Security Command Center の概要

このページでは、Security Command Center の概要について説明します。Security Command Center は、Enterprise ティアで、クラウド セキュリティとエンタープライズ セキュリティ運用を組み合わせ、Mandiant の専門知識と Gemini の AI から得られる分析情報を提供します。

Security Command Center を使用すると、セキュリティ オペレーション センター(SOC)アナリスト、脆弱性と体制のアナリスト、コンプライアンス マネージャーなどのセキュリティ専門家が、複数のクラウドにまたがるセキュリティ問題を迅速に評価、調査、対応できます。

各クラウド デプロイメントには、すべて固有のリスクがあります。Security Command Center は、Google Cloud 上のプロジェクトや組織の攻撃対象領域と、他のクラウド環境の攻撃対象領域を把握して評価するのに役立ちます。リソースを保護するように適切に構成されている Security Command Center を使用すると、クラウド環境で検出された脆弱性と脅威を把握して、修正の優先順位を付けることができます。

Security Command Center は多くの Google Cloud サービスと統合され、複数のクラウド環境におけるセキュリティの問題を検出します。これらのサービスは、リソース メタデータのスキャン、クラウドログのスキャン、コンテナのスキャン、仮想マシンのスキャンなど、さまざまな方法で問題を検出します。

Chronicle Security Operations や Mandiant など、これらの統合サービスの一部は、調査の優先順位付けや管理、検出された問題への対応に不可欠な機能と情報も提供します。

脅威の管理

Security Command Center は、組み込みの Google Cloud サービスと統合された Google Cloud サービスの両方を使用して脅威を検出します。これらのサービスは、Google Cloud のログ、コンテナ、仮想マシンをスキャンして脅威インジケーターを探します。

Event Threat Detection や Container Threat Detection など、これらのサービスの一部は、脅威インジケーターを検出すると、検出結果を発行します。検出結果は、サービスがクラウド環境内で検出した個々の脅威やその他の問題に関するレポートまたは記録です。検出結果を発行するサービスは、検出結果のソースとも呼ばれます。

検出結果によってアラートがトリガーされます。アラートは、検出結果の重大度に応じてケースを生成できます。チケット発行システムでケースを使用して、1 つ以上のアラートの調査にオーナーを割り当て、対応できます。Security Command Center でのアラートとケースの生成は、Chronicle SecOps を利用しています。

Security Command Center では、複数のクラウド環境で脅威を検出できます。他のクラウド プラットフォームの脅威を検出するために、Security Command Center は、接続を確立した後、他のプロバイダからログを取り込みます。ログの取り込みは Chronicle SecOps を利用しています。

詳しくは次のページをご覧ください。

脅威の検出と対応の機能

Security Command Center を使用して、SOC アナリストは次のセキュリティ目標を達成できます。

  • 潜在的な脅威を示すクラウド環境内のイベントを検出し、関連する検出結果やアラートに優先順位を付けます。
  • 統合されたケースのワークフローを使用して、オーナーを割り当て、調査と回答の進行状況を追跡します。必要に応じて、Jira や ServiceNow などの任意のチケット発行システムを統合できます。
  • 強力な検索機能と相互参照機能を使用して、脅威アラートを調査します。
  • レスポンス ワークフローを定義し、アクションを自動化してクラウド環境への潜在的な攻撃に対処します。Chronicle SecOps を利用したハンドブックによるレスポンス ワークフローと自動アクションの定義については、ハンドブックの操作をご覧ください。
  • 誤検出の検出結果やアラートをミュートまたは除外します。
  • ID とアクセス権限の侵害に関連する脅威に焦点を当てます。
  • Security Command Center を使用して、AWS などの他のクラウド環境での潜在的な脅威の検出、調査、対応を行います。

脆弱性の管理

Security Command Center は、さまざまな Google Cloud サービスを活用して、包括的な脆弱性検出機能を提供します。これにより、環境内のリソースを自動的にスキャンし、ソフトウェアの脆弱性、構成ミス、攻撃を受ける可能性が高いその他の種類のセキュリティの問題を見つけることができます。この種の問題をまとめて脆弱性と呼びます。

Security Command Center は、組み込みの Google Cloud サービスと統合 Google Cloud サービスの両方を使用して、セキュリティの問題を検出します。検出結果を発行するサービスは、検出結果のソースとも呼ばれます。サービスで問題が検出されると、問題を記録するための検出結果が発行されます。

デフォルトでは、重大度が「高」と「重大」の脆弱性の検出結果に対してケースが自動的に開かれるため、修復の優先順位付けに役立ちます。ケースを使用して、オーナーを割り当て、修復作業の進捗状況を追跡できます。

より詳しく:

ソフトウェアの脆弱性

ソフトウェアの脆弱性を特定、把握、優先順位を付けるため、Security Command Center では、クラウド環境内の仮想マシン(VM)とコンテナの脆弱性を評価できます。Security Command Center は、検出された脆弱性ごとに、検出結果レコードまたは検出結果に関する詳細情報を提供します。検出結果で得られる情報には、次のものがあります。

