Security Command Center によってモニタリングされているアセットを検査する

このページでは、セキュリティ対策の強化、セキュリティ問題の修正、脅威への対応を目的として、クラウド アセットを表示、クエリ、検査する方法について説明します。

Security Command Center では、アセットに対して次のような操作を行うことができます。

必要な権限を取得

このセクションでは、コンソールでアセットを操作するために必要な IAM のロールを一覧表示します。

Google Cloud コンソールの IAM ロール

Google Cloud コンソールでアセットを操作するには、次の IAM ロールが必要です。

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    [IAM] に移動
  2. 組織を選択します。
  3. [ アクセスを許可] をクリックします。
  4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

  5. [ロールを選択] リストでロールを選択します。
  6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
  7. [保存] をクリックします。
  8. Security Command Center のロールと権限の詳細については、組織レベルでの有効化のための IAM をご覧ください。

    Security Operations コンソールの IAM ロール

    Security Command Center Enterprise をご利用の場合は、Security Operations コンソールでアセットを操作できます。次のいずれかの IAM ロールが必要です。

    • Chronicle SOAR 管理者roles/chronicle.soarAdmin
    • Chronicle SOAR 脅威マネージャーroles/chronicle.soarThreatManager
    • Chronicle SOAR 脆弱性マネージャーroles/chronicle.soarVulnerabilityManager

    ユーザーにロールを付与する方法については、IAM を使用してユーザーをマッピングして承認するをご覧ください。

    Security Command Center のアセットのリスト

    アセットは、Google Cloud コンソールの [アセット] ページのクエリ結果に表示されます。Security Command Center Enterprise のお客様の場合は、Security Operations コンソールの [リソース] ページに表示されます。

    Security Command Center が組織レベルで有効になっている場合は、組織全体のアセットを表示できます。また、特定のプロジェクト、リソースタイプ、ロケーションでアセットをフィルタすることもできます。

    Security Command Center がプロジェクト レベルで有効になっている場合は、Google Cloud コンソールでリソースタイプとロケーションでアセットをフィルタできます。

    アセットのリストは Cloud Asset Inventory から提供されます。ほとんどの場合、Google Cloud 環境でアセットが作成、変更、削除された後、数分以内にリストが更新されます。

    Cloud Asset Inventory の詳細については、Cloud Asset Inventory の概要をご覧ください。

    Security Command Center Enterprise コンソールでアセットを操作する

    Security Command Center Enterprise をご利用の場合は、次の 2 つのコンソールでアセットを操作できます。

    • Google Cloud コンソールの [アセット] ページ: すべてのサービスティアで利用可能
    • Security Operations コンソールの [リソース] ページ: Enterprise ティアでのみ使用可能

    Security Operations コンソールの [リソース] ページは、プレビュー版です。

    このページでは、2 つのコンソールでアセットを操作する手順を、別々のタブで並べて説明します。

    詳細については、Security Command Center Enterprise コンソールをご覧ください。

    すべてのアセットを表示

    アセットを表示する方法については、使用しているコンソールのタブをクリックしてください。

    Google Cloud Console

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. Google Cloud プロジェクトまたは組織を選択します。

    Security Operations コンソール

    Security Operations コンソールで、[リソース] ページに移動します。

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
    

    CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    このコンソールの詳細については、Security Operations コンソールをご覧ください。

    アセットを並べ替える

    アセットを並べ替えるには、並べ替える値の列見出しをクリックします。列は、番号順、次にアルファベット順に並べ替えられます。

    アセットを検索する

    デフォルトでは、組織内のすべてのアセットがクエリ結果に表示されます。Security Command Center で特定のアセットを検索するには、クイック フィルタを使用するか、カスタム フィルタを指定します。

    クイック フィルタを使用して大まかな検索を行う

    アセットの概要検索を行うには、クイック フィルタを使用します。たとえば、プロジェクト、リソースタイプ、ロケーションで検索できます。詳細については、使用しているコンソールのタブをクリックしてください。

    Google Cloud Console

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. [クイック フィルタ] パネルで、属性フィルタを 1 つ以上選択し、クエリに追加します。

    Security Operations コンソール

    1. Security Operations コンソールで、[リソース] ページに移動します。
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    2. Google Cloud リソースでフィルタするには、[Google Cloud リソース] をクリックします。
    3. Amazon Web Services(AWS)リソースをフィルタするには、[AWS リソース] をクリックします。
    4. 特定の属性値を持つリソースをフィルタするには、次の手順を行います。
      1. [フィルタ] パネルで、属性値をクリックし、[のみを表示] をクリックします。それに応じてクエリが更新されます。
      2. クエリに別の属性値を追加するには、属性値をクリックして [および、のみを表示] をクリックします。
      3. 属性値をクエリから削除するには、属性値をクリックして [のみを表示しない] をクリックします。
    5. 属性値をコピーするには、属性値をクリックして [コピー] をクリックします。

