このページでは、セキュリティ ポスチャーの改善、セキュリティの問題の修正、脅威への対応を目的としてクラウド リソースを使用する方法について説明します。
Security Command Center では、リソースに対して次のようなアクションを実行できます。
- リソースを表示
- リソースをクエリ
- リソースの詳細を検査
- リソースに関連する検出結果を確認
必要な権限を取得
このセクションでは、コンソールでリソースを操作するために必要な IAM ロールを示します。
Google Cloud コンソール IAM ロール
Google Cloud コンソールでリソースを操作するには、次の IAM ロールが必要です。
Make sure that you have the following role or roles on the organization:
- Security Center Assets Viewer (
roles/securitycenter.assetsViewer
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
[IAM] に移動 - 組織を選択します。
- [ アクセスを許可] をクリックします。
-
[新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。
- [ロールを選択] リストでロールを選択します。
- 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
- [保存] をクリックします。
- Chronicle SOAR 管理者(
roles/chronicle.soarAdmin
) - Chronicle SOAR 脅威マネージャー(
roles/chronicle.soarThreatManager
) - Chronicle SOAR 脆弱性マネージャー(
roles/chronicle.soarVulnerabilityManager
) - Google Cloud コンソールの [アセット] ページ: すべてのサービスティアで利用可能
- Security Operations コンソールの [リソース] ページ: Enterprise ティアでのみ使用可能
- Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。
- Google Cloud プロジェクトまたは組織を選択します。
- Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。
- [クイック フィルタ] パネルで、属性フィルタを 1 つ以上選択し、クエリに追加します。
-
Security Operations コンソールで、[リソース] ページに移動します。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
CUSTOMER_SUBDOMAIN
は、お客様固有の ID に置き換えます。 - 特定の属性値を持つリソースをフィルタするには、次の手順を行います。
- [フィルタ] パネルで、属性値をクリックし、[のみを表示] をクリックします。それに応じてクエリが更新されます。
- クエリに別の属性値を追加するには、属性値をクリックして [および、のみを表示] をクリックします。
- 属性値をクエリから削除するには、属性値をクリックして [のみを表示しない] をクリックします。
- 属性値をコピーするには、属性値をクリックして [コピー] をクリックします。
- Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。
- [アセットクエリ] タブをクリックします。
- 次のいずれかの方法でクエリを編集します。
- [クエリ ライブラリ] サブタブで、事前構築済みのクエリを選択します。[適用] をクリックします。[クエリを編集] パネルのクエリが更新されます。
- [テーブルを選択] パネルで、クエリを実行するリソースタイプをクリックします。[スキーマ] サブタブで、クエリに追加する属性を探します。この属性が [クエリを編集] パネルに追加されます。
- [クエリを編集] パネルでクエリを直接編集します。
- [実行] をクリックします。クエリ結果はそれに応じて更新されます。
-
Security Operations コンソールで、[リソース] ページに移動します。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
CUSTOMER_SUBDOMAIN
は、お客様固有の ID に置き換えます。 - [ フィルタを追加] をクリックします。 [フィルタ] ダイアログが表示されます。このダイアログでは、サポートされているリソースの属性と値を選択できます。
- [フィルタ] で、フィルタする属性を選択します。
- フィルタ評価オプションと属性値を設定します。使用可能な評価オプションは、選択した属性によって異なります。
- 特定の属性値を持つリソースをフィルタするには、[のみを表示] を選択します。[値] リストで属性値を選択します。
- 特定の文字列を含む属性値を持つリソースをフィルタするには、[含む] を選択します。[値] フィールドに文字列を入力します。
- タイムスタンプに基づいてリソースをフィルタするには、[前] または [後] を選択します。[値] フィールドにタイムスタンプを入力します。
- 別のフィルタを追加する手順は次のとおりです。
- [Add filter] をクリックします。
