Security Command Center によってモニタリングされているアセットを検査する

このページでは、セキュリティ ポスチャーの改善、セキュリティの問題の修正、脅威への対応を目的として、クラウド アセットを表示、クエリ、検査する方法について説明します。

Security Command Center では、アセットに対して次のような操作を行うことができます。

必要な権限を取得する

このセクションでは、コンソールで検出結果を操作するために必要な IAM のロールを示します。

Google Cloud コンソールの IAM ロール

Google Cloud コンソールでアセットを操作するには、次の IAM ロールが必要です。

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM に移動
  2. 組織を選択します。
  3. [ アクセスを許可] をクリックします。

  4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

  5. [ロールを選択] リストでロールを選択します。
  6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
  7. [保存] をクリックします。

    8. Security Command Center のロールと権限の詳細については、組織レベルでの有効化のための IAM をご覧ください。

    Security Operations コンソールの IAM ロール

    Security Command Center Enterprise をご利用の場合は、Security Operations コンソールでアセットを操作できます。次のいずれかの IAM ロールが必要です。

    • Chronicle SOAR 管理者roles/chronicle.soarAdmin
    • Chronicle SOAR 脅威マネージャーroles/chronicle.soarThreatManager
    • Chronicle SOAR 脆弱性マネージャーroles/chronicle.soarVulnerabilityManager

    ユーザーにロールを付与する方法については、IAM を使用してユーザーをマッピングして承認するをご覧ください。

    Security Command Center のアセットのリスト

    アセットは、Google Cloud コンソールの [アセット] ページのクエリ結果に表示されます。

    Security Command Center が組織レベルで有効になっている場合は、組織全体のアセットを表示できます。また、特定のプロジェクト、リソースタイプ、ロケーションでアセットをフィルタすることもできます。

    Security Command Center がプロジェクト レベルで有効になっている場合は、Google Cloud コンソールでアセットタイプとロケーションでリソースをフィルタできます。

    アセットのリストは Cloud Asset Inventory によって提供されます。ほとんどの場合、 Google Cloud 環境でアセットが作成、変更、削除されると、数分以内に Cloud Asset Inventory がリストを更新します。

    Cloud Asset Inventory の詳細については、Cloud Asset Inventory の概要をご覧ください。

    すべてのアセットを表示する

    アセットを表示する方法については、サービスティアのタブをクリックしてください。

    スタンダードまたはプレミアム

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. Google Cloud 組織を選択します。

    エンタープライズ

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      エンタープライズ ティアのアセットに移動する

    2. Google Cloud 組織を選択します。

    アセットを並べ替える

    アセットを並べ替えるには、並べ替える値の列見出しをクリックします。列は、番号順、次にアルファベット順に並べ替えられます。

    アセットを検索する

    デフォルトでは、組織内のすべてのアセットがクエリ結果に表示されます。Security Command Center で特定のアセットを検索するには、クイック フィルタを使用するか、カスタム フィルタを指定します。

    クイック フィルタを使用して高度な検索を行う

    アセットに対して高度な検索を行うには、クイック フィルタを使用します。たとえば、プロジェクト、リソースタイプ、ロケーションで検索できます。詳細については、サービスティアのタブをクリックしてください。

    スタンダードまたはプレミアム

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. [クイック フィルタ] パネルで、属性フィルタを 1 つ以上選択し、クエリに追加します。

    エンタープライズ

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      エンタープライズ ティアのアセットに移動する

    2. 次のいずれかのタブをクリックして、特定のクラウド プロバイダのリソースをフィルタして表示します。
      • Google Cloud のリソース
      • AWS のリソース
      • Azure のリソース
    3. 特定の属性値を持つリソースをフィルタするには、次の操作を行います。
      1. [フィルタ] パネルで属性値をクリックし、[Show only] をクリックします。それに応じてクエリが更新されます。
      2. クエリに別の属性値を追加するには、属性値をクリックして [and show only] をクリックします。
      3. 属性値をクエリから削除するには、属性値をクリックして [Do not show only] をクリックします。
    4. 属性値をコピーするには、属性値をクリックして [コピー] をクリックします。

    アセットクエリを編集する

    アセットクエリの編集方法については、サービスティアのタブをクリックしてください。

    スタンダードまたはプレミアム

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. [アセットクエリ] タブをクリックします。
    3. クエリは次の方法で編集できます。
      • [クエリ ライブラリ] サブタブで、事前構築されたクエリを選択します。[適用] をクリックします。[クエリの編集] パネルのクエリが更新されます。
      • [テーブルの選択] パネルで、クエリを実行するアセットタイプをクリックします。[スキーマ] サブタブで、クエリに追加する属性を見つけます。この属性が [クエリの編集] パネルに追加されます。
      • [クエリの編集] パネルでクエリを直接編集します。
    4. [実行] をクリックします。それに応じてクエリ結果が更新されます。

