Security Command Center の構成

>

Security Command Center を構成すると、セキュリティ ソースの追加、どのソースをどのリソースに適用するかの管理、Event Threat Detection と Container Threat Detection のロギングの設定などを行うことができます。

Security Command Center を構成するには、Cloud Console で Security Command Center の [設定] ページに移動し、変更する設定のタブをクリックします。

ソースとサービス

ここで説明するセキュリティ ソースとは、Security Command Center に脆弱性と脅威の検出結果を提供するサービスのことです。新しいセキュリティ ソースを追加するには、統合ガイドを完了してから、Security Command Center のダッシュボードでセキュリティ ソースとして有効にします。他のサードパーティのセキュリティ ソースとともに、Google Cloud のセキュリティ ソースを Security Command Center に追加できます。これにより、組織のセキュリティ リスク、脆弱性、脅威をすべて包括的に把握できます。

セキュリティ ソースを有効にした後、各セキュリティ ソースがモニタリングするリソースを構成できます。

組み込みのサービス

組み込みのサービス

次の組み込みサービスは、Security Command Center の一部です。

  • セキュリティ分析の状況
  • Web Security Scanner
  • Event Threat Detection
  • Container Threat Detection

一部の組み込みサービスは、組織が Security Command Center のプレミアム ティアに登録されている場合にのみ利用できます。詳細については、Security Command Center のティアをご覧ください。

サービスがサポートするすべてのリソースの組み込みサービスを有効または無効にするには、サービス名の横にある切り替えボタンをクリックします。組織内の特定のフォルダ、プロジェクト、クラスタにサービスを制限するには、[リソースを編集] をクリックして、このページで後述する [リソース] タブを表示します。

Google Cloud 統合セキュリティ ソースの追加

Google Cloud には、Security Command Center と統合されている次の Google Cloud セキュリティ ソースがあります。

  • 異常検出
  • Cloud Data Loss Prevention
  • Forseti セキュリティ
  • フィッシング対策

これらのソースの詳細については、脆弱性と脅威に関するセキュリティ ソースをご覧ください。

Google Cloud セキュリティ ソースからの検出結果は、統合ガイドを完了した後で利用可能になります。

  • 新しいソースを追加するには、[他のソースの追加] をクリックします。Security Command Center Services の Google Cloud Marketplace ページが表示されます。追加するサービスをクリックし、サービス プロバイダの指示に従って、統合ソースとして追加します。
  • セキュリティ ソースからの検出結果を表示するには、サービス名の横にある切り替えボタンをクリックして、サービスを有効にします。組織内の特定のフォルダ、プロジェクト、クラスタにサービスを制限するには、このページで後述する [リソース] タブを使用します。

統合セキュリティ ソースでは、組織外のサービス アカウントが使用される場合があります。たとえば、Google Cloud セキュリティ ソースでは、security-center-fpr.iam.gserviceaccount.com のサービス アカウントを使用します。組織のポリシーがドメイン別に ID を制限するように設定されている場合は、許可されたドメイン内にあるグループの ID にサービス アカウントを追加する必要があります。

[セキュリティ ソース] タブで、新しいソースを追加するほか、既存のソースを有効または無効にできます。

  1. Cloud Console の [ソースとサービス] ページに移動します。
    [ソースとサービス] ページに移動
  2. セキュリティ ソースを追加する組織を選択します。
  3. 有効にするセキュリティ ソースの横にある切り替えボタンをクリックします。

選択したセキュリティ ソースの検出結果が、Security Command Center ダッシュボードの [検出結果] ページに表示されます。

サードパーティのセキュリティ ソースを追加する

Security Command Center では、Google Cloud Marketplace パートナーとして登録されたサードパーティのセキュリティ ソースからの検出結果を表示できます。登録済みのサードパーティのセキュリティ パートナーは、次のとおりです。

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • Cloudflare
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Redlock by Palo Alto Networks
  • StackRox
  • Tenable.io
  • Twistlock

