このページでは、Security Command Center で検出されたソフトウェアの脆弱性、構成ミス、および Enterprise ティアを使用した場合の有害な組み合わせ(集合的な体制の検出結果)の優先順位付けに使用できる情報と方法について説明します。これにより、リスクを軽減し、該当するセキュリティ標準に照らしてセキュリティ ポスチャーを迅速かつ効率的に改善できます。
優先順位付けの目的
時間が限られている中で、特に大規模な組織では、Security Command Center の体制の検出結果が膨大になる可能性があるため、組織にとって最大のリスクをもたらす脆弱性を迅速に特定して対処する必要があります。
脆弱性を修正して、組織に対するサイバー攻撃のリスクを軽減し、該当するセキュリティ標準への組織のコンプライアンスを維持する必要があります。
サイバー攻撃のリスクを効果的に軽減するには、リソースを最も露出する脆弱性、最も悪用される脆弱性、悪用された場合に最も重大な被害をもたらす脆弱性を見つけて修正する必要があります。
特定のセキュリティ標準に関してセキュリティ体制を効果的に改善するには、組織に適用されるセキュリティ標準の管理に違反する脆弱性を見つけて修正する必要があります。
以降のセクションでは、これらの目的を達成するために Security Command Center の体制の検出結果に優先順位を付ける方法について説明します。
体制の検出結果に優先順位を付けてリスクを軽減する
体制の検出結果には、基盤となるセキュリティ問題の修復に優先順位を付けるために使用できる次の情報が含まれます。
攻撃の発生可能性スコアで優先順位を付ける
一般に、攻撃の発生可能性スコアが高い体制の検出結果の修復を、スコアが低いかスコアのない体制の検出結果よりも優先します。
体制の検出結果には、有害な組み合わせの検出結果が含まれます。有害な組み合わせの検出結果のスコアが、別の検出結果クラスの検出結果に対する攻撃の発生可能性スコアとほぼ等しい場合は、有害な組み合わせの検出結果の修復を優先する必要があります。これは、潜在的な攻撃者が、公共のインターネットから高価値リソースに到達することが可能なためです。
別の検出結果クラスの検出結果の攻撃の発生可能性スコアが、有害な組み合わせの検出結果のスコアよりも大幅に高い場合は、スコアが大幅に高い検出結果を優先します。
詳しくは以下をご覧ください。
セキュリティ運用コンソールでスコアを表示する
セキュリティ運用コンソールでは、主にケースで作業します。ケースでは、検出結果がアラートとして記録されます。
高い攻撃の発生可能性スコアを持つ有害な組み合わわせのケースは、[体制] > [概要] ページで確認できます。
すべてのケースのスコアは [ケース] ページで確認できます。このページでは、攻撃の発生可能性スコアでケースを並べ替えることもできます。[体制] > [検出結果] ページで、攻撃の発生可能性スコア別に検出結果を並べ替えることもできます。
有害な組み合わせのケースを具体的にクエリする方法については、有害な組み合わせのケースの詳細を表示するをご覧ください。
Google Cloud コンソールでスコアを表示する
Google Cloud コンソールでは、スコアは検出結果とともに以下の複数の場所に表示されます。
- [リスクの概要] ページに、スコアが最も高い 10 件の検出結果が表示されます。
- [検出結果] ページの列。検出結果をスコアでクエリおよび並べ替えることができます。
- 高価値リソースに影響する体制の検出結果の詳細を表示する場合。
Google Cloud コンソールの [検出結果] ページで、有害な組み合わせの検出結果の攻撃の発生可能性スコアが、他の検出結果クラスの攻撃の発生可能性スコアとは別に、[有害な組み合わせスコア] 列に表示されます。
Google Cloud コンソールで、攻撃の発生可能性スコアが最も高い検出結果を表示する手順は次のとおりです。
Google Cloud コンソールで、[リスクの概要] ページに移動します。
Google Cloud コンソールのプロジェクト セレクタを使用して、脆弱性に優先順位を付ける必要があるプロジェクト、フォルダ、または組織を選択します。
[上位の有害な組み合わせのケース] セクションで、有害な組み合わせスコアが最も高い検出結果を確認します。
- [ケースを表示] リンクをクリックして、セキュリティ運用コンソールで対応するケースを開きます。
[アクティブな脆弱性の検出結果] セクションで、攻撃の発生可能性スコアが最も高い体制の検出結果を確認します。有害な組み合わせの検出結果は、このセクションには含まれません。
[攻撃の発生可能性スコア] 列のスコアをクリックすると、検出結果の攻撃パスの詳細ページが開きます。
検出結果の名前をクリックして、[検出結果] ページで検出結果の詳細パネルを開きます。
CVE の脆弱性悪用可能性と影響で優先順位を付ける
一般に、悪用可能性が高く影響が大きいという CVE 評価がある検出結果の修正を、悪用可能性が低く影響が小さいという CVE 評価がある検出結果より優先します。
