ハンドブックの概要

このドキュメントでは、Security Command Center の Enterprise ティアで利用可能なハンドブックの概要について説明します。

概要

Security Command Center で、ハンドブックを使用して、アラートの調査と拡充、検出結果の詳細情報の取得、組織内の過剰な権限に関する推奨事項の取得、脅威、脆弱性、構成ミスへの対応の自動化を行います。チケット発行システムと統合すると、ハンドブックにより、ケースとチケットの同期を確保しながら、関連する体制の検出結果に集中できます。

Security Command Center の Enterprise ティアには、次のハンドブックが用意されています。

• 脅威対応ハンドブック:
  • AWS 脅威対応ハンドブック
  • Azure 脅威対応 ハンドブック
  • GCP 脅威対応ハンドブック
  • Google Cloud - 実行 - バイナリまたはライブラリの読み込みと実行
  • Google Cloud - 実行 - クリプトマイニング
  • Google Cloud – 実行 – 悪意のある URL スクリプトまたはシェル プロセス
  • Google Cloud – マルウェア - インジケーター
  • Google Cloud – 永続性 – IAM の異常な付与
  • Google Cloud – 永続性 - 不審な動作
• 体制の検出結果ハンドブック
  • 体制 – 有害な組み合わせのハンドブック
  • 体制の検出結果 - 一般
  • 体制の検出結果 - 一般 - VM Manager（デフォルトでは無効）
  • [Jira による体制の検出結果]（デフォルトでは無効）
  • [ServiceNow による体制の検出結果]（デフォルトでは無効）
• IAM 推奨事項を処理するためのハンドブック:
  • IAM Recommender Response（デフォルトでは無効）

デフォルトで無効になっているハンドブックは省略可能です。使用する前に、セキュリティ運用コンソールで手動で有効にする必要があります。

Security Operations コンソールでは、検出結果はケースアラートになります。アラートは、アタッチされたハンドブックをトリガーして、アラートについてできるだけ多くの情報を取得し、構成されたアクション セットを実行します。脅威の修復や、また、ハンドブックの種類に応じて、必要な情報を提供し、チケットの作成、または有害な組み合わせやIAM 推奨事項の管理を行います。

脅威対応ハンドブック

脅威対応ハンドブックを実行して、脅威を分析し、さまざまなソースを使用して検出結果を強化し、修復措置を提案して適用できます。脅威対応ハンドブックでは、Google SecOps、Security Command Center、Cloud Asset Inventory などの複数のサービスと、VirusTotal や Mandiant Threat Intelligence などのプロダクトを使用して、可能な限り多くの脅威に関するコンテキストの取得を支援します。このハンドブックは、環境内の脅威が真陽性か偽陽性か、最適な対処法を理解するのに役立ちます。

脅威対応ハンドブックで脅威に関する完全な情報を入手するには、脅威管理の高度な構成をご覧ください。

GCP 脅威対応ハンドブック ハンドブックでは、Google Cloud に起因する脅威に対する一般的なレスポンスを実行します。

AWS 脅威対応ハンドブック ハンドブックでは、Amazon Web Services に起因する脅威に対して一般的なレスポンスを実行します。

Azure 脅威対応ハンドブックでは、Microsoft Azure に起因する脅威に対する一般的なレスポンスを実行します。脅威を修正するために、プレイブックは Microsoft Entra ID からの情報の拡充を行い、メールへの返信をサポートします。

Google Cloud – マルウェア – インジケーター ハンドブックを使用すると、マルウェア関連の脅威に対応し、セキュリティ侵害インジケーター（IoC）と影響を受けるリソースを拡充できます。プレイブックでは、修復の一環として、疑わしいインスタンスを停止するか、サービス アカウントを無効にすることを推奨しています。

Google Cloud - 実行 - バイナリまたはライブラリの読み込み実行ハンドブックは、コンテナ内の不審な新しいバイナリまたはライブラリの処理に役立ちます。コンテナと関連するサービス アカウントに関する情報を拡充した後、ハンドブックは、割り当てられたセキュリティ アナリストにメールを送信して、さらなる修復を依頼します。

Google Cloud - 実行 - バイナリまたはライブラリの読み込み済み実行ハンドブックでは、次の結果を確認できます。

• 追加されたバイナリの実行
• 追加されたライブラリの読み込み
• 実行: 追加された悪意のあるバイナリが実行された
• 実行: 追加された悪意のあるライブラリが読み込まれた
• 実行: 組み込まれた悪意のあるバイナリが実行された
• 実行: 変更された悪意のあるバイナリが実行された
• 実行: 変更された悪意のあるライブラリが読み込まれた

