このページでは、Security Command Center の検出結果、アセット、監査ログ、セキュリティ ソースを Google Security Operations SOAR に自動的に送信する方法について説明します。また、エクスポートされたデータの管理方法についても説明します。
始める前に、必要な Security Command Center と Google Cloud サービスが適切に構成されていることを確認し、Google SecOps SOAR が Security Command Center 環境の検出結果、監査ログ、アセットにアクセスできるようにします。Google SecOps SOAR の Security Command Center の統合の詳細については、Google Security Operations のドキュメントの Security Command Center をご覧ください。
認証と認可を構成する
Google SecOps SOAR に接続する前に、Identity and Access Management サービス アカウントを作成し、組織レベルとプロジェクト レベルの両方で IAM ロールを付与する必要があります。
サービス アカウントの作成と IAM ロールの付与
このドキュメントでは、このサービス アカウントをユーザー サービス アカウントとも呼びます。次の手順では、Google Cloud コンソールを使用します。その他の方法については、このセクションの最後にあるリンクをご覧ください。
Security Command Center データをインポートする Google Cloud 組織ごとに、次の操作を行います。
- Pub/Sub トピックを作成するプロジェクトと同じプロジェクトで、Google Cloud コンソールの [サービス アカウント] ページを使用してサービス アカウントを作成します。手順については、サービス アカウントの作成と管理をご覧ください。
サービス アカウントに次のロールを付与します。
- Pub/Sub 編集者(
roles/pubsub.editor)
- Pub/Sub 編集者(
作成したサービス アカウントの名前をコピーします。
Google Cloud コンソールのプロジェクト セレクタを使用して、組織レベルに切り替えます。
組織の [IAM] ページを開きます。
IAM ページで、[アクセス権を付与] をクリックします。[アクセス権を付与] パネルが開きます。
[アクセス権を付与] パネルで、次の操作を行います。
- [プリンシパルの追加] セクションの [新しいプリンシパル] フィールドに、サービス アカウントの名前を貼り付けます。
[ロールの割り当てる] セクションの [ロール] フィールドで、サービス アカウントに次の IAM ロールを付与します。
- セキュリティ センター管理閲覧者(
roles/securitycenter.adminViewer) - セキュリティ センター通知構成編集者(
roles/securitycenter.notificationConfigEditor) - 組織閲覧者(
roles/resourcemanager.organizationViewer) - Cloud Asset 閲覧者(
roles/cloudasset.viewer)
- セキュリティ センター管理閲覧者(
[保存] をクリックします。サービス アカウントは、[IAM] ページの [権限] タブにある [プリンシパル別に表示] に表示されます。
また、継承により、サービス アカウントは組織のすべての子プロジェクトのプリンシパルにもなります。プロジェクト レベルで適用されるロールが、継承されたロールとしてリストされます。
サービス アカウントの作成とロールの付与の詳細については、次のトピックをご覧ください。
権限借用用のサービス アカウントを作成する
このドキュメントでは、このサービス アカウントは SOAR サービス アカウントとも呼ばれます。ユーザー サービス アカウントとその権限の権限を借用するサービス アカウントを作成します。
Google SecOps SOAR コンソールで [レスポンス] に移動し、[統合の設定] をクリックします。
[統合の設定] ページで、[新しいインスタンスを作成] をクリックします。[インスタンスを追加] ダイアログが開きます。
[統合] リストで [Google Security Command Center] を選択し、[保存] をクリックします。[Google Security Command Center - Configure Instance] ダイアログが開きます。
[Workload Identity Email] フィールドに、サービス アカウントのメール ID を指定します。
[保存] をクリックします。
Google SecOps SOAR に認証情報を提供する
Google SecOps SOAR をホストする場所に応じて、Google SecOps SOAR に IAM 認証情報を提供する方法は異なります。
- Google Cloud で Google SecOps SOAR をホストしている場合、作成したユーザー サービス アカウントとそれに付与した組織レベルのロールは、親組織から継承することで自動的に使用できるようになります。
- Google SecOps SOAR をオンプレミス環境でホストしている場合は、作成したユーザー サービス アカウントの鍵を作成します。このタスクを完了するには、サービス アカウント キーの JSON ファイルが必要です。サービス アカウント キーを安全に保存するためのベスト プラクティスについては、サービス アカウント キーの管理のベスト プラクティスをご覧ください。
通知を構成する
Security Command Center データをインポートする Google Cloud 組織ごとに、次の操作を行います。
次のように検出結果の通知を設定します。
- Security Command Center API を有効にします。
- 検出結果に対応する Pub/Sub トピックを作成します。
