Security Command Center の構成

>

Security Command Center を構成すると、セキュリティ ソースの追加、どのソースをどのリソースに適用するかの管理、Event Threat Detection と Container Threat Detection のロギングの設定などを行うことができます。

Security Command Center を構成するには、Cloud Console で Security Command Center の [設定] ページに移動し、変更する設定のタブをクリックします。

サービス

ここでは、統合サービスが脆弱性と脅威の検出結果を Security Command Center に提供します。新しい統合サービスを追加するには、統合のガイドを完了した後、それを Security Command Center ダッシュボードでセキュリティ サービスとして有効にします。Google Cloud に統合されたサービスを、他のサードパーティ セキュリティ サービスとともに Security Command Center に追加できます。この機能を使用すると、組織のセキュリティ リスク、脆弱性、脅威を包括的に把握できます。

統合サービスを有効にした後、各セキュリティ サービスがモニタリングするリソースを構成できます。

組み込みのサービス

次の組み込みサービスは、Security Command Center の一部です。

  • セキュリティ分析の状況
  • Web Security Scanner
  • Event Threat Detection
  • Container Threat Detection

一部の組み込みサービスは、組織が Security Command Center のプレミアム ティアに登録されている場合にのみ利用できます。詳細については、Security Command Center のティアをご覧ください。

このサービスでサポートされるすべてのリソースの組み込みサービスを有効または無効にするには、サービス名の横にあるプルダウン リストをクリックし、有効化オプションを選択します。

  • デフォルトで有効: サービスはリソースに対して有効です。
  • デフォルトで無効: サービスはリソースに対して無効です。

サービスを組織内の特定のフォルダ、プロジェクト、クラスタに制限するには、[詳細設定] に移動して、組織のリソースの階層リストを表示します。[詳細設定] メニューについては、このページの後半で説明します。

Google Cloud 統合サービスの追加

[設定] ページで、[統合サービス] タブをクリックして、使用可能なサービスを表示します。Google Cloud には、Security Command Center と統合されている次の Google Cloud セキュリティ サービスがあります。

  • 異常検出
  • Google Cloud Armor
  • Cloud Data Loss Prevention
  • Forseti セキュリティ
  • Phishing Protection

これらのサービスの詳細については、脆弱性と脅威のセキュリティ ソースをご覧ください。

Google Cloud セキュリティ サービスからの検出結果は、統合ガイドを完了した後で利用可能になります。

  • 新しいサービスを追加するには、[サービスを追加] をクリックします。Google Cloud Marketplace の Security Command Center サービスのページが表示されます。目的のサービスをクリックし、プロバイダの指示に従って、統合サービスとして追加します。
  • セキュリティ サービスからの検出結果を表示するには、サービス名の横にある切り替えボタンをクリックして、サービスを有効にします。サービスを組織内の特定のフォルダ、プロジェクト、クラスタに制限するには、このページで後述される [詳細設定] メニューを使用します。

統合ソースでは、組織外のサービス アカウントを使用します。たとえば、Google Cloud セキュリティ ソースでは、security-center-fpr.iam.gserviceaccount.com のサービス アカウントを使用します。組織のポリシーがドメイン別に ID を制限するように設定されている場合は、許可されたドメイン内のグループに含まれる ID にサービス アカウントを追加する必要があります。

[統合サービス] タブで、新しいソースを追加するほか、既存のソースを有効または無効にできます。

  1. Cloud Console の [サービス] ページに移動します。
    [サービス] ページに移動
  2. セキュリティ ソースを追加する組織を選択します。
  3. [統合サービス] タブを選択します。
  4. 有効にする統合ソースの横にあるプルダウン リストをクリックし、[デフォルトで有効] を選択します。

選択した統合されたソースの検出結果が、Security Command Center ダッシュボードの [検出結果] ページに表示されます。

統合サービスを無効にするには、名前の横にあるプルダウン リストをクリックして、[デフォルトで無効] を選択します。

サードパーティのセキュリティ サービスの追加

Security Command Center では、Google Cloud Marketplace パートナーとして登録されたサードパーティのセキュリティ サービスからの検出結果を表示できます。登録済みのサードパーティのセキュリティ パートナーは、次のとおりです。

