このページでは、Security Command Center の検出結果、アセット、監査ログ、セキュリティ ソースを Google Security Operations SOAR に自動的に送信する方法について説明します。また、エクスポートされたデータの管理方法についても説明します。
始める前に、必要な Security Command Center と Google Cloud サービスが適切に構成されていることを確認し、Google SecOps SOAR が Security Command Center 環境の検出結果、監査ログ、アセットにアクセスできるようにします。Google SecOps SOAR への Security Command Center の統合の詳細については、Google Security Operations のドキュメントの Security Command Center をご覧ください。
認証と認可を構成する
Google SecOps SOAR に接続する前に、Identity and Access Management サービス アカウントを作成し、組織レベルとプロジェクト レベルの両方で IAM ロールを付与する必要があります。
サービス アカウントの作成と IAM ロールの付与
このドキュメントでは、このサービス アカウントをユーザー サービス アカウントとも呼びます。次の手順では、 Google Cloud コンソールを使用します。その他の方法については、このセクションの最後にあるリンクをご覧ください。
Security Command Center データをインポートする Google Cloud 組織ごとに、次の操作を行います。
- Pub/Sub トピックを作成するプロジェクトと同じプロジェクトで、 Google Cloud コンソールの [サービス アカウント] ページを使用してサービス アカウントを作成します。手順については、サービス アカウントの作成と管理をご覧ください。
サービス アカウントに次のロールを付与します。
- Pub/Sub 編集者(
roles/pubsub.editor)
- Pub/Sub 編集者(
作成したサービス アカウントの名前をコピーします。
Google Cloud コンソールのプロジェクト セレクタを使用して、組織レベルに切り替えます。
組織の [IAM] ページを開きます。
[IAM] ページで、[アクセスを許可] をクリックします。[アクセスを許可] パネルが開きます。
[アクセスを許可] パネルで、次の手順を完了します。
- [プリンシパルの追加] セクションの [新しいプリンシパル] フィールドに、サービス アカウントの名前を貼り付けます。
[ロールの割り当てる] セクションの [ロール] フィールドで、サービス アカウントに次の IAM ロールを付与します。
- セキュリティ センター管理閲覧者(
roles/securitycenter.adminViewer) - セキュリティ センター通知構成編集者(
roles/securitycenter.notificationConfigEditor) - 組織閲覧者(
roles/resourcemanager.organizationViewer) - Cloud Asset 閲覧者(
roles/cloudasset.viewer)
- セキュリティ センター管理閲覧者(
[保存] をクリックします。サービス アカウントは、[IAM] ページの [権限] タブにある [プリンシパル別に表示] に表示されます。
また、継承により、サービス アカウントは組織のすべての子プロジェクトのプリンシパルにもなります。プロジェクト レベルで適用されるロールが、継承されたロールとして表示されます。
サービス アカウントの作成とロールの付与の詳細については、次のトピックをご覧ください。
権限借用用のサービス アカウントを作成する
このドキュメントでは、このサービス アカウントを SOAR サービス アカウントとも呼びます。ユーザー サービス アカウントとその権限を借用するサービス アカウントを作成します。
Google SecOps SOAR コンソールで、[レスポンス] に移動し、[統合の設定] をクリックします。
[統合の設定] ページで、[新しいインスタンスを作成する] をクリックします。[インスタンスを追加] ダイアログが開きます。
[統合] リストで [Google Security Command Center] を選択し、[保存] をクリックします。[Google Security Command Center - インスタンスを構成する] ダイアログが開きます。
[Workload Identity Email] フィールドで、サービス アカウントのメール ID を指定します。
[保存] をクリックします。
Google SecOps SOAR に認証情報を提供する
Google SecOps SOAR をホストしている場所に応じて、IAM 認証情報を Google SecOps SOAR に提供する方法は異なります。
- Google Cloudで Google SecOps SOAR をホストしている場合、作成したユーザー サービス アカウントとそれに付与した組織レベルのロールは、親組織から継承することで自動的に使用できるようになります。
- オンプレミス環境で Google SecOps SOAR をホストしている場合は、作成したユーザー サービス アカウントのキーを作成します。このタスクを完了するには、サービス アカウント キーの JSON ファイルが必要です。サービス アカウント キーを安全に保存するためのベスト プラクティスについては、サービス アカウント キーの管理のベスト プラクティスをご覧ください。
通知を構成する
Security Command Center データをインポートする Google Cloud 組織ごとに、次の操作を行います。
次のように検出結果の通知を設定します。
- Security Command Center API を有効にします。
- 検出結果に対応する Pub/Sub トピックを作成します。
