Security Command Center ダッシュボードの使用

Security Command Center へのアクセス、ディスプレイの構成、Google Cloud リソースの確認を行います。組織でまだ Security Command Center を設定していない場合は、まず Security Command Center の設定ガイドを完了する必要があります。

始める前に

Security Command Center を使用するには、適切な権限を含む Identity and Access Management(IAM)ロールが必要です。

  • セキュリティ センター管理閲覧者は、Security Command Center を表示できます。
  • セキュリティ センター管理編集者は、Security Command Center を表示して変更を加えることができます。

組織ポリシーがドメインごとに ID を制限するよう設定されている場合は、許可されたドメインのアカウントで Cloud Console にログインする必要があります。

Security Command Center のロールの詳細を確認する。

ダッシュボードへのアクセス

Cloud Console の [Security Command Center] ページは、ダッシュボードと呼ばれます。Security Command Center ダッシュボードにアクセスする手順は次のとおりです。

  1. Cloud Console の [Security Command Center] ページに移動します。
    [Security Command Center] ページに移動
  2. 確認する組織を選択します。

Security Command Center ダッシュボードに、潜在的なセキュリティ リスク検出結果の概要が表示されます。

ダッシュボードの使用

Security Command Center に移動すると、[概要] タブが表示されます。このタブでは、組織内で重要度がきわめて高い知見を発見し、是正措置に向けて優先順位を設定できます。検出結果の検証やレポートの作成を行うための期間を設定できます。また、ダッシュボードの他のタブにもアクセスできます。

[ダッシュボード] タブの機能について確認するには、タブの名前をクリックします。

概要

[概要] ダッシュボードでは、重大度のレベルごとに、組織内での検出結果の総数が表示されます。合計には、すべての組み込みサービスおよび統合されたソースからの検出結果が含まれます。このタブのすべての領域に表示される時間範囲を、1 時間から 6 か月に変更できます。

  • 重大度ごとの検出結果では、未対応の脆弱性と新しい脅威が重大度別に分けて表示されます。重大度レベルの詳細は、[検出結果] タブで確認できます。
  • 未対応の脆弱性の件数の推移(重大度別は、脆弱性の件数の変化をグラフィックに表示します。
  • 新しい脅威の経緯: 1 日に検出された新しい脅威の数が表示されます。1 時間ごとの検出結果の総数が表示されます。

追加のテーブルには、カテゴリ、アセットタイプ、プロジェクトごとにグループ化された検出結果が表示されます。この表では、各脆弱性が検出された回数と、最も影響を受けたリソースを確認できます。

脅威

[脅威] ダッシュボードを使用すると、組織の Google Cloud リソースに存在する有害な可能性があるイベントを確認できます。

  • [重大度ごとの脅威] には、脅威の数が重大度ごとに表示されます。
  • [カテゴリごとの脅威] には、検出結果の数がすべてのプロジェクトのカテゴリ別に表示されます。
  • リソースごとの脅威には、組織内のリソースごとに検出結果の数が表示されます。

脅威ダッシュボードには、プルダウン リストで指定した期間の結果が表示されます。プルダウン リストには 1 時間から [全期間] までの複数のオプションがあり、サービスを有効にした時点からのすべての検出結果が表示されます。選択した期間は、セッション間で保存されます。

脆弱性

[脆弱性] タブには、次の列を含め、セキュリティ状況の分析結果と推奨事項が表示されます。

  • [ステータス]: 検出機能が有効かどうか、対処する必要がある検出結果が検出機能で検出されたかどうかをアイコンで示します。ステータス アイコンの上にポインタを置くと、結果を検出した日時、または推奨事項を検証する方法に関する情報がツールチップに表示されます。
  • 前回のスキャン: 検出項目について、最後のスキャンが行われた日時。
  • [カテゴリ]: 検出結果のタイプ。セキュリティ状況の分析結果候補の一覧については、セキュリティ状況の分析結果をご覧ください。
  • [推奨]: 検出結果の修正方法の概要。詳細については、セキュリティ状況の分析結果の修正をご覧ください。
  • [有効]: カテゴリの検出結果の合計数。
  • [重大度]: 検出結果カテゴリの相対的なリスクレベル。
  • [ベンチマーク]: 検出結果カテゴリが適用されるコンプライアンス ベンチマーク(該当する場合)。ベンチマークの詳細については、脆弱性の検出結果をご覧ください。

