Security Command Center Enterprise ティアでは、次のようなセキュリティ強化機能が提供されます。
- Google Security Operations を使用した高度なセキュリティ運用
- Mandiant Attack Surface Management、Sensitive Data Protection、Assured OSS などの他の Google Cloud プロダクトとの統合
- マルチクラウド サポート
- リスク分析
- コンプライアンスのサポート(プレビュー)。
Enterprise ティアの機能の詳細については、サービスティアをご覧ください。
Enterprise ティアのアクティベーション プロセスは、 Google Cloud コンソールの設定ガイドを使用して完了します。最初の必須タスクの完了後、組織で必要なオプション機能を設定する追加の手順を完了します。
料金とサブスクリプションの取得については、Security Command Center の料金をご覧ください。
別のティアで Security Command Center を有効にする手順については、組織で Security Command Center Standard ティアまたはプレミアム ティアを有効にするをご覧ください。
始める前に
Security Command Center を初めて有効にする前に、次の操作を行います。
- 有効化の計画
- 組織の作成
- 管理プロジェクトを作成する
- 権限と API を構成する
- 通知の連絡先を構成する
有効化の計画
このセクションでは、アクティベーションの準備に必要な決定事項と情報について説明します。
データ所在地のサポートを有効にするかどうかを決定する
Security Command Center を有効にすると、データ所在地のサポートを有効にできます。これにより、Security Command Center データの存在場所をより細かく制御できます。Google SecOps では、データ所在地は常に有効になっています。
Enterprise サービスティアの場合、データ所在地の制御とともに Security Command Center を有効にする前に、 Google Cloud アカウント担当者に連絡して、Security Command Center を有効にする日時をスケジュールする必要があります。有効にすると、アカウント担当者が、データ所在地の制御を完全にサポートするように Google SecOps インスタンスが構成されていることを確認します。組織でデータ所在地のサポートを有効にした後は、無効にすることはできません。
スタンダード サービスティアまたはプレミアム サービスティアを使用している場合、エンタープライズ ティアにアップグレードしても、Security Command Center データのロケーションは変更されません。スタンダード ティアまたはプレミアム ティアで Security Command Center のデータ所在地を有効にしていない場合、エンタープライズ ティアにアップグレードしても有効にすることはできません。
サポート連絡先を確認する
新しい Google SecOps インスタンスを有効にするときに、会社名と連絡先のメールアドレスを指定します。組織の連絡先を特定します。この構成は、重要な連絡先とは関係ありません。
Google SecOps の構成を選択する
有効化時に、Security Command Center Enterprise を Google SecOps インスタンスに接続します。
既存のインスタンスに接続する
Security Command Center Enterprise を既存の Google SecOps SIEM スタンドアロン インスタンスまたは Google SecOps SOAR スタンドアロン インスタンスに接続することはできません。使用している Google SecOps インスタンスのタイプについてご不明な点がございましたら、 Google Cloud 営業担当者にお問い合わせください。
既存の Google SecOps インスタンスを選択すると、[SecOps インスタンスに接続] ページにインスタンスへのリンクが表示され、選択内容を確認できます。インスタンスを確認するには、そのインスタンスへのアクセス権が必要です。インスタンスにログインするには、管理プロジェクトに対する Chronicle API 制限付きデータアクセス閲覧者(roles/chronicle.restrictedDataAccessViewer)ロールが必要です。
Workforce Identity 連携を使用するように構成された既存の Google SecOps インスタンスを使用して Security Command Center をプロビジョニングする場合は、Security Command Center Enterprise で使用可能な Security Operations コンソール ページの機能にアクセスするための追加の権限を使用して、Workforce Identity プールを更新する必要があります。詳細については、セキュリティ運用コンソールのページで機能へのアクセスを制御するをご覧ください。
新しいインスタンスをプロビジョニングする
新しいインスタンスをプロビジョニングすると、新しいインスタンスのみが Security Command Center に関連付けられます。Security Command Center を使用する場合は、Google Cloud コンソールと新しくプロビジョニングされたセキュリティ運用コンソールのページ間を移動します。
有効化時に、新しい Google SecOps インスタンスをプロビジョニングするロケーションを指定します。サポートされているリージョンとマルチリージョンの一覧については、SecOps サービスのロケーションのページをご覧ください。このロケーションは Google SecOps にのみ適用され、他の Security Command Center の機能やサービスには適用されません。
