有害な組み合わせとチョークポイントを管理する

このページでは、次のページを使用して、有害な組み合わせとチョークポイントを特定し、対応する手順について説明します。

  • 問題。Enterprise サービスティアで利用できます。
  • ケース(Enterprise サービスティアで利用可能)。
  • 検出結果(エンタープライズ サービスティアとプレミアム サービスティアで利用可能)。

始める前に

有害な組み合わせとチョークポイントの検出が正確に行われるように、セキュリティ オペレーション コンポーネント ソフトウェアが最新の状態であること、高価値リソースセットが正確に指定されていること、適切な IAM 権限があることを確認します。

省略可: 他のクラウドからデータを収集する

Risk Engine は、アマゾン ウェブ サービス(AWS)(プレビュー)と Microsoft Azure(プレビュー)のデータでシミュレーションを実行して、有害な組み合わせとチョークポイントを特定することをサポートしています。

Security Command Center からこれらのクラウド プロバイダへの接続を構成して、リソースと構成データを収集します。接続の設定については、以下をご覧ください。

サポートされているリソースの一覧については、Risk Engine の機能サポートをご覧ください。

必要な権限を取得

有害な組み合わせとチョークポイントを使用するには、Security Command Center と Google SecOps 機能へのアクセス権を付与する権限が必要です。

Security Command Center の IAM ロール

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    [IAM] に移動
  2. 組織を選択します。
  3. [ アクセスを許可] をクリックします。

  4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

  5. [ロールを選択] リストでロールを選択します。
  6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
  7. [保存] をクリックします。

    8. Security Command Center のロールと権限の詳細については、組織レベルでの有効化のための IAM をご覧ください。

    Google SecOps IAM ロール

    有害な組み合わせやケースを操作するには、次のいずれかのロールが必要です。

    • Chronicle SOAR 脆弱性マネージャーroles/chronicle.soarVulnerabilityManager
    • Chronicle SOAR 脅威マネージャーroles/chronicle.soarThreatManager
    • Chronicle SOAR 管理者roles/chronicle.soarAdmin

    ユーザーにロールを付与する方法については、IAM を使用してユーザーをマッピングして承認するをご覧ください。

    最新のセキュリティ運用ユースケースをインストールする

    有害な組み合わせ機能を使用するには、SCC Enterprise - Cloud Orchestration and Remediation ユースケースの 2024 年 6 月 25 日以降のリリースが必要です。

    ユースケースのインストールについては、Enterprise ユースケースの更新、2024 年 6 月をご覧ください。

    高価値リソースセットを指定する

    有害な組み合わせとチョークポイントの検出を有効にする必要はありません。常に有効になっています。Risk Engine は、デフォルトの高価値リソースセットを公開する有害な組み合わせとチョークポイントを自動的に検出します。

    デフォルトの高価値リソースセットに基づいて生成された有害な組み合わせとチョークポイントの検出結果は、セキュリティの優先度を正確に反映していない可能性があります。高価値リソースセットに属するリソースを指定するには、 Google Cloud コンソールでリソース値の構成を作成します。手順については、高価値リソースセットを定義して管理するをご覧ください。

    有害な組み合わせとチョークポイントを修復する

    有害な組み合わせとチョークポイントにより、多くの高価値リソースが潜在的な攻撃者に漏えいする可能性があります。クラウド環境の他のリスクよりも先に、これらのリスクを修復する必要があります。

    攻撃の発生可能性スコアに基づいて、有害な組み合わせとチョークポイントを修正する順序に優先順位を付けることができます。この操作を行う方法は、有害な組み合わせとチョークポイントを表示する場所によって異なります。

    問題

    リスクが最も高い有害な組み合わせとチョークポイント(問題として表示)には、[リスク] > [概要] ページでアクセスできます。

    すべての有害な組み合わせとチョークポイントは、[リスク] > [問題] ページで確認できます。

    問題を修復するには、次の手順を行います。

    1. すべての問題を表示するには、[リスク] > [問題] に移動します。
    2. デフォルトでは、グループ化された問題は重大度に基づいてランク付けされます。グループ内の問題は、攻撃の発生可能性スコアに基づいてランク付けされます。すべての問題を攻撃の発生可能性スコアで並べ替えるには、[検出ごとにグループ化] を無効にします。
    3. 問題を選択します。
    4. 問題の説明と証拠を確認します。
    5. 関連する検出結果がある場合は、詳細を表示します。
    6. 有害な組み合わせまたはチョークポイントのプライマリ リソースで複数の重大な問題が見つかった場合は、証拠の図の後にメッセージが表示されます。修復作業を最適化するには、このメッセージの [このプライマリ リソースの問題をフィルタする] をクリックして、その特定のリソースの問題の解決に集中します。フィルタを削除する場合は、[フィルタパネルを開く フィルタを追加] の近くにある戻る矢印をクリックします。
    7. [証拠] ダイアグラムの [完全な攻撃パスを調べる] をクリックすると、問題を詳細に把握し、攻撃パスによって高価値リソースがどのように露出されるかを確認できます。
    8. [修正方法] をクリックし、ガイダンスに沿ってリスクを軽減します。