検出結果のフィルタリング

大規模な組織では、確認、優先順位付け、追跡のために、デプロイ全体にわたって脆弱性の検出結果が多数ある場合があります。使用可能なフィルタとともに Security Command Center を使用することで、組織全体で重大度の高い脆弱性に焦点を当て、アセットの種類ごとやセキュリティ マークごとに、脆弱性を確認できます。

セキュリティ状況の分析結果をプロジェクトごとに表示する

[脆弱性] タブでセキュリティ状況の分析結果をプロジェクトごとに表示する手順は次のとおりです。

  1. [プロジェクト フィルタ] で [プロジェクト フィルタにプロジェクトを追加]()をクリックします。
  2. 表示される検索ダイアログで、検出結果を表示するプロジェクトを選択します。

[脆弱性] タブに、選択したプロジェクトの検出結果のリストが表示されます。

セキュリティ状況の分析結果をカテゴリごとに表示する

[脆弱性] タブで、[カテゴリ] 列のカテゴリ名をクリックすると、セキュリティ状況の分析結果がカテゴリごとに表示されます。

[検出結果] タブに、選択したカテゴリに一致する検出結果が読み込まれ、表示されます。

検出結果をアセットタイプごとに表示する

特定のアセットタイプのセキュリティ状況の分析結果を表示するには、[検出結果] タブを使用します。

  1. Cloud Console で Security Command Center の [検出結果] ページに移動します。
    [検出結果] ページに移動
  2. [表示] の横にある [ソースタイプ] をクリックし、[セキュリティ状況の分析] を選択します。
  3. [フィルタ] ボックスに「resourceName: asset-type」と入力します。たとえば、すべてのプロジェクトのセキュリティ状況の分析結果を表示するには、「resourceName: projects」と入力します。

検出結果のリストが更新され、指定したアセットタイプのすべての検出結果が表示されます。

セキュリティ マークによるアセットと検出結果のマーキング

セキュリティ マークを使用することで、Security Command Center の検出結果とアセットにカスタム プロパティを追加できます。セキュリティ マークを使用すると、本番環境のプロジェクト、バグやインシデントの追跡番号を含むタグなど、優先度の高い分野を特定できます。

セキュリティ マークを使用したセキュリティ状況の分析結果の許可リスト登録

セキュリティ状況の分析では、検出機能でアセットに対するセキュリティの検出結果を作成しないように、アセットを許可リストに登録できます。アセットを許可リストに登録すると、次回のスキャンの実行時に、検出結果に解決済みのマークが付けられます。この設定は、隔離されたプロジェクト、または許容されるビジネス パラメータに分類されるプロジェクトのセキュリティ検出結果を確認しない場合に役立ちます。

アセットを許可リストに登録するには、特定の検出結果タイプにセキュリティ マーク allow_finding-type を追加します。たとえば検出結果タイプが SSL_NOT_ENFORCED の場合は、セキュリティ マーク allow_ssl_not_enforced:true を使用します。

検出タイプの一覧については、Security Health Analytics の検出結果ページをご覧ください。セキュリティ マークとその使用方法の詳細については、Security Command Center のセキュリティ マークの使用をご覧ください。