  • 影響を受けるリソースの詳細
  • CVE 項目の影響と悪用可能性に関する Mandiant による評価を含む、関連する CVE レコードに関する情報
  • 攻撃の発生可能性スコア(修正の優先順位付け)
  • 脆弱性によって露出された価値の高いリソースまで、攻撃者が辿る可能性のある経路を視覚的に表現

構成ミス

Security Command Center は、構成ミスをスキャンするサービスの検出機能を、一般的な業界コンプライアンス標準の管理にマッピングします。マッピングにより、構成ミスが違反しているコンプライアンス標準を示すだけでなく、さまざまな標準に準拠しているかどうかの尺度を確認し、レポートとしてエクスポートできます。

詳しくは、コンプライアンスの評価と報告をご覧ください。

体制違反

Security Command Center のプレミアム ティアと Enterprise ティアには、セキュリティ体制サービスが含まれています。このサービスは、クラウド リソースがクラウド環境にデプロイしたセキュリティ体制で定義されたポリシーに違反すると、検出結果を発行します。

詳細については、セキュリティ ポスチャー サービスをご覧ください。

インフラストラクチャをコードとして検証する

Infrastructure as Code(IaC)ファイルが、セキュリティ ポスチャーで定義したポリシーを含む、Google Cloud 組織で定義したポリシーと一致していることを確認できます。この機能を使用すると、組織の標準に違反するリソースをデプロイできなくなります。組織のポリシーを定義し、必要に応じて Security Health Analytics サービスを有効にすると、Google Cloud CLI を使用して Terraform 計画ファイルを検証できます。また、検証プロセスを Jenkins や GitHub アクション デベロッパー ワークフローに統合できます。詳細については、組織のポリシーに対して IaC を検証するをご覧ください。

他のクラウド プラットフォームでの脆弱性と構成ミスを検出する

Security Command Center Enterprise では、複数のクラウド環境の脆弱性を検出できます。他のクラウド サービス プロバイダの脆弱性を検出するには、まずプロバイダへの接続を確立してリソース メタデータを取り込む必要があります。

詳細については、脆弱性の検出とリスク評価のために AWS に接続するをご覧ください。

脆弱性と体制の管理機能

Security Command Center を使用すると、脆弱性アナリスト、体制管理者、同様のセキュリティ専門家は、次のセキュリティ目標を達成できます。

  • クラウド環境を潜在的な攻撃にさらす可能性がある、ソフトウェアの脆弱性、構成ミス、体制違反など、さまざまな種類の脆弱性を検出します。
  • 検出結果と脆弱性のアラートに対する攻撃の発生可能性スコアを使用して、最もリスクの高い問題に対応して修正します。
  • ケースを使用して、Jira や ServiceNow などの任意のチケット システムを統合することで、オーナーを割り当て、脆弱性の修正の進捗状況を追跡します。
  • 攻撃の発生可能性スコアを下げて、クラウド環境内の価値の高いリソースを積極的に保護する
  • Security Command Center が体制を評価し、違反をアラートするために使用するクラウド環境のカスタム セキュリティ ポスチャーを定義します。
  • 誤検出の検出結果やアラートをミュートまたは除外します。
  • ID と過剰な権限に関連する脆弱性に焦点を当てます。
  • AWS などの他のクラウド環境の脆弱性とリスク評価を Security Command Center で検出して管理します。

攻撃の発生可能性スコアと攻撃パスを使用してリスクを評価する

プレミアム ティアと Enterprise ティアを組織レベルで有効にすると、Security Command Center は、価値の高いリソースに対する攻撃の発生可能性スコアと、価値の高いリソースに影響する脆弱性と構成ミスの検出結果を提供します。

これらのスコアを使用して、脆弱性と構成ミスの修正の優先順位付け、最も公開されている価値の高いリソースのセキュリティの優先順位付け、および一般的に、クラウド環境が攻撃を受けるリスクの程度を評価できます。

Google Cloud コンソールの [リスクの概要] ページの [未対応の脆弱性] ペインで、攻撃の発生可能性スコア別の検出結果 タブには、環境内で攻撃の発生可能性スコアが最も高い検出結果と、検出結果スコアの分布が表示されます。

詳細については、攻撃の発生可能性スコアと攻撃パスをご覧ください。

ケースを使用して検出結果とアラートを管理する

Security Command Center Enterprise では、検出結果とアラートの管理、オーナーの割り当て、検出されたセキュリティの問題に対する調査と対応の管理に役立つケースを作成します。重大度が「高」や「重大」の問題の場合は、ケースが自動的に開かれます。

ケースを Jira や ServiceNow などの任意のチケット システムと統合できます。ケースが更新されると、ケースのオープン チケットが自動的に更新されます。同様に、チケットが更新された場合、対応するケースも更新できます。

