Security Command Center データのエクスポート

>

このページでは、アセット、検出結果、セキュリティ マークなど、Security Command Center のデータをエクスポートするための 2 つの方法について説明します。

  • 現在の検出結果、アセット、セキュリティ マークの1回限りのエクスポート。
  • Security Command Center Premium のお客様に利用可能な、新しい検出結果を Pub/Sub に自動的にエクスポートする継続的なエクスポート。

Security Command Center では、Security Command Center API または Google Cloud Console を使用してデータをエクスポートできます。

1 回限りのエクスポート

1 回限りのエクスポートでは、現在と過去の検出結果とアセットを手動で転送してダウンロードできます。データを Cloud Storage バケットに転送して、ローカル ワークステーションにダウンロードできます。

権限

1 回限りのエクスポートには、次のものが必要です。

Security Command Center のロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与されます。検出結果、アセット、セキュリティ ソース、セキュリティ マークを表示、編集、作成、更新する機能は、付与されるアクセス権のレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

Cloud Console を使用してデータをエクスポートする

このセクションでは、Cloud Console を使用して Security Command Center データをエクスポートする方法について説明します。Security Command Center のダッシュボードで [エクスポート] をクリックすると、Security Command Center で、Cloud Storage バケットに書き込むための認証情報または権限が自動的に取得されます。

データのエクスポート

検出結果とアセットは別々のオペレーションでエクスポートされます。既存の Cloud Storage バケットに JSON ファイルまたは JSONL データをエクスポートすることも、エクスポート プロセス中に JSON ファイルを作成することもできます。

現在のすべてのアセットや検出結果をエクスポートすることも、エクスポートする前に使用するフィルタを選択することもできます。

  1. Cloud Console の Security Command Center に移動します。

    Security Command Center に移動

  2. アセットをエクスポートするには、[アセット] タブをクリックします。検出結果の場合は [検出結果] タブをクリックします。

  3. [フィルタ] フィールドで、データのフィルタリングに使用する属性、プロパティ、セキュリティ マークを選択します。空白のフィルタはワイルドカードとして評価され、すべてのアセットまたは検出結果がエクスポートされます。フィルタの作成の詳細については、Security Command Center ダッシュボードの使用をご覧ください。

  4. フィルタの作成が完了したら、[エクスポート] をクリックして、[1 回限り] の下にある [Cloud Storage] をクリックします。

  5. [エクスポート] ページで、エクスポートを構成します。

    1. [エンティティ タイプ] が [検出結果] または [アセット] の選択と一致していることを確認します。正しくない場合は、正しいものを選択します。
    2. [結果のグループ化の条件] プルダウン リストで、エクスポート データのグループ化方法を選択します。
    3. [フォーマット] プルダウンリストから [JSON] か [JSONL]を選択します。
      • [フィルタ] フィールドに、エンティティ タイプに対して選択したフィルタが表示されます(存在する場合)。
    4. [表示する結果の日時] で、エクスポートするデータのタイムスタンプを選択します。
    5. [エクスポート先] で、データのエクスポート先のプロジェクトを選択します。
    6. [Export Path] ボックスで [参照] をクリックします。
    7. [オブジェクトの選択] パネルで、既存の Cloud Storage バケットを選択するか、ストレージ バケットを作成します。
    8. バケットを選択または作成したら、[ファイル名] にエクスポート ファイルの名前を入力し、[選択] をクリックします。
  6. エクスポートの構成が完了したら、[エクスポート] をクリックします。バケット内の既存のファイルを選択した場合は、[上書きの確認] ダイアログが表示されます。

    • 既存のファイルを上書きするには、[確認] をクリックします。
    • 書き込むファイルを変更するには、[キャンセル] をクリックし、それから [Export Path] ボックスで [参照] をクリックして、異なるファイルを選択または作成します。

構成したデータは、指定した Cloud Storage バケットに保存されます。

エクスポートしたデータのダウンロード

エクスポートした JSON または JSONL のデータをダウンロードするには、次の手順を実行します。します。

  1. Cloud Console の [ストレージ ブラウザ] ページに移動します。

    Storage ブラウザに移動

  2. プロジェクトを選択し、データをエクスポートするバケットをクリックします。

  3. 書き出すファイルの横にあるチェックボックスをオンにして、[ダウンロード] をクリックします。

  4. [ファイルを保存] ダイアログで、ファイルを保存する場所を選択し、[Save] をクリックします。

JSON または JSONL ファイルが指定した場所にダウンロードされます。

Security Command Center API を使用してデータをエクスポートする

Security Command Center API を使用して、アセット、検出結果、セキュリティ マークを Cloud Storage バケットまたはローカル ワークステーションにエクスポートできます。セキュリティの検出結果の一覧表示またはアセットの一覧表示のガイドに従ってください。一覧表示されたら、検出結果やアセットに対する API レスポンスをダウンロードまたはエクスポートできます。