有効な検出結果の数を検出結果のタイプごとに表示する

有効な検出結果の数を検出結果のタイプ別に表示するには、Cloud Console または gcloud コマンドライン ツール コマンドを使用します。

Console

セキュリティ状況の分析ダッシュボードでは、有効な検出結果の数を検出結果タイプごとに表示できます。

検出結果のタイプごとに Security Health Analytics の検出結果を表示するには、以下を実行します。

  1. Cloud Console の Security Command Center に移動します。
    [Security Command Center] に移動
  2. セキュリティ状況の分析結果を表示するには、[脆弱性] タブをクリックします。
  3. 検出結果のタイプごとに有効な検出結果の数で検出結果を並べ替えるには、[有効] 列のヘッダーをクリックします。

gcloud

gcloud ツールを使用してすべての検出結果の数を取得するには、Security Command Center にクエリを行って、セキュリティ状況の分析のソース ID を取得します。次に、ソース ID を使用して、有効な検出結果の数についてクエリを行います。

手順 1: ソース ID を取得する

この手順を完了するには、組織 ID を取得してからソース ID を取得します。Security Command Center API をまだ有効にしていない場合は、有効にするよう求められます。

  1. gcloud organizations list を実行して組織 ID を取得してから、組織名の横にある数字をメモします。
  2. 次のコマンドを実行して、セキュリティ状況の分析のソース ID を取得します。

    gcloud scc sources describe organizations/your-organization-id
    --source-display-name='Security Health Analytics'

  3. プロンプトが表示されたら、Security Command Center API を有効にしてから上記のコマンドを実行し、セキュリティ状況の分析のソース ID を再度取得します。

ソース ID を取得するコマンドにより、次のような出力が表示されます。

  description: Scans for deviations from a Google Cloud security baseline.
  displayName: Security Health Analytics
  name: organizations/your-organization-id/sources/source-id

次のステップで使用する source-id をメモします。

ステップ 2: 有効な検出結果の数を取得する

前のステップでメモした source-id を使用して、セキュリティ状況の分析からの検出結果をフィルタします。次の gcloud ツールコマンドは、検出結果の数をカテゴリごとに返します。

  gcloud scc findings group organizations/your-organization-id/sources/source-id \
   --group-by=category --page-size=page-size

ページサイズは、1,000 までの任意の値に設定できます。このコマンドは、特定の組織からの結果とともに、次のような出力を表示します。

  groupByResults:
  - count: '1'
    properties:
      category: 2SV_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50

コンプライアンス

[コンプライアンス] ダッシュボードでは、違反状態の概要を確認し、レポートをエクスポートできます。このダッシュボードには、Security Health Analytics でモニタリングされる各コンプライアンス レジームに関連付けられた検出項目数の概要が表示されます。

このセクションでは、Security Health Analytics と Web Security Scanner 検出器を使用して、CIS Google Cloud Computing Foundations Benchmark v1.0.0 や Payment Card Industry Data Security Standard (PCI-DSS)v3.2.1 などで説明される一般的なコンプライアンス制御に対する違反をモニタリングする方法について説明します。Security Health Analytics は、Google が提供するベスト エフォート マッピングに基づいて、一般的なコンプライアンス管理の違反をモニタリングできます。これはコンプライアンス監査に代わるものではありませんが、継続的なコンプライアンスを維持し、早期の違反検出に役立つことがあります。

コンプライアンス ダッシュボードには、チェックの数が警告状態と合格状態のレジームごとに表示されます。

  • 警告状態: チェックに関連する有効な検出結果(違反)が 1 つ以上あります。
  • 合格状態: チェックで検出された違反はありません。

コンプライアンス ダッシュボードをプロジェクトごとにフィルタでき、また特定の CIS と PCI の検出結果レポートを表示またはエクスポートできます。このレポートは、セキュリティ状況の分析結果に基づいており、[脆弱性] タブに読み込まれます。

コンプライアンス レポートのエクスポート

特定のコンプライアンス ベンチマークの違反検出を集約した CSV レポートをエクスポートできます。レポートを作成するには:

  1. Cloud Console で Security Command Center の [コンプライアンス] タブに移動します。
    [コンプライアンス] タブに移動
  2. ダウンロードするレポートの横にある [エクスポート] をクリックします。
  3. 表示される [エクスポート] ウィンドウで、エクスポートを構成します。
    1. ダウンロードするベンチマーク レポートを選択します。
    2. レポート スナップショットの日時を選択します。
    3. 必要に応じて、プロジェクトごとにエクスポートをフィルタします。
  4. エクスポートの構成が完了したら、[エクスポート] をクリックして、CSV レポートを保存する場所を選択します。

コンプライアンス レポートのエクスポートには次のものが含まれます。

  • 対象となるプロジェクト
  • レポートの日付
  • レポートの対象となる検出結果
  • スキャンされたリソースの数
  • 特定の管理に違反しているリソースの数

セキュリティ状況の分析結果と、サポートされている検出機能とコンプライアンス レジームの間のマッピングについては、脆弱性の検出結果をご覧ください。

アセット

[アセット] タブには、アセットと呼ばれる、組織内のすべての Google Cloud リソースが詳細に表示されます。[アセット] タブでは、組織全体のアセットを表示したり、特定のプロジェクト内のアセットを、アセットタイプまたは変更タイプでフィルタしたりできます。特定のアセットの詳細(属性、リソース プロパティ、関連する検出結果など)を表示するには、[resourceProperties.name] 列のアセット名をクリックします。

アセットは 1 日に 2 回自動的にスキャンされます。アセットタブで [再スキャン] をクリックして、アセット スキャンを手動で開始することもできます。updateTime の値は、所定の自動スキャンまたは手動スキャンの結果によって異なる可能性があります。通常、この差は 10 分未満です。

アセット インベントリの更新頻度は、アセットソースの検出とインデックス登録によって決まります。

  • 通常、既存のアセットの更新頻度は 1 分未満です。
  • 毎日のスキャンまたは手動スキャンで検出されていないかインデックスに登録されていないアセットは、アタッチするアセットが検出されインデックスに登録された後に、アセット インベントリに表示されます。

アセットタブの使用

[アセット] タブには組み込みフィルタとカスタマイズ可能なフィルタが用意されているため、フィルタされたアセットのリストを表示できます。

アセットをプロジェクトごとに表示する

デフォルトでは、アセットは組織とプロジェクト階層に応じて表示されます。 特定のリソースに関連付けられたアセットを表示するには、[表示] の横にある [プロジェクト] を選択します。次に、確認する組織またはプロジェクトを選択します。

アセットタイプごとに表示

[アセット] タブでリソースタイプごとにアセットをグループ化して表示するには、[アセットタイプ] をクリックします。アセットがアプリケーション、バケット、プロジェクト、サービスなどのカテゴリ別に表示されます。現在、次のアセットタイプがサポートされています。

  • Resource Manager
    • 組織
    • プロジェクト
  • App Engine
    • アプリケーション
    • サービス
    • バージョン
  • Compute Engine
    • 住所
    • オートスケーラー
    • BackendBucket
    • BackendService
    • BillingAccount
    • ディスク
    • ファイアウォール
    • GlobalAddress
    • HealthCheck
    • HttpHealthCheck
    • HttpsHealthCheck
    • 画像
    • インスタンス
    • InstanceGroup
    • InstanceTemplate
    • ライセンス
    • ネットワーク
    • ルート
    • SecurityPolicy
    • スナップショット
    • SslCertificate
    • サブネットワーク
    • TargetHttpProxy
    • TargetHttpsProxy
    • TargetSslProxy
    • TargetTcpProxy
    • TargetPool
    • TargetVpnGateway
    • UrlMap
    • VpnTunnel
  • Cloud DNS
    • ManagedZone
    • ポリシー
  • IAM
    • ServiceAccount
  • Cloud Spanner
    • データベース
    • インスタンス
  • Cloud Storage
    • バケット
  • Google Kubernetes Engine
    • クラスタ
  • Container Registry
    • 画像
  • Cloud Logging
    • LogMetric