- エクスポートする検出結果のフィルタを含む
NotificationConfigオブジェクトを作成します。NotificationConfigでは、検出用に作成した Pub/Sub トピックを使用する必要があります。
プロジェクトで Cloud Asset API を有効にします。
Google SecOps SOAR を構成するには、このタスクの組織 ID、プロジェクト ID、Pub/Sub サブスクリプション ID が必要です。組織 ID とプロジェクト ID を取得するには、組織 ID を取得するとプロジェクトの識別をそれぞれご覧ください。
Google SecOps SOAR を構成する
Google SecOps SOAR を使用すると、エンタープライズやマネージド セキュリティ サービス プロバイダ(MSSP)は、オーケストレーションと自動化、脅威インテリジェンス、インシデント対応を組み合わせて、さまざまなソースからデータとセキュリティ アラートを収集できます。
Security Command Center を Google SecOps SOAR で使用するには、次の手順を行います。
Google SecOps SOAR コンソールで、[Marketplace] に移動し、[統合] をクリックします。
Google Security Command Centerを検索し、検索結果に表示された Security Command Center 統合をインストールします。[Google Security Command Center] 統合で、[構成] をクリックします。[Google Security Command Center - インスタンスを構成する] ダイアログが開きます。
省略可: 新しい環境を作成するか、環境構成を編集するには、[設定画面] をクリックします。新しいタブで [環境] ページが開きます。
[環境] ページで、統合インスタンスを構成する環境を選択します。
選択した環境で、[新しいインスタンスを作成する] をクリックします。[インスタンスを追加] ダイアログが開きます。
[統合] リストで [Google Security Command Center] を選択し、[保存] をクリックします。[Google Security Command Center - インスタンスを構成する] ダイアログが開きます。
構成パラメータを指定して、[保存] をクリックします。
パラメータ 説明 必須 API ルート Security Command Center インスタンスの API ルート。例: securitycenter.googleapis.comはい 組織 ID 検出結果をエクスポートする組織の ID。 いいえ プロジェクト ID Security Command Center 統合で使用するプロジェクトの ID。 いいえ 割り当てプロジェクト ID Google Cloud API の使用量と請求額に使用する Google Cloud プロジェクトの ID。 いいえ ロケーション ID Security Command Center 統合で使用するロケーションの ID。デフォルトのロケーション ID はグローバルです。 いいえ ユーザーのサービス アカウント サービス アカウントを作成して IAM ロールを付与するで作成したサービス アカウント。オンプレミス環境で Google SecOps SOAR をホストしている場合は、サービス アカウント キー ID とサービス アカウント JSON ファイルのすべてのコンテンツを指定します。 はい Workload Identity Email 権限借用用のサービス アカウントを作成するで作成したメールアドレス。これは、権限借用に使用できるユーザー サービス アカウントの使用を置き換えるサービス アカウント クライアントのメールです。SOAR サービス アカウントには、ユーザー サービス アカウントに対する Service Account Token CreatorIAM ロールを付与する必要があります。はい SSL を確認する 有効にすると、Security Command Center サーバーへの接続に使用される SSL 証明書が有効であることが確認されます。 はい 統合が正しく構成されていることを確認するには、[テスト] をクリックします。
検証に成功したら、[保存] をクリックします。
Google Security Command Center 統合をアップグレードする
Google Security Command Center 統合をアップグレードする手順は次のとおりです。
Google SecOps SOAR コンソールで、[Marketplace] に移動し、[統合] をクリックします。
Google Security Command Center 統合を検索し、[VERSION_NUMBER にアップグレード] をクリックします。
検出結果とアセットを操作する
Google SecOps SOAR は、コネクタを使用して、さまざまなデータソースからアラートをプラットフォームに取り込みます。
Google SecOps SOAR で分析するために Security Command Center アラートを取得する
Security Command Center から検出結果に関する情報を取得するようにコネクタを構成する必要があります。コネクタを構成するには、データを取り込む(コネクタ)をご覧ください。
Google SecOps SOAR で次のパラメータを設定して、Google Security Command Center - 検出結果コネクタを構成します。
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | はい | プロダクト フィールド名を取得するソース フィールド名。 |
| イベント フィールド名 | 文字列 | タイプ | はい | イベント フィールド名を取得するソース フィールド名。 |