ケースの機能は Chronicle SecOps を利用しています。

詳細については、Chronicle SecOps ドキュメントのケースの概要をご覧ください。

レスポンス ワークフローと自動アクションを定義する

レスポンス ワークフローを定義し、クラウド環境で検出されたセキュリティ問題を調査して対応するためのアクションを自動化します。

Chronicle SecOps を利用したハンドブックによるレスポンス ワークフローと自動アクションの定義については、ハンドブックを操作するをご覧ください。

マルチクラウドのサポート: 他のクラウド プラットフォームでのデプロイを保護

Security Command Center のサービスと機能を拡張して、他のクラウド プラットフォームのデプロイもカバーできます。これにより、すべてのクラウドで検出されたすべての脅威と脆弱性を 1 か所で管理できます。

Security Command Center を別のクラウド サービス プロバイダに接続する方法については、次のページをご覧ください。

サポートされているクラウド サービス プロバイダ

Security Command Center は Amazon Web Services(AWS)に接続できます。

セキュリティ ポスチャーの定義と管理

Security Command Center のプレミアム ティアとエンタープライズ ティアを組織レベルで有効にすると、クラウド ネットワークやクラウド サービスなどのクラウド アセットに必要な状態を定義するセキュリティ ポスチャーを作成、管理し、クラウド環境内のセキュリティを最適化できます。セキュリティ ポスチャーは、ビジネスのセキュリティと規制のニーズに合わせてカスタマイズできます。セキュリティ ポスチャーを定義することで、組織に対するサイバーセキュリティ リスクを最小限に抑え、攻撃の発生を防ぐことができます。

Security Command Center のセキュリティ ポスチャー サービスを使用して、セキュリティ ポスチャーを定義してデプロイし、定義した体制からのブレや不正な変更を検出します。

組織レベルで Security Command Center を有効にすると、セキュリティ対策サービスが自動的に有効になります。

詳細については、セキュリティ ポスチャーの概要をご覧ください。

アセットを特定する

Security Command Center には、クラウド環境内のアセットを継続的にモニタリングする Cloud Asset Inventory のアセット情報が含まれています。ほとんどのアセットでは、IAM や組織のポリシーを含む構成の変更がほぼリアルタイムで検出されます。

Google Cloud コンソールの [アセット] ページでは、サンプル アセットクエリの簡単な適用、編集、実行、プリセット時間の制約の追加、独自のアセットクエリの作成が可能です。

Security Command Center のプレミアム ティアまたはエンタープライズ ティアをご利用の場合、攻撃パスのシミュレーションにより、どの資産がリスク評価の対象となる価値の高いリソースに指定されているかを確認できます。

組織またはプロジェクトの変更内容をすばやく確認し、次のような質問に答えることができます。

  • プロジェクトの数と作成日時。
  • デプロイ済みまたは使用中の Google Cloud リソース(Compute Engine 仮想マシン(VM)、Cloud Storage バケット、App Engine インスタンスなど)。
  • デプロイの履歴
  • 次のカテゴリの整理、アノテーション、検索、選択、フィルタリング、並べ替えを行う方法:
    • アセットとアセット プロパティ
    • セキュリティ マーク(Security Command Center でアセットや検出結果にアノテーションを付けられるようにするマーク)
    • 期間

Cloud Asset Inventory は、サポートされているアセットの現在の状態を常に把握しています。Google Cloud コンソールで検出スキャンの履歴を確認して、アセットを時点間で比較できます。仮想マシンやアイドル状態の IP アドレスなど、活用されていないアセットを探すこともできます。

Security Command Center の Gemini の機能

Security Command Center には Gemini が組み込まれており、検出結果と攻撃パスの概要を提供し、検出された脅威と脆弱性の検索と調査を支援します。

Gemini の詳細については、Gemini の概要をご覧ください。

検出結果と攻撃パスの Gemini の概要

Security Command Center Enterprise または Premium を使用している場合、Gemini には、Security Command Centerが Vulnerability および Misconfiguration クラスの検出結果に対して生成する各検出結果およびシミュレートされた各攻撃パスの説明が動的に生成されます。

サマリーは自然言語で作成されているため、検出結果とそれに付随する可能性のある攻撃パスをすばやく把握して対処できます。

サマリーは、Google Cloud コンソールの次の場所に表示されます。

  • 個々の検出結果の名前をクリックすると、検出結果の詳細ページの上部にサマリーが表示されます。
  • Security Command Center のプレミアム ティアとエンタープライズ ティアでは、検出結果に攻撃の発生可能性スコアがある場合、攻撃の発生可能性スコアと AI の概要 をクリックすると攻撃パスの右に概要を表示することができます。

AI 生成の概要に必要な IAM 権限

AI の概要を表示するには、必須の IAM 権限が必要です。

検出結果には、securitycenter.findingexplanations.get IAM 権限が必要です。この権限を含む最も厳しい IAM 事前定義ロールは、セキュリティ センターの検出閲覧者roles/securitycenter.findingsViewer)です。

攻撃パスの場合は、securitycenter.exposurepathexplan.get IAM 権限が必要です。この権限を含む最も厳しい IAM 事前定義ロールは、セキュリティ センター露出経路閲覧者roles/securitycenter.exposurePathsViewer)です。