    アセット クエリを編集する

    アセットクエリの編集方法については、使用しているコンソールのタブをクリックしてください。

    Google Cloud Console

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. [アセットクエリ] タブをクリックします。
    3. 次のいずれかの方法でクエリを編集します。
      • [クエリ ライブラリ] サブタブで、事前構築されたクエリを選択します。[適用] をクリックします。[クエリを編集] パネルのクエリが更新されます。
      • [テーブルを選択] パネルで、クエリを実行するアセットタイプをクリックします。[スキーマ] サブタブで、クエリに追加する属性を見つけます。この属性が [クエリを編集] パネルに追加されます。
      • [クエリを編集] パネルでクエリを直接編集します。
    4. [実行] をクリックします。クエリ結果が更新されます。

    Security Operations コンソール

    1. Security Operations コンソールで、[リソース] ページに移動します。
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    2. Google Cloud リソースでフィルタするには、[Google Cloud リソース] をクリックします。
    3. Amazon Web Services(AWS)リソースをフィルタするには、[AWS リソース] をクリックします。
    4. [ フィルタを追加] をクリックします。[フィルタ] ダイアログが表示されます。このダイアログでは、サポートされているリソース属性と値を選択できます。
    5. [フィルタ] で、フィルタする属性を選択します。
    6. フィルタ評価オプションと属性値を設定します。使用可能な評価オプションは、選択した属性によって異なります。
      • 特定の属性値を持つリソースをフィルタするには、[のみを表示] を選択します。[] リストで、属性値を選択します。
      • 特定の文字列を含む属性値を持つリソースをフィルタするには、[含む] を選択します。[] フィールドに文字列を入力します。

        [Contains] 評価オプションは、テキスト部分一致演算子のクエリ構文に従います。検索キーワードを 1 つ以上のトークンに変換し、特殊文字を区切り文字として使用し、トークン全体が一致する必要があります。トークンの一部のみを照合するには、トークン プレフィックス マッチ指標としてアスタリスク(*)を使用します。

      • タイムスタンプに基づいてリソースをフィルタするには、[] または [] を選択します。[] フィールドにタイムスタンプを入力します。
    7. 別のフィルタを追加する手順は次のとおりです。
      1. [Add filter] をクリックします。
      2. 属性、評価オプション、属性値を設定します。
      3. フィルタ間の論理関係を設定します。[論理演算子] で、AND または OR を選択します。
    8. [適用] をクリックします。クエリエディタが更新され、それに応じてクエリ結果がフィルタされます。

    アセットの詳細を検査する

    このセクションでは、特定のアセットの詳細を確認する方法について説明します。

    概要を表示する

    1. アセットを検索します。
    2. クエリ結果で、アセットの名前をクリックします。アセットの詳細パネルが開き、アセットの詳細の概要が表示されます。

    アセットの詳細を表示する

    低レベルのメタデータなど、アセットの詳細をすべて表示する手順は次のとおりです。

    1. アセットを検索します。
    2. クエリ結果で、アセットの名前をクリックします。アセットの詳細パネルが開きます。
    3. [完全なメタデータ] タブをクリックします。アセットのすべてのプロパティ名と値がツリー構造で表示されます。
    4. ツリー内の特定のプロパティ名または値を検索するには、フィルタに名前または値を入力します。
    1. アセットを検索します。
    2. クエリ結果で、アセットの名前をクリックします。アセットの詳細パネルが開きます。
    3. [検出結果] タブをクリックします。アセットに関連するすべての検出結果が表示されます。

    アセットの変更内容を表示する

    アセットのメタデータのスナップショットを比較して、変更内容を確認できます。

    時間の経過に伴うアセットの変更を確認する方法については、使用しているコンソールのタブをクリックしてください。

    Google Cloud Console

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. アセットを検索します。
    3. 結果パネルのアセットのリストで、アセットの名前をクリックします。アセットの詳細パネルが開きます。
    4. アセットの詳細パネルで、[変更履歴] タブをクリックします。
    5. [変更履歴] タブで、[開始日時] と [終了日時] の両方を選択します。
    6. 左側の [比較するレコードを選択] リストで、スナップショットを選択します。
    7. 右側の [比較するレコードを選択] リストで、選択した最初のスナップショットと比較するスナップショットを選択します。2 つのスナップショット間の変更がハイライト表示されます。

    Security Operations コンソール

    1. Security Operations コンソールで、[リソース] ページに移動します。
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    2. アセットを検索します。
    3. 結果パネルのアセットのリストで、アセットの名前をクリックします。アセットの詳細パネルが開きます。
    4. アセットの詳細パネルで、[変更履歴] タブをクリックします。
    5. 左側の [比較] リストで、スナップショットを選択します。
    6. 右側の [比較] リストで、選択した最初のスナップショットと比較するスナップショットを選択します。2 つのスナップショット間の変更がハイライト表示されます。