| 環境フィールド名 | 文字列 | 空白 | いいえ | 環境名が保存されるフィールドの名前。環境フィールド名が指定されていない場合は、デフォルトの環境が選択されます。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。デフォルトは、すべてキャッチして値を変更せずに返す .* です。このパラメータは、ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。正規表現パターンが null か空の場合、または環境値が null の場合、デフォルト環境が選択されます。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | はい | Security Command Center インスタンスの API ルート。例: securitycenter.googleapis.com。 |
|
| 組織 ID | 文字列 | いいえ | Google Security Command Center 統合で使用する組織の ID。 | |
| ユーザーのサービス アカウント | パスワード | はい | サービス アカウントを作成して IAM ロールを付与するで作成したサービス アカウント。オンプレミス環境で Google SecOps SOAR をホストしている場合は、サービス アカウント キー ID とサービス アカウント JSON ファイルのすべてのコンテンツを指定します。 | |
| 検出結果クラスのフィルタ | CSV | Threat、Vulnerability、Misconfiguration、SCC_Error、Observation | いいえ | 取り込む必要がある検出結果クラス。値は次のとおりです。
|
| 取得する最も低い重大度 | 文字列 | 高 | いいえ | 検出結果の取得に使用される最も低い重大度。値は次のとおりです。
|
| 最大遡及時間 | 整数 | 1 | いいえ | 検出結果の取得からの時間数。上限は 24 です。 |
| 取得する最大検出結果数 | 整数 | 100 | いいえ | 1 回のコネクタのイテレーションで処理する検出結果の数。上限は 1,000 です。 |
| 動的リストを除外リストとして使用する | チェックボックス | 無効 | はい | 除外リストとして動的リストを有効にします。 |
| SSL を確認する | チェックボックス | 無効 | はい | 有効にすると、Security Command Center サーバーへの接続用の SSL 証明書が有効であることが確認されます。 |
| プロキシ サーバーのアドレス | 文字列 | いいえ | 使用するプロキシ サーバーのアドレス。 | |
| プロキシのユーザー名 | 文字列 | いいえ | 認証に使用するプロキシのユーザー名。 | |
| プロキシ パスワード | パスワード | いいえ | 認証に使用するプロキシ パスワード。 |
アセットを拡充する
セキュリティ調査を行えるように、Google Security Operations は、さまざまなソースからコンテキスト データを取り込み、データの性能を分析して、お客様の環境内のアーティファクトに関する追加のコンテキストを提供します。
Security Command Center の情報を使用してアセットを拡充するには、Google SecOps SOAR のハンドブックにアセット拡充アクションを追加して、ハンドブックを実行します。詳しくは、アクションの追加をご覧ください。
このアクションを構成するには、次のパラメータを設定します。
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | はい | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
アラートの脆弱性を一覧表示する
Security Command Center のエンティティに関連する脆弱性を一覧表示するには、Google Security Operations SOAR のプレイブックにアセットの脆弱性を一覧表示するアクションを追加して、プレイブックを実行します。詳しくは、アクションの追加をご覧ください。
このアクションを構成するには、次のパラメータを設定します。
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アセットのリソース名 | CSV | はい | データを返すアセットのリソース名のカンマ区切りのリストを指定します。 | |
| 期間 | DDL | 全期間 | いいえ | 脆弱性または構成ミスの検索期間を指定します。値は次のとおりです。
|
| レコードタイプ | DDL | 脆弱性と構成ミス | いいえ | 返されるレコードのタイプを指定します。値は次のとおりです。
|
| 出力データ型 | DDL | 統計 | いいえ | アセットの JSON 結果で返される出力のタイプを指定します。値は次のとおりです。
|
| 返されるレコードの最大数 | 文字列 | 100 | いいえ | アセットごとに、レコードタイプごとに返されるレコード数を指定します。 |
検出結果を更新する
Security Command Center で検出結果を更新するには、Google SecOps SOAR のハンドブックに検出結果の更新アクションを追加して、ハンドブックを実行します。詳しくは、アクションの追加をご覧ください。
このアクションを構成するには、次のパラメータを設定します。
| パラメータ | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 検出結果の名前 | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
はい | 更新する検出結果名のカンマ区切りのリストを指定します。 |
| ミュートのステータス | DDL | いいえ | 検出結果のミュート ステータスを指定します。値は次のとおりです。
|
|
| 状態のステータス | DDL | いいえ | 検出結果の状態のステータスを指定します。値は次のとおりです。
|