脅威防止のセキュリティ プロファイルを作成して管理する

このページでは、 Google Cloud コンソールまたは Google Cloud CLI を使用して、タイプ threat-preventionセキュリティ プロファイルを作成して管理する方法について説明します。

始める前に

  • プロジェクトで Network Security API有効にする必要があります。
  • このガイドの gcloud コマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。

ロール

セキュリティ プロファイルを作成、表示、更新、削除するために必要な権限を取得するには、組織に必要な IAM ロールの付与を管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。

脅威防止のセキュリティ プロファイルを作成する

脅威防止セキュリティ プロファイル(threat-prevention タイプのセキュリティ プロファイル)を作成するときに、セキュリティ プロファイルの名前を文字列または一意の URL 識別子として指定できます。組織スコープのセキュリティ プロファイルの一意の URL は、次の形式で構成できます。

organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME

セキュリティ プロファイル名に一意の URL 識別子を使用している場合、セキュリティ プロファイルの組織とロケーションは URL 識別子にすでに含まれています。ただし、セキュリティ プロファイル名のみを使用する場合は、組織とロケーションを別々に指定する必要があります。一意の URL 識別子の詳細については、セキュリティ プロファイルの仕様をご覧ください。

コンソール

  1. Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。

    [セキュリティ プロファイル] に移動

  2. プロジェクト セレクタのメニューで、組織を選択します。

  3. [セキュリティ プロファイル] タブを選択します。

  4. [プロファイルの作成] をクリックします。

  5. 必要に応じて、[名前] フィールドに名前を入力します。

  6. 省略可: [説明] フィールドに説明を入力します。

  7. Cloud Next Generation Firewall Enterprise セキュリティ プロファイルを作成するには、[目的] セクションで [Cloud NGFW Enterprise] を選択します。

  8. 脅威防止セキュリティ プロファイルを作成するには、[タイプ] セクションで [脅威防止] を選択します。

  9. [続行] をクリックします。

必要に応じて、重大度と脅威のオーバーライドを追加します。

  1. [重大度のオーバーライド] で、オーバーライドする重大度の横にある [編集] をクリックします。
  2. [オーバーライド アクション] リストで、重大度レベルに適したアクションを選択します。
  3. 脅威シグネチャのオーバーライドを追加するには、[ID で署名を追加] をクリックします。
  4. [署名 ID] フィールドに、オーバーライドする脅威 ID を入力します。脅威 ID は脅威ダッシュボードで確認できます。
  5. [オーバーライド アクション] リストで、脅威 ID に適したアクションを選択します。
  6. [作成] をクリックします。

gcloud

脅威防止セキュリティ プロファイルを作成するには、gcloud network-security security-profiles threat-prevention create コマンドを使用します。

gcloud network-security security-profiles threat-prevention create NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    --description DESCRIPTION

次のように置き換えます。

  • NAME: 脅威防止セキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。

    NAME フラグに一意の URL 識別子を使用する場合、ORGANIZATION_ID フラグと LOCATION フラグは省略できます。

  • ORGANIZATION_ID: 脅威防止セキュリティ プロファイルが作成される組織。NAME フラグに一意の URL 識別子を使用する場合、ORGANIZATION_ID フラグは省略できます。

  • LOCATION: 脅威防止セキュリティ プロファイルのロケーション。

    ロケーションは常に global に設定されます。NAME フラグに一意の URL 識別子を使用する場合、LOCATION フラグは省略できます。

  • PROJECT_ID: 脅威防止セキュリティ プロファイルの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。

  • DESCRIPTION: 脅威防止セキュリティ プロファイルの説明(省略可)。

脅威防止のセキュリティ プロファイルを表示する

組織内の特定の脅威防止セキュリティ プロファイルの詳細を表示できます。

コンソール

  1. Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。

    [セキュリティ プロファイル] に移動

  2. [セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。

  3. [脅威防止] タイプのセキュリティ プロファイルをクリックして、プロファイルの詳細を表示します。

gcloud

脅威防止セキュリティ プロファイルの詳細を表示するには、gcloud beta network-security security-profiles describe コマンドを使用します。

  gcloud beta network-security security-profiles describe NAME \
      --organization ORGANIZATION_ID \
      --location LOCATION

次のように置き換えます。

  • NAME: 説明を取得する threat-prevention タイプのセキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。