各 Google SecOps インスタンスには、ユーザーが所有および管理する専用の管理プロジェクトが必要です。このプロジェクトは、Security Command Center Enterprise を有効にする組織と同じ組織に存在する必要があります。複数の Google SecOps インスタンスに同じ管理プロジェクトを使用することはできません。
既存の Google SecOps インスタンスがあり、Security Command Center Enterprise の新しいインスタンスをプロビジョニングすると、両方のインスタンスで Google Cloud データの直接取り込みに同じ構成が使用されます。同じ構成設定で両方の Google SecOps インスタンスへの取り込みが制御され、同じデータが受信されます。
Security Command Center Enterprise の有効化中に、有効化プロセスによって Google Cloud ログの取り込み設定が変更され、すべてのデータ型フィールド(Google Cloud Logging、Cloud アセット メタデータ、Security Command Center Premium の検出結果)が有効に設定されます。エクスポート フィルタの設定は変更されません。Security Command Center Enterprise では、すべての機能が設計どおりに機能するために、これらのデータ型が必要です。有効化が完了したら、Google Cloud ログの取り込み設定を変更できます。
組織の作成
Security Command Center には、ドメインに関連付けられた組織リソースが必要です。組織をまだ作成していない場合は、組織の作成と管理をご覧ください。
複数の組織がある場合は、Security Command Center Enterprise を有効にする組織を特定します。Security Command Center Enterprise を有効にする予定の組織ごとに、次の有効化手順を行う必要があります。
組織のポリシーを確認する
組織のポリシーがリソース使用量を制限するように設定されている場合は、次の API が許可されていることを確認します。
chronicle.googleapis.comcloudsecuritycompliance.googleapis.comsecuritycenter.googleapis.comsecuritycentermanagement.googleapis.com
管理プロジェクトの作成
Security Command Center Enterprise には、Google SecOps と Mandiant Attack Surface Management の統合を可能にするために、管理プロジェクトと呼ばれるプロジェクトが必要です。このプロジェクトは Security Command Center Enterprise 専用にすることをおすすめします。
以前に Google SecOps を有効にしていて、既存のインスタンスに接続する場合は、Google SecOps に接続されている既存の管理プロジェクトを使用します。
新しい Google SecOps インスタンスをプロビジョニングする場合は、新しいインスタンス専用の新しい管理プロジェクトを作成します。別の Google SecOps インスタンスに接続されている管理プロジェクトを再利用しないでください。
Google SecOps は、VPC Service Controls サービス境界内にある管理プロジェクトの使用をサポートしていません。
詳細については、プロジェクトの作成と管理をご覧ください。
権限と API を構成する
このセクションの情報を使用して、Security Command Center Enterprise の有効化に必要な権限を構成します。
Security Command Center のロールと Google Cloud API の詳細を確認する。
組織の権限を構成する
Make sure that you have the following role or roles on the organization:
-
Organization Administrator (
roles/resourcemanager.organizationAdmin) - Cloud Asset Owner (
roles/cloudasset.owner) - Security Center Admin (
roles/securitycenter.admin) - Security Admin (
roles/iam.securityAdmin) - Chronicle Service Viewer (
roles/chroniclesm.viewer)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
IAM に移動 - 組織を選択します。
- [ アクセスを許可] をクリックします。
-
[新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。
- [ロールを選択] リストでロールを選択します。
- 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
- [保存] をクリックします。
- Google Cloud コンソールで、Security Command Center Enterprise ティアを有効にする組織が表示されていることを確認します。
- 以前に作成した管理プロジェクトを選択します。
-
