セキュリティ状況の分析を使用する

>

Security Command Center を使用して Security Health Analytics の検出結果を管理します。Security Health Analytics は、Security Command Center の組み込みサービスです。Security Health Analytics の検出結果を表示するには、Security Command Center の [サービス] 設定で有効にする必要があります。

次の動画では、Security Health Analytics の設定手順とダッシュボードの使用方法を示しています。Security Health Analytics の検出結果の表示と管理の詳細については、このページの後半をご覧ください。

Security Health Analytics 検出器からの検出結果は、Security Command Center のダッシュボードと、Security Command Center API を使用しての検索が可能です。

スキャンは、Security Command Center が有効になってから約 1 時間後に開始し、2 つのモードで実行されます。バッチモードは、毎日 2 回、12 時間間隔で自動的にスキャンを実行します。リアルタイム モードは、アセット構成の変更に対してスキャンを実行します。リアルタイム スキャンモードをサポートしていない Security Health Analytics の検出項目は、Security Command Center レイテンシの概要に記載されています。

Security Command Center で検出結果をフィルタする

大規模な組織では、デプロイ全体にわたって確認、トリアージ、追跡が必要な多数の脆弱性が存在する場合があります。使用可能なフィルタとともに Security Command Center を使用することで、組織全体で重大度の高い脆弱性に焦点を当て、アセットの種類ごとやセキュリティ マークごとに、脆弱性を確認できます。

Security Health Analytics の検出器と検出結果の完全なリストについては、Security Health Analytics の検出結果ページをご覧ください。

プロジェクトごとに Security Health Analytics の検出結果を表示する

プロジェクトごとに Security Health Analytics の検出結果を表示するには:

  1. Cloud Console の [Security Command Center] に移動します。

    [セキュリティ コマンド センター] に移動

  2. Security Health Analytics の検出結果を表示するには、[脆弱性] タブをクリックします。

  3. [プロジェクト フィルタ] で [プロジェクト フィルタにプロジェクトを追加]()をクリックします。

  4. 表示される検索ダイアログで、検出結果を表示するプロジェクトを選択します。

[脆弱性] タブに、選択したプロジェクトの検出結果のリストが表示されます。

種類ごとに Security Health Analytics の検出結果を表示する

カテゴリごとに Security Health Analytics の検出結果を表示するには:

  1. Cloud Console の [Security Command Center] に移動します。
    [Security Command Center] に移動
  2. Security Health Analytics の検出結果を表示するには、[脆弱性] タブをクリックします。
  3. [カテゴリ] 列で、検出結果を表示する検出タイプを選択します。

[検出] タブに、選択した種類に一致する検出結果のリストが読み込まれて表示されます。

アセットの種類ごとに検出結果を表示する

特定のアセットの種類で Security Health Analytics の検出結果を表示するには:

  1. Cloud Console で Security Command Center の [検出] ページに移動します。
    [検出結果] ページに移動
  2. [表示] の横にある [ソースの種類] をクリックし、[Security Health Analytics] を選択します。
  3. [フィルタ] ボックスに、「resourceName: asset-type」と入力します。たとえば、すべてのプロジェクトの Security Health Analytics の検出結果を表示するには、「resourceName: projects」と入力します。

検出結果のリストが更新され、指定したアセットタイプのすべての検出結果が表示されます。

重大度別に Security Health Analytics の検出結果を表示する

重大度別に Security Health Analytics の検出結果を表示するには:

  1. Cloud Console の [Security Command Center] に移動します。
    [Security Command Center] に移動
  2. Security Health Analytics の検出結果を表示するには、[脆弱性] タブをクリックします。
  3. 検出結果を重要度で並べ替えるには、[重要度] 列の見出しをクリックします。検出値は HIGHMEDIUMLOW です。

検出結果の種類について詳しくは、脆弱性の検出をご覧ください。Security Command Center には、セキュリティ マークのようなカスタム プロパティなど、多くの組み込みプロパティも用意されています。

重大な脆弱性でフィルタリングした後、Security Command Center で脆弱性を選択して、検出結果に関する詳細情報を表示できます。この情報には、脆弱性の説明とリスクに関する説明、修正の推奨事項が記載されています。

