Event Threat Detection の使用

>

Security Command Center ダッシュボードで Event Threat Detection の検出結果を確認し、Event Threat Detection の検出結果のサンプルを参照します。

Event Threat Detection は、組織の Cloud Logging ストリームをモニタリングし、脅威をほぼリアルタイムで検出する Security Command Center プレミアム ティアの組み込みサービスです。詳細は、Event Threat Detection の概要をご覧ください。

次の動画は、Event Threat Detection の設定手順と、ダッシュボードの使用方法を示しています。Event Threat Detection の検出結果の表示と管理の詳細については、このページの検出結果の確認をご覧ください。

検出結果の確認

Event Threat Detection の検出結果を表示するには、Security Command Center の [Services] の設定で有効にする必要があります。Event Threat Detection を有効にして、組織、フォルダ、プロジェクトでログを有効にすると、Event Threat Detection によって検出結果が生成されます。

Event Threat Detection の検出結果は Security Command Center で確認できます。Google Cloud のオペレーション スイートにログを書き込むように Security Command Center シンクを構成した場合は、Cloud Logging で検出結果を確認することもできます。検出を生成して構成を検証するには、意図的に検出器をトリガーし、Event Threat Detection をテストします。

Event Threat Detection の有効化は数秒で実行されます。検出のレイテンシは、ログが書き込まれてから Security Command Center で検出結果が表示されるまで通常 15 分以内です。レイテンシの詳細については、Security Command Center のレイテンシの概要をご覧ください。

Security Command Center で検出結果を確認する

Security Command Center で Container Threat Detection の検出結果を確認するには:

  1. Google Cloud Console で Security Command Center の [検出] タブに移動します。
    [検出] タブに移動
  2. [表示] の横にある [ソースタイプ] をクリックします。
  3. [ソースタイプ] リストで、[イベント脅威検出] を選択します。
  4. 特定の検出の詳細を表示するには、[category] の下の検出名をクリックします。検出結果の詳細パネルが展開され、次の情報が表示されます。
    • イベントの内容
    • イベントの発生時間
    • 検出データのソース
    • 検出の優先度(例: 高い
    • Gmail ユーザーへの Identity and Access Management(IAM)ロールの追加などの操作
    • 操作を行ったユーザー(properties_principalEmail の横に表示)
  5. 同じユーザーの操作によって発生した検出結果をすべて表示するには:
    1. 検出の詳細パネルで、properties_principalEmail の横のメールアドレスをコピーします。
    2. 検出の詳細パネルを閉じます。
    3. [検出] タブの [フィルタ] ボックスに「sourceProperties.properties_principalEmail:USER_EMAIL」と入力します。ここで、USER_EMAIL は以前にコピーしたメールアドレスです。

Security Command Center には、指定したユーザーが行った操作に関連するすべての検出結果が表示されます。

Cloud Logging での検出結果の表示

Cloud Logging で Event Threat Detection の検出結果を表示するには:

  1. Cloud Console で Cloud Logging の [ログビューア] ページに移動します。
    ログビューア ページに移動
  2. [ログビューア] ページで [選択] をクリックし、Event Threat Detection ログを保存するプロジェクトをクリックします。‏
  3. リソースのプルダウン リストで、[Threat Detector] を選択します。
    • すべての検出項目から検出結果を表示するには、[all detector_name] を選択します。
    • 特定の検出器からの検出結果を表示するには、その名前を選択します。

検出結果の例

Event Threat Detection の検出結果の例は次のとおりです。

Monitoring と Logging 説明
データの引き出し

Event Threat Detection は、監査ログを 2 つのシナリオで調べることで、BigQuery からのデータ漏洩を検出します。

  • リソースが組織外に保存されているか、VPC Service Controls によってブロックされているコピー オペレーションが試行されています。
  • VPC Service Controls によって保護されている BigQuery リソースへのアクセスが試行されています。
ブルート フォース SSH Event Threat Detection では、ログインの繰り返しエラー後に成功した syslog ログを調べることで、パスワード認証 SSH のブルート フォースを検出します。
クリプトマイニング Event Threat Detection は、マイニング プールの既知の不良ドメインへの接続に関する VPC フローログと Cloud DNS ログを調べることで、コイン マイニング マルウェアを検出します。
IAM の不正使用

IAM 異常付与検出: Event Threat Detection は、次のような異常と思われる追加の IAM 付与を検出します。

  • gmail.com ユーザーを、プロジェクト編集者のロールを含むポリシーに追加する。
  • プロジェクト オーナーとして gmail.com ユーザーを Google Cloud Console から招待する。
  • 機密性の高い権限を付与するサービス アカウント。
  • 機密性の高い権限を付与されたカスタムロール。
  • 組織外から追加されたサービス アカウント。
マルウェア Event Threat Detection は、既知のコマンド、制御ドメイン、IP への接続に関する VPC フローログと Cloud DNS ログを調べることでマルウェアを検出します。
フィッシング Event Threat Detection は、既知のフィッシング ドメインと IP への接続に関する VPC フローログと Cloud DNS ログを調べることで、フィッシングを検出します。
異常な IAM 動作
プレビュー
Event Threat Detection は、Cloud Audit Logs で、通常とは異なる IP アドレスや奇妙なユーザー エージェントからのアクセスを調べることにより、異常な IAM 動作を検出します。
サービス アカウントの自己調査
プレビュー
Event Threat Detection は、サービス アカウントの認証情報を使用して、同じサービス アカウントに関連付けられたロールと権限を調査します。

次のステップ