Security Command Center の構成

Security Command Center を構成すると、セキュリティソースの追加、どのソースをどのリソースに適用するかの管理、Event Threat Detection と Container Threat Detection のロギングの設定などを行うことができます。

Security Command Center を構成するには、Google Cloud コンソールで Security Command Center の [設定] ページに移動し、変更する設定のタブをクリックします。

有効化レベル

Security Command Center は、組織レベル（組織）またはプロジェクトレベル（個々のプロジェクト）で有効にできます。

有効化レベルによって、構成可能なサービスの種類が異なります。プロジェクトレベルで Security Command Center が有効になっている場合、統合サービスはサポートされません。構成可能な Security Command Center サービスのみを構成できます。

次のセクションでは、組み込みサービスと統合サービスについて説明します。

有効化レベルの詳細については、Security Command Center の有効化の概要をご覧ください。

サービス

Security Command Center では、組み込みサービスと統合サービスの 2 種類のサービスが実行されます。組み込みサービスは、Security Command Center の一部です。統合サービスは、Security Command Center に検出結果を提供する Google Cloud またはサードパーティのサービスです。

組織レベルで有効にした Security Command Center に新しい統合サービスを追加するには、統合ガイドを完了し、Security Command Center ダッシュボードでセキュリティサービスとして有効にします。この機能を使用すると、プロジェクトまたは組織のセキュリティリスク、脆弱性、脅威を包括的に把握できます。

統合サービスを有効にすると、各セキュリティサービスでモニタリングするリソースを構成できます。

組み込みのサービス

次の組み込みサービスは、Security Command Center の一部です。

Container Threat Detection
Event Threat Detection
Rapid Vulnerability Detection^{プレビュー}
Secured Landing Zone サービス^{プレビュー}

プレビュー

この機能には、サービス固有の利用規約の「一般的なサービス規約」の「pre-GA サービス規約」が適用されます。 pre-GA の機能は「現状有姿」で利用できますが、サポートが制限される場合があります。詳しくは、リリースステージの説明をご覧ください。
Security Health Analytics
セキュリティ対策
Virtual Machine Threat Detection
Web Security Scanner

一部の組み込みサービスは、Security Command Center のプレミアムティアでのみ使用できます。Security Command Center のティアの詳細

組み込みサービスを有効または無効にする

組み込みサービスは、次のリソースに対して有効にできます。

組織
A フォルダ
プロジェクト
Container Threat Detection のみを使用する場合、クラスタ

デフォルトでは、リソースは親リソースのサービス設定を継承します。

リソースの Security Command Center サービスを有効または無効にするには、次の手順を行います。

Google Cloud コンソールで、Security Command Center ページに移動します。

Security Command Center に移動
サービスを管理する組織、フォルダ、プロジェクトを選択します。
[ 設定] をクリックします。
変更するサービスの [設定を管理] をクリックします。
[サービスの有効化] タブで、サービスを有効にするために必要なリソースを見つけます。組織、フォルダ、プロジェクト、または（Container Threat Detection のみの）クラスタに対して組み込みサービスを有効にできます。
リソースに対して、サービスを [有効]、[無効]、または [継承] に設定します。

サービスのモジュールを表示する

一部のサービスでは、特定の検出機能（モジュール）を有効または無効にできます。サービスのモジュールとその現在のステータスを表示するには、次の操作を行います。

Google Cloud コンソールで、Security Command Center ページに移動します。

Security Command Center に移動
サービスを管理する組織、フォルダ、プロジェクトを選択します。
[ 設定] をクリックします。
表示するサービスの [設定を管理] をクリックします。
[モジュール] タブをクリックします。

サービスのモジュールとそれぞれのステータスが表示されます。

モジュールを有効または無効にする

Google Cloud コンソールで、Security Command Center ページに移動します。

Security Command Center に移動
サービスを管理する組織、フォルダ、プロジェクトを選択します。
[ 設定] をクリックします。
表示するサービスの [設定を管理] をクリックします。
[モジュール] タブをクリックします。

