このトピックでは、Security Command Center を最大限に活用するために役立つ、Security Command Center のサービスと機能を管理するための推奨事項について説明します。
Security Command Center は、組織全体のデータとセキュリティ リスクをモニタリングするための強力なプラットフォームで、必要最小限の構成で最大限の保護を行うように設計されています。しかし、プラットフォームをワークフローに合わせて調整し、リソースが確実に保護されるようにするには、必要な手順があります。
Security Command Center プレミアムを有効にする
Security Command Center プレミアムには、スタンダード ティアよりも多くの機能が含まれています。
Security Command Center スタンダードには、Security Health Analytics、異常検出、Web Security Scanner の非マネージド スキャンが含まれており、これらの機能が連携して、ウェブサイトやアプリケーション プロジェクトに共通の脆弱性や異常を検出します。スタンダード ティアの Security Health Analytics に含まれるのは、重大度が中と高の検出機能の基本グループのみです。
Security Command Center プレミアムには、スタンダード ティアのサービスのほか、コンプライアンス レポート、マネージド Web Security Scanner スキャン、Security Health Analytics のすべての検出機能、次の組み込みサービス(プレミアムのみ)が追加されています。
- Rapid Vulnerability Detectionプレビュー
- Virtual Machine Threat Detectionプレビュー
- Container Threat Detection
- Event Threat Detection
プレミアム ティアに登録するには、営業担当者にお問い合わせいただくか、お問い合わせフォームをご利用ください。プレミアムの機能が必要ないと判断された場合は、スタンダードにダウングレードできます。
以下のリンクは、セキュリティ体制を改善するために Security Command Center を使用する場合の詳細情報を提供しています。
すべての組み込みサービスを有効にする
デフォルトでは、Security Command Center は、オンボーディング後に、選択されたティアの組み込みサービスをすべて有効にします。任意のサービスを無効にできますが、ティア内のすべてのサービスを常に有効にしておくことをおすすめします(本番環境リソースで Web Security Scanner を使用する場合は、ベスト プラクティスを考慮してください)。すべてのサービスを有効にしておくことで、継続的な更新を利用できるほか、新しいリソースや変更したリソースに対する保護が確実に行われるようになります。
また、統合サービス(異常検出、Cloud Data Loss Prevention、Google Cloud Armor)の有効化や、サードパーティのセキュリティ サービスの調査、Event Threat Detection と Container Threat Detection 用に Cloud Logging を有効にすることを検討してください。情報量によっては、Cloud DLP と Google Cloud Armor の費用が高額になる可能性があります。Cloud DLP のコストを制御するためのベスト プラクティスに従ってください。また、Google Cloud Armor の料金ガイドをご覧ください。
Security Command Center サービスの詳細については、次の動画をご覧ください。
- Event Threat Detection スタートガイド
- Container Threat Detection スタートガイド
- Web Security Scanner スタートガイド
- Security Health Analytics スタートガイド
- Security Command Center での Cloud Data Loss Prevention スタートガイド
ダッシュボードを使用する
Security Command Center ダッシュボードには、Security Command Center API ではまだ利用できない機能と視覚要素があります。直感的なインターフェース、書式設定されたグラフ、コンプライアンス レポート、視覚的な階層などの機能により、組織をより深く分析できます。ダッシュボードの機能の詳細については、Security Command Center ダッシュボードの使用をご覧ください。
API と gcloud による機能の拡張
プログラムによるアクセスが必要な場合は、Security Command Center API をお試しください。この API を使用すると、Security Command Center 環境にアクセスして管理できます。API Explorer を使用すると(API リファレンス ページのパネルで [この API を試す] というラベルが付いています)、API キーを使用せずに Security Command Center API をインタラクティブに試すことができます。使用可能なメソッドとパラメータの確認、リクエストの実行、リアルタイムでのレスポンスの確認が可能です。
Security Command Center API を使用すると、アナリストと管理者はリソースと検出結果を管理できます。エンジニアは、API を使用してカスタム レポートとモニタリング ソリューションを作成できます。一例として、Google のソリューション アーキテクトが、Security Command Center での Policy Controller 監査違反の報告を行うために、Security Command Center API をどのように使用しているかについてご覧ください。