ハンドブックで重視する検出結果の詳細については、Container Threat Detection の概要をご覧ください。

Google Cloud - 実行 - クリプトマイニング プレイブックを使用すると、Google Cloud で暗号通貨マイニングの脅威を検出し、影響を受けるアセットとサービス アカウントに関する情報を拡充し、関連リソースで検出されたアクティビティを調査して脆弱性や構成ミスを特定できます。脅威への対応として、ハンドブックでは、影響を受けるコンピューティング インスタンスを停止するか、サービス アカウントを無効にすることを推奨しています。

Google Cloud - 実行 - 悪意のある URL スクリプトまたはシェルプロセスのハンドブックは、コンテナ内の不審なアクティビティを処理し、専用のリソース拡張を実行するのに役立ちます。脅威への対応として、ハンドブックに割り当てられたセキュリティ アナリストにメールが送信されます。

Google Cloud – 実行 – 悪意のある URL スクリプトまたはシェル プロセスの Playbook は、次の検出結果で機能します。

• 悪意のあるスクリプトの実行
• 悪意のある URL の観測
• リバースシェル
• 予期しない子シェル

ハンドブックで重視する検出結果の詳細については、Container Threat Detection の概要をご覧ください。

Google Cloud – マルウェア – インジケーター プレイブックを使用すると、Security Command Center によって検出されたマルウェア関連の脅威を処理し、侵害されている可能性のあるインスタンスを調査できます。

Google Cloud – 永続性 – IAM 異常付与ハンドブックは、プリンシパルに不審な権限を付与した一連の権限とともに ID またはサービス アカウントを調査し、対象のプリンシパルを特定する際に有用です。脅威への対応として、ハンドブックは、不審なサービス アカウントを無効にするか、検出結果に関連付けられているサービス アカウントではなくユーザーである場合は、割り当てられたセキュリティ アナリストにメールを送信してさらなる修復を行うことを提案します。

プレイブックで使用されるルールの詳細については、Container Threat Detection の概要をご覧ください。

Google Cloud - 永続性 - 不審な動作のハンドブックは、新しい API メソッドを使用したログインなど、不審なユーザー関連の動作の特定のサブセットを処理するのに役立ちます。脅威への対応として、ハンドブックにより、さらなる修復のために割り当てられたセキュリティ アナリストにメールが送信されます。

プレイブックで使用されるルールの詳細については、Event Threat Detection の概要をご覧ください。

体制の検出結果ハンドブック

体制の検出結果ハンドブックを使用して、マルチクラウド体制の検出結果を分析し、Security Command Center と Cloud Asset Inventory を使用して拡充し、受信した関連情報を [ケースの概要] タブでハイライト表示します。体制の検出結果ハンドブックにより、検出結果とケースの同期を想定どおりに機能させることができます。

Posture - Toxic Combination Playbook プレイブックを使用すると、有害な組み合わせを拡充し、有害な組み合わせと関連する検出結果の追跡と処理に Security Command Center で必要なケースタグなどの必要な情報を設定できます。

体制の検出結果 - 一般 - VM Manager ハンドブックは、体制の検出結果 - 一般ハンドブックの軽量版で、Cloud Asset Inventory の拡張手順は含まれず、VM Manager の検出結果に対してのみ機能します。

デフォルトでは、[体制の検出結果 - 一般] ハンドブックのみが有効になっています。Jira または ServiceNow と統合する場合は、[体制の検出結果 - 一般] ハンドブックを無効にし、チケット発行システムに関連するハンドブックを有効にします。Jira または ServiceNow の構成の詳細については、Security Command Center Enterprise をチケット発行システムと統合するをご覧ください。

体制の検出結果の調査と拡充に加えて、Jira による体制の検出結果 と ServiceNow による体制の検出結果 ハンドブックでは、検出結果に表示されるリソース オーナーの値（メールアドレス）が、それぞれのチケット発行システムで有効で、割り当て可能な状態が保証されます。オプションのセキュリティ対策の検出結果のプレイブックは、新しいアラートが既存のケースに取り込まれたときに、新しいチケットの作成と既存のチケットの更新に必要な情報を収集します。

IAM の推奨事項を処理するためのハンドブック

IAM Recommender Response ハンドブックを使用して、IAM Recommender によって提案された推奨事項を自動的に対処し、適用します。このハンドブックではエンリッチメントは行われず、チケット システムと統合していてもチケットは作成されません。

IAM Recommender Response ハンドブックを有効にして使用する方法の詳細については、ハンドブックを使用して IAM 推奨事項を自動化するをご覧ください。

次のステップ

ハンドブックの詳細については、Google SecOps ドキュメントの次のページをご覧ください。

• ハンドブックのページの内容は何ですか?
• ハンドブックでフローを使用する
• ハンドブックでアクションを使用する
• ハンドブックのブロックを操作する
• ハンドブックをアラートにアタッチする
• アクションとハンドブックのブロックを割り当てる