特定のアセットタイプの個々のリソースを表示するには、[アセットタイプ] リストで、確認するアセットタイプを選択します。特定のアセットの詳細を表示するには、そのアセット名をクリックします。組織内のすべての Google Cloud プロジェクトを表示するには、securityCenterProperties.resourceType:resourcemanager.Project を使用してアセットリストをフィルタリングします。

変更されたアセットごとに表示する

[アセット] タブの [変更済みアセット] には、選択した期間中に有効だったすべてのアセットが表示されます。その期間中に追加されたアセットも [追加] カテゴリに分類されます。結果を表示する期間を変更するには、[変更済みアセット] の横にあるプルダウン リストをクリックします。

IAM ポリシーごとに表示する

[アセット] タブには、iamPolicy.policy_blob 列のアセットの IAM ポリシーが表示されます。iamPolicy 列を表示するには、列表示オプション をクリックして「iamPolicy」と入力します。

特定のアセットについて IAM ポリシーの詳細を表示するには、アセットの横にある [表示] をクリックします。IAM ポリシーは、resourceProperties.name 列のアセット名をクリックすると、アセットの詳細パネルにも表示されます。

アセットタブの構成

[アセット] タブに表示される要素の一部は制御できます。

デフォルトで、[アセット] タブには次の列があります。

  • アセット名: resourceProperties.name
  • リソース名: name
  • アセットタイプ: securityCenterProperties.resourceType
  • アセット所有者: securityCenterProperties.resourceOwners
  • アセットに追加されたマーク: securityMarks.marks

resourceProperties.name 以外の列は非表示にでき、表示するよう選択するアセットの詳細列を増やせます。

  1. 表示するアセット列を選択するには、「列表示オプション をクリックします。
  2. 表示されたメニューから、表示する列を選択します。
  3. 列を非表示にするには、列名の横にあるチェック ボックスをオフにします。

選択した列を保存するには、[列を保存] をクリックします。選択した列は、[アセット] タブのすべてのビューに適用されます。列を選択すると、Cloud Console の URL が更新され、カスタムビューのリンクを共有できます。

列の選択は、次回ダッシュボードを表示するときと、組織を変更した場合に保持されます。カスタムの列の選択をすべて解除するには、[列をリセット] をクリックします。

パネル

[アセット] タブの画面スペースを制御するために、次のように変更できます。

  • 左矢印 をクリックして、Cloud Console の [セキュリティ] サイドパネルを非表示にする。
  • 列の間の線を左右にドラッグして、アセットの表示列のサイズを変更する。
  • [情報パネルを非表示] をクリックして、[アセットの選択] サイドパネルを非表示にする。

アセット表示に含める結果の日付と時刻を変更するには、日付と時刻のプルダウンをクリックして、設定する日付と時刻を選択します。

アセットの並べ替え

アセットを並べ替えるには、並べ替える値の列見出しをクリックします。列は、番号順、次にアルファベット順に並べ替えられます。

知見

[検出] タブに、組織のすべてのアセットの詳細な検出インベントリが表示されます。検出結果が表示されることで、組織の潜在的なセキュリティ リスクを確認できます。

検出イベントリの更新頻度は、検出ソースによって決まります。

  • Security Command Center ダッシュボードでの検出更新頻度は通常、検出ソースから取り込まれた後、1 分未満です。
  • 自動スキャンまたは手動スキャンで検出されていないかインデックスに登録されていないアセットは通常、検出後 1 分以内に検出イベントリに表示されます。

デフォルトで、[検出] タブには有効な検出結果のみが表示されます。無効な検出結果の表示を有効または無効にするには、[有効な知見のみを表示する] の横の切り替えボタン をクリックします。

特定の検出結果の詳細を表示するには、検出結果をクリックします。検出結果の詳細パネルに、影響を受けるアセットやイベントの時刻などの属性が表示されます。検出結果のタイプによっては、より多くの属性が含まれるものもあります。たとえば、クリプトマイニング イベントには次のようなものがあります。