Mandiant によって提供される CVE の悪用可能性や影響評価などの CVE 情報は、ソフトウェアの脆弱性自体に基づいています。
[概要] ページの [上位の CVE の検出結果] セクションのグラフまたはヒートマップで、脆弱性の検出が悪用可能性およびMandiant が提供する影響評価ごとにブロックにグループ化されます。
コンソールでソフトウェアの脆弱性検出結果の詳細を表示すると、[概要] タブの [脆弱性] セクションに CVE 情報が表示されます。影響と悪用可能性に加えて、[脆弱性] セクションには、CVSS スコア、参照リンク、CVE の脆弱性定義に関するその他の情報が記載されています。
影響と悪用可能性が最も高い検出結果をすばやく特定するには、次の手順に従います。
Google Cloud コンソールで、[概要] ページに移動します。
Google Cloud コンソールのプロジェクト セレクタを使用して、脆弱性に優先順位を付ける必要があるプロジェクト、フォルダ、または組織を選択します。
上位の CVE 検出結果セクション概要ページで、悪用の可能性と影響が最も大きいゼロ以外の番号を持つブロックをクリックします。[CVE による検出結果] ページが開き、影響と悪用可能性のレベルが同じ CVE ID のリストが表示されます。
[CVE ID による検出結果] セクションで CVE ID をクリックします。[検出結果] ページが開き、その CVE ID を共有する検出結果のリストが表示されます。
[検出結果] ページで検出結果の名前をクリックすると、検出結果の詳細と推奨される修正手順が表示されます。
重大度で優先順位を付ける
一般に、重大度が HIGH の体制の検出結果よりも、重大度が CRITICAL の体制の検出結果を優先し、重大度が MEDIUM の体制の検出結果よりも、重大度が HIGH の体制の検出結果を優先します。
検出結果の重大度はセキュリティ問題のタイプに基づいており、Security Command Center によって検出結果のカテゴリに割り当てられます。特定のカテゴリまたはサブカテゴリの検出結果はすべて同じ重大度レベルで発行されます。
Security Command Center のエンタープライズ ティアを使用している場合を除き、検出結果の重大度は静的な値であり、検出結果の存続期間中は変化しません。
Enterprise ティアでは、体制の検出結果の重大度によってリアルタイムのリスクがより正確に表されます。検出結果は検出結果カテゴリのデフォルトの重大度レベルで発行されます。ただし、検出結果に対する攻撃の発生可能性スコアが増減すると、検出結果がアクティブである間に重大度レベルが増減する可能性があります。
最も重大度の高い脆弱性を特定する最も簡単な方法は、Google Cloud コンソールの [検出結果] ページで [クイック フィルタ] を使用することです。
最も重大度の高い検出結果を表示する手順は次のとおりです。
Google Cloud コンソールで、[検出結果] ページに移動します。
Google Cloud コンソールのプロジェクト セレクタを使用して、脆弱性に優先順位を付ける必要があるプロジェクト、フォルダ、または組織を選択します。
[検出結果] ページの [クイック フィルタ] パネルで、次のプロパティを選択します。
- [検出結果クラス] で [脆弱性] を選択します。
- [重要度] で、[重大]、[高]、またはその両方を選択します。
[検出結果クエリの結果] パネルが更新され、指定した重大度の検出結果のみが表示されます。
体制の検出結果の重大度は、[有効な脆弱性の検出結果] セクションの [概要] ページでも確認できます。
コンプライアンスを改善するために体制の検出結果に優先順位を付ける
コンプライアンスのために体制の検出結果に優先順位を付ける場合、主な懸念事項は、該当するコンプライアンス基準のコントロールに違反する検出結果です。
特定のベンチマークのコントロールに違反している検出結果を確認する手順は次のとおりです。
Google Cloud コンソールで、[コンプライアンス] ページに移動します。
Google Cloud コンソールのプロジェクト セレクタを使用して、脆弱性に優先順位を付ける必要があるプロジェクト、フォルダ、または組織を選択します。
準拠する必要があるセキュリティ標準の名前の横にある [詳細を表示] をクリックします。[コンプライアンスの詳細] ページが開きます。
必要なセキュリティ標準が表示されない場合は、[コンプライアンスの詳細] ページの [コンプライアンス基準] フィールドで基準を指定します。
列見出しをクリックして、リスト表示されたルールを [検出結果] で並べ替えます。
1 つ以上の検出結果が表示されているルールの場合は、[ルール] 列でルール名をクリックします。[検出結果] ページが開き、そのルールの検出結果が表示されます。
検出結果がなくなるまで検出結果を修正します。次のスキャン後に、ルールに新しい脆弱性が見つからない場合は、合格したコントロールの割合が増加します。