    アセットに関連付けられている IAM ポリシーを表示する

    1. アセットを検索します。
    2. クエリ結果で、アセットの名前をクリックします。対象のアセットの詳細パネルが開きます。
    3. [IAM ポリシー] タブをクリックします。アセットに関連付けられている IAM ポリシーが表示されます。

    高価値リソースセットを表示する

    Risk Engine が最後の攻撃パス シミュレーションに含めた高価値リソースを表示できます。また、Risk Engine が各リソースに対して計算した攻撃の発生可能性スコアも確認できます。詳細については、使用しているコンソールのタブをクリックしてください。

    Google Cloud Console

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. [高価値リソースセット] タブをクリックします。
    3. 表示するクラウド プロバイダのサブタブをクリックします。
      • 価値の高い Google Cloud リソースを表示するには、[Google] をクリックします。リソースの詳細を表示するには、リソース名をクリックします。
      • 価値の高い Amazon Web Services(AWS)リソースを表示するには、[AWS] をクリックします。
      • 価値の高い Microsoft Azure リソースを表示するには、[Azure] をクリックします。
    4. リソースの攻撃パス シミュレーションの詳細を表示するには、リソースの攻撃の発生可能性スコアをクリックします。攻撃パスを解釈する方法については、攻撃パスをご覧ください。

    Security Operations コンソール

    Security Operations コンソールでは、高価値リソースセットを確認できますが、リソースの攻撃パス シミュレーションの詳細は確認できません。攻撃パスのシミュレーションの詳細を表示するには、代わりに Google Cloud コンソールを使用します。

    Security Operations コンソールで高価値リソースセットを表示する手順は次のとおりです。

    1. Security Operations コンソールで、[リソース] ページに移動します。
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    2. [高価値リソースセット] タブをクリックします。
    3. 表示するクラウド プロバイダのサブタブをクリックします。
      • 価値の高い Google Cloud リソースを表示するには、[Google Cloud リソース] をクリックします。
      • 価値の高い Amazon Web Services(AWS)リソースを表示するには、[AWS リソース] をクリックします。
    4. リソースの詳細を表示するには、リソースの表示名をクリックします。

    作成日時または最終更新日時のタイムスタンプでアセットをフィルタする

    タイムスタンプでアセットをフィルタする方法については、使用しているコンソールのタブをクリックしてください。

    Google Cloud Console

    [アセット] ページの結果パネルでは、[作成日時] タイムスタンプと [最終更新日時] タイムスタンプによって、アセットをフィルタリングまたは並べ替えることができます。

    [作成日時] タイムスタンプ、[最終更新日時] タイムスタンプ、またはその両方に基づくフィルタに対して、次の手順を行います。

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. [アセット] ページの結果パネルの上部で、[フィルタ] フィールドにカーソルを置きます。フィルタのメニューが開きます。
    3. [作成日時] または [更新日時] のセクションまでスクロールし、時間ベースのフィルタ オプションの一つを選択します。例: Update time after。[フィルタ] フィールドにフィルタが追加されます。
    4. フィルタ フィールドに MM/DD/YYYY 形式の日付を入力し、キーボードの Enter キーを押します。

    結果パネルのアセットが更新され、フィルタに一致するアセットのみが表示されます。

    Security Operations コンソール

    この機能はセキュリティ運用コンソールで利用できません。

    アセットのクエリ結果ページをカスタマイズする

    画面スペースを制御するために、クエリ結果に表示される要素の一部をカスタマイズできます。

    列の表示と非表示を切り替える

    クエリ結果の列を非表示または表示する方法については、使用しているコンソールのタブをクリックしてください。

    Google Cloud Console

    1. 結果パネルの上部にある view_column [] をクリックします。
    2. 表示する列を選択します。
    3. 非表示にする列の選択を解除します。
    4. [適用] をクリックして、クエリ結果に変更を適用します。

    Security Operations コンソール

    1. 結果パネルの上部にある view_column [列セレクタを開く] をクリックします。[列の管理] メニューが開きます。
    2. 表示する列を選択します。
    3. 非表示にする列の選択を解除します。
    4. メニューを閉じます。

    クイック フィルタ パネルを非表示にする、またはサイズを変更する

    クエリ結果の画面領域を増やすには、パネルを非表示にするか、サイズを変更します。詳細については、使用しているコンソールのタブをクリックしてください。

    Google Cloud Console

    • [クイック フィルタ] サイドパネルを非表示にするには、左矢印 first_page をクリックします。
    • [クイック フィルタ] サイドパネルを表示するには、右矢印 last_page をクリックします。
    • 表示列のサイズを変更するには、分割線を左右にドラッグします。

    Security Operations コンソール

    • [フィルタ] サイドパネルを非表示にするには、chevron_left [サイドバーを閉じる] をクリックします。
    • [フィルタ] サイドパネルを表示するには、chevron_right [サイドバーを開く] をクリックします。

    次のステップ