検出結果やアセットを、関連付けられているセキュリティ マークとともに一覧表示するには、ListFindings または ListAssets API メソッドを使用します。これらの API は、アセットまたは検出結果をプロパティ、属性、関連マーク一式とともに JSON 形式で返します。アプリケーションでデータを別の形式にする必要がある場合は、カスタムコードを記述して JSON 出力を変換する必要があります。

groupBy フィールドに値を指定する場合、GroupAssets メソッドまたは GroupFindings メソッドが使用されます。groupBy 値を指定しない場合は、ListAssets メソッドまたは ListFindings メソッドが使用されます。GroupAssets メソッドと GroupFindings メソッドでは、組織のプロパティまたは検出結果を、指定したプロパティでグループ化して返します。

API 出力を Cloud Storage バケットへエクスポートするには、Cloud Shell を使用してアセットまたは検出結果を一覧表示し、出力をファイルに書き込み、そのファイルを選択したストレージ バケットにコピーします。

  1. Cloud Shell を開く

    Cloud Shell に移動

  2. 検出結果やアセットをファイルに書き込むには、gcloud ツールコマンドに出力文字列を追加して、検出結果の一覧表示またはアセットの一覧表示を行います。

    たとえば、次のコマンドは、MY_FINDINGS.txt という名前のテキスト ファイルにリストされた結果を保存します。

      ORGANIZATION_ID=ORGANIZATION_ID
      SOURCE_ID="SOURCE_ID"
      FILTER="category=\"MEDIUM_RISK_ONE\""
    
      gcloud scc findings list $ORGANIZATION_ID --source=$SOURCE_ID \
        --filter="$FILTER" > MY_FINDINGS.txt
    

    以下を置き換えます。

  3. MY_FINDINGS.txt を Cloud Storage バケットにコピーします。

    gsutil cp MY_FINDINGS.txt gs://MY_BUCKET

    MY_BUCKET は、実際のバケット名に置き換えます。

  4. MY_FINDINGS.txt を Cloud Storage バケットの代わりにローカル ワークステーションに保存するには、次のコードを実行します。

    cloudshell download MY_FINDINGS.txt

継続的エクスポート

Security Command Center のプレミアムのお客様は、継続的エクスポートにより、Security Command Center の検出結果を Pub/Sub に自動的にエクスポートするプロセスを簡素化できます。新規の検出結果が書き込まれると、ほぼリアルタイムで指定のPub/Sub トピックに自動的にエクスポートされ、既存のワークフローに統合されます。

Pub/Sub について詳しくは、Pub/Sub とはをご覧ください。

継続的なエクスポートと検出結果の通知

Security Command Center では、Security Command Center API を使用して Pub/Sub の検出結果通知を設定できます。この API では、Cloud SDK を使用して Pub/Sub トピックを設定し、検出フィルタを作成して、通知を送信する構成設定を含むファイル(NotificationConfigs)を作成する必要があります。継続的エクスポートでも同じ機能が提供されますが、Security Command Center のダッシュボードを使用することで、エクスポートの作成が簡単になります。

権限

継続的なエクスポートを作成して管理するには、次のいずれかのロールが必要です。

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

次の権限を持つロールを使用することもできます。

  • Pub/Sub トピックを表示または公開するには:

    • pubsub.topics.publish
    • pubsub.topics.list
  • 継続的なエクスポートのページを表示するには:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list
  • 継続的エクスポートを管理するには:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Security Command Center のロールの詳細については、アクセス制御をご覧ください。

Pub/Sub エクスポートの構成

継続的エクスポートを使用すると、今後すべての検出結果を Pub/Sub に自動制御でエクスポートできます。または、フィルタを作成して、特定の条件を満たす将来の検出結果をエクスポートできます。検出結果をカテゴリ、ソース、アセットタイプ、セキュリティ マーク、重大度、状態、その他の変数でフィルタできます。

