Event Threat Detection の使用

>

Security Command Center ダッシュボードで Event Threat Detection の検出結果を確認し、Event Threat Detection の検出結果のサンプルを参照します。Event Threat Detection は、Security Command Center のプレミアム ティアの組み込みサービスです。Event Threat Detection の検出結果を表示するには、Security Command Center の [Services] の設定で有効にする必要があります。

次の動画は、Event Threat Detection の設定手順と、ダッシュボードの使用方法を示しています。Event Threat Detection の検出結果の表示と管理の詳細については、このページの後半をご覧ください。

検出結果の確認

Event Threat Detection によって生成された検出結果は、Security Command Center で表示できます。Security Command Center シンクを構成してログを Google Cloud のオペレーション スイートに書き込む場合に、検出結果を Cloud Logging に表示できます。検出を生成して構成を検証するには、意図的に検出器をトリガーし、Event Threat Detection をテストします。

Event Threat Detection の有効化は数秒で実行されます。検出のレイテンシは、ログが書き込まれてから Security Command Center で検出結果が表示されるまで通常 15 分以内です。レイテンシの詳細については、Security Command Center のレイテンシの概要をご覧ください。

Security Command Center で検出結果を確認する

Security Command Center で Container Threat Detection の検出結果を確認するには:

  1. Google Cloud Console で Security Command Center の [検出] タブに移動します。
    [検出] タブに移動
  2. [表示] の横にある [ソースタイプ] をクリックします。
  3. [ソースタイプ] リストで、[イベント脅威検出] を選択します。
  4. 特定の検出の詳細を表示するには、[category] の下の検出名をクリックします。検出結果の詳細パネルが展開され、次の情報が表示されます。
    • イベントの内容
    • イベントの発生時間
    • 検出データのソース
    • 検出の優先度(例: 高い
    • Gmail ユーザーへの Identity and Access Management(IAM)ロールの追加などの操作
    • 操作を行ったユーザー(properties_principalEmail の横に表示)
  5. 同じユーザーの操作によって発生した検出結果をすべて表示するには:
    1. 検出の詳細パネルで、properties_principalEmail の横のメールアドレスをコピーします。
    2. 検出の詳細パネルを閉じます。
    3. [検出] タブの [フィルタ] ボックスに「sourceProperties.properties_principalEmail:user@domain」と入力します。ここで、user@domain は以前にコピーしたメールアドレスです。

Security Command Center には、指定したユーザーが行った操作に関連するすべての検出結果が表示されます。

Cloud Logging での検出結果の表示

Cloud Logging で Event Threat Detection の検出結果を表示するには:

  1. Cloud Console で Cloud Logging の [ログビューア] ページに移動します。
    ログビューア ページに移動
  2. [ログビューア] ページで [選択] をクリックし、Event Threat Detection ログを保存するプロジェクトをクリックします。‏
  3. リソースのプルダウン リストで、[Threat Detector] を選択します。
    • すべての検出項目から検出結果を表示するには、[all detector_name] を選択します。
    • 特定の検出器からの検出結果を表示するには、その名前を選択します。

検出結果の例

Event Threat Detection の検出結果の例は次のとおりです。

Monitoring と Logging 説明
データの引き出し

Event Threat Detection は、監査ログを 2 つのシナリオで調べることで、BigQuery からのデータ漏洩を検出します。

  • リソースが組織外に保存されているか、VPC Service Controls によってブロックされているコピー オペレーションが試行されています。
  • VPC Service Controls によって保護されている BigQuery リソースへのアクセスが試行されています。
ブルート フォース SSH Event Threat Detection では、ログインの繰り返しエラー後に成功した syslog ログを調べることで、パスワード認証 SSH のブルート フォースを検出します。
クリプトマイニング Event Threat Detection は、マイニング プールの既知の不良ドメインへの接続に関する VPC フローログと Cloud DNS ログを調べることで、コイン マイニング マルウェアを検出します。
IAM の不正使用

IAM 異常付与検出: Event Threat Detection は、次のような異常と思われる追加の IAM 付与を検出します。

  • gmail.com ユーザーを、プロジェクト編集者のロールを含むポリシーに追加する。
  • プロジェクト オーナーとして gmail.com ユーザーを Google Cloud Console から招待する。
  • 機密性の高い権限を付与するサービス アカウント。
  • 機密性の高い権限を付与されたカスタムロール。
  • 組織外から追加されたサービス アカウント。
マルウェア Event Threat Detection は、既知のコマンド、制御ドメイン、IP への接続に関する VPC フローログと Cloud DNS ログを調べることでマルウェアを検出します。
フィッシング Event Threat Detection は、既知のフィッシング ドメインと IP への接続に関する VPC フローログと Cloud DNS ログを調べることで、フィッシングを検出します。

次のステップ