このページでは、Security Command Center Enterprise のナビゲーションの概要と、Security Command Center の最上位ページでできることについて説明します。Security Command Center スタンダードまたはプレミアムを使用している場合は、 Google Cloud コンソールで Security Command Center スタンダードまたはプレミアムを使用するをご覧ください。
Security Command Center が有効になっていない場合は、有効にするように指示されます。Security Command Center Enterprise の有効化の詳細については、Security Command Center のエンタープライズ ティアを有効にするをご覧ください。
必要な IAM 権限
すべてのサービスティアで Security Command Center を使用するには、適切な権限を含む Identity and Access Management(IAM)ロールが必要です。
- セキュリティ センター管理閲覧者(
roles/securitycenter.adminViewer)は、Security Command Center を表示できます。 - セキュリティ センター管理編集者(
roles/securitycenter.adminEditor)は、Security Command Center を表示して変更を行うことができます。 - Chronicle サービス閲覧者(
roles/chroniclesm.viewer)を使用すると、関連付けられた Google SecOps インスタンスを表示できます。
組織のポリシーがドメインごとに ID を制限するように設定されている場合は、許可されたドメインのアカウントで Google Cloud コンソールにログインする必要があります。
Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。
また、次のいずれかの IAM ロールも必要です。
- Chronicle SOAR 管理者(
roles/chronicle.soarAdmin) - Chronicle SOAR 脅威マネージャー(
roles/chronicle.soarThreatManager) - Chronicle SOAR 脆弱性マネージャー(
roles/chronicle.soarVulnerabilityManager)
SOAR 関連機能へのアクセスを有効にするには、[設定 > SOAR 設定] ページで、これらの Identity and Access Management ロールを SOC ロール、権限グループ、環境にマッピングする必要があります。詳細については、IAM を使用してユーザーをマッピングして承認するをご覧ください。
Google Cloud コンソールで Security Command Center にアクセスする
Google Cloud コンソールの Security Command Center のコンテンツには、[リスクの概要] ページからアクセスできます。
Security Command Center に移動します。
Security Command Center Enterprise を有効にした組織を選択します。
選択した組織またはプロジェクトで Security Command Center がアクティブな場合は、[リスク概要] ページが開き、概要が表示されます。
Security Command Center の機能とナビゲーション
Security Command Center Enterprise のナビゲーションについて説明します。Security Command Center スタンダードまたはプレミアムを使用している場合は、 Google Cloud コンソールで Security Command Center スタンダードまたはプレミアムを使用するをご覧ください。
実行できるタスクは、Security Command Center サービスティア、有効になっているサービス、付与されている IAM ロールの権限によって異なります。
Security Command Center Enterprise の左側のナビゲーションには、Security Command Center Enterprise の有効化時に構成された Google Security Operations テナントのページへのリンクが含まれています。
また、Security Command Center Enterprise の有効化時に構成された Google Security Operations テナントには、 Google Cloud コンソール ページのサブセットへのリンクが含まれています。
Security Command Center Enterprise で使用できる Google Security Operations の機能については、Security Command Center のサービスティアをご覧ください。リンクをクリックすると、ページの説明が表示されます。
| Google Cloud コンソール ナビゲーション セクション | リンク |
|---|---|
| リスク | |
| 調査 | |
| 検出 | |
| レスポンス | |
| ダッシュボード | |
| 設定 |
[リスクの概要] ページ
[リスク概要] ページでは、すべての組み込みサービスと統合サービスから、新しい脅威とGoogle Cloud 環境に存在する未対応の脆弱性の総数を簡単に確認できます。
[リスク概要] ページは、クラウド環境で優先度の高いリスクをハイライト表示する、最初のセキュリティ ダッシュボードとして機能します。[概要] で個々の調査領域の詳細を表示するには、次のいずれかのビューを選択します。
すべてのリスク: すべてのデータが表示されます。
CVE 脆弱性: 脆弱性と関連する CVE 情報を表示します。
