このガイドでは、Security Command Center、Google Security Operations(Google SecOps)、Backup and DR Service の統合について説明します。この統合により、Backup and DR Service 内で発生したリスクの高いアクションのアラートを Security Command Center と Google SecOps に表示できます。
Security Command Center と Backup and DR サービス用の Google SecOps を使用すると、次のことができます。
- ワークロードからの保護の削除など、高リスクの操作に関する即時アラートを受け取る
- 脅威を調査して、影響を受けたバックアップ リソースを特定する
- ケースにバックアップの脅威を集約して、迅速かつ体系的な修復を行う
Security Command Center は、 Google Cloud 全体からログとイベントを取り込み、潜在的なセキュリティ リスクを特定します。Security Command Center Enterprise に含まれている Google SecOps は、SIEM(セキュリティ情報およびイベント管理)と SOAR(セキュリティ オーケストレーション、自動化、対応)のツールであり、複数のソースの脅威をインテリジェントに集約して関連付けます。Google SecOps では、脅威のケース管理と修復も可能です。
始める前に
Security Command Center Premium がまだ有効になっていない場合は、有効にします。これは、 Google Cloud コンソールを使用して行うことができます。Security Command Center Enterprise の場合は、 Google Cloudアカウント チームにお問い合わせください。
検出結果の生成
バックアップと DR サービスでユーザーが行った高リスクのアクションは、Event Threat Detection(Security Command Center Premium と Security Command Center Enterprise の一部)を使用してモニタリングされます。これらのアクションはリアルタイムでモニタリングされ、 Google Cloud全体の他のリスクイベントと相関付けられ、検出結果(Security Command Center)、アラート(Google SecOps)、自動キュレートされたケース(Google SecOps)として表示されます。
これらのアクションは次のとおりです。
- バックアップの削除
- バックアップ プランの削除
- ワークロードからバックアップ保護を削除する
- 復元に影響する可能性のあるバックアップ インフラストラクチャの削除
検出項目の一覧は、Security Command Center のドキュメントをご覧ください。
Security Command Center のリアルタイム検出結果
アクションが Security Command Center によってセキュリティ リスクと見なされると、検出結果が生成されます。セキュリティ管理者は、影響を受けるリソースを詳しく調べて、推奨される次のステップを実施できます。検出結果には、影響を受けるリソースの詳細、セキュリティ イベントが発生した日時、脅威を修正するために必要なアクションが含まれます。
Security Command Center には、お客様向けの組み込み調査ツールが用意されています。Cloud Logging、MITRE インジケーター、影響を受けるリソースへのリンクにより、迅速な修正が可能になります。
- Cloud Logging の統合により、詳細な Cloud Logging クエリにクリックで移動できます。
- Cloud Monitoring との統合により、類似イベントに関する追加アラートの作成が可能になります。
- MITRE の分類は、この例に示すように、検出結果で示される攻撃の種類を示します。
Google SecOps でのケース管理と修復
Google SecOps には、リスクの高いイベントをアラートとして表示するキュレーションされた検出機能があります。これらのキュレートされた検出には、バックアップとバックアップ リソースに対する潜在的な脅威が含まれます。キュレートされた検出では、追加の構成は必要ありません。アラートは、トリアージと修復のためにケースに集約されます。
バックアップと DR サービスの脅威検出は、Security Command Center Premium と Security Command Center Enterprise のすべてのお客様が利用できます。Google SecOps for Backup and DR Service は、Security Command Center Enterprise をご利用のお客様専用のサービスです。