このページでは、次のページを使用して有害な組み合わせとチョークポイントを特定し、対応する手順について説明します。
- 問題(プレミアム サービスティアとエンタープライズ サービスティアで利用可能)。
- ケース(エンタープライズ サービスティアで利用可能)。
- 検出結果(エンタープライズ サービスティアとプレミアム サービスティアで利用可能)。
始める前に
有害な組み合わせとチョークポイントの検出が正確に行われるように、セキュリティ運用コンポーネント ソフトウェアが最新の状態であること、高価値リソースセットが正確に指定されていること、適切な IAM 権限があることを確認します。
省略可: 他のクラウドからデータを収集する
Risk Engine は、アマゾン ウェブ サービス(AWS)(プレビュー)と Microsoft Azure(プレビュー)のデータでシミュレーションを実行して、有害な組み合わせとチョークポイントを特定することをサポートしています。
Security Command Center からこれらのクラウド プロバイダへの接続を構成して、リソースと構成データを収集します。接続の設定については、以下をご覧ください。
サポートされているリソースの一覧については、Risk Engine の機能サポートをご覧ください。
必要な権限を取得する
有害な組み合わせとチョークポイントを操作するには、Security Command Center と Google SecOps の機能へのアクセス権を付与する権限が必要です。
Security Command Center の IAM ロール
Security Command Center で作業するために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。
-
攻撃パスを表示する:
-
セキュリティ センター管理閲覧者(
roles/securitycenter.adminViewer) -
セキュリティ センター攻撃経路のリーダー(
roles/securitycenter.attackPathsViewer) -
セキュリティ センターの検出閲覧者(
roles/securitycenter.findingsViewer)
-
セキュリティ センター管理閲覧者(
-
攻撃パスの検出結果を表示する:
-
セキュリティ センター管理閲覧者(
roles/securitycenter.adminViewer) -
セキュリティ センター攻撃経路のリーダー(
roles/securitycenter.attackPathsViewer) -
セキュリティ センターの検出閲覧者(
roles/securitycenter.findingsViewer)
-
セキュリティ センター管理閲覧者(
-
検出結果を表示する:
-
セキュリティ センター管理閲覧者(
roles/securitycenter.adminViewer) -
セキュリティ センターの検出閲覧者(
roles/securitycenter.findingsViewer)
-
セキュリティ センター管理閲覧者(
-
検出結果をミュートする:
-
セキュリティ センター管理閲覧者(
roles/securitycenter.adminViewer) -
セキュリティ センターの検出編集者(
roles/securitycenter.findingsEditor) -
セキュリティ センターの検出のミュート設定者(
roles/securitycenter.findingsMuteSetter)
-
セキュリティ センター管理閲覧者(
-
リソースを表示する:
-
セキュリティ センター管理閲覧者(
roles/securitycenter.adminViewer) -
セキュリティ センターの検出のミュート設定者(
roles/securitycenter.findingsMuteSetter)
-
セキュリティ センター管理閲覧者(
-
検出結果を編集する:
-
セキュリティ センター管理閲覧者(
roles/securitycenter.adminViewer) -
セキュリティ センターの検出編集者(
roles/securitycenter.findingsEditor) -
セキュリティ センターの検出閲覧者(
roles/securitycenter.findingsViewer)
-
セキュリティ センター管理閲覧者(
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
Security Command Center のロールと権限の詳細については、組織レベルでの有効化のための IAM をご覧ください。
Google SecOps の IAM ロール
有害な組み合わせやケースを操作するには、次のいずれかのロールが必要です。
- Chronicle SOAR 脆弱性マネージャー(
roles/chronicle.soarVulnerabilityManager) - Chronicle SOAR 脅威マネージャー(
roles/chronicle.soarThreatManager) - Chronicle SOAR 管理者(
roles/chronicle.soarAdmin)
ユーザーにロールを付与する方法については、IAM を使用してユーザーをマッピングして承認するをご覧ください。