セキュリティ マークによるアセットと検出結果のマーキング

セキュリティ マークを使用することで、Security Command Center の検出結果とアセットにカスタム プロパティを追加できます。セキュリティ マークを使用すると、本番環境のプロジェクト、バグやインシデントの追跡番号を含むタグなど、優先度の高い分野を特定できます。

特殊なケースの検出器: 顧客指定の暗号鍵

DISK_CSEK_DISABLED 検出器は、すべてのユーザーには適用されません。この検出器を使用するには、セルフマネージド暗号鍵を使用するアセットにマークを付ける必要があります。

特定のアセットに対して DISK_CSEK_DISABLED 検出器を有効にするには、値が true のアセットにセキュリティ マーク enforce_customer_supplied_disk_encryption_keys を適用します。

セキュリティ マークを使用したセキュリティ状況の分析結果の許可リスト登録

セキュリティ状況の分析では、検出機能でアセットに対するセキュリティの検出結果を作成しないように、アセットを許可リストに登録できます。アセットを許可リストに登録すると、次回のスキャンの実行時に、検出結果に解決済みのマークが付けられます。これは、隔離されたプロジェクト、または許容されるビジネス パラメータに分類されるプロジェクトのセキュリティ検出結果を確認しない場合に役立ちます。

アセットを許可リストに登録するには、特定の検出結果タイプにセキュリティ マーク allow_finding-type を追加します。たとえば検出結果タイプが SSL_NOT_ENFORCED の場合は、セキュリティ マーク allow_ssl_not_enforced:true を使用します。

検出結果の種類の完全なリストについては、このページで先に説明した Security Health Analytics 検出器のリストをご覧ください。セキュリティ マークとその使用方法の詳細については、Security Command Center のセキュリティ マークの使用をご覧ください。

検出結果の種類ごとにアクティブな検出結果数を表示する

Cloud Console または gcloud コマンドライン ツールを使用して、有効な検出結果の数を検出結果タイプごとに表示できます。

Console

セキュリティ状況の分析ダッシュボードでは、有効な検出結果の数を検出結果タイプごとに表示できます。

検出結果のタイプごとに Security Health Analytics の検出結果を表示するには、以下を実行します。

  1. Cloud Console の [Security Command Center] に移動します。
    [Security Command Center] に移動
  2. Security Health Analytics の検出結果を表示するには、[脆弱性] タブをクリックします。
  3. 検出結果のタイプごとに有効な検出結果の数で検出結果を並べ替えるには、[有効] 列のヘッダーをクリックします。

gcloud

gcloud ツールを使用してすべての有効な検出結果を取得するには、Security Command Center にクエリを行って、Security Health Analytics のソース ID を取得します。次に、ソース ID を使用してアクティブな検出結果数についてクエリを行います。

手順 1: ソース ID を取得する

この手順を完了するには、組織 ID が必要です。組織 ID を取得するには、gcloud organizations list を実行して、組織名の横の番号をメモします。

Security Health Analytics のソース ID を取得するには、次のコマンドを実行します。

gcloud scc sources describe organizations/your-organization-id
--source-display-name='Security Health Analytics'

Security Command Center API をまだ有効にしていない場合は、有効にするよう求められます。Security Command Center API が有効になっている場合は、上記のコマンドをもう一度実行します。このコマンドによって、次のような出力が表示されます。

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/your-organization-id/sources/source-id

次のステップで使用する source-id をメモします。

手順 2: アクティブな検出結果の数を取得する

前のステップでメモした source-id を使用して、Security Health Analytics からの検出結果をフィルタリングします。次の gcloud ツール コマンドを実行すると、検出結果数がカテゴリ別に返されます。

gcloud scc findings group organizations/your-organization-id/sources/source-id \
 --group-by=category --page-size=page-size

ページサイズは、1,000 までの任意の値に設定できます。このコマンドは、特定の組織からの結果とともに、次のような出力を表示します。

groupByResults:
- count: '1'
  properties:
    category: 2SV_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: token
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

検出結果をプログラムで管理する

Security Command Center SDK とともに gcloud コマンドライン ツールを使用すると、Security Command Center ダッシュボードでできるすべての操作を自動化できます。また、gcloud ツールを使用して、多くの検出結果を修正することもできます。詳細については、各検出結果で説明されているリソースの種類のドキュメントをご覧ください。

次のステップ