このドキュメントでは、Security Command Center の Enterprise ティアで検出結果をグループ化する方法について説明します。
概要
検出結果のグループ化メカニズムでは、取り込まれた検出結果が自動的にケースにグループ化されます。デフォルトでは、このグループ化メカニズムにより、1 つのケース内のすべての検出結果が同じになるようにします。
- リソースのオーナー
- Google Cloud プロジェクト
- AWS アカウント
- アセットのタイプ
- カテゴリ
- 重大度
グループ化設定を構成する
取り込まれたすべての検出結果に適用されるデフォルトのグループ化設定を構成するには、次の手順を行います。
セキュリティ運用コンソールで、[設定] > [取り込み] > [コネクタ] に移動します。
[SCC Enterprise - 緊急体制検出コネクタ] を選択します。
グループ化メカニズムをカスタマイズして特定のグループ化オプションを無効にするには、次の 1 つ以上のパラメータのチェックボックスをオフにします。
Group by AWS Account
Group by GCP Project
Group by Severity
Group by Asset Type
デフォルトでは、取り込まれた検出結果に次のグループ化設定が適用されます。
AWS アカウント別にグループ化: 検出結果が属する AWS アカウントに従ってグループ化されます。
GCP プロジェクトでグループ化: 検出結果は、属する Google Cloud プロジェクトに従ってグループ化されます。
重大度でグループ化: 検出結果は、
severity
レベル(HIGH
やMEDIUM
など)に従ってグループ化されます。アセットタイプでグループ化: 検出結果は、Compute Engine インスタンスや IAM サービス アカウントなどのアセットタイプ(Google Cloud リソースタイプ)に従ってグループ化されます。
ケースにグループ化された検出結果はすべて同じオーナーに属します。継承された Google Cloud タグや重要な連絡先がない検出結果など、検出結果が正しくグループ化されるようにするには、常にコネクタの Fallback Owner
パラメータを構成します。
例: グループ化メカニズムの仕組み
この例では、Google Cloud の検出結果のみが使用されます。
コネクタは、それぞれの Google Cloud リソースから継承された、重大度と値が異なる 4 つの検出結果を取り込みます。
検出結果 1: 重大度: Critical
、アセットタイプ: Compute
、プロジェクト: Project_1
検出結果 2: 重大度: Critical
、アセットタイプ: IAM
、プロジェクト: Project_2
検出結果 3: 重大度: High
、アセットタイプ: Compute
、プロジェクト: Project_1
検出結果 4: 重大度: High
、アセットタイプ: Compute
、プロジェクト: Project_2
デフォルトのグループ化メカニズム
デフォルト設定では、検出結果がそれぞれのプロジェクト、アセットタイプ、重大度プロパティに従ってグループ化されます。
この例では、すべての検出結果が異なるケースに含まれています。
ケース 1:
- 検出結果 1: 重大度:
Critical
、アセットタイプ:Compute
、プロジェクト:Project_1
- 検出結果 1: 重大度:
ケース 2:
- 検出結果 2: 重大度:
Critical
、アセットタイプ:IAM
、プロジェクト:Project_2
- 検出結果 2: 重大度:
ケース 3:
- 検出結果 3: 重大度:
High
、アセットタイプ:Compute
、プロジェクト:Project_1
- 検出結果 3: 重大度:
ケース 4:
- 検出結果 4: 重大度:
High
、アセットタイプ:Compute
、プロジェクト:Project_2
- 検出結果 4: 重大度:
カスタム グルーピングのメカニズム
[GCP プロジェクトでグループ化] チェックボックスのみを選択すると、Google Cloud プロジェクトに従って検出結果が自動的にグループ化され、ケースに同じプロジェクトに属する検出結果のみが含まれます。
ケース 1:
- 検出結果 1: 重大度
Critical
、アセットタイプ:Compute
、プロジェクト:Project_1
- 検出結果 3: 重大度
High
、アセットタイプ:Compute
、プロジェクト:Project_1
- 検出結果 1: 重大度
ケース 2:
- 検出結果 2: 重大度
Critical
、アセットタイプ:IAM
、プロジェクト:Project_2
- 検出結果 4: 重大度
High
、アセットタイプ:Compute
、プロジェクト:Project_2
- 検出結果 2: 重大度
[重大度によるグループ化] チェックボックスのみを選択すると、検出結果が重大度に従って自動的にグループ化され、ケースに同じ重大度の検出結果のみが含まれるようになります。
ケース 1:
- 検出結果 1: 重大度:
Critical
、アセットタイプ:Compute
、プロジェクト:Project_1
- 検出結果 2: 重大度:
Critical
、アセットタイプ:IAM
、プロジェクト:Project_2
- 検出結果 1: 重大度:
ケース 2:
- 検出結果 3: 重大度:
High
、アセットタイプ:Compute
、プロジェクト:Project_1
- 検出結果 4: 重大度:
High
、アセットタイプ:Compute
、プロジェクト:Project_2
- 検出結果 3: 重大度:
[アセットタイプ別にグループ化] チェックボックスのみをオンにすると、アセットタイプ(Google Cloud のリソースタイプ)に従って検出結果が自動的にグループ化され、同じリソースに属する検出結果のみがケースに含まれるようになります。
ケース 1:
- 検出結果 1: 重大度:
Critical
、アセットタイプ:Compute
、プロジェクト:Project_1
- 検出結果 3: 重大度:
High
、アセットタイプ:Compute
、プロジェクト:Project_1
- 検出結果 4: 重大度:
High
、アセットタイプ:Compute
、プロジェクト:Project_2
- 検出結果 1: 重大度:
ケース 2:
- 検出結果 2: 重大度:
Critical
、アセットタイプ:IAM
、プロジェクト:Project_2
- 検出結果 2: 重大度:
[GCP プロジェクトでグループ化] と [重大度によるグループ化] の両方のチェックボックスをオンにすると、それぞれのプロジェクトと重大度レベルに従って検出結果が自動的にグループ化され、ケースには同じプロジェクトに所属、かつ 同じ重大度を持つ検出結果のみが含まれるようになります。この例では、コネクタは次の 4 つのケースを作成します。
ケース 1:
- 検出結果 1: 重大度:
Critical
、アセットタイプ:Compute
、プロジェクト:Project_1
- 検出結果 1: 重大度:
ケース 2:
- 検出結果 2: 重大度:
Critical
、リソースタイプ:IAM
、プロジェクト:Project_2
- 検出結果 2: 重大度:
ケース 3:
- 検出結果 3: 重大度:
High
、リソースタイプ:Compute
、プロジェクト:Project_1
- 検出結果 3: 重大度:
ケース 4:
- 検出結果 4: 重大度:
High
、リソースタイプ:Compute
、プロジェクト:Project_2
- 検出結果 4: 重大度:
次のステップ
- アラートの詳細について、Google SecOps ドキュメントを確認する。