このドキュメントでは、クラウド環境に対する脅威の検出と調査に役立つ Security Command Center の機能について説明します。
アーキテクチャの概要
Security Command Center は、多層的なアプローチで脅威を検出し、環境内のセキュリティ ギャップに対処します。ログベース、エージェントレス、ランタイムの検出器は、クラウド リソースをモニタリングし、悪意のある可能性のあるアクティビティをほぼリアルタイムで検出します。これらの検出機能は、割り当てられた重大度レベルの検出結果としてこれらのインシデントを報告します。
Security Command Center は、脅威の検出結果を他のセキュリティの検出結果とともに一元的なプラットフォームで提供し、全体的なセキュリティ ポスチャーの概要を把握できるようにします。検出結果のトリアージを支援するため、Security Command Center は関連性の高い脅威を Correlated Threats の問題にグループ化します。
次の図は、Security Command Center の脅威検出プロセスを示しています。
脅威検出のレイヤ
Security Command Center は、セキュリティ体制のギャップを解消するために、脅威検出を 3 つの主要なレイヤ(ログベースの検出、エージェントレス検出、ランタイム検出)に整理します。
ログベースの検出
Security Command Center は、組織またはプロジェクトのログ ストリームを継続的にモニタリングして分析し、不審なパターン、既知のセキュリティ侵害インジケーター(IoC)、機密性の高いアクションを特定します。
Event Threat Detection と Sensitive Actions Service は、ログベースの検出を提供します。
ログベースの脅威検出
Event Threat Detection は、ID ベースの攻撃や不正なサービス使用など、さまざまな Google Cloud サービスとリソース カテゴリにわたる攻撃を検出できます。Event Threat Detection は、次のものをモニタリングします。
組織とプロジェクトの Cloud Logging ストリーム(リソースの構成やメタデータの作成、読み取り、変更を行う API 呼び出しやアクションのエントリなど)。以下に例を示します。
- Cloud Audit Logs(管理アクティビティ、データアクセス、システム イベント ログ)
- VPC フローログ
- Cloud DNS のログ
- 基盤となるログソース
Google Workspace の監査ログ。ドメインへのユーザーのログインと、Google Workspace 管理コンソールで行われた操作を追跡します。
Event Threat Detection の検出機能と、それらが分析するログの一覧については、Event Threat Detection のルールをご覧ください。
組織の要件に応じて、特定のログの収集を有効にする必要がある場合があります。詳細については、ログのタイプと有効化の要件をご覧ください。
機密アクションのログベースの検出
Sensitive Actions Service は、管理アクティビティ監査ログをモニタリングして、悪意のある行為者によって実行された場合にビジネスに損害を与える可能性のある機密情報に関する操作を検出します。Sensitive Actions Service 検出機能の一覧については、Sensitive Actions Service の検出結果をご覧ください。
エージェントレス検出
エージェントレス検出は、ハイパーバイザから Compute Engine 仮想マシンをスキャンし、仮想マシン(VM)インスタンスで実行されている悪意のあるアプリケーション(暗号通貨マイニング ツールやカーネルモードのルートキットなど)を特定します。
エージェントレス検出はゲスト VM インスタンスの外部から動作するため、ゲスト エージェント、特別なゲスト OS 構成、ゲスト内のネットワーク接続は必要ありません。VM のフリートでソフトウェアをインストール、管理、更新する必要はありません。エージェントレス検出は VM インスタンスの外部で動作するため、VM 内に存在するマルウェアに検出されることはなく、CPU サイクルやメモリを消費することもありません。
Virtual Machine Threat Detection は、エージェントレス検出を提供します。VM Threat Detection 検出機能の一覧については、Virtual Machine Threat Detection の検出結果をご覧ください。
ランタイム検出
ランタイム検出は、動的環境でのデプロイ後に発生する脅威に対処します。実行中のコンテナとサーバーレス アプリケーション内のアクティビティ、変更、リモート アクセスの試行を継続的にモニタリングして評価し、一般的なランタイム攻撃を特定します。このような攻撃の例としては、リバース シェル、コンテナ エスケープ、悪意のあるプログラムの実行などがあります。
次のサービスはランタイム検出を提供します。
- Container Threat Detection は、カーネルレベルのインストルメンテーションを使用して、GKE ノードのゲストカーネルの動作を収集して評価します。
- Cloud Run の脅威検出は、サポートされている Cloud Run リソースをモニタリングします。
- Agent Engine Threat Detection(プレビュー)は、Vertex AI Agent Engine にデプロイされたエージェント ワークロードをモニタリングします。
リソース カテゴリと検出マトリックス
次の表に、Security Command Center がモニタリングできるリソースのカテゴリ、検出の例、使用可能な検出レイヤを示します。
| リソース カテゴリ | 検出された脅威の例 | 検出レイヤ |
|---|---|---|
| AI | エージェントが開始したデータ漏洩、エージェント ワークロードで実行された悪意のあるスクリプト | ランタイム、ログベース |
| Amazon EC2 | ディスク上の悪意のあるファイル | エージェントレス |
| Backup and DR | バックアップと DR ホストの不正な削除 | ログベース |
| BigQuery | データの引き出し | ログベース |
| Cloud Run | リバース シェル、偵察ツールの実行、クリプトマイニング コマンドの使用 | ランタイム、ログベース |
| Cloud Storage | バケットの IP フィルタリング構成の変更 | ログベース |
| Compute Engine | クリプトマイニング、カーネルモード ルートキット、変更されたブートディスクの永続性 | エージェントレス、ログベース |