    ケース

    すべての有害な組み合わせのケースは、[ケース] ページで確認できます。チョークポイントではケースは自動的に生成されません。[問題] ページで確認してください。

    ケースで有害な組み合わせを見つけるには、次の手順を行います。

    1. Google Cloud コンソールで、[リスク] > [ケース] に移動します。Security Operations コンソールの [ケース] ページが開きます。
    2. ケースのリストで フィルタパネルを開く [ケースのフィルタ] をクリックして、フィルタパネルを開きます。[ケースキュー フィルタ] パネルが開きます。
    3. [ケースキュー フィルタ] で、次のように指定します。 1. [期間] フィールドで、ケースがアクティブな期間を指定します。1. [論理演算子] を [AND] に設定します。1. フィルタキーのリスト ボックスで、[タグ] を選択します。1. 等価演算子を is に設定します。 1. フィルタ値リスト ボックスで、[有害な組み合わせ] を選択します。1. [適用] をクリックします。ケースキューのケースが更新され、指定したフィルタに一致するケースのみが表示されます。
    4. フィルタパネルを開く [ケースのフィルタ] の横にある [並べ替え] をクリックし、[攻撃の発生可能性で並べ替え(高い順)] を選択します。
    5. ケースキューで、表示するケースをクリックします。リストビューでケースを表示している場合は、ケース ID をクリックします。ケース情報が表示されます。
    6. ケース [ケースの概要] をクリックします。
    7. [ケースの概要] セクションで、[次のステップ] のガイダンスに沿って操作します。

    通常、有害な組み合わせには、ソフトウェアの脆弱性または構成ミスの検出結果が 1 つ以上含まれます。これらの検出結果ごとに、Security Command Center は個別のケースを自動的に開き、関連するハンドブックを実行します。これらの検出結果のケースを確認し、チケットのオーナーに、有害な組み合わせの解決に役立つ修復の優先順位付けを行うよう依頼できます。

    有害な組み合わせに関連する検出結果を確認する手順は次のとおりです。

    1. ケースの ケース [ケースの概要] タブで、[検出結果] セクションに移動します。

    2. [検出結果] セクションで、表示された検出結果を確認します。

      • 検出結果のケース ID をクリックしてケースを開き、ステータス、割り当てられたオーナー、その他のケース情報を確認します。
      • 攻撃の発生可能性スコアをクリックして、検出結果の攻撃パスを確認します。
      • 検出結果にチケット ID がある場合は、クリックしてチケットを開きます。

    または、ケースの独自のアラートタブで関連する検出結果を表示することもできます。

    検出結果

    有害な組み合わせまたはチョークポイントの検出結果は、Risk Engine がクラウド環境で有害な組み合わせまたはチョークポイントを検出したときに生成する最初のレコードです。

    1. [検出結果] ページに移動します。

      [検出結果] に移動

    2. Google Cloud 組織を選択します。

    3. [クイック フィルタ] パネルの [検出結果クラス] セクションで、[有害な組み合わせ] または [チョークポイント] を選択します。[検出結果クエリの結果] パネルが更新され、有害な組み合わせまたはチョークポイントの検出結果のみが表示されます。

    4. 検出結果を重大度で並べ替えるには、スコアが降順になるまで [攻撃の発生可能性スコア] 列の見出しをクリックします。

    5. 検出結果のカテゴリをクリックして、検出結果の詳細パネルを開きます。[次のステップ] セクションに移動し、そのガイダンスに沿ってセキュリティの問題を修復します。

    有害な組み合わせのケースをクローズする

    有害な組み合わせのケースをクローズするには、基盤となる有害な組み合わせを修復するか、Google Cloud コンソールで関連する検出結果をミュートします。

    有害な組み合わせを修復してケースをクローズする

    有害な組み合わせを構成するセキュリティの問題を修正し、高価値リソースセット内のリソースが公開されなくなると、Risk Engine は次の攻撃パス シミュレーション中にケースを自動的に閉じます。このシミュレーションは、約 6 時間ごとに実行されます。

    検出結果をミュートしてケースをクローズする

    有害な組み合わせによって生じるリスクがビジネスにとって許容できる場合や、有害な組み合わせを修復できない場合は、関連する検出結果をミュートしてケースをクローズできます。

    有害な組み合わせの検出結果をミュートする手順は次のとおりです。

    1. Google Cloud コンソールで、[リスク] > [ケース] に移動します。
    2. 有害な組み合わせのケースを見つけて開きます。
    3. 関連するアラートのタブをクリックします。
    4. [検出結果の要約] ウィジェットで、[SCC で検出結果を探索] をクリックします。関連する検出結果が開きます。
    5. 検出結果の詳細ページの [ミュート オプション] を使用して、検出結果をミュートします。

    Google Cloud コンソールで検出結果をミュートすることもできます。詳細については、個々の検出結果をミュートするをご覧ください。

    クローズされた有害な組み合わせのケースを表示する

    ケースがクローズされると、Security Command Center の [ケース] ページから削除されます。

    クローズされた有害な組み合わせのケースを表示する手順は次のとおりです。

    1. Google Cloud コンソールで、[調査] > [SOAR 検索] に移動します。Security Operations コンソールの [SOAR 検索] ページが開きます。
    2. [ステータス] セクションを開き、[クローズ済み] を選択します。
    3. [タグ] セクションを開き、[有害な組み合わせ] を選択します。
    4. [適用] をクリックします。クローズされた有害な組み合わせのケースは、検索結果に表示されます。