サービスのモジュールとそれぞれのステータスが表示されます。
変更する検出機能のステータスを [有効] または [無効] に設定します。

Security Command Center にサービスを追加する

Security Command Center を組織レベルで有効にすると、統合された Google Cloud サービスまたはサードパーティのセキュリティサービスを Security Command Center に追加できます。

Google Cloud 統合サービスを追加する

特定の Google Cloud 統合サービスを Security Command Center に追加できます。

プロジェクトレベルで有効にした場合、Google Cloud 統合サービスはサポートされません。

[設定] ページで、[統合されたサービス] タブをクリックして、使用可能なサービスを表示します。組織レベルで有効にした Security Command Center と統合される Google Cloud セキュリティサービスは次のとおりです。

異常検出
Google Cloud Armor
機密データ保護
Forseti Security

これらのサービスの詳細については、脆弱性と脅威のセキュリティソースをご覧ください。

Google Cloud セキュリティサービスからの検出結果は、統合ガイドを完了した後で利用可能になります。

新しいサービスを追加するには、[サービスを追加] をクリックします。Google Cloud Marketplace の [Security Command Center Services] ページが表示されます。目的のサービスをクリックし、プロバイダの手順に沿って、統合サービスとして追加します。
セキュリティサービスからの検出結果を表示するには、サービス名の横にある切り替えボタンをクリックして、サービスを有効にします。サービスを組織内の特定のフォルダ、プロジェクト、クラスタに制限するには、このページで後述される [詳細設定] メニューを使用します。

統合ソースでは、組織外のサービスアカウントを使用します。たとえば、Google Cloud セキュリティソースでは、security-center-fpr.iam.gserviceaccount.com のサービスアカウントを使用します。

組織のポリシーがドメイン別に ID を制限するように設定されている場合は、許可されたドメイン内のグループに含まれる ID に Security Command Center サービスアカウントを追加する必要があります。組織レベルの Security Command Center サービスアカウント名の形式は次のとおりです。

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER は組織の数値 ID です。

[統合されたサービス] タブでは、新しいソースを追加するだけでなく、既存のソースを有効または無効にできます。

Google Cloud コンソールで、Security Command Center ページに移動します。

Security Command Center に移動
組織またはプロジェクトを選択します。
[ 設定] をクリックします。
[統合されたサービス] タブをクリックします。
有効にする統合ソースの横にある [ステータス] リストをクリックし、[有効にする] を選択します。

選択した統合ソースの検出結果が、Security Command Center ダッシュボードの [検出] ページに表示されます。

統合サービスを無効にするには、名前の横にあるプルダウンリストをクリックして、[デフォルトで無効] を選択します。

VM Manager の脆弱性レポート

VM Manager は、Compute Engine 上で Windows と Linux を実行している大規模な仮想マシン（VM）フリートでオペレーティングシステムの管理を行うためのツールです。

プロジェクトレベルで有効にした場合、VM Manager はサポートされません。

Security Command Center Premium ティアで VM Manager を有効にすると、VM Manager はデフォルトで脆弱性レポートから high と critical の検出結果を Security Command Center に自動的に送信します。このレポートにより、Compute Engine VM にインストールされているオペレーティングシステムの脆弱性が特定されます。

詳細については、VM Manager をご覧ください。

サードパーティのセキュリティサービスの追加

Security Command Center を組織レベルで有効にすると、Cloud Marketplace パートナーとして登録されたサードパーティのセキュリティサービスからの検出結果を表示できます。

プロジェクトレベルで有効にした Security Command Center では、サードパーティサービスはサポートされていません。

Cloud Marketplace パートナーとして登録されるサードパーティのセキュリティサービスは次のとおりです。

Acalvio
Capsule8
Cavirin
Chef
Check Point CloudGuard Dome9
CloudQuest
McAfee
Qualys
Reblaze
Palo Alto Networks の Prisma Cloud
StackRox
Tenable.io