  • abuse_target_ips: マイニング プールの IP アドレス。
  • urls: マイニング プールの URL。
  • vm_host_and_names: クリプトマイニングしていることが検出された特定の VM。
  • vm_ips: 影響を受ける VM の IP アドレス。

検出結果のカテゴリごとに表示する

デフォルトで、検出結果はクロスサイト スクリプティング(XSS)、クレジット カード番号または電話番号の露出など、特定のカテゴリで表示されます。検出結果の作成時にカテゴリ フィールドを空白のままにした場合、カテゴリは検出結果に表示されません。

  • 特定のリスクタイプの詳細を表示するには、[表示] の横で [カテゴリ] を選択します。確認したいリスクのタイプを選択します。
  • 特定の検出結果に関する詳細な情報を表示するには、表内の category で検出結果をクリックします。

特定の日付の検出結果をカテゴリ別に表示するには、テーブルの上にある時間のプルダウン リストを使用します。

ソースタイプごとの表示

検出ソースとは、Web Security Scanner や Cloud DLP などが提供するソースです。これらのソースには次が含まれます。

  • 検出結果を特定の時刻にサンプリングしたスナップショットを作成するスキャナ。
  • 検出結果のイベント ストリームが得られるモニタリング。
  • イベント履歴を出力するロガー。

検出結果は、次の方法でソースごとに表示できます。

  • ソースタイプ別に検出結果の数を表示するには、[検出結果タブ] で [ソースタイプ] をクリックします。グループ化された検出結果のリストが表示されます。
  • 特定のソースタイプについて個々の検出結果を表示するには、グループ化された検出結果リストからレビュー対象のソースを選択します。選択したソースタイプの検出結果がテーブルに表示されます。
  • 特定の検出結果に関する詳細な情報を表示するには、category で検出結果をクリックします。

特定の日付の検出結果をカテゴリ別に表示するには、テーブルの上にある時間のプルダウン リストを使用します。

変更された検出結果ごとに表示する

新しい検出結果と有効な検出結果を表示するには、[検出] タブで [変更された知見] をクリックします。無効な検出結果を含めるには、[有効な知見のみを表示する] をオフに切り替える必要があります。

検出結果はすべて、次のサブグループで表示されます。

  • 有効(変更済み): 検出結果が有効であり、選択した期間中にプロパティが変更されました。
  • 有効(変更なし): 有効であり、選択した期間中にプロパティが変更されていない検出結果。
  • 無効(変更済み): 指定した期間中に無効に変更された検出結果。無効(変更済み)の検出結果があっても、[有効な知見のみを表示する] がオフになっている場合、この値は常に 0 です。
  • 無効(変更なし): 無効であり、選択した期間中にプロパティが変更された検出結果。無効(変更なし)の検出結果があっても、[有効な知見のみを表示する] がオフになっている場合、この値は常に 0 です。
  • 新規: 選択した期間中の新しい検出結果。

[検出結果] タブが [1 時間] から [全期間] の間の異なる時間とともに表示されます。検出結果を表示する期間を指定するには、テーブルの上にある時間プルダウン リストを使用します。