リソースを確認して管理する
Security Command Center では、Cloud Asset Inventory からサポートされているアセットに関するデータを取り込み、Google Cloud Console で Google Cloud リソースを検出して表示できます。Security Command Center ダッシュボードの [アセット] ページを使用して、検出スキャンの履歴を確認し、新しいアセット、変更されたアセット、削除されたアセットを識別できます。仮想マシンやアイドル状態の IP アドレスなど、活用されていないリソースを探すこともできます。管理されていないリソースは費用を増加させ、組織の攻撃対象範囲を広げる可能性があります。
リソースとポリシーの変更に関する通知をリアルタイムで受け取るには、フィードを作成して登録します。
リソースの管理について詳しくは、アセットを管理するをご覧ください。
脆弱性や脅威にすばやく対応する
Security Command Center には、影響を受けるリソースに関する広範な詳細情報と、脆弱性や脅威を調査して解決するための詳細な手順が用意されています。
脆弱性の検出結果により、セキュリティ ベンチマークの違反が通知されます。サポートされているコンプライアンス標準には、CIS Google Cloud Computing Foundations Benchmark v1.0.0~v1.2.0(CIS Google Cloud Foundation 1.0~1.2)、Payment Card Industry Data Security Standard 3.2.1(PCI-DSS v3.2.1)、OWASP Top Ten、National Institute of Standards and Technology 800-53(NIST 800-53)、International Organization for Standardization 27001(ISO 27001)などがあります。
脅威の検出結果には、MITRE ATT&CK フレームワークからのデータも含まれます。このフレームワークは、クラウド リソースに対する攻撃の手法を解明し、修復指針と VirusTotal(悪意のある可能性のあるファイル、URL、ドメイン、IP アドレスに関するコンテキストを提供する Alphabet 社のサービス)を提供します。
以下のガイドは、問題の解決やリソースの保護を始める際に役立ちます。
- Security Health Analytics の検出結果の修正
- Web Security Scanner の検出結果の修正
- Rapid Vulnerability Detection の検出結果と改善策
- 脅威の調査と対処
検出結果の制御
Security Command Center で検出結果の量を制御するには、手動またはプログラムによって個々の検出結果をミュートするか、定義したフィルタに基づいて現在と将来の検出結果を自動的にミュートするミュートルールを作成します。
ミュートされた検出結果は表示されませんが、監査とコンプライアンスのためには引き続き記録されます。ミュートされた検索結果はいつでも表示できます。また、ミュートを解除することもできます。詳しくは、Security Command Center で検出結果をミュートするをご覧ください。
検出結果の量を制御するには、検出結果をミュートすることが最も効果的で、推奨されるアプローチです。また、セキュリティ マークを使用してアセットを許可リストに追加することもできます。
各 Security Health Analytics 検出機能には、検出ポリシーからマークされたリソースを除外できる専用のマークタイプがあります。この機能は、特定のリソースやプロジェクトの検出結果を作成しない場合に便利です。
セキュリティ マークの詳細については、セキュリティ マークの使用をご覧ください。
通知を設定する
通知を使用すると、新しい検出結果や更新された検出結果の通知を、ほぼリアルタイムで受け取れます。また、メールとチャット通知を使用すると、Security Command Center にログインしていなくても通知を受けることができます。詳しくは、検出通知の設定をご覧ください。
Security Command Center プレミアムを使用すると、継続的エクスポートを作成できます。これにより、Pub/Sub に検出結果をエクスポートするプロセスが簡略化されます。
Cloud Functions について詳しく見る
Cloud Functions は、クラウド サービスを接続して、イベントに応答してコードを実行できるようにする Google Cloud サービスです。Notifications API と Cloud Functions を使用して、サードパーティの修復システムやチケット発行システムへの検出結果の送信や、検出結果を自動的に閉じる、などの自動処理を行うことができます。
まず、Security Command Center のオープンソース リポジトリの Cloud Functions コードにアクセスします。このリポジトリには、セキュリティに関する検出結果に対する自動処置に役立つソリューションが含まれています。
コミュニケーションを継続する
Security Command Center は、新しい検出項目と機能で定期的に更新されます。リリースノートには、プロダクトの変更とドキュメントの更新が記載されています。Google Cloud コンソールでお知らせの設定をすると、メールまたはモバイルでプロダクトの更新情報や特別なプロモーションを受け取ることができます。ユーザー アンケートやパイロット プログラムへの参加に関心をお持ちの場合は、ぜひお知らせください。
コメントや質問がある場合は、営業担当者または Cloud サポートのスタッフにお問い合わせください。また、バグを報告してフィードバックをお送りください。
次のステップ
Security Command Center の使用について詳細を確認する。
Security Command Center の構成方法を確認する。