コード: コード関連のセキュリティ検出結果が表示されます。
AI セキュリティ: AI 関連の検出結果とセキュリティ対策のデータが表示されます。
[問題] ページ
問題は、Security Command Center Enterprise がクラウド環境で見つけた最も重要なセキュリティ リスクであり、脆弱性や脅威に迅速に対応する機会を提供します。Security Command Center は、仮想レッドチームとルールベースの検出によって問題を検出します。問題の調査については、問題の概要をご覧ください。
検出結果ページ
[検出結果] ページでは、Security Command Center の検出結果(Security Command Center サービスが環境内のセキュリティ問題を検出した際に作成するレコード)のクエリ、レビュー、ミュート、マークを行うことができます。[検出結果] ページで検出結果を操作する方法については、検出結果を確認して管理するをご覧ください。
アセットページ
[アセット] ページには、プロジェクトまたは組織内のすべての Google Cloud リソース(アセットとも呼ばれます)の詳細が表示されます。
[アセット] ページでアセットを操作する方法については、コンソールでリソースを操作するをご覧ください。
コンプライアンス ページ
デフォルトでは、Security Command Center を有効にすると、[コンプライアンス] ページの [モニタリング] タブが表示されます。このタブには、Security Health Analytics を使用して Security Command Center がサポートするすべての規制フレームワークと、合格したベンチマーク コントロールの割合が表示されます。
[モニタリング] タブでは、各規制フレームワークを確認できます。また、Security Health Analytics がチェックする規制コントロール、各コントロールで検出された違反の数、その規制フレームワークのコンプライアンス レポートをエクスポートするオプションなど、詳細を確認できます。
Security Health Analytics の脆弱性スキャナは、Google が提供するベスト エフォート マッピングに基づいて、一般的なコンプライアンス コントロールの違反をモニタリングします。Security Health Analytics のコンプライアンス レポートはコンプライアンス監査に代わるものではありませんが、コンプライアンス ステータスを維持し、早期の違反検出に役立ちます。
Security Command Center Enterprise で コンプライアンス マネージャー(プレビュー版)を有効にすると、[コンプライアンス] ページに [構成(プレビュー版)]、[モニタリング(プレビュー版)]、[監査(プレビュー版)] のタブが追加されます。これらのタブを使用すると、クラウドの制御とフレームワークの作成と適用、環境のモニタリング、監査の完了を行うことができます。
Compliance Manager が有効になっていない場合に Security Command Center がコンプライアンス管理をサポートする方法については、コンプライアンスを管理するをご覧ください。
ポスチャー管理ページ
[体制] ページでは、組織で作成したセキュリティ体制の詳細を表示し、その体制を組織、フォルダまたはプロジェクトに適用できます。使用可能な事前定義のポスチャー テンプレートを表示することもできます。
SIEM 検索
この Security Operations コンソール ページでは、Google Security Operations インスタンス内の統合データモデル(UDM)のイベントやアラートを検索できます。詳細については、Google Security Operations のドキュメントの SIEM 検索をご覧ください。
SOAR 検索
このセキュリティ運用コンソールのページでは、Google Security Operations SOAR によってインデックス登録された特定のケースまたはエンティティを検索できます。詳細については、Google Security Operations のドキュメントの SOAR の検索ページを操作するをご覧ください。
ルールと検出
この Security Operations コンソール ページでは、キュレーションされた検出を有効にして、Security Operations コンソールのログデータ収集メカニズムを使用して収集されたデータのパターンを特定するカスタムルールを作成できます。Security Command Center Enterprise で利用可能なキュレートされた検出の詳細については、キュレートされた検出で脅威を調査するをご覧ください。
アラートと IOC
この Security Operations コンソール ページでは、キュレーションされた検出とカスタムルールによって作成されたアラートを表示できます。アラートの調査については、Google Security Operations のドキュメントで次の内容をご覧ください。
- キュレーテッド検出によって生成された GCTI アラートを調査する。
- アラートの調査。
ハンドブック
この Security Operations コンソール ページでは、SCC Enterprise - クラウド オーケストレーションと修復のユースケースに含まれるハンドブックを管理できます。
このユースケースで使用できる統合については、Security Command Center のサービスティアをご覧ください。
利用可能なプレイブックについては、エンタープライズ ユースケースを更新するをご覧ください。
Security Operations コンソールの [ハンドブック] ページの使用方法については、Google Security Operations ドキュメントのハンドブック ページの内容をご覧ください。
ソースページ
