プロジェクト レベルでの有効化による機能の利用可能性

検出サービスや検出カテゴリなどの Security Command Center の一部の機能では、単一のプロジェクトの範囲外のログ、データ、リソース、その他のサービスへのアクセスが必要になるため、プロジェクトレベルの有効化では使用できません。

このような機能の多くを有効にするには、親組織で Security Command Center のスタンダード ティア(Security Command Center Standard)を有効にします。ただし、ここに記載されている少数の機能は、プロジェクト レベルでの有効化によって利用することはできません。

無料の Security Command Center Standard を有効にすると、組織全体(すべてのプロジェクトが含まれる)でスタンダード ティアの機能が有効になります。

以降のセクションでは、組織レベルでの有効化が必要な Security Command Center のサービスと検出結果のカテゴリをサービスティア別に説明します。

親組織でスタンダード ティアを有効にすることで有効にできる機能

このセクションでは、親組織で Security Command Center Standard を有効にすることで Security Command Center のプロジェクト レベルでの有効化が可能になる機能のリストを示します。

Security Health Analytics の検出結果

Security Command Center Premium のプロジェクト レベルでの有効化で以下のスタンダード ティアの検出カテゴリを有効にするには、親組織で Security Command Center Standard を有効にしてください。これにより、組織内のすべてのプロジェクトの検出が有効になります。

  • MFA not enforced
  • Public log bucket

親組織で Security Command Center Standard を有効にすると、Security Command Center Premium のプロジェクト レベルでの有効化で以下のプレミアム ティアの検出カテゴリを有効にできます。

  • Audit config not monitored
  • Bucket IAM not monitored
  • Cluster private Google access disabled
  • CUSTOM_ORG_POLICY_VIOLATION
  • Custom role not monitored
  • Default network
  • DNS logging disabled
  • Egress deny rule not set
  • Firewall not monitored
  • HTTP load balancer
  • KMS project has owner
  • Legacy network
  • Locked retention policy not set
  • Log not exported
  • Network not monitored
  • Object versioning disabled
  • Org policy Confidential VM policy
  • Org policy location restriction
  • OS login disabled
  • Owner not monitored
  • Pod security policy disabled
  • Route not monitored
  • SQL instance not monitored
  • Too many KMS users
  • Weak SSL policy

Security Health Analytics の検出結果の一覧については、脆弱性の検出結果をご覧ください。

Event Threat Detection の検出結果

親組織で Security Command Center Standard を有効にすると、Security Command Center Premium のプロジェクト レベルでの有効化で以下のプレミアム ティアの検出カテゴリを有効にできます。

  • Exfiltration: BigQuery data extraction
  • Exfiltration: CloudSQL data exfiltration

Event Threat Detection の検出結果カテゴリの一覧については、Event Threat Detection のルールをご覧ください。

統合された Google Cloud サービス

Security Command Center Premium のプロジェクト レベルでの有効化で、以下の統合されたGoogle Cloud サービスからの検出結果の公開を有効にするには、親組織で Security Command Center Standard を有効にしてください。これにより、組織内のすべてのプロジェクトでこれらのサービスが有効になります。

親組織で Security Command Center Standard を有効にすると、プロジェクト レベルのプレミアム ティアの有効化で、以下の統合されたプレミアム ティアの Google Cloud サービスからの検出結果の公開を有効にできます。

サードパーティ サービスとの統合

親組織で Security Command Center Standard を有効にすると、プロジェクト レベルでの有効化で、サードパーティのサービスからの検出結果の公開を有効にできます。

プロジェクト レベルでのプレミアム ティアの有効化では利用できない機能

このセクションに記載されている機能は、Security Command Center Premium の組織レベルでの有効化が必要なプレミアム ティアの機能です。これらの機能は、プロジェクト レベルでのプレミアム ティアの有効化では使用できません。

プロジェクト レベルでの有効化では利用できない Security Health Analytics の検出カテゴリ

以下の Security Health Analytics の検出結果を利用するには、Security Command Center Premium の組織レベルでの有効化が必要です。

  • Audit logging disabled
  • KMS role separation
  • Redis role used on org
  • Service account role separation

Security Health Analytics の検出結果の一覧については、脆弱性の検出結果をご覧ください。

プロジェクト レベルの有効化では利用できない Event Threat Detection の検出カテゴリ

以下の Event Threat Detection の検出結果を利用するには、Security Command Center Premium の組織レベルでの有効化が必要です。

  • Defense evasion: modify VPC service control
  • Initial access: account disabled hijacked
  • Initial access: disabled password leak
  • Initial access: government based attack
  • Initial access: suspicious login blocked
  • Persistence: new geography
  • Persistence: new user agent
  • Persistence: SSO enablement toggle
  • Persistence: SSO settings changed
  • Persistence: strong authentication disabled
  • Persistence: two step verification disabled
  • Privilege escalation: external member added to privileged group
  • Privilege escalation: privileged group opened to public
  • Privilege escalation: sensitive role granted to hybrid group
  • Privilege escalation: suspicious cross-project permission use
  • Privilege escalation: suspicious token generation

Event Threat Detection の検出結果カテゴリの一覧については、Event Threat Detection のルールをご覧ください。

プロジェクト レベルの有効化では利用できない Sensitive Actions Service の検出カテゴリ

以下の Sensitive Actions Service の検出結果を利用するには、Security Command Center Premium の組織レベルでの有効化が必要です。

  • Defense Evasion: Organization Policy Changed
  • Defense Evasion: Remove Billing Admin
  • Persistence: Add Sensitive Role

Sensitive Actions Service の検出カテゴリの完全なリストについては、Sensitive Actions Service の検出結果をご覧ください。

攻撃パス シミュレーション

プレミアム ティアの機能である攻撃パス シミュレーションは、プロジェクト レベルで有効にした Security Command Center では使用できません。攻撃パス シミュレーションでは、脆弱性と構成ミスについて攻撃の発生可能性スコア攻撃パスが生成されます。

セキュリティ ポスチャー

プレミアム ティアの機能であるセキュリティ ポスチャーの管理は、Security Command Center のプロジェクト レベルの有効化では使用できません。セキュリティ ポスチャー サービスを使用すると、Google Cloudでのセキュリティの全体的なステータスを定義、評価、モニタリングできます。