- 属性、評価オプション、属性値を設定します。
- フィルタ間の論理関係を設定します。[論理演算子] で、
AND
またはOR
を選択します。
- [適用] をクリックします。クエリエディタが更新され、それに応じてクエリ結果がフィルタされます。
- Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。
- スクロールするか、一覧表示されたリソースに適切なフィルタを適用して、確認が必要なリソースを見つけます。
- 結果パネルのリソースのリストで、リソースの名前をクリックします。対象のリソースの詳細パネルが開きます。
- リソースの詳細パネルで、[変更履歴] タブをクリックします。
- [変更履歴] タブで、[開始日時] と [終了日時] の両方を選択します。
- 左側の [比較するレコードを選択] リストで、スナップショットを選択します。
- 右側の [比較するレコードを選択] リストで、選択した最初のスナップショットと比較するスナップショットを選択します。2 つのスナップショット間の変更がハイライト表示されます。
-
Security Operations コンソールで、[リソース] ページに移動します。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
CUSTOMER_SUBDOMAIN
は、お客様固有の ID に置き換えます。 - スクロールするか、一覧表示されたリソースに適切なフィルタを適用して、確認が必要なリソースを見つけます。
- 結果パネルのリソースのリストで、リソースの名前をクリックします。対象のリソースの詳細パネルが開きます。
- リソースの詳細パネルで、[変更履歴] タブをクリックします。
- 左側の [比較] リストで、スナップショットを選択します。
- 右側の [比較] リストで、選択した最初のスナップショットと比較するスナップショットを選択します。2 つのスナップショット間の変更がハイライト表示されます。
- Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。
- [アセット] ページの結果パネルの上部で、[フィルタ] フィールドにカーソルを置きます。フィルタのメニューが開きます。
- [作成日時] または [更新日時] のセクションまでスクロールし、時間ベースのフィルタ オプションの一つを選択します。例:
Update time after
。[フィルタ] フィールドにフィルタが追加されます。 - フィルタ フィールドで、
MM/DD/YYYY
形式の日付を入力して、キーボードの Enter キーを押します。 Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。
右側の結果パネルの上部で、列表示オプション アイコン view_column をクリックします。
表示されるメニューで、列名の横にあるチェックボックスをオンまたはオフにすることで、列を表示または非表示にできます。
- 左矢印 をクリックして、[クイック フィルタ] サイドパネルを非表示にします。
- 列の間の線を左右にドラッグして、表示列のサイズを変更します。
- リソースと検出結果にセキュリティ マークでアノテーションする。
Security Command Center のロールと権限の詳細については、組織レベルで有効にするための IAM をご覧ください。
Security Operations コンソールの IAM ロール
Security Command Center Enterprise をご利用の場合は、Security Operations コンソールでリソースを操作できます。次のいずれかの IAM ロールが必要です。
ユーザーにロールを付与する方法については、IAM を使用してユーザーをマッピングして承認するをご覧ください。
リソースページ
リソースは、Google Cloud コンソールの [アセット] ページのクエリ結果に表示されます。Security Command Center Enterprise のお客様の場合は、Security Operations コンソールの [リソース] ページに表示されます。
Security Command Center が組織レベルで有効になっている場合は、組織全体のリソースを表示できます。また、特定のプロジェクト、リソースタイプ、ロケーションでリソースをフィルタすることもできます。
Security Command Center がプロジェクト レベルで有効になっている場合は、Google Cloud コンソールでリソースタイプとロケーションでリソースをフィルタできます。
リソースのリストは Cloud Asset Inventory によって提供されます。ほとんどの場合、Cloud Asset Inventory は、Google Cloud 環境でリソースが作成、変更、削除されてから数分以内にリストを更新します。
Cloud Asset Inventory の詳細については、Cloud Asset Inventory の概要をご覧ください。
Security Command Center Enterprise のコンソールでリソースを操作する
Security Command Center Enterprise のお客様は、次の 2 つのコンソールでリソースを操作できます。
Security Operations コンソールの [リソース] ページは、プレビュー版です。
このページでは、2 つのコンソールでリソースを操作する手順を、別々のタブで並べて説明します。