NAME フラグに一意の URL 識別子を使用する場合、ORGANIZATION_ID フラグと LOCATION フラグは省略できます。

  • ORGANIZATION_ID: 脅威防止セキュリティ プロファイルが作成される組織。NAME フラグに一意の URL 識別子を使用する場合、ORGANIZATION_ID フラグは省略できます。

  • LOCATION: 脅威防止セキュリティ プロファイルのロケーション。ロケーションは常に global に設定されます。NAME フラグに一意の URL 識別子を使用する場合、LOCATION フラグは省略できます。

脅威防止セキュリティ プロファイルを一覧表示する

組織内のすべての脅威防止セキュリティ プロファイルを一覧表示できます。

コンソール

  1. Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。

    [セキュリティ プロファイル] に移動

  2. [セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。

gcloud

すべての脅威防止セキュリティ プロファイルを一覧表示するには、gcloud network-security security-profiles threat-prevention list コマンドを使用します。

gcloud network-security security-profiles threat-prevention list \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

次のように置き換えます。

  • ORGANIZATION_ID: 脅威防止セキュリティ プロファイルが作成される組織。

  • LOCATION: 脅威防止セキュリティ プロファイルのロケーション。ロケーションは常に global に設定されます。

  • PROJECT_ID: 脅威防止セキュリティ プロファイルの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。

脅威防止のセキュリティ プロファイルを削除する

脅威防止のセキュリティ プロファイルは、名前、ロケーション、組織を指定して削除できます。ただし、セキュリティ プロファイルがセキュリティ プロファイル グループによって参照されている場合、そのセキュリティ プロファイルは削除できません。

コンソール

  1. Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。

    [セキュリティ プロファイル] に移動

  2. [セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。

  3. 削除する脅威防止セキュリティ プロファイルを選択し、[削除] をクリックします。

  4. もう一度 [削除] をクリックして確定します。

gcloud

脅威防止セキュリティ プロファイルを削除するには、gcloud network-security security-profiles threat-prevention delete コマンドを使用します。

gcloud network-security security-profiles threat-prevention delete NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

次のように置き換えます。

  • NAME: 削除する脅威防止セキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。

  • ORGANIZATION_ID: 脅威防止セキュリティ プロファイルが作成される組織。NAME フラグに一意の URL 識別子を使用する場合、ORGANIZATION_ID フラグは省略できます。

  • LOCATION: 脅威防止セキュリティ プロファイルのロケーション。

    ロケーションは常に global に設定されます。NAME フラグに一意の URL 識別子を使用する場合、LOCATION フラグは省略できます。

  • PROJECT_ID: 脅威防止セキュリティ プロファイルの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。

脅威防止のセキュリティ プロファイルをインポートする

YAML ファイルから脅威防御セキュリティ プロファイル(カスタム作成または以前にエクスポートされたもの)をインポートできます。脅威防止セキュリティ プロファイルをインポートするときに、同じ名前のプロファイルがすでに存在する場合、Cloud NGFW は既存のプロファイルを更新します。

gcloud

YAML ファイルから脅威防止セキュリティ プロファイルをインポートするには、gcloud beta network-security security-profiles import コマンドを使用します。

gcloud beta network-security security-profiles import NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --source FILE_NAME

次のように置き換えます。

  • NAME: インポートする threat-prevention タイプのセキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。

    NAME フラグに一意の URL 識別子を使用する場合、ORGANIZATION_ID フラグと LOCATION フラグは省略できます。

  • ORGANIZATION_ID: 脅威防止セキュリティ プロファイルが作成される組織。NAME フラグに一意の URL 識別子を使用する場合、ORGANIZATION_ID フラグは省略できます。

  • LOCATION: 脅威防止セキュリティ プロファイルのロケーション。ロケーションは常に global に設定されます。NAME フラグに一意の URL 識別子を使用する場合、LOCATION フラグは省略できます。

  • FILE_NAME: 脅威防止セキュリティ プロファイルの構成エクスポート データを含む YAML ファイルのパス。例: threat-prevention-sp.yaml

