Rapid Vulnerability Detection の使用

このページでは、Security Command Center Premium の組み込みサービスである Rapid Vulnerability Detection の検出結果の表示と管理について説明します。このサービスは、App Engine アプリケーションと Compute Engine 仮想マシンの重大な脆弱性を検出します。

概要

Rapid Vulnerability Detection は、パブリック エンドポイントのアクティブ スキャンを実行します。脆弱な認証情報、不完全なソフトウェアのインストール、その他の既知の重大な脆弱性など、悪用される可能性が高い脆弱性を検出します。結果は Security Command Center に書き込まれます。詳細については、Rapid Vulnerability Detection の概要をご覧ください。

リソースの使用量

一般に、VM 内のエンドポイント数が多いほど、また、VM によってホストされるサービスが多いほど、Rapid Vulnerability Detection が実行するスキャン数も増加します。これはエンドポイントとアプリケーションを個別にスキャンする必要があるためです。

Rapid Vulnerability Detection スキャン中のネットワーク トラフィックは下り（外向き）トラフィックとして課金されるため、これらのスキャンに追加費用が発生する可能性があります。

スキャン ターゲットがすべて北米リージョン内にあるプロジェクトまたは組織について考えてみましょう。1 回のスキャンで約 200 KB の下り（外向き）トラフィックを使用し、月に 100,000 回のスキャンが実行される場合、合計トラフィックは推定 20 GB になります。

スキャン ターゲットによるリソースの使用量に関連する費用ついては、Security Command Center の料金をご覧ください。

始める前に

検出結果の表示または編集、Google Cloud リソースの変更を行うには、適切な Identity and Access Management（IAM）のロールが必要です。Security Command Center でアクセスエラーが発生した場合は、管理者にサポートを依頼してください。また、ロールの詳細については、アクセス制御をご覧ください。

Rapid Vulnerability Detection の有効化

組織、フォルダ、プロジェクトで Rapid Vulnerability Detection を有効にすると、組織またはプロジェクト内でサポートされているすべてのリソースが自動的にスキャンされます。

Rapid Vulnerability Detection を有効にする手順は次のとおりです。

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "ENABLED"}'

Rapid Vulnerability Detection を最初に有効にしてから、24 時間以内に自動的にスキャンが開始されます。最初のスキャンの後、Rapid Vulnerability Detection はマネージド スキャンを毎週実行します。

Rapid Vulnerability Detection をテストするには、テストリソースを設定します。最初の Rapid Vulnerability Detection スキャンにテストリソースを含めるには、プロジェクトを Rapid Vulnerability Detection のスキャンリストに追加する前に、プロジェクトにリソースを作成します。

Rapid Vulnerability Detection などの組み込みサービスを有効にする方法については、Security Command Center リソースの構成をご覧ください。

スキャンのレイテンシと間隔

プロジェクトで Rapid Vulnerability Detection を有効にしてから、最初のスキャンが開始され、検出結果が Security Command Center に表示されるまでに、最大 24 時間かかることがあります。

Rapid Vulnerability Detection は、最初のスキャンの日付から毎週スキャンを実行します。スキャンとスキャンの間に新しいリソースがプロジェクトに追加された場合、Rapid Vulnerability Detection は次回の週次スキャンまでそのリソースをスキャンしません。

Rapid Vulnerability Detection のテスト

Rapid Vulnerability Detection が機能していることを確認するには、GitHub で利用可能なオープンソースの Tsunami Security 用 Testbed を使用して、脆弱なパスワード、パス トラバーサル、開示などの脆弱性の検出結果を生成します。詳しくは、google/tsunami-security- Scanner-testbed をご覧ください。

検出結果の確認

Rapid Vulnerability Detection のマネージド スキャン機能は、スコープ内の各プロジェクトのスキャンを自動的に構成してスケジュールします。

検出結果には、検出された脆弱性と影響を受けるプロジェクトに関する情報が含まれています。脆弱性は、プロジェクトに含まれる特定のスキャン ターゲット（エンドポイントとアプリケーション ソフトウェア）や VM ではなく、プロジェクトについて報告されます。

