このドキュメントでは、Security Command Center の Enterprise ティアで利用可能なハンドブックの概要について説明します。
アラート、ケース、ハンドブックは Google Security Operations を利用しています。
概要
Security Command Center で、ハンドブックを使用して、アラートの調査と拡充、検出結果の詳細情報の取得、組織内の過剰な権限に関する推奨事項の取得、脅威、脆弱性、構成ミスへの対応の自動化を行います。チケット発行システムと統合すると、ハンドブックにより、ケースとチケットの同期を確保しながら、関連する体制の検出結果に集中できます。
Security Command Center の Enterprise ティアには、次のハンドブックが用意されています。
- 脅威対応ハンドブック:
- GCP の脅威への対応
- AWS 脅威への対応
- 体制の検出結果のハンドブック:
- 体制の検出結果 - 一般
- [Jira による体制の検出結果](デフォルトでは無効)
- [ServiceNow による体制の検出結果](デフォルトでは無効)
- IAM 推奨事項を処理するためのハンドブック:
- IAM Recommender のレスポンス(デフォルトでは無効)
デフォルトで無効になっているハンドブックはオプションであり、使用する前に、セキュリティ オペレーション コンソールで手動で有効にする必要があります。
Security Operations コンソールでは、検出結果がケースアラートになります。アラートは、アタッチされたハンドブックをトリガーして、アラートについてできるだけ多くの情報を取得し、構成されたアクション セットを実行します。脅威の修復や、また、ハンドブックの種類に応じて、必要な情報を提供し、 チケットの作成、IAM 推奨事項の管理を行います。
脅威対応ハンドブック
GCP 脅威対応ハンドブックでは、Google Cloud の脅威の検出結果を処理します。AWS 脅威対応 ハンドブックでは、Amazon Web Services で発生した脅威の検出結果を処理します。
脅威対応ハンドブックを実行して、脅威を分析し、さまざまなソースを使用して検出結果を強化し、修復措置を提案して適用できます。脅威対応ハンドブックでは、Google SecOps、Security Command Center、Cloud Asset Inventory などの複数のサービスと、VirusTotal や Mandiant Threat Intelligence などのプロダクトを使用して、可能な限り多くの脅威に関するコンテキストの取得を支援します。このハンドブックは、セキュリティ アナリストが環境内の脅威が真陽性か擬陽性か、最適な対応方法を理解するのに役立ちます。
脅威レスポンス ハンドブックで脅威の完全な情報が提供されるようにするには、脅威管理の高度な構成をご覧ください。
体制の検出結果ハンドブック
体制の検出結果ハンドブックを使用して、マルチクラウド体制の検出結果を分析し、Security Command Center と Cloud Asset Inventory を使用して拡充し、受信した関連情報を [ケースの概要] タブでハイライト表示します。体制の検出結果ハンドブックにより、検出結果とケースの同期が期待どおりに機能するようになります。
デフォルトでは、[体制の検出結果 - 一般] ハンドブックのみが有効になっています。Jira または ServiceNow と統合する場合は、[体制の検出結果 - 一般] ハンドブックを無効にし、チケット発行システムに関連するハンドブックを有効にします。Jira または ServiceNow の構成の詳細については、Security Command Center Enterprise をチケット発行システムと統合するをご覧ください。
体制の検出結果の調査と拡充に加えて、Jira による体制の検出結果 と ServiceNow による体制の検出結果 ハンドブックでは、検出結果に表示されるリソース オーナーの値(メールアドレス)が、それぞれのチケット発行システムで有効で、割り当て可能な状態が保証されます。オプションの体制検出結果のハンドブックは、新しいアラートが既存のケースに取り込まれたときに、新しいチケットを作成し、既存のチケットを更新するために必要な情報を収集します。
IAM 推奨事項を処理するためのハンドブック
IAM Recommender Response ハンドブックを使用して、IAM Recommender によって提案された推奨事項を自動的に対処し、適用します。このハンドブックでは、拡張は行われず、チケット発行システムと統合している場合でもチケットは作成されません。
IAM Recommender Response ハンドブックの有効化と使用の詳細については、ハンドブックを使用して IAM 推奨事項を自動化するをご覧ください。
次のステップ
ハンドブックの詳細については、Google SecOps ドキュメントの次のページをご覧ください。
- ハンドブックのページの内容は何ですか?
- ハンドブックでフローを使用する
- ハンドブックでアクションを使用する
- ハンドブックのブロックを操作する
- ハンドブックをアラートにアタッチする
- アクションとハンドブック ブロックを割り当てる