    YAML ファイルに出力専用フィールドを含めることはできません。または、source フラグを省略して標準入力から読み取ることもできます。

脅威防止のセキュリティ プロファイルをエクスポートする

脅威防止セキュリティ プロファイルを YAML ファイルにエクスポートできます。たとえば、ユーザー インターフェースを使用して大規模なセキュリティ プロファイルを変更する代わりに、この機能を使用してセキュリティ プロファイルをエクスポートし、すばやく変更して、インポートし直すことができます。

gcloud

脅威防止セキュリティ プロファイルを YAML ファイルにエクスポートするには、gcloud beta network-security security-profiles export コマンドを使用します。

gcloud beta network-security security-profiles export NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --destination FILE_NAME

次のように置き換えます。

  • NAME: エクスポートする threat-prevention タイプのセキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。

    NAME フラグに一意の URL 識別子を使用する場合、ORGANIZATION_ID フラグと LOCATION フラグは省略できます。

  • ORGANIZATION_ID: 脅威防止セキュリティ プロファイルが作成される組織。NAME フラグに一意の URL 識別子を使用する場合、ORGANIZATION_ID フラグは省略できます。

  • LOCATION: 脅威防止セキュリティ プロファイルのロケーション。ロケーションは常に global に設定されます。NAME フラグに一意の URL 識別子を使用する場合、LOCATION フラグは省略できます。

  • FILE_NAME: Cloud NGFW が脅威防止セキュリティ プロファイルの構成をエクスポートする YAML ファイルのパス。例: threat-prevention-sp.yaml

    エクスポートされた構成データには、出力専用フィールドは含まれません。また、destination フラグを省略して標準出力に書き込むこともできます。

脅威防止のセキュリティ プロファイルにオーバーライド アクションを追加する

既存の脅威防止セキュリティ プロファイルで、特定の脅威シグネチャまたは重大度レベルに関連付けられているアクションをオーバーライドできます。

コンソール

  1. Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。

    [セキュリティ プロファイル] に移動

  2. [セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。

  3. アクションをオーバーライドするセキュリティ プロファイルを選択し、[編集] をクリックします。

  4. [重大度のオーバーライド] で、オーバーライドする重大度の横にある [編集] をクリックします。

  5. [オーバーライド アクション] リストで、重大度レベルに適したアクションを選択します。

  6. [確認] をクリックします。

  7. [保存] をクリックします。

gcloud

脅威防止セキュリティ プロファイルにオーバーライドを追加するには、gcloud network-security security-profiles threat-prevention add-override コマンドを使用します。

gcloud network-security security-profiles threat-prevention add-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
    --action ACTION

次のように置き換えます。

  • NAME: セキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。

  • ORGANIZATION_ID: セキュリティ プロファイルが作成される組織。

    NAME フラグに一意の URL 識別子を使用する場合、ORGANIZATION_ID フラグは省略できます。

  • LOCATION: セキュリティ プロファイルのロケーション。

    ロケーションは常に global に設定されます。NAME フラグに一意の URL 識別子を使用する場合、LOCATION フラグは省略できます。

  • PROJECT_ID: セキュリティ プロファイルの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。

  • SEVERITIES: アクションをオーバーライドする重大度レベルのカンマ区切りリスト。ファイアウォール エンドポイントは、指定された重大度レベルのすべての脅威に、構成された --action フラグを適用します。重大度は次のいずれかになります。

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS: アクションをオーバーライドする脅威シグネチャ ID のカンマ区切りリスト。ファイアウォール エンドポイントは、指定された脅威 ID のすべての脅威に、構成された --action フラグを適用します。

  • PROTOCOLS: ウイルス対策の脅威をモニタリングするネットワーク プロトコルのカンマ区切りのリスト。詳細については、サポートされているプロトコルをご覧ください。

  • ACTION: 指定した脅威 ID または重大度のアクション。詳細については、サポートされているアクションをご覧ください。

脅威防止セキュリティ プロファイルのオーバーライド アクションを一覧表示する

脅威防止セキュリティ プロファイルのすべてのオーバーライド アクションを一覧表示できます。

コンソール

  1. Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。

    [セキュリティ プロファイル] に移動

  2. [セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。

  3. セキュリティ プロファイルを選択すると、構成済みの重大度のオーバーライド アクションと脅威シグネチャのオーバーライド アクションが表示されます。

gcloud

脅威防止セキュリティ プロファイルのすべてのオーバーライド アクションを一覧表示するには、gcloud network-security security-profiles threat-prevention list-overrides コマンドを使用します。

gcloud network-security security-profiles threat-prevention list-overrides NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION

次のように置き換えます。

  • NAME: セキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。

  • ORGANIZATION_ID: セキュリティ プロファイルが作成される組織。

    NAME フラグに一意の URL 識別子を使用する場合、ORGANIZATION_ID フラグは省略できます。

  • LOCATION: セキュリティ プロファイルのロケーション。

    ロケーションは常に global に設定されます。NAME フラグに一意の URL 識別子を使用する場合、LOCATION フラグは省略できます。

脅威防止のセキュリティ プロファイルのオーバーライド アクションを更新する

脅威防止のセキュリティ プロファイルで、重大度レベルまたは脅威シグネチャの既存のオーバーライド アクションを更新できます。

コンソール

  1. Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。

    [セキュリティ プロファイル] に移動

  2. [セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。

  3. セキュリティ プロファイルを選択して、[編集] をクリックします。

  4. [重大度のオーバーライド] で、オーバーライド アクションを更新する重大度の横にある [編集] をクリックします。

  5. [オーバーライド アクション] リストで、重大度レベルに適したアクションを選択します。

  6. [確認] をクリックします。

  7. [保存] をクリックします。

gcloud

脅威防止セキュリティ プロファイルのオーバーライド アクションを更新するには、gcloud network-security security-profiles threat-prevention update-override コマンドを使用します。

gcloud network-security security-profiles threat-prevention update-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
    --action ACTION

次のように置き換えます。

  • NAME: セキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。

  • ORGANIZATION_ID: セキュリティ プロファイルが作成される組織。

    NAME フラグに一意の URL 識別子を使用する場合、ORGANIZATION_ID フラグは省略できます。

  • LOCATION: セキュリティ プロファイルのロケーション。

    ロケーションは常に global に設定されます。NAME フラグに一意の URL 識別子を使用する場合、LOCATION フラグは省略できます。

  • PROJECT_ID: セキュリティ プロファイルの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。

  • SEVERITIES: オーバーライドを更新する重大度レベルのカンマ区切りリスト。重大度は次のいずれかになります。

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS: オーバーライドを更新する脅威シグネチャ ID のカンマ区切りのリスト。

  • PROTOCOLS: ウイルス対策の脅威をモニタリングするネットワーク プロトコルのカンマ区切りのリスト。次のプロトコルがサポートされています。

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

  • ACTION: 指定した脅威 ID または重大度のデフォルトのアクション。ロールは次のいずれかです

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

脅威防止のセキュリティ プロファイルからオーバーライド アクションを削除する

脅威防止セキュリティ プロファイルから、重大度レベルまたは脅威シグネチャの既存のオーバーライド アクションを削除できます。

コンソール

  1. Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。

    [セキュリティ プロファイル] に移動

  2. [セキュリティ プロファイル] タブを選択します。このタブには、構成済みのセキュリティ プロファイルのリストが表示されます。

  3. セキュリティ プロファイルを選択して、[編集] をクリックします。

  4. [重大度のオーバーライド] で、オーバーライド アクションを削除する重大度の横にある [編集] をクリックします。

  5. [オーバーライド アクション] リストで、[オーバーライドなし] を選択します。

  6. [確認] をクリックします。

  7. [署名のオーバーライド] で、削除する脅威 ID を選択します。

  8. [削除] をクリックします。

  9. [保存] をクリックします。

gcloud

脅威防止セキュリティ プロファイルからオーバーライド アクションを削除するには、gcloud network-security security-profiles threat-prevention delete-override コマンドを使用します。

gcloud network-security security-profiles threat-prevention delete-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS]

次のように置き換えます。

  • NAME: セキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。

  • ORGANIZATION_ID: セキュリティ プロファイルが作成される組織。

    NAME フラグに一意の URL 識別子を使用する場合、ORGANIZATION_ID フラグは省略できます。

  • LOCATION: セキュリティ プロファイルのロケーション。

    ロケーションは常に global に設定されます。NAME フラグに一意の URL 識別子を使用する場合、LOCATION フラグは省略できます。

  • PROJECT_ID: セキュリティ プロファイルの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。

  • SEVERITIES: オーバーライドを削除する重大度のカンマ区切りリスト。重大度は次のいずれかになります。

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS: オーバーライドを削除する脅威シグネチャ ID のカンマ区切りのリスト。

  • PROTOCOLS: ウイルス対策の脅威をモニタリングするネットワーク プロトコルのカンマ区切りのリスト。次のプロトコルがサポートされています。

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

次のステップ