Google Cloud コンソールでは、これらの権限をプレビュー中にカスタム IAM ロールに追加できません。

カスタムロールに権限を追加するには、Google Cloud CLI を使用します。

Google Cloud CLI を使用してカスタムロールに権限を追加する方法については、カスタムロールの作成と管理をご覧ください。

自然言語検索による脅威調査

自然言語クエリと Gemini を使用して、脅威の検出結果、アラート、その他の情報の検索を生成できます。自然言語検索のための Gemini との統合は、Chronicle SecOps を利用しています。詳細については、Chronicle SecOps ドキュメントの自然言語を使用して UDM 検索クエリを生成するをご覧ください。

ケースの AI 調査ウィジェット

検出結果とアラートのケースを理解して調査できるよう、Gemini は各ケースの概要を提供し、ケースを調査するために実行できる次のステップを提案します。ケースを表示すると、[AI 調査] ウィジェットに概要と次のステップが表示されます。

この Gemini との統合は、Chronicle SecOps を利用しています。

セキュリティに関する実用的な分析情報

Security Command Center の組み込みと統合 Google Cloud サービスは、アセットとログを継続的にモニタリングし、セキュリティ侵害インジケーターや既知の脅威、脆弱性、構成ミスと一致する構成の変更を検出します。インシデントのコンテキストを提供するため、検出結果は次のソースの情報で拡充されます。

  • Enterprise ティアとプレミアム ティアの場合:
    • Security Command Center の検出結果と、それらに含まれる攻撃パスを理解して対処する際に役立つ AI 生成のサマリー。詳細については、AI で生成されるサマリーをご覧ください。
    • 脆弱性の検出結果には、対応する CVE エントリからの情報(CVE スコア、脆弱性の潜在的な影響と悪用される可能性に関する Mandiant による評価など)が含まれます。
    • Chronicle SecOps を活用した強力な SIEM および SOAR 検索機能により、脅威と脆弱性を調査し、統合されたタイムライン内の関連エンティティをピボットできます。
  • VirusTotal は、悪意のある可能性のあるファイル、URL、ドメイン、IP アドレスに関するコンテキストを提供する、Alphabet 社のサービスです。
  • MITRE ATT&CK フレームワーク: クラウド リソースに対する攻撃の手法を解明し、修復するためのガイダンスを提供します。
  • Cloud Audit Logs(管理アクティビティ ログデータアクセス ログ

新しい検出結果がほぼリアルタイムで通知されるため、セキュリティ チームはデータを収集し、脅威を特定して、ビジネス上の損害や損失が生じる前に推奨事項に対処できます。

セキュリティ対策と堅牢な API を一元管理することで、次のことができるようになります。

  • 次のことを確認する。
    • 一般に公開されている静的 IP アドレス
    • VM で実行されているイメージ
    • VM が暗号通貨マイニングなどの不正なオペレーションに使用されている証拠の有無
    • 追加または削除されたサービス アカウント
    • ファイアウォールの構成
    • 個人を特定できる情報(PII)または機密データを含むストレージ バケット。この機能には、機密データ保護との統合が必要です。
    • クロスサイト スクリプティング(XSS)の脆弱性に対して脆弱なクラウド アプリケーション
    • インターネットに公開されている Cloud Storage バケット
  • アセットを保護するために、次の対策を行う。
    • アセットの構成ミスとコンプライアンス違反に関する検証済みの修正手順を実装する。
    • Google Cloud と Palo Alto Networks などのサードパーティ プロバイダの脅威インテリジェンスを組み合わせて、コストのかかるコンピューティング レイヤの脅威に対する企業の保護体制を強化する。
    • 適切な IAM ポリシーが適用されていることを確認し、ポリシーが誤って構成されたときや予期せず変更されたときにアラートを受け取る。
    • Google Cloud のリソースや、その他のハイブリッドまたはマルチクラウドのリソースに関する、独自のソースまたはサードパーティのソースからの検出結果を統合します。詳細については、サードパーティのセキュリティ サービスの追加をご覧ください。
    • Google Workspace 環境の脅威と Google グループの安全でない変更に対応する。

ID とアクセスの構成ミス

Security Command Center を使用すると、Google Cloud での ID の検出とアクセスの構成ミスを簡単に特定して解決できます。ID とアクセスのセキュリティの問題の管理は、クラウド インフラストラクチャ資格管理(CIEM)と呼ばれることもあります。

Security Command Center の構成ミスの検出結果では、正しく構成されていないプリンシパル アカウント(identities)、またはGoogle Cloud のリソースに対する過剰であるか機密性の高い IAM 権限(access)が付与されているプリンシパル アカウントを特定します。

最も重要度の高い ID とアクセスの検出結果は、Google Cloud コンソールの Security Command Center の [概要] ページの下部にある [ID とアクセスの検出結果] パネルで確認できます。

Google Cloud コンソールの [脆弱性] ページでは、関連する脆弱性検出機能または脆弱性カテゴリを表示するクエリ プリセット(定義済みクエリ)を選択できます。それぞれのカテゴリについて、アクティブな検出結果の数が表示されます。

