Cortex XSOAR に Security Command Center のデータを送信する

このページでは、Security Command Center の検出結果、アセット、セキュリティ ソースを Cortex XSOAR に自動的に送信する方法について説明します。また、エクスポートされたデータの管理方法についても説明します。 Cortex XSOAR は、1 つ以上のソースからセキュリティ データを取り込み、セキュリティ チームがインシデントへの対応を管理できるようにする、セキュリティ オーケストレーション、自動化、レスポンス(SOAR)プラットフォームです。Cortex XSOAR を使用すると、Security Command Center の検出結果とアセットを表示し、問題が解決したときに検出結果を更新できます。

このガイドでは、必要な Security Command Center と Google Cloud サービスが適切に構成されていることを確認し、Cortex XSOAR が Security Command Center 環境の検出結果とアセットにアクセスできるようにします。このページの手順の一部は、GitHub の Cortex XSOAR の統合ガイドからコンパイルされています。

始める前に

このガイドでは、Cortex XSOAR の作業バージョンを使用していることを前提としています。Cortex XSOAR の使用を開始するには、登録してください。

認証と認可を構成する

Security Command Center を Cortex XSOAR に接続する前に、各 Google Cloud 組織に Identity and Access Management(IAM)サービス アカウントを作成し、Cortex XSOAR に必要な組織レベルとプロジェクト レベルの両方の IAM ロールをそのアカウントに付与する必要があります。

サービス アカウントの作成と IAM ロールの付与

次の手順では、Google Cloud コンソールを使用します。その他の方法については、このセクションの最後にあるリンクをご覧ください。

Security Command Center データをインポートする Google Cloud 組織ごとに、次の操作を行います。

  1. Pub/Sub トピックを作成するプロジェクトと同じプロジェクトで、Google Cloud コンソールの [サービス アカウント] ページを使用してサービス アカウントを作成します。手順については、サービス アカウントの作成と管理をご覧ください。
  2. サービス アカウントに次のロールを付与します。

    • Pub/Sub 編集者roles/pubsub.editor
  3. 作成したサービス アカウントの名前をコピーします。

  4. Google Cloud コンソールのプロジェクト セレクタを使用して、組織レベルに切り替えます。

  5. 組織の [IAM] ページを開きます。

    IAM に移動

  6. IAM ページで、[アクセス権を付与] をクリックします。[アクセス権を付与] パネルが開きます。

  7. [アクセス権を付与] パネルで、次の操作を行います。

    1. [プリンシパルの追加] セクションの [新しいプリンシパル] フィールドに、サービス アカウントの名前を貼り付けます。
    2. [ロールの割り当てる] セクションの [ロール] フィールドで、サービス アカウントに次の IAM ロールを付与します。

      • セキュリティ センター管理編集者roles/securitycenter.adminEditor
      • セキュリティ センター通知構成編集者roles/securitycenter.notificationConfigEditor
      • 組織閲覧者roles/resourcemanager.organizationViewer
      • Cloud Asset 閲覧者roles/cloudasset.viewer
    3. [保存] をクリックします。セキュリティ アカウントは、[IAM] ページの [権限] タブにある [プリンシパル別に表示] に表示されます。

      また、継承により、サービス アカウントは組織のすべての子プロジェクトのプリンシパルにもなり、プロジェクト レベルで適用されるロールが、継承されたロールとしてリストされます。

サービス アカウントの作成とロールの付与の詳細については、次のトピックをご覧ください。

認証情報を Cortex XSOAR に提供する

Cortex XSOAR をホストしている場所に応じて、IAM 認証情報を Cortex XSOAR に提供する方法は異なります。

通知の構成

Security Command Center データをインポートする Google Cloud 組織ごとに、次の手順を行います。

  1. 次のように検出結果の通知を設定します。

    1. Security Command Center API を有効にします。
    2. 検出結果をエクスポートするフィルタを作成します。
    3. 検出結果に対応する Pub/Sub トピックを作成します。 NotificationConfig では、検出用に作成した Pub/Sub トピックを使用する必要があります。
  2. プロジェクトで Cloud Asset API を有効にします

Cortex XSOAR を構成するには、このタスクの組織 ID、プロジェクト ID、Pub/Sub サブスクリプション ID が必要です。組織 ID とプロジェクト ID を取得するには、組織 ID を取得するプロジェクトの識別をそれぞれご覧ください。

Cortex XSOAR を構成する

アクセスを許可すると、Cortex XSOAR が検出結果とアセットの更新をリアルタイムで受信します。

Security Command Center を Cortex XSOAR で使用するには、次の手順を行います。

  1. Cortex XSOAR Marketplace から Google Cloud SCC コンテンツ パックをインストールします。

    コンテンツ パックは Security Command Center が管理するモジュールで、Security Command Center API 呼び出しのスケジュール設定プロセスを自動化し、Security Command Center のデータを定期的に取得して Cortext XSOAR で使用します。

  2. Cortex XSOAR アプリケーション メニューで、[設定] に移動し、[統合] をクリックします。

  3. [藤堂] で [サーバーとサービス] を選択します。

  4. GoogleCloudSCC を検索して選択します。

  5. 新しい統合インスタンスを作成して構成するには、[Add instance] をクリックします。

  6. 必要に応じて、以下のフィールドに情報を入力します。

    パラメータ 説明 必須
    サービス アカウントの構成 始める前にで説明されている次のいずれか。
    • サービス アカウント キーを作成した場合、サービス アカウント JSON ファイルの内容
    • Workload Identity 連携を使用している場合は、認証情報の構成ファイルの内容
    はい
    組織 ID 組織の ID 正しい
    インシデントの取得 インシデントの取得を有効にします 誤り
    プロジェクト ID インシデントの取得に使用するプロジェクトの ID。空の場合、指定された JSON ファイルに含まれるプロジェクトの ID が使用されます False
    サブスクリプション ID Pub/Sub サブスクリプションの ID 正しい
    最大インシデント数 取得するインシデントの最大数 誤り
    インシデントの種類 インシデントの種類 誤り
    すべての証明書を信頼(安全ではない) すべての証明書の信頼を有効にする 誤り
    システムのプロキシ設定を使用する システムのプロキシ設定を有効にします False
    インシデントの取得間隔 更新されたインシデント情報の取得から更新までの時間 False
    ログレベル コンテンツ パックのログレベル False