    エンタープライズ

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      エンタープライズ ティアのアセットに移動する

    2. 次のいずれかのタブをクリックして、特定のクラウド プロバイダのリソースをフィルタして表示します。
      • Google Cloud のリソース
      • AWS のリソース
      • Azure のリソース
    3. [ フィルタを追加] をクリックします。[フィルタ] ダイアログが表示されます。このダイアログでは、サポートされているリソース属性と値を選択できます。
    4. [フィルタ] で、フィルタする属性を選択します。
    5. フィルタの評価オプションと属性値を設定します。使用可能な評価オプションは、選択した属性によって異なります。
      • 特定の属性値を持つリソースをフィルタするには、[Show only] を選択します。[] リストで、属性値を選択します。
      • 特定の文字列を含む属性値を持つリソースをフィルタするには、[含む] を選択します。[] に、文字列を入力します。

        [含む] 評価オプションは、テキスト部分一致演算子のクエリ構文に従います。特殊文字を区切り文字として使用して、検索キーワードを 1 つ以上のトークンに変換します。トークン全体が一致する必要があります。トークンの一部のみを照合するには、アスタリスク(*)をトークン プレフィックス マッチ インジケーターとして使用します。

      • タイムスタンプに基づいてリソースをフィルタするには、[] または [] を選択します。[] に、タイムスタンプを入力します。
    6. 別のフィルタを追加する手順は次のとおりです。
      1. [フィルタを追加] をクリックします。
      2. 属性、評価オプション、属性値を設定します。
      3. フィルタ間の論理関係を設定します。[論理演算子] で、AND または OR を選択します。
    7. [適用] をクリックします。クエリエディタが更新され、それに応じてクエリ結果がフィルタされます。

    アセットの詳細を検査する

    このセクションでは、特定のアセットの詳細を確認する方法について説明します。

    概要の詳細を表示する

    1. アセットを検索します
    2. クエリ結果で、アセットの名前をクリックします。アセットの詳細パネルが開き、詳細の概要が表示されます。

    アセットの詳細を表示する

    アセットに関するすべての詳細(低レベルのメタデータを含む)を表示する手順は次のとおりです。

    1. アセットを検索します
    2. クエリ結果で、アセットの名前をクリックします。対象のアセットの詳細パネルが開きます。
    3. [完全なメタデータ] タブをクリックします。アセットのすべてのプロパティ名と値がツリー構造で表示されます。
    4. ツリー内の特定のプロパティ名または値を検索するには、フィルタに名前または値を入力します。
    1. アセットを検索します
    2. クエリ結果で、アセットの名前をクリックします。対象のアセットの詳細パネルが開きます。
    3. [検出結果] タブをクリックします。アセットに関連するすべての検出結果が表示されます。

    アセットの変更内容を表示する

    アセットのメタデータのスナップショットを比較して、変更内容を確認できます。

    時間の経過に伴うアセットの変化を確認する方法については、使用しているコンソールのタブをクリックしてください。

    スタンダードまたはプレミアム

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. アセットを検索します
    3. 結果パネルのアセットのリストで、アセットの名前をクリックします。対象のアセットの詳細パネルが開きます。
    4. アセットの詳細パネルで、[変更履歴] タブをクリックします。
    5. [変更履歴] タブで、[開始日時] と [終了日時] の両方を選択します。
    6. 左側の [比較するレコードを選択] リストで、スナップショットを選択します。
    7. 右側の [比較するレコードを選択] リストで、選択した最初のスナップショットと比較するスナップショットを選択します。2 つのスナップショット間の変更がハイライト表示されます。

    エンタープライズ

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      エンタープライズ ティアのアセットに移動する

    2. アセットを検索します
    3. 結果パネルのアセットのリストで、アセットの名前をクリックします。対象のアセットの詳細パネルが開きます。
    4. アセットの詳細パネルで、[変更履歴] タブをクリックします。
    5. 左側の [比較] リストで、スナップショットを選択します。
    6. 右側の [比較] リストで、選択した最初のスナップショットと比較するスナップショットを選択します。2 つのスナップショット間の変更がハイライト表示されます。

    アセットに関連付けられた IAM ポリシーを表示する

    1. アセットを検索します
    2. クエリ結果で、アセットの名前をクリックします。対象のアセットの詳細パネルが開きます。
    3. [IAM ポリシー] タブをクリックします。アセットに関連付けられている IAM ポリシーが表示されます。

    高価値リソースセットを表示する

    Risk Engine が最後の攻撃パス シミュレーションに含めた高価値リソースを確認できます。Risk Engine が各リソースに対して計算した攻撃の発生可能性スコアも確認できます。詳細については、サービスティアのタブをクリックしてください。