クエリのプリセットの詳細については、クエリのプリセットを適用するをご覧ください。

業界標準のコンプライアンスを管理する

Security Command Center は、さまざまなセキュリティ標準のコントロールにマッピングされた検出機能でコンプライアンスをモニタリングします。

サポートされている各セキュリティ標準について、Security Command Center はコントロールのサブセットを確認します。確認されたコントロールについては、合格した数が Security Command Center に表示されます。合格していないコントロールについては、コントロールが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。

CIS は、Security Command Center の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンス マッピングは参考用として含まれています。

Security Command Center は、定期的に、新しいベンチマークのバージョンと標準のサポートを追加します。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手可能な最新のサポート対象ベンチマークまたは標準の使用をおすすめします。

セキュリティ ポスチャー サービスを使用すると、組織のポリシーと Security Health Analytics の検出機能をビジネスに適用される標準とコントロールにマッピングできます。セキュリティ ポスチャーを作成した後は、ビジネスのコンプライアンスに影響を与える可能性がある環境の変更をモニタリングできます。

コンプライアンス管理の詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。

Google Cloud でサポートされているセキュリティ標準

Security Command Center は、Google Cloud の検出機能を、以下の 1 つ以上のコンプライアンス標準にマッピングします。

AWS でサポートされているセキュリティ標準

Security Command Center は、Amazon Web Services(AWS)の検出機能を次の 1 つ以上のコンプライアンス標準にマッピングします。

セキュリティ ニーズに対応する柔軟なプラットフォーム

Security Command Center には、進化するセキュリティ ニーズに対応できるようサービスのユーティリティを向上させるカスタマイズと統合オプションが含まれています。

カスタマイズ オプション

カスタマイズ オプションには次のものがあります。

統合オプション

統合オプションには次のものがあります。

Security Command Center を使用するタイミング

次の表に、プロダクト機能の概要、ユースケース、必要なコンテンツをすばやく見つけることができる関連ドキュメントへのリンクを示します。

機能 ユースケース 関連ドキュメント
アセットの識別と確認
  • 組織やプロジェクト全体、およびクラウド プラットフォーム全体のすべてのアセット、サービス、データを 1 か所で確認できます。
  • サポートされているアセットの脆弱性を評価し、最も重大な問題の修正の優先順位を付ける。
 Security Command Center のベスト プラクティス

アクセス制御

Google Cloud コンソールでの Security Command Center の使用
機密データの識別
  • 機密データ保護を使用して、機密データと規制対象データが保管されている場所を確認する。
  • 過失による漏洩を防止し、情報適格性の原則に基づいてアクセスが制御されるようにする。
  • 中程度の機密データまたは高機密データを含むリソースを自動的に _high-value リソースとして指定します。
 機密データ保護の結果を Security Command Center に送信する
サードパーティの SIEM と SOAR プロダクトの統合
  • Security Command Center のデータを、外部の SIEM および SOAR システムに簡単にエクスポートできます。
 Security Command Center データのエクスポート

継続的エクスポート
構成ミスの検出 Security Health Analytics の概要

Web Security Scanner の概要

Rapid Vulnerability Detection の概要

脆弱性に関する検出
ソフトウェアの脆弱性の検出 Web Security Scanner の概要

Rapid Vulnerability Detection の概要

脆弱性に関する検出
ID とアクセス制御のモニタリング
  • Google Cloud リソース全体に適切なアクセス制御ポリシーを適用されていることを確認し、ポリシーが誤って構成された場合や、予期せず変更された場合に通知を受け取れるようにする。
  • クエリのプリセットを使用して、ID とアクセスの構成ミスと過剰な権限が付与されたロールに関する検出結果をすばやく表示できます。
 IAM Recommender

アクセス制御

ID とアクセスの構成ミス

脅威の検出
  • インフラストラクチャ内の悪意のあるアクティビティや人物を検出し、アクティブな脅威アラートを受信する。
  • 他のクラウド プラットフォームでの脅威を検出
 脅威を管理する

Event Threat Detection の概要

Container Threat Detection の概要
エラー検出
  • Security Command Center とそのサービスの正常な動作を妨げるエラーや構成ミスのアラートを受け取る。
 Security Command Center のエラーの概要
修復の優先順位付け
  • 攻撃の発生可能性スコアを使用して、脆弱性と構成ミスの検出結果の修正に優先順位を付けます。
  • リソースに対する攻撃の発生可能性スコアを使用して、ビジネスにとって最も価値のあるリソースを事前に保護します。
 攻撃の発生可能性スコアと攻撃パスの概要
リスクの修正
  • 検証済みで推奨される修正手順を実装して、アセットを迅速に保護する。
  • 検出結果で最も重要な領域に焦点を当て、セキュリティ アナリストが情報に基づいて迅速に優先順位を決定できるようにする。
  • 関連する脆弱性と脅威の情報を拡充して関連付けることで、TTP を特定して取得する。
  • Security Command Center とそのサービスの正常な動作を妨げるエラーや構成ミスを解決する。
 脅威の調査と対処