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • Cloudflare
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Palo Alto Networks の Prisma Cloud
  • StackRox
  • Tenable.io

Google Cloud Marketplace パートナーとして登録されていないセキュリティ サービスを統合するには、各プロバイダに、Security Command Center パートナーとしてオンボーディングするためのガイドを完了するよう依頼します。

新しいサードパーティのセキュリティ サービスを Security Command Center に追加するには、セキュリティ サービスを設定して、Security Command Center のダッシュボードで有効にします。

始める前に

登録済みの Cloud Marketplace パートナーのセキュリティ サービスを追加するには、以下が必要です。

  • 次の Identity and Access Management(IAM)ロール
    • セキュリティ センター管理者 - roles/securitycenter.admin
    • サービス アカウント管理者 - roles/iam.serviceAccountAdmin
  • セキュリティ サービスに使用する Google Cloud プロジェクト。

手順 1: セキュリティ サービスを設定する

サードパーティのセキュリティ サービスを設定するには、そのサービスのサービス アカウントが必要です。新しいセキュリティ サービスを追加する際は、次のサービス アカウント オプションから選択できます。

  • サービス アカウントを作成する。
  • 独自の既存サービス アカウントを使用する。
  • サービス プロバイダのサービス アカウントを使用する。

すでに Cloud Marketplace パートナーとして登録されている新しいセキュリティ サービスを設定するには、次の手順を行います。

  1. Cloud Console で Security Command Center の [マーケットプレイス] ページに移動します。
    [マーケットプレイス] ページに移動
  2. [マーケットプレイス] ページには、Security Command Center に直接関連付けられているセキュリティ サービスが表示されます。
    • 追加するセキュリティ サービスが表示されない場合は、[セキュリティ] を検索して、セキュリティ サービス プロバイダを選択します。
    • セキュリティ サービス プロバイダが Cloud Marketplace に登録されていない場合は、プロバイダに、Security Command Center パートナーとしてオンボーディングするためのガイドを完了するよう依頼します。
  3. Cloud Marketplace のセキュリティ サービス プロバイダのページで、[概要] にあるプロバイダの設定手順を行います。
  4. プロバイダの設定作業が完了したら、プロバイダの [マーケットプレイス] ページで [「プロバイダ名」サイトを訪問して登録] をクリックします。
  5. Cloud Console の [Security Command Center] ページで、セキュリティ サービスを使用する組織を選択します。
  6. 表示される [サービス アカウントの作成と「プロバイダ名」セキュリティ イベントの有効化] ページで、利用可能であればプロバイダのサービス アカウントの使用を受け入れるか、独自に使用するサービス アカウントを作成または選択します。
    • サービス アカウントを作成するには:
      1. [新しいサービス アカウントを作成] を選択します。
      2. [プロジェクト] の横にある [変更] をクリックし、このセキュリティ サービスに使用するプロジェクトを選択します。
      3. [サービス アカウント名] と [サービス アカウント ID] を追加します。
    • 既存のサービス アカウントを使用するには:
      1. [既存のサービス アカウントを使用] を選択し、[サービス アカウント名] プルダウン リストから、使用するサービス アカウントを選択します。
    • セキュリティ サービス プロバイダがサービス アカウントを管理している場合は、提供されたサービス アカウント ID を入力します。
  7. サービス アカウント情報の追加が完了したら、[送信] または [同意] をクリックします。
  8. [ソース接続] ページが表示されたら、[インストール手順] の下にあるリンクをクリックして、インストールを完了する方法を確認します。
  9. 設定を終えたら、[完了] をクリックします。

正しく構成されると、追加したセキュリティ サービスが Security Command Center で利用可能になります。

手順 2: セキュリティ サービスを有効にする

新しいセキュリティ サービスを設定したら、Security Command Center のダッシュボードで有効にする必要があります。

統合ソースでは、組織外のサービス アカウントを使用します。たとえば、Google Cloud セキュリティ ソースでは、security-center-fpr.iam.gserviceaccount.com のサービス アカウントを使用します。組織のポリシーがドメイン別に ID を制限するように設定されている場合は、許可されたドメイン内のグループに含まれる ID にサービス アカウントを追加する必要があります。