Make sure that you have the following role or roles on the project:
- Service Usage Admin (
roles/serviceusage.serviceUsageAdmin) - Service Account Token Creator (
roles/iam.serviceAccountTokenCreator) - Chronicle API Admin (
roles/chronicle.admin) - Chronicle Service Admin (
roles/chroniclesm.admin) - Chronicle SOAR Admin (
roles/chronicle.soarAdmin) - Service Account Key Admin (
roles/iam.serviceAccountKeyAdmin) - Service Account Admin (
roles/iam.serviceAccountAdmin)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
IAM に移動 - プロジェクトを選択します。
- [ アクセスを許可] をクリックします。
-
[新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。
- [ロールを選択] リストでロールを選択します。
- 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
- [保存] をクリックします。
Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.既存の Google SecOps インスタンスを使用するときにサービス アカウントを作成する
既存の Google SecOps インスタンスに接続する場合は、ユーザー管理のサービス アカウントを作成し、サービス アカウントに次のロールを付与します。
- Security Command Center を有効にする予定の組織レベルの
Chronicle SOAR サービス エージェント(
roles/chronicle.soarServiceAgent)と Pub/Sub 管理者(roles/pubsub.admin)。 - 管理プロジェクトに対する
Chronicle サービス エージェント(
roles/chronicle.serviceAgent)。
通知の連絡先を構成する
セキュリティ管理者が重要な通知を受信できるように、重要な連絡先を構成します。手順については、通知の連絡先の管理をご覧ください。
Security Command Center のエンタープライズ ティアを有効にする
有効化プロセスでは、Security Command Center Enterprise に含まれるサービス アカウント、権限、サービスが自動的に構成されます。既存の Google SecOps Standard、Enterprise、Enterprise Plus インスタンスに接続するか、新しいインスタンスをプロビジョニングできます。
Google Cloud コンソールで、Security Command Center の [リスクの概要] ページに移動します。
Security Command Center Enterprise ティアを有効にする組織が表示されていることを確認します。
[Security Command Center] ページで、[Security Command Center を取得] をクリックします。
[Security Command Center Enterprise スタートガイド] ページで、構成されるサービス アカウントと API を確認し、[次へ] をクリックします。
- 作成されるサービス アカウントを表示するには、[サービス アカウントと権限を表示] をクリックします。
- 有効になる API を確認するには、[Security Command Center Enterprise API を確認] をクリックします。
- 利用規約を表示するには、Security Command Center Enterprise の利用規約をクリックします。
[Security Command Center Enterprise スタートガイド] ページが表示されない場合は、Google Cloud セールスに連絡して、サブスクリプションの利用資格が有効になっていることを確認します。
次のページには、環境に応じて異なるビューが表示されます。
既存の Google SecOps インスタンスがある場合は、既存のインスタンスを使用するか、新しいインスタンスを作成するよう求められます。ステップ 5 に進んでインスタンス タイプを選択します。
既存の Google SecOps インスタンスがない場合は、ステップ 6 に進んで新しい Google SecOps インスタンスを作成します。
組織が Google SecOps インスタンスにリンクされている場合は、次のいずれかを選択します。Google SecOps インスタンスにリンクされていない場合は、ステップ 6 に進んで新しい Google SecOps インスタンスを作成します。
[はい、既存の Google Security Operations インスタンスに接続します] を選択し、メニューからインスタンスを選択します。手順 7 に進んで有効化を開始します。
メニューには、Security Command Center Enterprise を有効にする組織に関連付けられている Google SecOps インスタンスが表示されます。各項目には、Google SecOps の顧客 ID、プロビジョニングされたリージョン、関連付けられている Google Cloud プロジェクト名が含まれます。Security Command Center Enterprise と互換性のないインスタンスは選択できません。