詳細については、Security Command Center Enterprise コンソールをご覧ください。
リソースを表示
リソースを表示する方法については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
Security Operations コンソール
Security Operations コンソールで、[リソース] ページに移動します。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
CUSTOMER_SUBDOMAIN
は、お客様固有の ID に置き換えます。
この機能はプレビュー版であり、Security Command Center Enterprise をご利用のお客様のみご利用いただけます。
このコンソールの詳細については、Security Operations コンソールをご覧ください。
リソースを並べ替える
リソースを並べ替えるには、並べ替える値の列見出しをクリックします。列は、番号順、次にアルファベット順に並べ替えられます。
リソースのフィルタ
このセクションでは、Security Command Center でリソースを確認する一般的なクエリの実行方法について説明します。
デフォルトでは、選択したプロジェクト、フォルダ、組織内のすべてのリソースがクエリ結果に表示されます。クイック フィルタを使用するか、よりカスタマイズされたフィルタを指定して、結果を特定のリソースにフィルタできます。詳細については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
結果をリソースのタイプ、プロジェクト ID、またはロケーションでフィルタするには、[クイック フィルタ] パネルを使用します。
Risk Engine が最後の攻撃パス シミュレーションに含めた高価値リソースを表示するには、[高価値リソースセット] タブをクリックします。Risk Engine が各リソースに対して計算した攻撃の発生可能性スコアも表示できます。
事前構築済みのフィルタを適用してリソースデータを確認するには、[アセットクエリ] タブをクリックします。
Security Operations コンソール
[Google Cloud リソース] タブの [フィルタ] パネルで、リソースのタイプ、プロジェクト ID、ロケーションで結果をフィルタできます。
[高価値リソースセット] タブでは、Risk Engine が前回の攻撃パス シミュレーションに含めた高価値リソースと、Risk Engine が各リソースに対して計算した攻撃の発生可能性スコアを表示できます。
この機能はプレビュー版であり、Security Command Center Enterprise をご利用のお客様のみご利用いただけます。
リソースのフィルタ
クイック フィルタでは、プロジェクト ID、リソースタイプ、ロケーションでフィルタできます。
クイック フィルタの使用方法については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
Security Operations コンソール
この機能はプレビュー版であり、Security Command Center Enterprise をご利用のお客様のみご利用いただけます。
リソースクエリを編集する
リソースクエリを編集する方法については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
Security Operations コンソール
この機能はプレビュー版であり、Security Command Center Enterprise をご利用のお客様のみご利用いただけます。
リソースに対する変更を表示する
リソースのメタデータのスナップショットを比較して、変更内容を確認できます。
時間の経過とともにリソースの変更を確認する方法については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
Security Operations コンソール
この機能はプレビュー版であり、Security Command Center Enterprise をご利用のお客様のみご利用いただけます。
作成日時または最終更新日時のタイムスタンプでリソースをフィルタする
タイムスタンプでリソースをフィルタする方法については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
[アセット] ページの結果パネルでは、[作成日時] タイムスタンプと [最終更新日時] タイムスタンプによって、リソースをフィルタまたは並べ替えることができます。
[作成日時] タイムスタンプ、[最終更新日時] タイムスタンプ、またはその両方に基づくフィルタに対して、次の手順を行います。
結果パネルのリソースが更新され、フィルタに一致するリソースのみが表示されます。
Security Operations コンソール
この機能は、Security Operations コンソールでは使用できません。
Google Cloud コンソールで [アセット] ページをカスタマイズする
画面スペースを制御するには、[アセット] ページに表示される要素の一部をカスタマイズします。
列の表示と非表示を切り替える
[表示名] 以外の列は非表示にできます。列を非表示にするには、次の手順を行います。
クイック フィルタ パネルを非表示にする、またはサイズを変更する
次のオプションを変更すると、[アセット] ページの画面領域を制御できます。