| データベース | データ引き出し、ユーザー テーブルに対するスーパーユーザーの変更 | ログベース |
| Google Kubernetes Engine | 悪意のあるバイナリの実行、コンテナ エスケープ、特権コンテナの起動 | ランタイム、ログベース |
| Google Workspace | パスワード漏洩、不審なログイン パターン | ログベース |
| Identity and Access Management | 異常なロール付与、機密性の高いポリシーの変更、Tor からのアクセス | ログベース |
| ネットワーク | マルウェアの DNS クエリ、既知のクリプトマイニング IP アドレスへの接続 | ログベース |
脅威インテリジェンスのソース
Security Command Center は、Google Threat Intelligence の脅威インテリジェンスを使用します。これは、Google のグローバルなプロダクトとサービスから数十億ものシグナルを収集する高忠実度のインテリジェンス スイートです。Google Threat Intelligence は、悪意のあるシグネチャ、ファイル ハッシュ、アドレスなどの既知の悪意のあるインジケーターを特定し、次のメリットを提供します。
- 忠実度と精度: アクティブで検証済みの脅威に焦点を当てることで、誤検知を最小限に抑えます。
- 継続的な改善: 実際のインシデント対応調査、グローバル テレメトリー、内部インテリジェンス、悪意のある可能性のあるファイル、URL、ドメインに関するクラウドソースのコンテキストから得た最前線のインテリジェンスを使用して、カバレッジを継続的に改善します。また、おとりシステム(ハニーポットとも呼ばれます)など、さまざまな手法を使用してインテリジェンス収集を強化しています。
脅威の優先順位付け
Security Command Center では、早急な対応が必要な最も重大な脅威を特定できるように、各検出結果に重大度レベルが割り当てられます。
また、Correlated Threats 機能は、複数の関連する検出結果を 1 つの問題に統合し、エクスプロイト後のアクティビティの検出の信頼性を高めます。また、攻撃チェーンを可視化し、イベントがどのように関連して攻撃の全体像を形成しているかを示します。この攻撃チェーンにより、攻撃者の動きを予測し、侵害されたアセットを特定し、重大な脅威をハイライト表示し、明確な対応策の推奨事項を取得して、対応を迅速化できます。
組み込みの脅威検出サービス
このセクションでは、Security Command Center の組み込み検出サービスの概要について説明します。これらのサービスは、さまざまなスキャン手法を使用し、さまざまなレイヤで動作して、クラウド環境の脅威を検出します。
Agent Engine Threat Detection(プレビュー)は、Vertex AI Agent Engine ランタイムにデプロイされた AI エージェントの状態をモニタリングして、一般的なランタイム攻撃を検出します。Premium サービスティアと Enterprise サービスティアで利用できます。
異常検出は、システム外部からの動作シグナルを使用して、サービス アカウントのセキュリティ異常(認証情報の漏洩の可能性など)を検出します。Standard、Premium、Enterprise のサービスティアで利用できます。
Cloud Run Threat Detection は、サポートされている Cloud Run リソースの状態をモニタリングし、一般的なランタイム攻撃を検出します。Premium サービスティアと Enterprise サービスティアで利用できます。
Container Threat Detection は、コンテナのゲストカーネルで観測された下位レベルの行動を収集、分析して、検出結果を生成します。Premium サービスティアと Enterprise サービスティアで利用できます。
Event Threat Detection は、Cloud Logging ログストリーム内のイベントを既知のセキュリティ侵害インジケーター(IoC)と照合し、既知の敵対的な手法を特定し、動作の異常を検出することで、セキュリティの検出結果を生成します。Premium サービスティアと Enterprise サービスティアで利用できます。
Sensitive Actions Service は、 Google Cloud の組織、フォルダ、プロジェクトで悪意のある行為者によって行われ、ビジネスに被害を及ぼす可能性のあるアクションを検出します。Standard、Premium、Enterprise のサービスティアで利用できます。
Virtual Machine Threat Detection は、Compute Engine プロジェクトと VM インスタンスをスキャンし、VM で実行されている悪質な可能性のあるアプリケーション(暗号通貨マイニング ソフトウェアやカーネルモードのルートキットなど)を検出します。Premium サービスティアと Enterprise サービスティアで利用できます。
これらの検出サービスは、Security Command Center で検出結果を生成します。プレミアム サービスティアとエンタープライズ サービスティア(組織レベルでの有効化が必要)では、Cloud Logging への継続的なエクスポートを構成することもできます。
脅威の検出を有効にする
Premium サービスティアと Enterprise サービスティアでは、多くの脅威検出サービスがデフォルトで有効になっています。組み込みサービスを有効または無効にするには、Security Command Center サービスを構成するをご覧ください。
組織の要件に応じて、特定のログの収集を有効にする必要がある場合があります。詳細については、ログのタイプと有効化の要件をご覧ください。
脅威検出サービスを使用する
組み込みの脅威検出サービスを使用するには、以下をご覧ください。
- Agent Engine Threat Detection を使用する
- Cloud Run の脅威検出を使用する
- Container Threat Detection を使用する
- Event Threat Detection を使用する
- Sensitive Actions Service を使用する
- Virtual Machine Threat Detection を使用する
フィードバックを送信
Security Command Center の脅威検出機能に関するフィードバックを送信するには、Google Cloud コンソールからフィードバックを送信するをご覧ください。