このページでは、Security Command Center を最大限に活用するために役立つ、Security Command Center のサービスと機能を管理するための推奨事項について説明します。
Security Command Center は、組織または個々のプロジェクトのデータとセキュリティ リスクをモニタリングするための強力なプラットフォームです。Security Command Center は、必要最小限の構成で最大限の保護を行うように設計されています。しかし、プラットフォームをワークフローに合わせて調整し、リソースが確実に保護されるようにするには、必要な手順があります。
プレミアム ティアまたはエンタープライズ ティアを有効にする
Security Command Center の Premium ティアと Enterprise ティアは、脅威検出、ソフトウェアの脆弱性検出、コンプライアンス評価、セキュリティ運用機能など、幅広いクラウド セキュリティとセキュリティ運用機能を備えており、最大限の保護を提供します。スタンダード ティアでは、限定されたサービスと機能のみを使用できます。
Security Command Center のすべての機能の詳細については、Security Command Center の概要をご覧ください。
各階層に含まれる機能については、次の情報をご覧ください。
プレミアム ティアのプロジェクト レベルの有効化を使用する
組織または個々のプロジェクトのプレミアム ティアは、Google Cloud コンソールで有効にできます。
プロジェクト レベルの有効化では、階層に関係なく、組織レベルのアクセスを必要とする特定の機能が利用できません。詳細については、プロジェクト レベルでの有効化による機能の可用性をご覧ください。
組織レベルのサブスクリプションを購入しない限り、プレミアム ティアの有効化はリソースの使用量に応じて課金されます。詳細は、料金をご覧ください。
いずれかの階層で Security Command Center を有効にする詳しい方法については、Security Command Center の有効化の概要をご覧ください。
すべての組み込みサービスを有効にする
個々のサービスのベスト プラクティスに沿って、すべての組み込みサービスを有効にすることをおすすめします。
Security Command Center がすでに有効になっている場合は、有効になっているサービスを [設定] ページで確認できます。
任意のサービスを無効にできますが、ティアのすべてのサービスを常に有効にしておくことをおすすめします。すべてのサービスを有効にしておくことで、継続的な更新を利用できるほか、新しいリソースや変更したリソースに対する保護が確実に行われるようになります。
本番環境で Web Security Scanner を有効にする前に、Web Security Scanner のベスト プラクティスを確認してください。
また、統合サービス(異常検出、機密データの保護、Google Cloud Armor)の有効化、サードパーティのセキュリティ サービスの調査、Event Threat Detection と Container Threat Detection 用に Cloud Logging を有効にすることを検討してください。情報の量によっては、機密データの保護と Google Cloud Armor の費用が高額になる可能性があります。機密データの保護のコストの制御のためのベスト プラクティスに従ったり、Google Cloud Armor の料金ガイドをお読みください。
Event Threat Detection のログを有効にする
Event Threat Detection を使用する場合は、Event Threat Detection がスキャンする特定のログを有効にする必要があります。Cloud Logging 管理アクティビティ監査ログなど、一部のログは常にオンになっていますが、データアクセス監査ログなど、他のログはデフォルトではオフになっているため、Event Threat Detection でスキャンする前に有効にする必要があります。
有効化を検討すべきログには、次のようなものがあります。
- Cloud Logging データアクセス監査ログ
- Google Workspace ログ(組織レベルの有効化のみ)
有効にする必要があるログは、次の要素によって異なります。
- 使用している Google Cloud サービス
- ビジネスのセキュリティ ニーズ
ロギングでは、特定のログの取り込みと保存に対して料金が発生する場合があります。ログを有効にする前に、ロギングの料金を確認してください。
ログが有効になると、Event Threat Detection によるスキャンが自動的に開始されます。
ログを必要とする検出モジュールと、有効にする必要があるログの詳細については、有効にする必要があるログをご覧ください。
高価値リソースセットを定義する
最も重要な保護対象のリソースを露出する、脆弱性と構成ミスの検索結果への優先順位付けを行うには、高価値リソースのうちどれが高価値リソースセットに属するかを指定します。
高価値リソースセットにリソースを露出した検出結果では、攻撃の発生可能性スコアが高くなりました。
リソース値の構成を作成して、高価値リソースセットに属するリソースを指定します。最初のリソース値の構成を作成するまで、Security Command Center はセキュリティの優先度のカスタマイズされていないデフォルトの高価値リソース セットを使用します。
Google Cloud コンソールで Security Command Center を使用する
Google Cloud コンソールの Security Command Center には、Security Command Center API ではまだ利用できない機能と視覚要素があります。直感的なインターフェース、書式設定されたグラフ、コンプライアンス レポート、視覚的な階層などの機能により、組織をより深く分析できます。詳細については、Google Cloud コンソールでの Security Command Center の使用をご覧ください。
API と gcloud による機能の拡張
プログラムによるアクセスが必要な場合は、Security Command Center クライアント ライブラリと Security Command Center API をお試しください。この API を使用すると、Security Command Center 環境にアクセスして管理できます。API Explorer を使用すると(API リファレンス ページのパネルで [この API を試す] というラベルが付いています)、API キーを使用せずに Security Command Center API をインタラクティブに試すことができます。使用可能なメソッドとパラメータの確認、リクエストの実行、リアルタイムでのレスポンスの確認が可能です。