検出結果の重大度ごとに表示する

検出結果を [重大度] 別に表示すると、検出結果は次のカテゴリに分類されます。

  • 重大:
    • 重大な脆弱性は容易に検出できます。これが悪用されると、任意のコードの実行、データの引き出し、クラウド リソースやワークフローでの追加のアクセス権と権限の取得が直接可能になるおそれがあります。例としては、一般公開されているユーザーデータや、パスワードが弱いかパスワードがない公開 SSH アクセスなどがあります。
    • 重大な脅威では、データへのアクセス、データの変更または削除、既存のリソース内での不正なコードの実行が可能です。
  • :
    • 高リスクの脆弱性は容易に検出できます。これが他の脆弱性とともに悪用されると、直接アクセスして任意のコードの実行またはデータの引き出しが行われ、リソースやワークロードに対する追加のアクセス権と権限が取得されるおそれがあります。たとえば、パスワードが弱いかパスワードがなく、内部でしかアクセスできないデータベースは、内部ネットワークにアクセスできる操作者によって不正使用されるおそれがあります。
    • 高リスクの脅威では、環境内でのコンピューティング リソースの作成は可能ですが、既存のリソースでデータにアクセスすること、またはコードを実行することはできません。
  • :
    • 中リスクの脆弱性は、操作者が悪用してリソースに対するアクセス権または特権を取得し、最終的にはアクセスしてデータの引き出しまたは任意のコードの実行が可能になるおそれがあります。たとえば、サービス アカウントにプロジェクトへの不要なアクセス権があり、アクターがサービス アカウントにアクセスできる場合、アクターはそのサービス アカウントを使用してプロジェクトを操作するおそれがあります。
    • 中リスクの脅威では、組織に影響が及ぶ可能性はありますが、データにアクセスすること、または不正なコードを実行することはありません。
  • :
    • 低リスクの脆弱性は、セキュリティ組織のデプロイにおける脆弱性または有効な脅威を検出する能力を妨げるか、セキュリティに関する問題の根本原因の調査を妨げます。たとえば、リソースの構成とアクセスについてモニタリングとログが無効になっている場合が挙げられます。
    • 低リスクの脅威では、環境へのアクセスは最小限ですが、データへのアクセス、コードの実行、リソースの作成はできません。
  • 指定なし: 検出結果提供元が検出結果の重大度の値を設定していない場合、検出リスクレベルは未指定となります。

検出結果は、次の方法で重大度ごとに表示できます。

  • 検出結果を重大度でグループ化して表示するには、[検出] タブで [重大度] をクリックします。
  • 特定の重大度について個々の検出結果を表示するには、[重大度の検索] で、確認する重大度を選択します。
  • 特定の検出結果に関する詳細な情報を表示するには、category で検出結果をクリックします。

特定の日付の検出結果をカテゴリ別に表示するには、テーブルの上にある時間のプルダウン リストを使用します。

検出結果の管理

検出結果に対するセキュリティ マークの管理や、Security Command Center ダッシュボードのテーブル メニューを使用した検出状態の変更を行います。

セキュリティ マークの管理

検出結果にセキュリティ マークを追加する手順は次のとおりです。

  1. テーブルで、1 つ以上の検出結果の category の名前の横にあるチェックボックスをオンにします。
  2. [セキュリティ マークの設定] を選択します。
  3. 表示された [セキュリティ マーク] ダイアログで、[マークを追加] をクリックします。
  4. [キー] と [] の項目を追加して、知見のカテゴリを特定します。

    たとえば同じインシデントに属する検出結果をマークする場合、キー「incident-number」と値「1234」を追加します。新しいセキュリティ マークが、mark.incident-number: 1234 という形式で各検出結果に付けられます。

  5. 既存のマークを編集するには、[] フィールドのテキストを更新します。

  6. マークの横にあるゴミ箱アイコンをクリックすると、マークを削除できます。

  7. マークの追加が終わったら [保存] をクリックします。

検出結果の状態の管理

Security Command Center ダッシュボードのテーブル メニューを使用して、検出状態を有効または無効に変更します。

  1. テーブルで、1 つ以上の検出結果の category の名前の横にあるチェックボックスをオンにします。
  2. [有効状態を変更] を選択し、プルダウン リストから [有効] または [無効] を選択します。選択した検出結果が有効と無効の組み合わせである場合、新しい状態を選択するまで、[状態] には「混合」と表示されます。

