な属性がすべて表示されるまで、この操作を繰り返します。
あるいは、Security Command Center API を使用して検出結果フィルタを作成すると同じ方法で、検出結果クエリを手動で作成できます。クエリを入力すると、オートコンプリート メニューが表示され、そこでフィルタ名と関数を選択できます。
検出フィルタは、次のような一般的な演算子をサポートしています。
- 文字列:
- 完全に同等:
= - 部分文字列の一致:
:
- 完全に同等:
- 数字:
- 不等式
<、>、<=、>= - 等式
=
- 不等式
- ブール値:
- 等式
=
- 等式
- 論理演算子:
ANDOR- 否定
-またはNOT
- 式のグループ化のためのかっこ
クエリビルダーで作業しているときは、2 つの競合を避けるため、ページの [クイック フィルタ] セクションが無効になります。
検出結果の詳細ペインから検出結果クエリを更新する
検出結果の詳細ペインで、検出プロパティの値をクエリに追加できます。逆に、その値をクエリから除外することもできます。変更は、メインの [検出結果] ページのクエリビルダーとクイック フィルタに適用されます。
このタスクは、プルダウン メニューとして表示される属性値に対して実行できます。
Security Command Center で、検出結果ワークフローの改善ビューに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
検出結果のカテゴリ名をクリックします。
検出結果の詳細ペインが表示されます。
追加または除外する属性値をクリックします。
次のいずれかを行います。
- このプロパティ値を持つ検索結果のみを表示するようにクエリを更新するには、[現在の検出クエリに追加する] を選択します。
- このプロパティ値で検索結果を除外するようにクエリを更新するには、[現在の検索クエリに表示しない] を選択します。
詳細ペインが閉じ、検出結果クエリが更新されます。
検出結果の JSON 定義を表示またはコピーする
JSON 定義を使用すると、検出結果のすべての要素を検査できます。これは、検出結果について調べる場合や、検出結果クエリで使用できる属性を検索する場合に便利です。
Security Command Center で、検出結果ワークフローの改善ビューに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
検出結果のカテゴリ名をクリックします。
検出結果の詳細ペインが表示されます。
[JSON] タブをクリックします。
検出結果の JSON 定義が表示されます。
JSON オブジェクトをコピーするには、[コピー] をクリックします。
JSON オブジェクトがクリップボードにコピーされます。
Security Command Center チームにフィードバックを送信する
Google は常にサービスの改善を務めています。お寄せいただいたフィードバックは、サービスの改善と Security Command Center のすべてのユーザーを対象とするエクスペリエンスの改善に活用いたします。
フィードバックを送信するには、次の手順を行います。
Security Command Center で、検出結果ワークフローの改善ビューに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
[オプション] をクリックし、[フィードバックを送信する] を選択します。
次のステップ
Security Command Center API を使用して検出結果フィルタを作成する方法を学習する。