[ソース] ページには、有効にしたセキュリティ ソースのアセットと検出結果の概要を示すカードが表示されます。セキュリティ ソースのカードには、そのソースの検出結果の一部が表示されます。検出カテゴリ名をクリックすると、そのカテゴリのすべての検出結果を表示できます。
SIEM ダッシュボード
この Security Operations コンソール ページでは、Google Security Operations SIEM ダッシュボードを表示して、Google Security Operations ルールによって作成されたアラートと、Security Operations コンソールのログデータ収集機能を使用して収集されたデータを分析できます。
SIEM ダッシュボードの使用の詳細については、Google Security Operations ドキュメントのダッシュボードの概要をご覧ください。
SOAR ダッシュボード
このセキュリティ運用コンソールのページでは、SOAR データを使用して、レスポンスとケースの分析に使用できるダッシュボードを表示および作成できます。SOAR ダッシュボードの使用方法については、Google Security Operations のドキュメントの SOAR ダッシュボードの概要をご覧ください。
SOAR レポート
この Security Operations コンソール ページでは、SOAR データに対するレポートを表示できます。SOAR レポートの使用の詳細については、Google Security Operations のドキュメントの SOAR レポートについてをご覧ください。
SCC の設定
次の Security Command Center を構成できます。
SCC 設定ガイド
Security Command Center Enterprise を有効にして、追加のサービスを構成できます。詳細については、エンタープライズ ティアを有効にするをご覧ください。
SIEM 設定
この Security Operations コンソール ページでは、Google Security Operations SIEM に関連する機能の構成を変更できます。これらの機能の使用方法については、Google Security Operations のドキュメントをご覧ください。
SOAR 設定
この Security Operations コンソール ページでは、Google Security Operations SOAR に関連する機能の構成を変更できます。これらの機能の使用方法については、Google Security Operations のドキュメントをご覧ください。
Security Command Center Enterprise の各ページの相違点
Security Command Center Enterprise ティアには、 Google Cloud コンソール ページと Security Operations コンソール ページの両方で使用できる機能が含まれています。
Google Cloud コンソールにログインし、 Google Cloud コンソールのナビゲーションから Security Operations コンソールのページに移動します。このセクションでは、各ロールで実行できるタスクについて説明します。
Google Cloud コンソール ページ
Google Cloud コンソールのページでは、次のようなタスクを実行できます。
- Security Command Center を有効にする。
- すべての Security Command Center ユーザーに Identity and Access Management(IAM)の権限を設定する。
- 他のクラウド環境に接続して、リソースと構成データを収集します。
- 検出結果を処理してエクスポートする。
- 攻撃の発生可能性スコアを使用してリスクを評価する。
- Security Command Center Enterprise がクラウド環境で見つけた最も重要なセキュリティ リスクである問題を操作します。
- Sensitive Data Protection を使用して機密データを特定する。
- Google Cloudの個々の検出結果を調査して修正します。
- Security Health Analytics、Web Security Scanner、その他の Google Cloud統合サービスを構成します。
- セキュリティ ポスチャーを管理する。
- クラウドの制御とフレームワークを構成する。
- データ セキュリティ ポスチャーを管理する。
- 一般的なセキュリティ基準やベンチマークの遵守状況を評価して報告する。
- Google Cloud アセットを表示して検索します。
次の画像は、Google Cloud コンソールの Security Command Center のコンテンツを示しています。
Security Operations コンソールのページ
Security Operations コンソールのページでは、次のようなタスクを実行できます。
- 他のクラウド環境に接続して、セキュリティ情報およびイベント管理(SIEM)のキュレートされた検出用のログデータを収集します。
- セキュリティ オーケストレーション、自動化、対応(SOAR)の設定を構成します。
- インシデントとケース管理用にユーザーとグループを構成します。
- 検出結果のグループ化、チケットの割り当て、アラートの操作などのケースを処理する。
- ハンドブックと呼ばれる自動化された一連の手順を使用して問題を修正する。
- Workdesk を使用して、未解決のケースとハンドブックから待機するアクションとタスクを管理する。
次の画像は、Security Operations コンソールを示しています。
Security Operations コンソールのページには、次のようなパターンの URL があります。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。