セキュリティ状況の分析の検出項目を修正する

Web Security Scanner の知見の修正

Rapid Vulnerability Detection の検出結果と改善策

セキュリティ対応の自動化

Security Command Center エラーの修正
体制の管理
  • ワークロードがセキュリティ標準、コンプライアンス規制、組織のカスタム セキュリティ要件に準拠していることを確認します。
  • ワークロードをデプロイする前に、Google Cloud のプロジェクト、フォルダ、組織にセキュリティ管理を適用します。
  • 定義したセキュリティ コントロールとのずれを継続的にモニタリングして解決します。
 セキュリティ体制の概要

セキュリティ体制を管理する
サードパーティのセキュリティ ツールの入力
  • Cloudflare、CrowdStrike、Palo Alto Networks の Prisma Cloud、Qualys などの既存のセキュリティ ツールからの出力を Security Command Center に統合する。出力の統合により、以下を検出可能。
    • DDoS 攻撃
    • 不正使用されたエンドポイント
    • コンプライアンス ポリシー違反
    • ネットワーク攻撃
    • インスタンスの脆弱性と脅威
 Security Command Center の構成

セキュリティ ソースの作成と管理
リアルタイムの通知
  • Pub/Sub 通知を使用して、メール、SMS、Slack、WebEx などのサービスから Security Command Center のアラートを受信する。
  • 検出結果フィルタを調整し、許可リストにある検出結果を除外する。
 検出通知の設定

リアルタイム メールとチャットの通知を有効にする

セキュリティ マークの使用

Security Command Center データのエクスポート

通知のフィルタリング

許可リストにアセットを追加する
REST API とクライアント SDK
  • Security Command Center REST API またはクライアント SDK を使用して、既存のセキュリティ システムやワークフローとの統合を容易にする。
 Security Command Center の構成

プログラムでの Security Command Center へのアクセス

Security Command Center API

データ所在地の制御

データ所在地の要件を満たすために、Security Command Center Premium を初めて有効にする際に、データ所在地のコントロールを有効にできます。

データ所在地の制御を有効にすると、Security Command Center の検出結果、ミュートルール、継続的なエクスポート、BigQuery エクスポートの保存と処理が、Security Command Center がサポートするデータ所在地マルチリージョンのいずれかに制限されます。

詳細については、データ所在地に関する計画をご覧ください。

Security Command Center のサービスティア

Security Command Center には、スタンダード、プレミアム、エンタープライズの 3 つのサービスティアがあります。

選択したティアによって、Security Command Center で使用できる機能とサービスが異なります。

Security Command Center のサービスティアについてご不明な点がある場合は、アカウント担当者または Google Cloud の営業担当者までお問い合わせください。

Security Command Center のティアの使用に関連する費用については、料金をご覧ください。

スタンダード ティア

スタンダード ティアには、以下のサービスと機能が含まれます。

  • Security Health Analytics: スタンダード ティアの Security Health Analytics は、Google Cloud のマネージド脆弱性評価スキャン機能を提供します。このスキャンでは、Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できます。スタンダード ティアの Security Health Analytics には、次の検出タイプが含まれます。

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Web Security Scanner のカスタム スキャン: スタンダード ティアの Web Security Scanner は、ファイアウォールの背後にない公開 URL と IP アドレスにデプロイされたアプリケーションのカスタム スキャンをサポートしています。スキャンでは、すべてのプロジェクトに対して手動で構成、管理、実行され、OWASP トップ 10 のカテゴリの一部がサポートされます。
  • Security Command Center のエラー: Security Command Center には、Security Command Center とそのサービスの正常な動作を妨げる構成エラーの検出と修復のガイダンスが用意されています。
  • 継続的エクスポート機能。新しい検出結果の Pub/Sub へのエクスポートを自動的に管理します。

  • 統合された Google Cloud サービスにアクセスします。これには、次のサービスが含まれます。

    • 機密データ保護は、機密データを検出、分類、保護します。
    • Google Cloud Armor。脅威から Google Cloud のデプロイを保護します。
    • 異常検出。プロジェクトと仮想マシン(VM)インスタンスのセキュリティ異常(漏洩された認証情報や暗号通貨マイニングなど)を特定します。
    • Policy Controller では、Kubernetes クラスタにプログラム可能なポリシーを適用し、利用できます。
  • GKE セキュリティ対策ダッシュボードの検出結果: Kubernetes ワークロードのセキュリティ構成ミス、対処可能なセキュリティに関する公開情報、コンテナ オペレーティング システムまたは言語パッケージの脆弱性に関する検出結果を表示します。 GKE セキュリティ ポスチャー ダッシュボードの検出結果と Security Command Center のインテグレーションは、プレビューで利用できます。
  • BigQuery との統合。分析のために検出結果を BigQuery にエクスポートします。
  • Forseti Security、Google Cloud のオープンソース セキュリティ ツールキット、サードパーティのセキュリティ情報およびイベント管理(SIEM)アプリケーションと統合します。
  • Security Command Center を組織レベルで有効にすると、組織レベル、フォルダレベル、プロジェクト レベルでユーザーに IAM ロールを付与できます。