まだ Google Cloud Marketplace パートナーとして登録されていないセキュリティ ソースを統合する場合は、Security Command Center パートナーとしてオンボーディングするため、ガイドを完了するようにプロバイダに依頼してください。

新しいサードパーティのセキュリティ ソースを Security Command Center に追加するには、セキュリティ ソースを設定して、Security Command Center のダッシュボードで有効にします。

始める前に

登録済みの Cloud Marketplace パートナーのセキュリティ ソースを追加するには、以下が必要です。

  • 次の Identity and Access Management(IAM)ロール
    • セキュリティ センター管理者 - roles/securitycenter.admin
    • サービス アカウント管理者 - roles/iam.serviceAccountAdmin
  • セキュリティ ソースに使用する Google Cloud プロジェクト。

手順 1: セキュリティ ソースを設定する

サードパーティのセキュリティ ソースを設定するには、そのソースのサービス アカウントが必要です。新しいセキュリティ ソースを追加する際は、次のサービス アカウント オプションから選択できます。

  • サービス アカウントを作成する。
  • 独自の既存サービス アカウントを使用する。
  • ソース プロバイダのサービス アカウントを使用する。

すでに Cloud Marketplace パートナーとして登録されている新しいセキュリティ ソースを設定するには、次の手順を行います。

  1. Cloud Console で Security Command Center の [マーケットプレイス] ページに移動します。
    [マーケットプレイス] ページに移動
  2. [マーケットプレイス] ページには、Security Command Center に直接関連付けられているセキュリティ ソースが表示されます。
    • 追加するセキュリティ ソースが表示されない場合は、[セキュリティ] を検索して、セキュリティ ソース プロバイダを選択します。
    • セキュリティ ソース プロバイダが Cloud Marketplace に登録されていない場合は、Security Command Center パートナーとしてオンボーディングするため、ガイドを完了するようにプロバイダに依頼してください。
  3. Cloud Marketplace のセキュリティ ソース プロバイダのページで、[概要] にあるプロバイダの設定手順を行います。
  4. プロバイダの設定作業が完了したら、プロバイダの [マーケットプレイス] ページで [「プロバイダ名」サイトを訪問して登録] をクリックします。
  5. Cloud Console の [Security Command Center] ページで、セキュリティ ソースを使用する組織を選択します。
  6. 表示される [サービス アカウントの作成と「プロバイダ名」セキュリティ イベントの有効化] ページで、利用可能であればプロバイダのサービス アカウントの使用を受け入れるか、独自に使用するサービス アカウントを作成または選択します。
    • サービス アカウントを作成するには:
      1. [新しいサービス アカウントを作成] を選択します。
      2. [プロジェクト] の横の [変更] をクリックし、このセキュリティ ソースに使用するプロジェクトを選択します。
      3. [サービス アカウント名] と [サービス アカウント ID] を追加します。
    • 既存のサービス アカウントを使用するには:
      1. [既存のサービス アカウントを使用する] を選択し、[サービス アカウント名] プルダウン リストから、使用するサービス アカウントを選択します。
    • セキュリティ ソース プロバイダがサービス アカウントを管理している場合は、提供されたサービス アカウント ID を入力します。
  7. サービス アカウント情報の追加が完了したら、[送信] または [同意] をクリックします。
  8. [ソース接続] ページが表示されたら、[インストール手順] の下にあるリンクをクリックして、インストールを完了する方法を確認します。
  9. 設定を終えたら、[完了] をクリックします。

正しく構成されると、追加したセキュリティ ソースが Security Command Center で利用可能になります。

手順 2: セキュリティ ソースを有効にする

新しいセキュリティ ソースを設定したら、Security Command Center のダッシュボードで有効にする必要があります。

統合セキュリティ ソースでは、組織外のサービス アカウントが使用される場合があります。たとえば、Google Cloud セキュリティ ソースでは、security-center-fpr.iam.gserviceaccount.com のサービス アカウントを使用します。組織のポリシーがドメイン別に ID を制限するように設定されている場合は、許可されたドメイン内にあるグループの ID にサービス アカウントを追加する必要があります。

