Google Cloud コンソールで Security Command Center を使用する

このページでは、 Google Cloud コンソールの Security Command Center の概要、ナビゲーションについて説明し、最上位ページの概要を示します。

Security Command Center を設定していない場合は、次のいずれかで有効にする方法の手順をご覧ください。

• スタンダード ティアまたはプレミアム ティアを有効にするには、Security Command Center の有効化の概要をご覧ください。
• エンタープライズ ティアを有効にするには、Security Command Center エンタープライズ ティアを有効にするをご覧ください。

Security Command Center の概要については、Security Command Center の概要をご覧ください。

必要な IAM 権限

すべてのサービスティアで Security Command Center を使用するには、適切な権限を含む Identity and Access Management（IAM）ロールが必要です。

組織のポリシーがドメインごとに ID を制限するように設定されている場合は、許可されたドメインのアカウントで Google Cloud コンソールにログインする必要があります。

Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

Security Command Center にアクセスする

Google Cloud コンソールで Security Command Center にアクセスするには:

1. Security Command Center に移動します。

   Security Command Center に移動

   データ所在地が有効になっており、組織が法域の Google Cloud コンソールを使用している場合は、法域の Google Cloud コンソールについてをご覧ください。

2. 表示するプロジェクトまたは組織を選択します。

   選択した組織またはプロジェクトで Security Command Center がアクティブな場合は、[リスク概要] ページが表示されます。

   Security Command Center が有効になっていない場合は、有効にするように指示されます。Security Command Center の有効化の詳細については、次のいずれかをご覧ください。

   • スタンダードまたはプレミアム: Security Command Center の有効化の概要。
   • エンタープライズ: Security Command Center のエンタープライズ ティアを有効にする

Security Command Center のナビゲーション

以下では Security Command Center のナビゲーションについて説明します。ナビゲーションは、Security Command Center のサービスティアによって異なります。実行できるタスクは、有効になっているサービスと付与されている IAM 権限によっても異なります。

リンクをクリックすると、ページの説明が表示されます。

リスクの概要

[リスク概要] ページは、すべての組み込みサービスと統合サービスによって特定された、クラウド環境で優先度の高いリスクをハイライト表示する、最初にアクセスするセキュリティ ダッシュボードとして機能します。

[リスクの概要] ページのビューは、サービスティアによって異なります。

アセット

[アセット] ページには、プロジェクトまたは組織内のすべての Google Cloudリソース（アセットとも呼ばれます）の詳細が表示されます。

[アセット] ページでアセットを操作する方法について詳しくは、コンソールでリソースを操作するをご覧ください。

コンプライアンス

デフォルトでは、Security Command Center を有効にすると、コンプライアンス マネージャーが有効になります。[コンプライアンス] ページには、[構成（新規）]、[モニタリング（新規）]、[監査（新規）] のタブが表示されます。これらのタブを使用すると、クラウド コントロールとフレームワークを作成して適用し、環境のモニタリングを行い、監査を完了することができます。

コンプライアンス マネージャーが一般提供される前に Security Command Center を有効にしており、コンプライアンス マネージャーを有効にしていない場合、[コンプライアンス] ページには [モニタリング] タブのみが表示されます。このタブには、Security Health Analytics を使用して Security Command Center でサポートされているすべての業界ベンチマークと、ベンチマーク コントロールの合格率が表示されます。Compliance Manager が有効になっていない場合に Security Command Center がコンプライアンス管理をサポートする方法について詳しくは、Compliance Manager を使用せずにコンプライアンスを評価するをご覧ください。

検出結果

[検出結果] ページでは、Security Command Center の検出結果（Security Command Center サービスが環境内のセキュリティ問題を検出した際に作成するレコード）のクエリ、レビュー、ミュート、マークを行うことができます。[検出結果] ページで検出結果を操作する方法については、検出結果を確認して管理するをご覧ください。

問題

問題は、Security Command Center がクラウド環境で検出した最も重要なセキュリティ リスクであり、脆弱性や脅威に迅速に対応するための機会が付与されます。Security Command Center は、仮想レッドチームとルールベースの検出によって問題を検出します。問題の調査については、問題の概要をご覧ください。

ポスチャーの管理

[ポスチャー] ページでは、組織で作成したセキュリティ ポスチャーの詳細を表示し、ポスチャーを組織、フォルダまたはプロジェクトに適用できます。使用可能な事前定義のポスチャー テンプレートを表示することもできます。