このページには、選択した Google SecOps インスタンスへのリンクが表示されるため、インスタンスを確認できます。インスタンスを開くときにエラーが発生した場合は、インスタンスにアクセスするために必要な IAM 権限があることを確認してください。
[いいえ、新しい Google Security Operations インスタンスを作成します] を選択し、ステップ 6 に進んで新しい Google SecOps インスタンスを作成します。
新しい Google SecOps インスタンスを作成するには、追加の設定の詳細を指定します。
会社の連絡先情報を指定します。
- テクニカル サポートの連絡先: 個人のメールアドレスまたはグループのメールアドレスを入力します。
- 会社名: 会社名を入力します。
Google Security Operations がプロビジョニングされるロケーション タイプを選択します。
- リージョン: 単一のリージョンを選択します。
- マルチリージョン: マルチリージョンのロケーションを選択します。
このロケーションは Google SecOps でのみ使用され、他の Security Command Center 機能では使用されません。サポートされているリージョンとマルチリージョンの一覧については、SecOps サービス ロケーションのページをご覧ください。
[次へ] をクリックし、専用の管理プロジェクトを選択します。前の手順で専用の管理プロジェクトを作成しました。
既存の Google SecOps インスタンスにリンクされているプロジェクトを選択すると、有効化の開始時にエラーが発生します。
手順 7 に進んで有効化を開始します。
[Activate] をクリックします。[リスクの概要] ページが表示されます。
Security Health Analytics、Event Threat Detection、Virtual Machine Threat Detection などの特定のサービスは自動的に有効になります。セキュリティ オペレーション機能の準備が完了して検出結果が利用可能になるまで、しばらく時間がかかることがあります。
有効化の進行状況をモニタリングし、サービスを構成する
設定ガイドには、プロビジョニングのステータスが表示され、有効になっているサービスを確認できます。追加のサービスを構成し、他のクラウド サービス プロバイダへの接続を構成できます。
Google Cloud コンソールで、Security Command Center の設定ガイドに移動します。
Security Command Center Enterprise を有効にした組織を選択します。
[セキュリティ機能の概要の確認] パネルを開きます。各パネルには、関連サービスの有効化ステータスが表示されます。
アマゾン ウェブ サービス(AWS)または Microsoft Azure に接続するには、[追加] [コネクタを追加] をクリックします。[設定] ページの [コネクタ] タブが開きます。
その他の手順については、以下をご覧ください。
いずれかのパネルで [設定] をクリックして、追加のサービスと機能を構成します。次の表のリンクを使用して、各機能の詳細を確認してください。
[Capabilities] パネルの名前 これらの機能の詳細 AI 保護 コードのセキュリティ クラウド脅威検出 ID とアクセスのセキュリティ データ セキュリティ コンプライアンス ポスチャーとコンプライアンス レスポンス プラットフォーム 脆弱性評価
Security Command Center Enterprise の継続的な使用に対する権限を構成する
組織の構成を変更するには、組織レベルで次の両方のロールが必要です。
-
組織管理者(
roles/resourcemanager.organizationAdmin) -
セキュリティ センター管理者(
roles/securitycenter.admin)
ユーザーが編集権限を必要としない場合は、閲覧者ロールの付与を検討してください。
Security Command Center ですべてのアセット、検出結果、攻撃パスを表示するには、組織レベルのセキュリティ センター管理閲覧者(
roles/securitycenter.adminViewer)ロールが必要です。設定を表示するには、組織レベルで セキュリティ センター管理者(
roles/securitycenter.admin)のロールが必要です。個々のフォルダやプロジェクトへのアクセスを制限するために、組織レベルのロールだけで付与しないでください。そうするのではなく、フォルダ レベルまたはプロジェクト レベルで次のロールを付与します。
-
セキュリティ センターのアセット閲覧者(
roles/securitycenter.assetsViewer) - セキュリティ センターの検出閲覧者(
roles/securitycenter.findingsViewer)
各検出サービスを有効または構成するには、追加の権限が必要になる場合があります。詳細については、各サービスに固有のドキュメントをご覧ください。
Security Command Center Enterprise でサポートされているセキュリティ運用コンソールの機能を使用するには、セキュリティ運用コンソールのページで機能へのアクセスを制御するをご覧ください。
次のステップ
- Security Command Center の検出結果を操作する方法を学習します。
- Google Cloud セキュリティ ソースについて確認する。
- Google Security Operations のキュレートされた検出結果で脅威を調査する。
- 環境にフレームワークを適用して、環境をコンプライアンスとセキュリティの要件に合わせます。
- Service Usage Admin (