プレミアム ティア

プレミアム ティアには、スタンダード ティアのすべてのサービスと機能に加え、次のサービスや機能が含まれます。

  • 攻撃パス シミュレーションは、潜在的な攻撃者が高価値リソースに到達するための経路を特定することで、脆弱性や構成ミスの検出結果を特定、優先順位付けするのに役立ちます。シミュレーションでは、攻撃の発生可能性スコアを計算して、それらのリソースを露出する検出結果に攻撃の発生可能性スコアを割り当てます。インタラクティブな攻撃パスを使用すると、考えられる攻撃パスを可視化し、パス、関連する検出結果、影響を受けるリソースに関する情報を提供できます。

  • 脆弱性の検出結果には、Mandiant が提供する CVE 評価が含まれており、修復の優先順位付けに役立ちます。

    コンソールの [概要] ページの [上位の CVE の検出結果] セクションには、Mandiant が評価した脆弱性の検出結果が悪用可能性と潜在的な影響ごとにグループ化されて表示されます。 [検出結果] ページでは、CVE ID で検出結果をクエリできます。

    詳細については、CVE の影響と脆弱性悪用可能性による優先順位付けをご覧ください。

  • Event Threat Detection は、脅威インテリジェンス、ML、その他の高度な方法で Cloud Logging と Google Workspace をモニタリングし、マルウェア、暗号通貨のマイニング、データの引き出しなどの脅威を検出します。組み込みの Event Threat Detection 検出機能の完全なリストについては、Event Threat Detection のルールをご覧ください。Event Threat Detection カスタム検出機能を作成することもできます。カスタム検出ルールの作成に使用できるモジュール テンプレートについては、Event Threat Detection のカスタム モジュールの概要をご覧ください。
  • Container Threat Detection は、次のコンテナ ランタイム攻撃を検出します。
    • 追加されたバイナリの実行
    • 追加されたライブラリの読み込み
    • 実行: 追加された悪意のあるバイナリが実行された
    • 実行: 追加された悪意のあるライブラリが読み込まれた
    • 実行: 組み込まれた悪意のあるバイナリが実行された
    • 実行: 変更された悪意のあるバイナリが実行された
    • 実行: 変更された悪意のあるライブラリが読み込まれた
    • 悪意のあるスクリプトの実行
    • リバースシェル
    • 予期しない子シェル
  • Sensitive Actions Service は、Google Cloud の組織、フォルダ、プロジェクトで悪意のある行為者によって行われ、ビジネスに被害を及ぼす可能性のあるアクションを検出します。
  • Virtual Machine Threat Detection は、VM インスタンスで実行され、悪質な可能性のあるアプリケーションを検出します。

  • プレミアム ティアの Security Health Analytics には、次の機能が含まれています。

    • すべての Security Health Analytics 検出機能に対するマネージド脆弱性スキャン
    • 業界の多くのベスト プラクティスのモニタリング
    • コンプライアンス モニタリングSecurity Health Analytics の検出機能は、一般的なセキュリティ ベンチマークのコントロールにマッピングされています。
    • カスタム モジュールのサポート。独自の Security Health Analytics 検出機能を作成できます。

    プレミアム ティアの Security Health Analytics は、業界標準のコンプライアンスを管理するで説明されている標準をサポートしています。

  • プレミアム ティアの Web Security Scanner には、スタンダード ティアのすべての機能と、OWASP トップ 10 のカテゴリに対応する追加の検出項目が含まれます。Web Security Scanner では、自動的に構成されるマネージド スキャンも行われます。

  • Google Cloud アセット全体のコンプライアンス モニタリング

    一般的なセキュリティ ベンチマークとセキュリティ標準のコンプライアンスを測定するために、Security Command Center の脆弱性スキャナの検出機能は、一般的なセキュリティ標準コントロールにマッピングされています。

    標準のコンプライアンスの確認、遵守していないコントロールの特定、レポートのエクスポートなどを行うことができます。詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。

  • 拡張アセット モニタリングが必要になった場合は、追加の Cloud Asset Inventory 割り当てをリクエストできます。
  • Rapid Vulnerability Detection は、ネットワークとウェブ アプリケーションをスキャンして、脆弱な認証情報、不完全なソフトウェアのインストール、悪用される可能性が高いその他の重大な脆弱性を検出します。
  • Security Posture サービスを使用すると、Google Cloud のセキュリティの全体的なステータスを定義、評価、モニタリングできます。Security Posture サービスは、固定料金のサブスクリプションを購入し、組織レベルで Security Command Center のプレミアム ティアを有効にしたお客様のみが、Security Command Center のプレミアム ティアでご利用いただけます。セキュリティ対策サービスは、従量制の課金やプロジェクト レベルのアクティベーションをサポートしていません。
  • Secured Landing Zone のサービスは、Security Command Center のプレミアム ティアでのみ有効にできます。このサービスを有効にすると、デプロイされているブループリントのリソースにポリシー違反がある場合に検出結果が表示され、対応するアラートが生成されて、自動修復アクションが選択的に実行されます。
  • VM Manager の脆弱性レポート
    • VM Manager を有効にすると、このサービスでは、脆弱性レポート(プレビュー版)からの検出結果を Security Command Center に自動的に書き込みます。このレポートによって、Compute Engine 仮想マシンにインストールされているオペレーティング システムの脆弱性が特定されます。詳細については、VM Manager をご覧ください。