検出結果表示の構成

[検出] タブに表示される要素の一部は制御できます。

デフォルトで、[検出] タブには次の列が表示されます。

  • 検出結果のタイプ: category
  • アセット ID: resourceName
  • 検出結果が最後に検出された時刻: eventTime
  • 検出結果が最初に検出された時刻: createTime
  • 検出結果のソース: parent
  • 検出結果に追加されたマーク: securityMarks.marks

category 以外の列は非表示にでき、表示するよう選択する検出結果の詳細列を増やせます。

  1. 表示する検出結果の列を選択するには、テーブルの列の上にある列表示オプションアイコンをクリックします。
  2. 表示されたメニューから、表示する列を選択します。
  3. 列を非表示にするには、列の名前をクリックします。

選択した列を保存するには、[列を保存] をクリックします。選択した列が [検出結果] タブ内のすべてのビューに適用されます。列を選択すると、Cloud Console の URL が更新され、カスタムビューのリンクを共有できます。

列の選択は、次回ダッシュボードを表示するときと、組織を変更した場合に保持されます。カスタムの列の選択をすべて解除するには、[列をリセット] をクリックします。

パネル

検出結果の画面スペースを制御するために、次のように変更できます。

  • 左矢印 をクリックして、Cloud Console の [セキュリティ] サイドパネルを非表示にする。
  • 列の間の線を左右にドラッグして、検出結果の表示列のサイズを変更する。

ソース

[ソース] タブには、有効にしたセキュリティ ソースからのアセットと検出結果の概要を示すカードが表示されます。各セキュリティ ソースのカードに、そのソースの検出結果の一部が表示されます。検出カテゴリ名をクリックすると、そのカテゴリのすべての検出結果を表示できます。

アセットの概要

[アセットの概要] カードには、直近のスキャン時における組織の各タイプのアセット数が表示されます。これには、指定した期間の新しいアセット数、削除済みのアセット数、合計アセット数が表示されます。概要は、表またはグラフとして表示できます。

  • 最近の期間の概要を表示するには、[アセットの概要] カードのプルダウン リストから時間を選択します。
  • 組織のツリー階層を表示するには、アセットタイプをクリックするか、カードの下部にある [すべてのアセットを表示] をクリックして [アセット] タブに切り替えます。
  • 個々のアセットの詳細を表示するには、[アセット] タブを選択し、表示するアセット名をクリックします。

検出結果の概要

[検出結果の概要] カードには、有効になっているセキュリティ ソースによって提供される検出結果の各カテゴリの数が表示されます。

  • 特定のソースからの検出結果に関する詳細を表示するには、ソース名をクリックします。
  • すべての検出結果の詳細を表示するには、[検出] タブをクリックします。ここでは、検出結果をグループ化したり、個々の検出結果の詳細を表示したりできます。

ソースの概要

[検出結果の概要] カードの下に、有効になっている組み込みソース、統合済みソース、サードパーティのソースのカードが表示されます。各カードには、そのソースで有効な検出結果の数が示されます。

探索

[探索] タブでは、Security Command Center のその他の機能や、Security Command Center に統合できるサービスについて説明しています。

Security Command Center のクエリ

このセクションでは、Security Command Center を使用してリソースを確認する一般的なクエリの実行方法について説明します。

これらのフィルタは、関連するリソースタイプが組織にある場合に、Security Command Center ダッシュボードで選択できます。「いずれかのキーを選択してください」というエラー メッセージが表示される場合は、そのリソースタイプが組織にない可能性があります。

クエリを実行するには、[アセット] タブの [フィルタ条件] テキスト ボックスを使用します。便利なクエリをいくつか紹介します。

クエリの形式 フィルタ条件
一般公開されているリソースを探す iamPolicy.policyBlob:allUsers または iamPolicy.policyBlob:allAuthenticatedUsers
任意のネットワークから SSH ポート 22 が開いているファイアウォール ルールを検出する resourceProperties.allowed:22 または resourceProperties.sourceRange:0.0.0.0/0
パブリック IP アドレスを持つ VM を検出する resourceProperties.networkInterface:externalIP
組織外のリソース所有者を検出する -securityCenterProperties.resourceOwners:@your-domain
VM 内の OS の状態を検出、モニタリングする resourceProperties.disk:licenses

次のステップ