最新のセキュリティ運用ユースケースをインストールする
有害な組み合わせ機能を使用するには、SCC Enterprise - Cloud Orchestration and Remediation ユースケースの 2024 年 6 月 25 日以降のリリースが必要です。
ユースケースのインストールについては、Enterprise ユースケースの更新、2024 年 6 月をご覧ください。
高価値リソースセットを指定する
有害な組み合わせとチョークポイントの検出を有効にする必要はありません。常に有効になっています。Risk Engine は、デフォルトの高価値リソースセットを公開する有害な組み合わせとチョークポイントを自動的に検出します。
デフォルトの高価値リソースセットに基づいて生成された有害な組み合わせとチョークポイントの検出結果は、セキュリティの優先度を正確に反映していない可能性があります。高価値リソースセットに属するリソースを指定するには、 Google Cloud コンソールでリソース値の構成を作成します。手順については、高価値リソースセットを定義して管理するをご覧ください。
有害な組み合わせとチョークポイントを修復する
有害な組み合わせとチョークポイントにより、多くの高価値リソースが潜在的な攻撃者に露出する可能性があります。これらのリスクは、クラウド環境の他のリスクよりも先に修復する必要があります。
攻撃の発生可能性スコアに基づいて、有害な組み合わせとチョークポイントを修正する順序に優先順位を付けることができます。この操作を行う方法は、有害な組み合わせとチョークポイントを表示する場所によって異なります。
問題
リスクが最も高い有害な組み合わせとチョークポイント(問題として表示)には、次のページでアクセスできます。
- Security Command Center エンタープライズ サービスティア: [リスク] > [概要] ページ
- Security Command Center プレミアム サービスティア: [Security Command Center] > [リスクの概要]
すべての有害な組み合わせとチョークポイントは、[リスク] > [問題] ページで確認できます。
問題を修復するには、次の手順を完了します。
プレミアム
- すべての問題を表示するには、Security Command Center の [問題] ページに移動します。
- デフォルトでは、グループ化された問題は重大度に基づいてランク付けされます。グループ内の問題は、攻撃の発生可能性スコアに基づいてランク付けされます。すべての問題を攻撃の発生可能性スコアで並べ替えるには、[検出ごとにグループ化] を無効にします。
- 問題を選択します。
- 問題の説明と証拠を確認します。
- 関連する検出結果がある場合は、詳細を表示します。
- 有害な組み合わせまたはチョークポイントのプライマリ リソースで複数の重大な問題が見つかった場合は、証拠の図の後にメッセージが表示されます。修復作業を最適化するには、このメッセージの [このプライマリ リソースの問題をフィルタする] をクリックして、その特定のリソースの問題の解決に集中します。フィルタを削除する場合は、[
フィルタを追加] の近くにある戻る矢印をクリックします。 - [証拠] の図の [攻撃パスをすべて探索] をクリックすると、問題を詳細に把握し、攻撃パスによって高価値リソースがどのように露出されるかを確認できます。
- [修正方法] をクリックし、ガイダンスに沿ってリスクを軽減します。
エンタープライズ
- すべての問題を表示するには、Security Command Center の [リスク] > [問題] ページに移動します。
- デフォルトでは、グループ化された問題は重大度に基づいてランク付けされます。グループ内の問題は、攻撃の発生可能性スコアに基づいてランク付けされます。すべての問題を攻撃の発生可能性スコアで並べ替えるには、[検出ごとにグループ化] を無効にします。
- 問題を選択します。
- 問題の説明と証拠を確認します。
- 関連する検出結果がある場合は、詳細を表示します。
- 有害な組み合わせまたはチョークポイントのプライマリ リソースで複数の重大な問題が見つかった場合は、証拠の図の後にメッセージが表示されます。修復作業を最適化するには、このメッセージの [このプライマリ リソースの問題をフィルタする] をクリックして、その特定のリソースの問題の解決に集中します。フィルタを削除する場合は、[ フィルタを追加] の近くにある戻る矢印をクリックします。
- [証拠] の図の [攻撃パスをすべて探索] をクリックすると、問題を詳細に把握し、攻撃パスによって高価値リソースがどのように露出されるかを確認できます。
- [修正方法] をクリックし、ガイダンスに沿ってリスクを軽減します。
ケース
すべての有害な組み合わせのケースは、[ケース] ページで確認できます。チョークポイントはケースを自動的に生成しません。[問題] ページで確認してください。ケース内の有害な組み合わせを見つけるには、次の操作を行います。
- Google Cloud コンソールで、[リスク] > [ケース] に移動します。Security Operations コンソールの [ケース] ページが開きます。
- ケースのリストで (ケースフィルタ)をクリックして、フィルタパネルを開きます。[ケースキュー フィルタ] パネルが開きます。