- エクスポートする検出結果のフィルタを含む
NotificationConfigオブジェクトを作成します。NotificationConfigでは、検出用に作成した Pub/Sub トピックを使用する必要があります。
プロジェクトで Cloud Asset API を有効にします。
Google SecOps SOAR を構成するには、このタスクの組織 ID、プロジェクト ID、Pub/Sub サブスクリプション ID が必要です。組織 ID とプロジェクト ID を取得するには、組織 ID を取得するとプロジェクトの識別をそれぞれご覧ください。
Google SecOps SOAR を構成する
Google SecOps SOAR を使用すると、企業とマネージド セキュリティ サービス プロバイダ(MSSP)は、オーケストレーションと自動化、脅威インテリジェンス、インシデント対応を組み合わせることで、さまざまなソースからデータとセキュリティ アラートを収集できます。
Security Command Center を Google SecOps SOAR で使用するには、次の操作を行います。
Google SecOps SOAR コンソールで [Marketplace] に移動し、[Integrations] をクリックします。
Google Security Command Centerを検索し、検索結果に表示された Security Command Center インテグレーションをインストールします。[Google Security Command Center] 統合で、[構成] をクリックします。[Google Security Command Center - インスタンスを構成する] ダイアログが開きます。
省略可: 新しい環境を作成するか、環境構成を編集するには、[設定画面] をクリックします。[環境] ページが新しいタブで開きます。
[Environments] ページで、インテグレーション インスタンスを構成する環境を選択します。
選択した環境で、[新しいインスタンスを作成] をクリックします。[インスタンスを追加] ダイアログが開きます。
[統合] リストで [Google Security Command Center] を選択し、[保存] をクリックします。[Google Security Command Center - Configure Instance] ダイアログが開きます。
構成パラメータを指定して、[保存] をクリックします。
パラメータ Description 必須 API ルート Security Command Center インスタンスの API ルート。例: securitycenter.googleapis.com○ 組織 ID 検出結果をエクスポートする組織の ID。 × プロジェクト ID Security Command Center の統合で使用するプロジェクトの ID。 × 割り当てプロジェクト ID Google Cloud API の使用量と課金の対象となる Google Cloud プロジェクトの ID。 × ロケーション ID Security Command Center の統合で使用するロケーションの ID。デフォルトのロケーション ID はグローバルです。 × ユーザーのサービス アカウント サービス アカウントの作成と IAM ロールの付与で作成したサービス アカウント。Google SecOps SOAR をオンプレミス環境でホストしている場合は、サービス アカウント キー ID とサービス アカウントの JSON ファイルのすべての内容を指定します。 ○ Workload Identity Email 権限借用用のサービス アカウントを作成するで作成したメールアドレス。これは、権限借用に使用できるユーザー サービス アカウントの使用に代わるサービス アカウント クライアント メールアドレスです。SOAR サービス アカウントには、ユーザー サービス アカウントに対する Service Account Token CreatorIAM ロールを付与する必要があります。○ SSL を確認 Security Command Center サーバーへの接続に使用される SSL 証明書が有効であることを確認するには、有効にします。 ○ 統合が正しく構成されていることを確認するには、[テスト] をクリックします。
確認が完了したら、[保存] をクリックします。
Google Security Command Center の統合をアップグレードする
Google Security Command Center の統合をアップグレードする手順は次のとおりです。
Google SecOps SOAR コンソールで [Marketplace] に移動し、[Integrations] をクリックします。
Google Security Command Center 統合を検索し、[VERSION_NUMBER にアップグレード] をクリックします。
検出結果とアセットを操作する
Google SecOps SOAR は、コネクタを使用してさまざまなデータソースからアラートをプラットフォームに取り込みます。
Security Command Center のアラートを取得して Google SecOps SOAR で分析する
検出結果に関する情報を Security Command Center から取得するようにコネクタを構成する必要があります。コネクタを構成するには、データを取り込む(コネクタ)をご覧ください。
Google SecOps SOAR で次のパラメータを設定して、Google Security Command Center - 検出結果コネクタを構成します。
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | プロダクト フィールド名を取得するソース フィールド名。 |
| イベント フィールド名 | 文字列 | type | ○ | イベント フィールド名を取得するソース フィールド名。 |
