Security Command Center でリソースとアセットの違いを理解すると、セキュリティの検出結果を管理し、問題をより効果的に調査できます。
リソースとアセットの違い
- リソース: Google Cloud リソースは、クラウド環境で作成する物理エンティティまたは論理エンティティ(Compute Engine 仮想マシン インスタンス、Cloud Storage バケット、BigQuery データセットなど)を指します。
- アセット: アセットは、Security Command Center がモニタリングするリソースのセキュリティ中心の表現です。Security Command Center は、構成が変更されたときに、アセットを使用してリソースの履歴状態とセキュリティ コンテキストを追跡します。
リソースとアセットの詳細については、アセットタイプをご覧ください。
Cloud Asset Inventory の役割
Security Command Center は、アセットの主な情報源として Cloud Asset Inventory を使用します。コンソールの [アセット] ページを使用すると、Cloud Asset Inventory によって提供されるアセットのメタデータと詳細が表示されます。
Google Cloud リソースを作成、変更、削除すると、変更が Cloud Asset Inventory で更新され、Cloud Asset Inventory から Security Command Center にデータが送信されます。詳細については、Security Command Center でモニタリングされているアセットを検査するをご覧ください。
検出結果でのアセットの表現
Security Command Center の検出結果には、影響を受けるリソースに関する情報が含まれます。検出結果の詳細パネルで、[影響を受けるリソース] セクションの [リソースの表示名] や [リソースの完全な名前] などのフィールドを探します。これらのフィールドは、脆弱性または構成ミスがあるリソース、または脅威のターゲットとなるリソースを特定します。
アセットの操作方法
Security Command Center では、アセットを使用して、検出結果の管理、問題の優先順位付け、環境内の脅威への対応を行うことができます。アセットの確認、分析、管理は次の方法で行うことができます。
- アセットの検査とクエリ: Google Cloud コンソールで、モニタリング対象のすべてのアセットを表示し、カスタムクエリを実行して、特定のアセットの詳細(メタデータ、IAM ポリシー、変更履歴など)を検査します。詳細については、Security Command Center でモニタリングされているアセットを検査するをご覧ください。
- 検出結果を確認して管理する: 特定のセキュリティ検出結果の影響を受けるリソースを特定し、そのコンテキストを確認して、修復ガイダンスに従います。詳細については、検出結果を確認して管理するをご覧ください。
- 脅威の調査と対応: 侵害されたリソースを調査し、アセットの変更履歴(新しいサービス アカウントや変更された IAM ポリシーなど)と脅威の検出を関連付けます。詳細については、脅威の調査と対応をご覧ください。
- 問題で公開されたリソースを確認する: 重大度の高い問題の優先順位付けと修復に役立つように、検出されたセキュリティ問題に関連付けられている公開リソースを表示します。詳細については、問題を管理して修復するをご覧ください。
- 高価値リソースセットを定義する: 高価値リソースセット(本番環境データベースや機密性の高いプロジェクトなど)を分類するには、リソース値の構成を定義します。これにより、検出結果の優先順位付けと、攻撃の全体的な発生可能性の評価に役立ちます。詳細については、高価値リソースセットを定義して管理するをご覧ください。