SCC の設定

Security Command Center Enterprise では、ナビゲーションの [SCC 設定] リンクから [設定] ページを開きます。Security Command Center Standard と Premium では、ヘッダーの [設定] リンクからページを開きます。

[設定] ページでは、Security Command Center を構成できます。構成できる内容は次のとおりです。

• Security Command Center の追加サービス
• マルチクラウド コネクタ
• 高価値リソースセット
• 検出結果のミュートルール
• 継続的なデータ エクスポート

SCC 設定ガイド

[設定ガイド] ページでは、Security Command Center Enterprise を有効にして、追加のサービスを構成できます。詳細については、Security Command Center のエンタープライズ ティアを有効にするをご覧ください。

ソース

[ソース] ページには、有効にしたセキュリティ ソースのアセットと検出結果の概要を示すカードが表示されます。セキュリティ ソースのカードには、そのソースの検出結果の一部が表示されます。検出カテゴリ名をクリックすると、そのカテゴリのすべての検出結果を表示できます。

検出結果（ソース別）

[検出結果（ソース別）] カードには、有効になっているセキュリティ ソースから提示された検出結果の各カテゴリの数が表示されます。

• 特定のソースからの検出結果の詳細を表示するには、ソース名をクリックします。
• すべての検出結果の詳細を表示するには、[検出結果] ページをクリックします。ここで、検出結果をグループ化したり、個々の検出結果の詳細を表示できます。

ソースの概要

[検出結果（ソース別）] カードの下に、有効になっている組み込みソース、統合ソース、サードパーティ ソースの個別のカードが表示されます。各カードには、そのソースで有効な検出結果の数が表示されます。

脅威

脅威とは、クラウド リソースに存在する有害な可能性があるイベントです。Security Command Center では、サービスティアに応じて異なるビューで脅威が表示されます。

以前の [脆弱性] ページ

以前の [脆弱性] ページには、Security Command Center の組み込み検出サービスがクラウド環境で実行する構成ミスとソフトウェアの脆弱性の検出結果がすべて表示されます。一覧表示されるそれぞれの検出機能について、アクティブな検出結果の数が表示されます。

Security Command Center で [脆弱性] ページを表示するには、次の操作を行います。

脆弱性検出サービス

[脆弱性] ページには、Security Command Center の次の組み込み検出サービスの検出機能が表示されます。

• Notebook Security Scanner（プレビュー）。
• Security Health Analytics
• Amazon Web Services（AWS）の脆弱性評価
• Web Security Scanner

Security Command Center と統合されている他の Google Cloud サービスも、ソフトウェアの脆弱性と構成ミスを検出します。これらのサービスの一部から検出された結果は、[脆弱性] ページにも表示されます。Security Command Center で脆弱性の検出結果を生成するサービスの詳細については、検出サービスをご覧ください。

脆弱性検出機能のカテゴリに関する情報

[脆弱性] ページには、構成ミスまたはソフトウェアの脆弱性検出機能ごとに次の情報が表示されます。

• ステータス: 検出機能が有効かどうか、対処の必要がある検出結果が検出されたかどうかを示すアイコンが表示されます。ステータス アイコンの上にポインタを置くと、検出機能が結果を検出した日時または推奨事項の検証方法に関する情報がツールチップに表示されます。
• 前回のスキャン日時: 検出機能が最後にスキャンを行った日時。
• カテゴリ: 脆弱性のカテゴリまたはタイプ。各 Security Command Center サービスが検出するカテゴリのリストについては、以下をご覧ください。
  • Notebook Security Scanner の検出結果（プレビュー）
  • Security Health Analytics の検出結果
  • AWS の脆弱性評価の検出結果
  • Web Security Scanner の検出結果

• 推奨: 検出結果の修正方法の概要。詳しくは次の記事をご覧ください。

  • Security Health Analytics の検出結果の修正
  • Web Security Scanner の検出結果の修正
  • パッケージの脆弱性の検出結果を確認して解決する

• 有効: カテゴリの検出結果の合計数。

• 標準: 検出結果カテゴリが適用されるコンプライアンス ベンチマーク（該当する場合）。ベンチマークの詳細については、脆弱性の検出結果をご覧ください。

脆弱性の検出結果のフィルタリング

大規模な組織では、デプロイメント全体で確認、優先順位付け、追跡が必要な脆弱性の検出結果が大量に表示される場合があります。 Google Cloud コンソールの Security Command Center の [脆弱性] ページと [検出] ページで利用可能なフィルタを使用して、組織全体で最も重大度の高い脆弱性に重点を置き、アセットのタイプやプロジェクトなどに応じて脆弱性を確認できます。