継続的なエクスポートの作成

組織では、最大 500 件の継続的なエクスポートを作成できます。Pub/Sub のエクスポートを作成するには、次の手順を行います。

  1. Cloud Console で Security Command Center の [検出結果] ページに移動します。

    検出に移動

  2. [フィルタ] フィールドで、検出結果をフィルタリングして必要な変数を入力するために使用する属性、プロパティ、またはセキュリティ マークを選択します。空白のフィルタはワイルドカードとして評価され、すべての検出結果がエクスポートされます。プロパティの検索についての詳細は、Security Command Center ダッシュボードの使用をご覧ください。

  3. [エクスポート] をクリックし、[継続的] で [Pub/Sub] をクリックします。

  4. フィルタが正しいことを確認し、必要に応じて [検出結果] ページに戻って変更します。

  5. [継続的なエクスポート名] で、エクスポートの名前を入力します。

  6. [継続的なエクスポートの説明] で、エクスポートの説明を入力します。

  7. [エクスポート先] で、エクスポートするプロジェクトを選択します。このページではプロジェクトを作成できません。新しいプロジェクトを作成するには、プロジェクトの作成をご覧ください。

  8. [Pub/Sub トピック] で、検出結果をエクスポートするトピックを選択します。トピックを作成する方法は次のとおりです。

    1. [トピックを作成] を選択します。
    2. トピック ID を入力し、必要に応じて他のオプションを選択します。
      1. スキーマの作成と管理を確認する。
      2. Pub/Sub での顧客管理の暗号鍵(CMEK)の使用を確認する。
    3. [トピックを作成] をクリックします。
  9. [保存] をクリックします。確認が表示され、検出結果ページに戻ります。

  10. ガイドに従って、Pub/Sub トピックのサブスクリプションを作成します。

Pub/Sub のエクスポート構成が完了しました。通知を公開するため、service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com の形式でサービス アカウントが作成されます。このサービス アカウントには、組織レベルで securitycenter.notificationServiceAgent のロールが自動的に付与されます。通知が機能するには、このサービス アカウントのロールが必要です。

継続的なエクスポートのテスト

エクスポートが機能していることを確認するには、次の手順を行ってアクティブ状態と非アクティブ状態を切り替えます。

  1. Cloud Console で Security Command Center の [検出結果] ページに移動します。

    検出に移動

  2. 必要に応じて、テストしているエクスポート フィルタと一致するフィルタ変数を再入力します。

  3. 検出結果の名前の横にあるチェックボックスをオンにします。

  4. [Change Active State] を選択し、[Inactive] を選択します。

  5. 無効としてマークを付けた検出結果を再度選択します。

  6. [Change Active State] を選択し、[Active] を選択します。 新たに有効になった検出が送信されます。

  7. Cloud Console の [Pub/Sub] ページに移動します。

    [Pub/Sub] に移動

  8. トピックのリストで、トピックの名前をクリックします。

  9. [メッセージを表示] を選択します。

  10. [メッセージ] パネルで、プルダウン リストからサブスクリプションを選択すると、検出通知が表示されます。必要に応じて、[プル] をクリックしてメッセージを更新します。

継続的なエクスポートの管理

エクスポートを表示、編集、削除する手順は次のとおりです。

  1. Security Command Center の [設定] ページに移動します。

    [設定] を開く

  2. 必要に応じて組織を選択します。

  3. [継続的なエクスポート] を選択します。組織の継続的なエクスポートの一覧が表示されます。

このページから、次の操作を行えます。

エクスポート フィルタと一致する結果を表示するには、次の操作を行います。

  1. 上の [継続的なエクスポート] ページで、エクスポートの名前の横にある展開 を選択して関連フィルタを表示をクリックします。
  2. [検出結果] ページにエクスポート フィルタに一致するページが表示されます。

継続的なエクスポートの編集

  1. [継続的エクスポート] ページで、表示または変更するエクスポートの名前をクリックするか、展開 をクリックします。
  2. [編集] を選択します。
  3. 新しい説明を入力するか、エクスポートの保存先プロジェクトを変更するか、新しい Pub/Sub トピックを入力してください。
  4. 完了したら、[保存] をクリックします。

継続的なエクスポートの削除

  1. [継続的なエクスポート] ページで、削除するエクスポートの名前をクリックします。
  2. [削除] をクリックします。
  3. ダイアログで [削除] をクリックします。 エクスポートが削除されます。

次のステップ

詳しくは、検出結果の通知をご覧ください。