Cloud Marketplace パートナーとして登録されていないセキュリティサービスを統合するには、各プロバイダに、Security Command Center パートナーとしてオンボーディングするためのガイドを完了するよう依頼します。

新しいサードパーティのセキュリティサービスを Security Command Center に追加するには、セキュリティサービスを設定して、Security Command Center のダッシュボードで有効にします。

始める前に

登録済みの Cloud Marketplace パートナーのセキュリティサービスを追加するには、次のものが必要です。

次の Identity and Access Management（IAM）ロール
- セキュリティセンター管理者 - roles/securitycenter.admin
- サービスアカウント管理者 - roles/iam.serviceAccountAdmin
セキュリティサービスに使用する Google Cloud プロジェクト

手順 1: セキュリティサービスを設定する

サードパーティのセキュリティサービスを設定するには、そのサービス用のサービスアカウントが必要です。新しいセキュリティソースを追加する際は、次のサービスアカウントオプションから選択できます。

サービスアカウントを作成する。
独自の既存サービスアカウントを使用する。
サービスプロバイダのサービスアカウントを使用する。

Cloud Marketplace パートナーとして登録されている新しいセキュリティサービスを設定するには、次の手順を行います。

Google Cloud コンソールで Security Command Center の [Marketplace] ページに移動します。

Marketplace に移動
[Marketplace] ページには、Security Command Center に直接関連付けられているセキュリティサービスが表示されます。
- 追加するセキュリティサービスが表示されない場合は、セキュリティを検索して、セキュリティサービスプロバイダを選択します。
- セキュリティサービスプロバイダが Cloud Marketplace に登録されていない場合は、プロバイダに、Security Command Center パートナーとしてオンボーディングするためのガイドを完了するよう依頼します。
Cloud Marketplace のセキュリティサービスプロバイダのページで、[概要] にあるプロバイダの設定手順を行います。
プロバイダの設定作業が完了したら、プロバイダの [Marketplace] ページで [[プロバイダ名] サイトでお申し込み] をクリックします。
Google Cloud コンソールの [Security Command Center] ページで、セキュリティサービスを使用する組織を選択します。
表示された [サービスアカウントを作成して [プロバイダ名] セキュリティイベントを有効にする] ページで、プロバイダのサービスアカウントを受け入れるか（使用可能な場合）、独自に使用するサービスアカウントを作成または選択します。
- サービスアカウントを作成するには:
  1. [サービスアカウントを新規作成] を選択します。
  2. [プロジェクト] の横の [変更] をクリックし、このセキュリティサービスに使用するプロジェクトを選択します。
  3. サービスアカウント名とサービスアカウント ID を追加します。
- 既存のサービスアカウントを使用するには:
  1. [既存のサービスアカウントを使用] を選択し、[サービスアカウント名] プルダウンリストから、使用するサービスアカウントを選択します。
- セキュリティサービスプロバイダがサービスアカウントを管理している場合は、そのプロバイダから提供されたサービスアカウント ID を入力します。
サービスアカウント情報の追加が完了したら、[送信] または [同意] をクリックします。
[ソースへの接続] ページが表示されたら、[インストール手順] の下にあるリンクをクリックして、インストールの完了方法を確認します。
設定を終えたら、[完了] をクリックします。

正しく構成されると、追加したセキュリティサービスが Security Command Center で利用可能になります。

手順 2: セキュリティサービスを有効にする

新しいセキュリティサービスを設定したら、Security Command Center のダッシュボードで有効にする必要があります。

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER は組織の数値 ID です。

[統合されたサービス] タブでは、新しいソースを追加するだけでなく、既存のソースを有効または無効にできます。

Google Cloud コンソールで、Security Command Center ページに移動します。

Security Command Center に移動
組織またはプロジェクトを選択します。
[ 設定] をクリックします。
[統合されたサービス] タブをクリックします。
有効にする統合ソースの横にある [ステータス] リストをクリックし、[有効にする] を選択します。