[セキュリティ ソース] タブで、新しいソースを追加するほか、既存のソースを有効または無効にできます。

  1. Cloud Console の [ソースとサービス] ページに移動します。
    [ソースとサービス] ページに移動
  2. セキュリティ ソースを追加する組織を選択します。
  3. 有効にするセキュリティ ソースの横にある切り替えボタンをクリックします。

選択したセキュリティ ソースの検出結果が、Security Command Center ダッシュボードの [検出結果] ページに表示されます。

プロバイダ サービス アカウントの変更

サービス アカウントの漏洩やローテーションなど、サードパーティのセキュリティ ソースに使用されるサービス アカウントを変更できます。セキュリティ ソースのサービス アカウントを変更するには、Security Command Center ダッシュボードでサービス アカウントを更新し、サービス プロバイダの手順に沿って、そのサービス用のサービス アカウントを更新します。

  1. Cloud Console で Security Command Center の [セキュリティ ソース] ページに移動します。
    [セキュリティ ソース] ページに移動
  2. サービス アカウントを変更するセキュリティ ソースを一時的に無効にするために、[有効] の下をクリックします。
  3. サービス アカウント名の横にある [編集] をクリックします。
  4. 表示された [「プロバイダ名」の編集] パネルで、新しいサービス アカウントを入力し、[送信] をクリックします。
  5. [有効] の下をクリックして、セキュリティ ソースを有効にします。

正しく構成されると、Security Command Center でセキュリティ ソースのサービスアカウントが更新されます。また、ソース プロバイダの手順に沿って、そのサービスのサービス アカウント情報を更新する必要もあります。

リソース

[リソース] タブで、サポートされている各リソースのサポート サービス設定を変更できます。デフォルトでは、リソースは組織のサービス設定を継承します。必要に応じて、個々のリソースに対してサービスを有効または無効にするには、サービス列のプルダウン リストをクリックして、リソースに対するサービスの有効化を選択します。

  • オン: リソースに対してサービスが有効になります。
  • オフ: リソースに対してサービスが無効になります。
  • 親リソースから継承: リソースでは、リソース階層で親に対して選択したサービス設定が使用されます。

シンク

[シンク] タブで、Event Threat Detection と Container Threat Detection の検出結果に対するロギングを設定します。検出結果は、選択した Cloud Logging プロジェクトにエクスポートされます。

検出結果をログに記録するには:

  1. [検出結果のログを Stackdriver に記録する] の横にある切り替えボタンをクリックします。
  2. [ロギングするプロジェクト] ボックスで、ログを書き込むプロジェクトを選択します。

権限

Security Command Center の IAM ロールを表示して構成するには、[構成] ページで [権限を表示] をクリックします。権限はロールごとにグループ化されます。

ユーザーに付与されたロールを編集するには:

  1. ロール名の横をクリックしてノードを展開します。
  2. ロールを編集するユーザー名の横をクリックして、行う操作を選択します。
    1. ロールを削除するには、[メンバーを削除] をクリックします。
    2. ロールを追加するには、[メンバーを編集] をクリックします。表示される [権限の編集] パネルで、ロールを追加または削除して [保存] をクリックします。

新しいユーザーにロールを追加するには: 1.[メンバーを追加] をクリックします。 1. 表示される [メンバーとロールの追加] パネルで、次の操作を行います。 2.ユーザーのメールアドレスを入力します。 2. 1 つ以上のロールを追加し、[保存] をクリックします。

以前の UI 設定

以前の UI を使用して Security Command Center を管理する方法については、次のセクションを展開してください。従来の UI は、Security Command Center のプレミアム ティアまたはスタンダード ティアに移行していない場合にのみ表示されます。

次のステップ