[統合サービス] タブで、新しいソースを追加するほか、既存のソースを有効または無効にできます。

  1. Cloud Console の [サービス] ページに移動します。
    [サービス] ページに移動
  2. セキュリティ ソースを追加する組織を選択します。
  3. [統合サービス] タブを選択します。
  4. 有効にする統合ソースの横にあるプルダウン リストをクリックし、[デフォルトで有効] を選択します。

選択した統合されたソースの検出結果が、Security Command Center ダッシュボードの [検出結果] ページに表示されます。

プロバイダのサービス アカウントの変更

サービス アカウントの漏えいやローテーションなどの場合、サードパーティのセキュリティ サービスに使用されるサービス アカウントを変更できます。セキュリティ サービスのサービス アカウントを変更するには、Security Command Center ダッシュボードでサービス アカウントを更新する必要があります。その後、サービス プロバイダの指示に従って、サービス用のサービス アカウントを更新します。

  1. Cloud Console の [Security Command Center] の [統合サービス] ページに移動します。
    [統合サービス] ページに移動
  2. プロンプトが表示されたら、組織を選択します。
  3. 統合サービスの横にあるプルダウン リストで、次の操作を行います。
    1. [無効] を選択して、統合サービスを一時的に無効にします。
    2. [サービス アカウントを管理] を選択します。
  4. 表示された [「プロバイダ名」の編集] パネルで、新しいサービス アカウントを入力し、[送信] をクリックします。
  5. 統合サービスの横にあるプルダウン リストから、[有効] を選択して、セキュリティ サービスを有効にします。

正しく構成すると、統合サービスのサービス アカウントが Security Command Center で更新されます。サービス プロバイダの手順に沿って、対象サービス用のサービス アカウント情報を更新します。

詳細設定

[詳細設定] メニューでは、サポートされる各リソースに対してサポートされるサービス設定を変更できます。デフォルトでは、リソースが組織のサービス設定を継承します。個々のリソースに対してサービスを有効または無効にするには、サービス列のプルダウン リストをクリックして、リソースに対するサービスの有効化を選択します。

  • デフォルトでの有効: サービスはリソースに対して有効です。
  • デフォルトで無効: サービスはリソースに対して無効です。
  • 継承: リソースでは、リソース階層で親に対して選択したサービス設定を使用します。

[フォルダまたはプロジェクトを検索] をクリックするとウィンドウが表示され、検索キーワードを入力して、リソースをすばやく検索し、設定を変更できます。

シンク

[シンク] タブで、Event Threat Detection と Container Threat Detection の検出項目のロギングを設定します。検出結果は、選択した Cloud Logging プロジェクトにエクスポートされます。

検出結果をログに記録するには:

  1. [検出結果のログを Stackdriver に記録する] の横にある切り替えボタンをクリックします。
  2. [ロギングするプロジェクト] ボックスで、ログを書き込むプロジェクトを選択します。
  3. 完了したら [保存] をクリックします。

権限

Security Command Center の IAM のロールを表示して構成するには、[設定] ページの [権限] パネルに移動します。権限はロールごとにグループ化されます。パネルが表示されていない場合は、ページの上部にある [権限を表示] リンクをクリックします。

ユーザーに付与されたロールを編集するには:

  1. ロール名の横にある矢印アイコンをクリックして、ノードを展開します。
  2. ロールを編集するユーザーの名前の横にあるアイコンをクリックして、行うアクションを選択します。
    1. ロールを削除するには、削除アイコンをクリックして、[メンバーを削除] します。
    2. ロールを追加するには、鉛筆アイコンをクリックして、[メンバーを編集] を選択します。表示される [権限の編集] パネルで、ロールを追加または削除して [保存] をクリックします。

新しいユーザーにロールを追加するには:

  1. [メンバーを追加] をクリックします。
  2. 表示される [メンバーとロールの追加] パネルで、次の操作を行います。
    1. ユーザーのメールアドレスを入力します。
    2. 1 つ以上のロールを追加し、[保存] をクリックします。

以前の UI 設定

以前の UI を使用して Security Command Center を管理する方法については、次のセクションを展開してください。従来の UI は、Security Command Center のプレミアム ティアまたはスタンダード ティアに移行していない場合にのみ表示されます。

次のステップ