選択した統合ソースの検出結果が、Security Command Center ダッシュボードの [検出] ページに表示されます。

プロバイダのサービスアカウントの変更

サービスアカウントの漏洩対策やローテーションのため、サードパーティのセキュリティサービスに使用されるサービスアカウントを変更できます。セキュリティサービスのサービスアカウントを変更するには、Security Command Center ダッシュボードで、サービスアカウントを更新する必要があります。その後、サービスプロバイダの指示に従って、サービスのサービスアカウントを更新します。

次の手順は、統合されたサードパーティサービスをサポートしていない Security Command Center のプロジェクトレベルでの有効化には適用されません。

Google Cloud コンソールで、Security Command Center ページに移動します。

Security Command Center に移動
組織またはプロジェクトを選択します。
[ 設定] をクリックします。
[統合されたサービス] タブをクリックします。
統合サービスの横にあるプルダウンリストで、次の操作を行います。
1. 統合サービスを一時的に無効にするには、[無効] を選択します。
2. 次に、[サービスアカウントを管理] を選択します。
表示された [[プロバイダ名] の編集] パネルで、新しいサービスアカウントを入力して、[送信] をクリックします。
統合サービスの横にあるプルダウンリストから、[有効] を選択して、セキュリティサービスを有効にします。

正しく構成されると、Security Command Center で統合されたサービスのサービスアカウントが更新されます。サービスプロバイダの指示に従って、サービスのサービスアカウント情報を更新します。

Cloud Logging エクスポート

[継続的エクスポート] タブで、Event Threat Detection と Container Threat Detection の検出結果に対するロギングを設定します。検出結果は、選択した Cloud Logging プロジェクトにエクスポートされます。

情報量によっては、Cloud Logging の費用が高額になる場合があります。サービスの使用量とその費用については、 Google Cloud Observability の費用の最適化をご覧ください。

検出結果を記録する手順は次のとおりです。

Google Cloud コンソールで、Security Command Center ページに移動します。

Security Command Center に移動
組織またはプロジェクトを選択します。
[ 設定] をクリックします。
[継続的エクスポート] タブをクリックします。
[エクスポート名] で [Logging エクスポート] をクリックします。
[シンク] で、 [検出を Logging にロギング] をオンにします。
[ロギングプロジェクト] で、検出結果を記録するプロジェクトを入力または検索します。
[保存] をクリックします。

Event Threat Detection と Container Threat Detection がログを書き込む場合、各ログエントリには Threat_detector リソースタイプが含まれ、検出結果と同じ情報が含まれます。ログを確認する手順については、Event Threat Detection の使用と Container Threat Detection の使用をご覧ください。

高価値リソースを指定する

Security Command Center は攻撃の発生可能性スコアを計算し、高価値として定義したリソースの漏えいの原因となる脆弱性や構成ミスに対する潜在的な攻撃パスを示します。

真に価値の高いリソースを正確に反映した攻撃の発生可能性スコアと攻撃パスを取得するには、リソース値の構成を作成する必要があります。

作成するリソース値の構成のコレクションは、高価値リソースセットを定義します。

独自の高価値リソースセットを作成するまで、Security Command Center は、デフォルトの高価値リソースセットを使用します。このリソースセットは、攻撃の発生可能性スコアがサポートするすべてのリソースタイプに一般的に適用されます。

詳しくは以下をご覧ください。

ミュートルール

[ミュートルール] タブに、組織、フォルダ、プロジェクトに設定されているミュートルールが一覧表示されます。このタブでは、ミュートルールの作成や既存のルールの管理ができます。

ミュートルールは、定義したフィルタに基づいて、今後の検出結果を自動的に抑制します。検出結果のミュートとミュートルールの操作の詳細については、Security Command Center の検出結果をミュートするをご覧ください。

ロール

Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクトレベルで付与できます。検出結果、アセット、セキュリティソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

IAM のロールを付与、変更、取り消す方法については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

次のステップ

Google Cloud のセキュリティサービスと、それらが検出する脆弱性と脅威を表示する方法について確認する。
Security Command Center の最適化方法を確認する。