  7. [Test] をクリックします。

    構成が有効な場合は、「success」というメッセージが表示されます。無効な場合は、エラー メッセージが表示されます。

  8. [Save and exit] をクリックします。

  9. 組織ごとに手順 5~8 を繰り返します。

Cortex XSOAR は、Security Command Center の検出項目から適切な Cortex XSOAR フィールドに自動的にマッピングします。選択をオーバーライドする場合や Cortex XSOAR の詳細については、プロダクトのドキュメントをご覧ください。

Cortex XSOAR の構成が完了しました。検出結果とアセットを管理するセクションでは、サービスの Security Command Center のデータを表示して管理する方法について説明します。

Google Cloud SCC コンテンツ パックをアップグレードする

このセクションでは、以前のバージョンからアップグレードする方法について説明します。

  1. Cortex XSOAR Marketplace から Google Cloud SCC コンテンツ パックの最新バージョンにアクセスします。

  2. [Download with Dependencies] をクリックします。

  3. [Install] をクリックします。

  4. [Refresh content] をクリックします。

アップグレードでは以前の構成情報が維持されます。Workload Identity 連携を使用するには、Cortex XSOAR を構成するの説明に沿って構成ファイルを追加します。

検出結果とアセットを管理する

アセットと検出結果を表示して更新するには、Cortex XSOAR のコマンドライン インターフェース(CLI)を使用します。コマンドは、自動トリアージ / 修復の一環として、またはハンドブックで実行できます。

Cortex XSOAR の CLI でサポートされているすべてのメソッドと引数の名前と説明については、コマンドをご覧ください。

検出結果は、Security Command Center の組み込みサービス(Security Health AnalyticsWeb Security ScannerEvent Threat DetectionContainer Threat Detection)および有効にした統合サービスからコンパイルされます。

アセットの一覧表示

組織のアセットを一覧表示するには、Cortex XSOAR の google-cloud-scc-asset-list メソッドを使用します。たとえば、次のコマンドは、lifecycleStateActive であるアセットを一覧表示し、レスポンスを 3 つのアセットに制限します。

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

コードサンプルの感嘆符(!)は、Cortex XSOAR でコマンドを開始するために必要なシンボルです。否定や NOT を表すものではありません。

アセット リソースの表示

プロジェクトなどの親リソースに含まれるアセットを一覧表示するには、Cortex XSOAR の google-cloud-scc-asset-resource-list コマンドを使用します。たとえば、次のコマンドは、assetTypecompute.googleapis.com/Disk であるアセットを一覧表示し、レスポンスを 2 つのアセットに制限しています。

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

ワイルドカードと正規表現がサポートされています。たとえば、assetType=".*Instance" では、アセットタイプが「instance」で終わるアセットが一覧表示されます。

知見を表示

組織またはセキュリティ ソースの検出結果を一覧表示するには、Cortex XSOAR の google-cloud-scc-finding-list コマンドを使用します。たとえば、次のコマンドは、すべてのソースについて重大度が「重大」でアクティブな検出結果をリストし、レスポンスを 3 つの検出結果に限定します。

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

検出結果はフィルタすることもできます。次のコマンドは、脅威として分類された検出結果を一覧表示します。

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

検出結果を更新する

検出結果を更新するには、Cortex XSOAR の google-cloud-scc-finding-update コマンドを使用します。次の形式で organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_IDname または相対的なリソース名を指定する必要があります。

たとえば、次のコマンドは検出結果の重大度を更新します。

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

次のように置き換えます。

  • <var>ORGANIZATION_ID</var> は、組織 ID に置き換えます。組織 ID とプロジェクト ID を取得するには、組織 ID の取得をご覧ください。
  • <var>SOURCE_ID</var> は、セキュリティ ソースの ID に置き換えます。ソース ID を確認するには、ソース ID の取得をご覧ください。
  • <var>FINDING_ID</var> は、検出結果の詳細に含まれる検出結果 ID に置き換えます。

検出結果のステータスの更新

Cortex XSOAR の google-cloud-scc-finding-status-update コマンドを使用して、検出結果のステータスを更新できます。次の形式で organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_IDname または相対的なリソース名を指定する必要があります。

たとえば、次のコマンドは検出結果のステータスをアクティブに設定します。

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

以下を置き換えます。

  • <var>ORGANIZATION_ID</var> は、組織 ID に置き換えます。組織 ID とプロジェクト ID を取得するには、組織 ID の取得をご覧ください。
  • <var>SOURCE_ID</var> は、セキュリティ ソースの ID に置き換えます。ソース ID を確認するには、ソース ID の取得をご覧ください。
  • <var>FINDING_ID</var> は、検出結果の詳細に含まれる検出結果 ID に置き換えます。

アセット オーナーを取得する

アセット オーナーを一覧表示するには、Cortex XSOAR の google-cloud-scc-asset-owner-get コマンドを使用します。プロジェクト名は projects/PROJECT_NUMBER の形式で指定する必要があります。たとえば、次のコマンドは、指定したプロジェクトのオーナーを一覧表示します。

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

コマンドに複数のプロジェクトを追加するには、カンマで区切ります(例: projectName="projects/123456789, projects/987654321")。

次のステップ