このページでは、Security Command Center で ID とアクセスの検出結果に対応するケースを確認する方法について説明します。
Security Command Center は、脅威の検出結果、有害な組み合わせ、有害な組み合わせに関連する検出結果のケースを自動的に作成します。
始める前に
続行する前に、次の作業が完了していることを確認してください。
- Security Command Center の CIEM 機能について確認する。
- CIEM の権限を設定する。
- AWS 用の CIEM 検出サービスを有効にする。
- チケット発行システムを接続する。
ケースの詳細を表示する
[検出結果] ページから ID とアクセス構成ミスのケースの詳細を表示するには、次の手順を行います。
- Google Cloud コンソールのナビゲーションで [検出結果] を選択します。
- [ID] をクリックして、ID とアクセスの検出結果の事前フィルタリングされたクエリを表示します。
- [ケース ID] 列に値がある検出結果を特定します。
ケースの詳細を開くには、次のいずれかを行います。
- [ケース ID] 列の値をクリックします。
- [カテゴリ] 列の検出結果の名前をクリックします。[検出結果の詳細] ペインで、[ケース情報] セクションに移動します。[ケース ID] 行のケース ID 番号をクリックします。
[ケース] ウィンドウが開き、次の情報を含むケースの詳細が表示されます。
- ケースに関連付けられているアラート イベントのリスト
- アラートにアタッチされているハンドブック
- 検出結果の説明
- 修復のための次のステップ
- 影響を受けるアセットに関する情報
- チケット情報(チケット発行システムを Security Command Center に接続している場合)
Security Command Center を Jira または ServiceNow に接続している場合は、チケット ID リンクを使用してチケット発行システムに移動できます。
[Case Wall] タブで、ケースで実行されたアクティビティと含まれているアラートの詳細を確認します。
[ケースの概要] タブでケースの詳細な概要を確認します。
[ケース] ページには、ID とアクセスのケースだけでなく、環境用に作成されたすべてのケースが表示されます。ページの左側にあるケースリストで、既存のケースをすべて移動できます。リストを検索してフィルタリングすることで、重要となるケースを簡単に特定できます。
ケースの操作の詳細については、ケースの概要をご覧ください。
次のステップ
- ID とアクセスの検出結果を調査する方法を学習する。
- Google SecOps ドキュメントでケースの詳細について確認する。