- [Case queue filter] で、次のように指定します。 1. [期間] フィールドで、ケースがアクティブな期間を指定します。1. [Logical operator] を [AND] に設定します。1. フィルタキーのリストボックスで、[タグ] を選択します。 1. 等価演算子を is に設定します。 1. フィルタ値リストボックスで、[有害な組み合わせ] を選択します。 1. [適用] をクリックします。ケースキューのケースが更新され、指定したフィルタに一致するケースのみが表示されます。
- (ケースフィルタ)の横にある [並べ替え] をクリックし、[Sort by attack exposure (high to low)] を選択します。
- ケースキューで、表示するケースをクリックします。リストビューでケースを表示している場合は、ケース ID をクリックします。ケース情報が表示されます。
[事例の概要] をクリックします。- [事例の概要] セクションで、[次のステップ] のガイダンスに沿って操作します。
有害な組み合わせのケースで関連する検出結果を確認する
通常、有害な組み合わせには、ソフトウェアの脆弱性または構成ミスの検出結果が 1 つ以上含まれます。これらの検出結果ごとに、Security Command Center は個別のケースを自動的にオープンし、関連するハンドブックを実行します。これらの検出結果のケースを確認し、チケットのオーナーに、有害な組み合わせの解決に役立つ修復の優先順位付けを行うよう依頼できます。
有害な組み合わせに関連する検出結果を確認する手順は次のとおりです。
- ケースの [事例の概要] タブから、[検出結果] セクションに移動します。
[検出結果] セクションで、表示された検出結果を確認します。
- 検出結果のケース ID をクリックしてケースを開き、ステータス、割り当てられたオーナー、その他のケース情報を確認します。
- 攻撃の発生可能性スコアをクリックして、検出結果の攻撃パスを確認します。
- 検出結果にチケット ID がある場合は、それをクリックしてチケットを開きます。
または、ケースの独自のアラートタブで関連する検出結果を表示することもできます。
検出結果
有害な組み合わせまたはチョークポイントの検出結果は、Risk Engine がクラウド環境で有害な組み合わせまたはチョークポイントを検出したときに生成する最初のレコードです。
[検出結果] ページに移動します。
Google Cloud 組織を選択します。
[クイック フィルタ] パネルの [検出結果クラス] セクションで、[有害な組み合わせ] または [チョークポイント] を選択します。[検出結果クエリの結果] パネルが更新され、有害な組み合わせまたはチョークポイントの検出結果のみが表示されます。
検出結果を重大度で並べ替えるには、スコアが降順になるまで [攻撃の発生可能性スコア] 列の見出しをクリックします。
検出結果のカテゴリをクリックして、検出結果の詳細パネルを開きます。[次のステップ] セクションに移動し、そのガイダンスに沿ってセキュリティの問題を修復します。
有害な組み合わせのケースをクローズする
有害な組み合わせのケースをクローズするには、基盤となる有害な組み合わせを修復するか、Google Cloud コンソールで関連する検出結果をミュートします。
有害な組み合わせを修復してケースをクローズする
有害な組み合わせを構成するセキュリティの問題を修正し、高価値リソースセット内のリソースが公開されなくなると、Risk Engine は次の攻撃パス シミュレーション中にケースを自動的にクローズします。このシミュレーションは、約 6 時間ごとに実行されます。
検出結果をミュートしてケースをクローズする
有害な組み合わせによって生じるリスクがビジネスにとって許容できる場合や、有害な組み合わせを修復できない場合は、関連する検出結果をミュートしてケースをクローズできます。
有害な組み合わせの検出結果をミュートする手順は次のとおりです。
- Google Cloud コンソールで、[リスク] > [ケース] に移動します。
- 有害な組み合わせのケースを見つけて開きます。
- 関連するアラートのタブをクリックします。
- [検出結果の概要] ウィジェットで、[Explore findings in SCC] をクリックします。関連する検出結果が開きます。
- 検出結果の詳細ページの [ミュート オプション] を使用して、検出結果をミュートします。
Google Cloud コンソールで検出結果をミュートすることもできます。詳細については、個々の検出結果をミュートするをご覧ください。
クローズされた有害な組み合わせのケースを表示する
ケースがクローズされると、Security Command Center の [ケース] ページから削除されます。
クローズされた有害な組み合わせのケースを表示する手順は次のとおりです。
- Google Cloud コンソールで、[調査] > [SOAR Search] に移動します。Security Operations コンソールの [SOAR Search] ページが開きます。
- [ステータス] セクションを開き、[クローズ] を選択します。
- [タグ] セクションを開き、[有害な組み合わせ] を選択します。
- [適用] をクリックします。クローズされた有害な組み合わせのケースが検索結果に表示されます。