脆弱性の検出結果のフィルタリングの詳細については、Security Command Center で脆弱性の検出結果をフィルタするをご覧ください。

Security Command Center Enterprise から Security Operations コンソールへのリンク

Security Command Center のエンタープライズ ティアには、 Google Cloud コンソールのページと Security Operations コンソールのページの両方で使用できる機能が含まれています。

Google Cloud コンソールにログインし、 Google Cloud コンソールのナビゲーションから Security Operations コンソールのページに移動します。このセクションでは、各ページで実行できるタスクと、Security Operations コンソールのページを開くナビゲーション リンクについて説明します。

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

アラートと IOC

この Security Operations コンソール ページでは、キュレートされた検出とカスタムルールによって作成されたアラートを表示できます。アラートの調査については、Google Security Operations のドキュメントで次の項目をご覧ください。

• キュレートされた検出によって生成された GCTI アラートを調査する。
• アラートの調査。

ケース

Security Operations コンソールでは、ケースを使用して検出結果の詳細情報を取得し、検出結果のアラートにハンドブックを関連付け、自動脅威レスポンスを適用して、セキュリティに関する問題の修正を追跡します。

詳細については、Google Security Operations ドキュメントのケースの概要をご覧ください。

ハンドブック

この Security Operations コンソールのページでは、SCC Enterprise - Cloud Orchestration and Remediation ユースケースに含まれるハンドブックを管理できます。

このユースケースで利用できる統合については、Security Command Center のサービスティアをご覧ください。

利用可能なハンドブックについては、Enterprise ユースケースを更新するをご覧ください。

Security Operations コンソールの [ハンドブック] ページの使用については、Google Security Operations のドキュメントのハンドブック ページの内容をご覧ください。

ルールと検出

この Security Operations コンソール ページでは、キュレーテッド検出を有効にして、セキュリティ運用コンソールのログデータ収集メカニズムを使用して収集されたデータのパターンを識別するためのカスタムルールを作成できます。Security Command Center Enterprise で利用可能なキュレーテッド検出については、キュレートされた検出で脅威を調査するをご覧ください。

SIEM ダッシュボード

この Security Operations コンソールのページでは、Google Security Operations SIEM ダッシュボードを表示して、Google Security Operations ルールによって作成されたアラートと、セキュリティ運用コンソールのログデータ収集機能を使用して収集されたデータを分析できます。

SIEM ダッシュボードの使用の詳細については、Google Security Operations のドキュメントのダッシュボードの概要をご覧ください。

SIEM 検索

この Security Operations コンソールのページでは、Google Security Operations インスタンス内の統合データモデル（UDM）のイベントとアラートを検索できます。詳細については、Google Security Operations のドキュメントの SIEM 検索をご覧ください。

SIEM 設定

この Security Operations コンソール ページでは、Google Security Operations SIEM に関連する機能の構成を変更できます。これらの機能の使用については、Google Security Operations のドキュメントをご覧ください。

SOAR ダッシュボード

この Security Operations コンソールのページでは、レスポンスとケースの分析に使用できる SOAR データを使用して、ダッシュボードを表示および作成できます。SOAR ダッシュボードの使用については、Google Security Operations のドキュメントの SOAR ダッシュボードの概要をご覧ください。

SOAR レポート

この Security Operations コンソール ページでは、SOAR データのレポートを表示できます。SOAR レポートの使用について詳しくは、Google Security Operations のドキュメントの SOAR レポートについてをご覧ください。

SOAR 検索

この Security Operations コンソール ページでは、Google Security Operations SOAR によってインデックス登録された特定のケースまたはエンティティを検索できます。詳細については、Google Security Operations のドキュメントの SOAR の検索ページを操作するをご覧ください。

SOAR 設定

この Security Operations コンソール ページでは、Google Security Operations SOAR に関連する機能の構成を変更できます。これらの機能の使用については、Google Security Operations のドキュメントをご覧ください。

次のステップ

• 検出サービスについて確認する。
• セキュリティ マークの使用方法を確認する。
• Security Command Center サービスの構成方法を確認する。