| 環境フィールド名 | 文字列 | 空白 | × | 環境名が保存されるフィールドの名前。環境フィールド名が指定されていない場合、デフォルトの環境が選択されます。 |
| 環境の正規表現パターン | 文字列 | .* | × | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。デフォルトは、すべてキャッチして値を変更せずに返す .* です。このパラメータは、ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。正規表現パターンが null または空の場合、または環境値が null の場合、デフォルト環境が選択されます。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | ○ | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | ○ | Security Command Center インスタンスの API ルート。例: securitycenter.googleapis.com。 |
|
| 組織 ID | 文字列 | × | Google Security Command Center の統合で使用する組織の ID。 | |
| ユーザーのサービス アカウント | パスワード | ○ | サービス アカウントの作成と IAM ロールの付与で作成したサービス アカウント。Google SecOps SOAR をオンプレミス環境でホストしている場合は、サービス アカウント キー ID とサービス アカウント JSON ファイルのすべてのコンテンツを指定します。 | |
| 検出クラスフィルタ | CSV | 脅威、脆弱性、構成ミス、SCC_Error、観測 | × | 取り込む必要があるクラスの検出。次の値が使用されます。
|
| 取得する最も低い重大度 | 文字列 | 高 | × | 検出結果の取得に使用される最も低い重大度。使用できる値は次のとおりです。
|
| 最大遡及時間 | 整数 | 1 | × | 検出結果の取得からの時間数。最大上限は 24 です。 |
| 取得する検出結果の最大数 | Integer | 100 | × | 1 回のコネクタのイテレーションで処理する検出結果の数。上限は 1,000 です。 |
| 動的リストを除外リストとして使用する | チェックボックス | 無効 | ○ | 動的リストを除外リストとして有効にします。 |
| SSL を確認 | チェックボックス | 無効 | ○ | Security Command Center サーバーへの接続用の SSL 証明書が有効であることを確認するには、有効にします。 |
| プロキシ サーバーのアドレス | 文字列 | いいえ | 使用するプロキシ サーバーのアドレス。 | |
| プロキシのユーザー名 | 文字列 | いいえ | 認証に使用するプロキシのユーザー名。 | |
| プロキシ パスワード | パスワード | いいえ | 認証に使用するプロキシ パスワード。 |
アセットを拡充する
セキュリティ調査を可能にするために、Google Security Operations はさまざまなソースからコンテキスト データを取り込み、データの分析を行い、お客様の環境内のアーティファクトに関する追加のコンテキストを提供します。
Security Command Center の情報を使用してアセットを拡充するには、Google SecOps SOAR のプレイブックにアセット拡充アクションを追加して、プレイブックを実行します。詳細については、アクションの追加をご覧ください。
このアクションを構成するには、次のパラメータを設定します。
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
アラートの脆弱性を一覧表示する
Security Command Center 内のエンティティに関連する脆弱性を一覧表示するには、Google Security Operations SOAR のプレイブックにアセットの脆弱性を一覧表示するアクションを追加して、プレイブックを実行します。詳細については、アクションの追加をご覧ください。
このアクションを構成するには、次のパラメータを設定します。
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アセット リソース名 | CSV | ○ | データを返すアセットのリソース名をカンマ区切りで指定します。 | |
| 期間 | DDL | 全期間 | × | 脆弱性または構成ミスの検索期間を指定します。指定できる値は次のとおりです。
|
| レコードの種類 | DDL | 脆弱性と構成ミス | × | 返されるレコードのタイプを指定します。使用できる値は次のとおりです。
|
| 出力データ型 | DDL | 統計情報 | × | アセットの JSON 結果で返される出力のタイプを指定します。有効な値は次のとおりです。
|
| 返される最大レコード数 | 文字列 | 100 | × | アセットごとにレコードタイプごとに返されるレコード数を指定します。 |
検出結果を更新する
Security Command Center で検出結果を更新するには、Google SecOps SOAR のプレイブックに検出結果の更新アクションを追加して、プレイブックを実行します。詳しくは、アクションの追加をご覧ください。
このアクションを構成するには、次のパラメータを設定します。
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 検出結果の名前 | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
○ | 更新する検出結果名のカンマ区切りリストを指定します。 |
| ミュートのステータス | DDL | × | 検出結果のミュート ステータスを指定します。指定できる値は次のとおりです。
|
|
| 状態のステータス | DDL | × | 検出結果の状態ステータスを指定します。指定できる値は次のとおりです。
|