Security Command Center API を使用すると、アナリストと管理者はリソースと検出結果を管理できます。エンジニアは、API を使用してカスタム レポートとモニタリング ソリューションを作成できます。
カスタム検出モジュールで機能を拡張する
組織の固有のニーズを満たす検出機能が必要な場合は、カスタム モジュールの作成を検討してください。
- Security Health Analytics 用のカスタム モジュールを使用すると、脆弱性、構成ミス、コンプライアンス違反に関する独自の検出ルールを定義できます。
- Event Threat Detection のカスタム モジュールでは、指定したパラメータに基づいて脅威のロギング ストリームをモニタリングできます。
リソースを確認して管理する
Security Command Center は、Google Cloud コンソールの [アセット] ページにすべてのアセットを表示します。ここでアセットに対してクエリを実行し、関連する検出結果、変更履歴、メタデータ、IAM ポリシーなど、アセットに関する情報を表示できます。
[アセット] ページのアセット情報は、Cloud Asset Inventory から読み取られます。リソースとポリシーの変更に関する通知をリアルタイムで受け取るには、フィードを作成して登録します。
詳細については、[アセット] ページをご覧ください。
脆弱性や脅威にすばやく対応する
Security Command Center の検出結果では、検出されたセキュリティに関する問題の記録を確認できます。これには、影響を受けるリソースに関する広範な詳細情報と、脆弱性や脅威を調査して解決するための詳細な手順が含まれています。
脆弱性の検出結果には、検出された脆弱性または構成ミスが記載されており、攻撃の発生可能性スコアと推定重大度が計算されています。脆弱性の検出結果により、セキュリティ標準やベンチマークの違反も通知されます。詳細については、サポートされているベンチマークをご覧ください。
Security Command Center Premium では、脆弱性の検出結果には、脆弱性の対応する CVE レコードに基づいた脆弱性の悪用可能性と潜在的な影響に関する Mandiant からの情報も含まれています。この情報は、脆弱性の修正の優先順位付けに役立ちます。詳細については、CVE の影響と脆弱性による優先順位付けをご覧ください。
脅威の検出結果には、MITRE ATT&CK フレームワークからのデータも含まれます。このフレームワークは、クラウド リソースに対する攻撃の手法を解明し、修復指針と VirusTotal(悪意のある可能性のあるファイル、URL、ドメイン、IP アドレスに関するコンテキストを提供する Alphabet 社のサービス)を提供します。
以下のガイドは、問題の解決やリソースの保護を始める際に役立ちます。
検出結果の制御
Security Command Center で検出結果の量を制御するには、手動またはプログラムによって個々の検出結果をミュートするか、定義したフィルタに基づいて検出結果を自動的にミュートするミュートルールを作成します。検索結果の音量を制御するために使用できるミュートルールには、次の 2 種類があります。
- 今後の検出結果を無期限にミュートする静的ミュートルール。
- 現在と将来の検出結果を一時的にミュートするオプションを含む動的ミュートルール。
手動で確認する検出結果の数を減らすには、動的ミュートルールのみを使用することをおすすめします。混乱を避けるために、静的ミュートルールと動的ミュートルールの両方を同時に使用することはおすすめしません。2 つのルールタイプの比較については、ミュートルールの種類をご覧ください。
ミュートされた検出結果は表示されませんが、監査とコンプライアンスのためには引き続き記録されます。ミュートされた検索結果はいつでも表示できます。また、ミュートを解除することもできます。詳細については、Security Command Center で検出結果をミュートするをご覧ください。
検出結果の量を制御するには、動的ミュートルールを使用して検出結果をミュートすることが最も効果的で、推奨されるアプローチです。また、セキュリティ マークを使用してアセットを許可リストに追加することもできます。
各 Security Health Analytics 検出機能には、検出ポリシーからマークされたリソースを除外できる専用のマークタイプがあります。この機能は、特定のリソースやプロジェクトの検出結果を作成しない場合に便利です。
セキュリティ マークの詳細については、セキュリティ マークの使用をご覧ください。
通知を設定する
通知を使用すると、新しい検出結果や更新された検出結果の通知を、ほぼリアルタイムで受け取れます。また、メールとチャット通知を使用すると、Security Command Center にログインしていなくても通知を受けることができます。詳細については、検出通知の設定をご覧ください。
Security Command Center プレミアムを使用すると、継続的エクスポートを作成できます。これにより、Pub/Sub に検出結果をエクスポートするプロセスが簡略化されます。
Cloud Run の関数を確認する
Cloud Run functions は、クラウド サービスを接続して、イベントに応答してコードを実行できるようにする Google Cloud サービスです。Notifications API と Cloud Run functions を使用して、サードパーティの修復システムやチケット発行システムへの検出結果の送信や、検出結果を自動的に閉じる、などの自動処理を行うことができます。
まず、Security Command Center のオープンソース リポジトリの Cloud Run functions コードにアクセスします。このリポジトリには、セキュリティに関する検出結果に対する自動処置に役立つソリューションが含まれています。
コミュニケーションを継続する
Security Command Center は、新しい検出項目と機能で定期的に更新されます。リリースノートには、プロダクトの変更とドキュメントの更新が記載されています。Google Cloud コンソールでお知らせの設定をすると、メールまたはモバイルでプロダクトの更新情報や特別なプロモーションを受け取ることができます。ユーザー アンケートやパイロット プログラムへの参加に関心をお持ちの場合は、ぜひお知らせください。
コメントや質問がある場合は、営業担当者または Cloud サポートのスタッフに問い合わせるか、バグを報告することで、フィードバックを提供できます。
次のステップ
Security Command Center の使用について詳細を確認する。