    スタンダードまたはプレミアム

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. [高価値リソースセット] タブをクリックします。
    3. 表示するクラウド プロバイダのサブタブをクリックします。
      • 価値の高い Google Cloud リソースを表示するには、[Google] をクリックします。リソースの詳細を表示するには、リソース名をクリックします。
      • 価値の高いアマゾン ウェブ サービス(AWS)リソースを表示するには、[AWS] をクリックします。
      • 価値の高い Microsoft Azure リソースを表示するには、[Azure] をクリックします。
    4. リソースの攻撃パス シミュレーションの詳細を表示するには、リソースの攻撃の発生可能性スコアをクリックします。攻撃パスの解釈方法については、攻撃パスをご覧ください。

    エンタープライズ

    高価値リソースセットを表示する手順は次のとおりです。

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      エンタープライズ ティアのアセットに移動する

    2. [高価値リソースセット] タブをクリックします。
    3. 表示するクラウド プロバイダのサブタブをクリックします。
      • 価値の高い Google Cloud リソースを表示するには、[Google Cloud のリソース] をクリックします。
      • 価値の高いアマゾン ウェブ サービス(AWS)リソースを表示するには、[AWS のリソース] をクリックします。
      • 価値の高い Microsoft Azure リソースを表示するには、[Azure のリソース] をクリックします。
    4. リソースの詳細を表示するには、リソースの表示名をクリックします。

    作成日時または最終更新日時のタイムスタンプでアセットをフィルタする

    タイムスタンプでアセットをフィルタする方法については、サービスティアのタブをクリックしてください。

    スタンダードまたはプレミアム

    [アセット] ページの結果パネルでは、作成日時タイムスタンプと最終更新日時タイムスタンプによって、アセットをフィルタまたは並べ替えることができます。

    作成日時タイムスタンプ、最終更新日時タイムスタンプ、またはその両方に基づくフィルタに対して、次の操作を行います。

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. [アセット] ページの結果パネルの上部で、[フィルタ] フィールドにカーソルを置きます。フィルタのメニューが開きます。
    3. [作成日時] または [更新日時] のセクションまでスクロールし、時間ベースのフィルタ オプションの一つを選択します(たとえば、Update time after)。[フィルタ] フィールドにフィルタが追加されます。
    4. フィルタ フィールドに MM/DD/YYYY 形式の日付を入力して、キーボードの Enter キーを押します。

    結果パネルのアセットが更新され、フィルタに一致するアセットのみが表示されます。

    エンタープライズ

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      エンタープライズ ティアのアセットに移動する

    2. [アセット] ページの結果パネルの上部で、[フィルタ] フィールドにカーソルを置きます。フィルタのメニューが開きます。
    3. [作成日時] または [更新日時] のセクションまでスクロールし、時間ベースのフィルタ オプションの一つを選択します。(たとえば、Update time after)。[フィルタ] フィールドにフィルタが追加されます。
    4. フィルタ フィールドに MM/DD/YYYY HH:MM:SS 形式の日付を入力して、キーボードの Enter キーを押します。

    結果パネルのアセットが更新され、フィルタに一致するアセットのみが表示されます。

    アセットクエリの結果ページをカスタマイズする

    画面スペースを制御するために、クエリ結果に表示される要素の一部をカスタマイズできます。

    列の表示 / 非表示を切り替える

    クエリ結果の列を非表示または表示する方法については、サービスティアのタブをクリックしてください。

    スタンダードまたはプレミアム

    1. 結果パネルの上部で、view_column)をクリックします。
    2. 表示する列を選択します。
    3. 非表示にする列の選択を解除します。
    4. [適用] をクリックして、クエリ結果に変更を適用します。

    エンタープライズ

    1. 結果パネルの上部にある view_column列セレクタを開く)をクリックします。[列を管理] メニューが開きます。
    2. 表示する列を選択します。
    3. 非表示にする列の選択を解除します。
    4. メニューを閉じます。

    クイック フィルタ パネルの非表示またはサイズ変更

    クエリ結果の表示領域を増やすには、パネルを非表示にするか、サイズを変更します。詳細については、サービスティアのタブをクリックしてください。

    スタンダードまたはプレミアム

    • [クイック フィルタ] サイドパネルを非表示にするには、左矢印 first_page をクリックします。
    • [クイック フィルタ] サイドパネルを表示するには、右矢印 last_page をクリックします。
    • 表示列のサイズを変更するには、列の間の線を左右にドラッグします。

    エンタープライズ

    • [フィルタ] サイドパネルを非表示にするには、chevron_leftサイドバーを閉じる)をクリックします。
    • [フィルタ] サイドパネルを表示するには、chevron_rightサイドバーを開く)をクリックします。

    次のステップ