エンタープライズ ティア

Enterprise ティアは、完全なクラウドネイティブ アプリケーション保護プラットフォーム(CNAPP)です。SOC アナリスト、脆弱性アナリスト、その他のクラウド セキュリティ プロフェッショナルは、複数のクラウド サービス プロバイダにまたがってセキュリティを 1 か所で管理できます。

エンタープライズ ティアでは、検出と調査の機能、ケース管理のサポート、体制管理(カスタム体制ルールの定義とデプロイ、脆弱性や構成ミスがクラウド環境にもたらすリスクの定量化と可視化など)を提供します。

エンタープライズ ティアには、スタンダード ティアとプレミアム ティアのすべてのサービスと機能に加え、次のサービスや機能が含まれます。

Chronicle Security Operations を利用したエンタープライズ階層の機能

Security Command Center の Enterprise ティアのケース管理機能、ハンドブック機能、その他の SIEM と SOAR の機能は、Chronicle Security Operations を利用しています。これらの機能の一部を使用すると、ウェブ インターフェースに Chronicle の名前が表示され、ガイダンスのために Chronicle SecOps のドキュメントが表示される場合があります。

Security Command Center では、一部の Chronicle SecOps 機能はサポートされていないか、制限されていますが、エンタープライズ ティアの早期サブスクリプションでは無効または制限がない場合があります。次の機能と関数は、指定された制限事項でのみ使用してください。

  • クラウドログの取り込みは、次のようなクラウド脅威検出に関連するログに制限されます。
    • Google Cloud
    • Cloud Audit Logs: 管理アクティビティ ログ
    • Cloud Audit Logs: データアクセス ログ
    • Compute Engine の syslog
    • GKE 監査ログ
    • Google Workspace
    • Google Workspace のイベント
    • Google Workspace アラート
    • AWS
    • CloudTrail 監査ログ
    • Syslog
    • 認証ログ
    • GuardDuty イベント
  • キュレーテッド検出は、クラウド環境で脅威を検出するものに限定されます。
  • Google Cloud Marketplace の統合は、次のものに限定されています。
    • Siemplify
    • ツール
    • VirusTotal V3
    • Google Cloud Asset Inventory
    • Google Security Command Center
    • Jira
    • 関数
    • Google Cloud IAM
    • メール V2
    • Google Cloud コンピューティング
    • Google Chronicle
    • Mitre Att&ck
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Google Cloud Recommender
    • Siemplify ユーティリティ
    • Service Now
    • CSV
    • SCC Enterprise
    • AWS IAM
    • AWS EC2
  • カスタム単一イベントルールの数は 20 ルールに制限されています。
  • UEBA(ユーザーおよびエンティティ行動分析)のリスク分析は使用できません。
  • Applied Threat Intelligence は使用できません。
  • Chronicle SecOps の Gemini のサポートは、自然言語検索とケース調査の概要に限定されています。
  • データの保持は 3 か月に制限されています。

エンタープライズ階層の機能とサービスの概要

エンタープライズ ティアには、データ所在地を除き、スタンダード ティアとプレミアム ティアのすべてのサービスと機能が含まれます。

Enterprise ティアでは、Security Command Center に次のサービスと機能が追加されます。

  • マルチクラウド サポートSecurity Command Center を AWS などの他のクラウド プロバイダに接続して、脅威、脆弱性、構成ミスを検出できます。また、他のプロバイダで価値の高いリソースを指定した後、攻撃の発生可能性スコアと攻撃パスを使用して攻撃の発生可能性を評価することもできます。
  • Chronicle SecOps を活用したクラウド環境向け SIEM(セキュリティ情報およびイベント管理)機能。複数のクラウド環境の脅威のログやその他のデータをスキャンし、脅威検出ルールを定義して、蓄積されたデータを検索します。詳細については、Chronicle SecOps SIEM のドキュメントをご覧ください。
  • Chronicle SecOps を活用したクラウド環境用の SOAR(セキュリティ オーケストレーション、自動化、対応)機能。ケースの管理、レスポンス ワークフローの定義、回答データの検索を行います。詳細については、Chronicle SecOps SOAR のドキュメントをご覧ください。
  • 脆弱性評価、VM Manager、Google Kubernetes Engine(GKE)Enterprise エディションにより、クラウド環境全体で VM とコンテナのソフトウェア脆弱性の検出を強化。

Security Command Center の有効化レベル

Security Command Center は、個別のプロジェクト(プロジェクト レベルでの有効化)または組織全体(組織レベルでの有効化)で有効にできます。

エンタープライズ ティアでは、組織レベルのアクティベーションが必要です。

Security Command Center の有効化の詳細については、Security Command Center の有効化の概要をご覧ください。

次のステップ