検出結果は、Google Cloud コンソールまたは Security Command Center API で確認できます。

Security Command Center で検出結果を確認する

Security Command Center で Rapid Vulnerability Detection の検出結果を確認するには、次の手順を行います。

1. Google Cloud コンソールで、[検出結果] ページに移動します。

   [検出結果] に移動

2. [クイック フィルタ] で [ソース表示名] までスクロールし、[Rapid Vulnerability Detection] をクリックします。[検出のクエリ結果] が更新され、Rapid Vulnerability Detection によって生成された検出結果のみが表示されます。

3. 特定の検出結果の詳細を表示するには、[カテゴリ] の下にある検出結果の名前をクリックします。検出結果の詳細パネルが開きます。

   • 検出結果の概要（デフォルトのビュー）を表示するには、検出結果名の下にある [概要] をクリックします。
   • 検出結果の完全な詳細を表示するには、検出結果名の下にある [JSON] をクリックします。

ポートまたは IP アドレスのすべての検出結果を表示する

1 つのスキャン ターゲットが、同じポートで複数のウェブ アプリケーションにサービスを提供することがあります。Rapid Vulnerability Detection は、ポートで提供されている既知のアプリケーションをすべて特定してスキャンし、個々のポートと IP アドレスに対して複数の検出結果を生成することがあります。

スキャンで特定の IP アドレスに関連するすべての検出結果を表示する方法は次のとおりです。

1. Google Cloud コンソールで、[検出結果] ページに移動します。

   [検出結果] に移動

2. [クエリを編集] をクリックします。クエリエディタに次のデフォルト クエリが表示されます。

   state="ACTIVE"
   AND NOT mute="MUTED"
   

3. [フィルタを追加] をクリックします。[フィルタを選択] パネルが開きます。

4. 左側の列で下にスクロールして、[接続] を選択します。右側の列が更新され、接続プロパティが表示されます。

5. 右側の列で、フィルタに追加するプロパティの種類を選択します。新しい列が開き、使用可能な検出結果に含まれるそのタイプのプロパティがすべて表示されます。

6. 表示されたプロパティから、宛先または送信元 IP アドレスまたはポートを 1 つ以上選択してクエリを追加します。

7. [適用] をクリックします。次の例のように、[クエリエディタ] パネルのクエリが IP アドレスを含むように更新されます。

     state="ACTIVE"
     AND NOT mute="MUTED"
     AND parent_display_name="Rapid Vulnerability Detection"
     AND contains(connections, source_ip="203.0.113.1")
   

8. [適用] をクリックします。

   その IP アドレスを含むすべての Rapid Vulnerability Detection の検出結果が [検出クエリ結果の] に表示されます。

Security Command Center API を使用して検出結果を確認するには、Security Command Center API を使用してセキュリティの検出結果を一覧表示するをご覧ください。

Rapid Vulnerability Detection の検出結果と推奨される改善策の詳細なリストについては、Rapid Vulnerability Detection の検出結果と改善策をご覧ください。

Google Cloud コンソールで検出結果をフィルタする

大規模な組織では、デプロイメント全体で確認、優先順位付け、追跡が必要な脆弱性の検出結果が大量に表示される場合があります。Google Cloud コンソールの Security Command Center の [脆弱性] ページと [検出] ページで利用可能なフィルタを使用して、組織全体で最も重大度の高い脆弱性に重点を置き、アセットのタイプやプロジェクトごとに脆弱性を確認できます。

脆弱性の検出結果のフィルタリングの詳細については、Security Command Center で脆弱性の検出結果をフィルタするをご覧ください。

検出結果をミュートする

Security Command Center で検出結果の量を制御するには、手動またはプログラムによって個々の検出結果をミュートするか、定義したフィルタに基づいて現在と将来の検出結果を自動的にミュートするミュートルールを作成します。

ミュートされた検出結果は表示されませんが、監査とコンプライアンスのためには引き続き記録されます。ミュートされた検索結果はいつでも表示できます。また、ミュートを解除することもできます。詳しくは、Security Command Center で検出結果をミュートするをご覧ください。

スキャンの無効化

組織またはプロジェクトで Rapid Vulnerability Detection を無効にすると、対象の組織またはプロジェクト内でサポートされているすべてのリソースのスキャンが停止します。

Rapid Vulnerability Detection を無効にする手順は次のとおりです。

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "DISABLED"}'

次のステップ

• Rapid Vulnerability Detection のテスト手順について、Rapid Vulnerability Detection のテストを確認する。

• Rapid Vulnerability Detection の詳細について、Rapid Vulnerability Detection の概要を確認する。