高価値リソースセットを定義して管理する

このページでは、リソース値の構成を作成、編集、削除、表示する方法について説明します。

リソース値の構成を使用して、高価値リソースセットを作成します。高価値リソースセットにより、攻撃パス シミュレーションで高価値リソースと見なされるリソース インスタンス(リソースと呼ばれる)が決まります。

リソース値の構成は、Google Cloud 上のリソースに対して定義できます。また、Security Command Center のエンタープライズ ティアをご利用の場合は、Security Command Center が接続されている他のクラウド サービス プロバイダのリソースに対して定義できます。

攻撃パス シミュレーションを実行すると、攻撃パスが特定され、高価値リソースと指定されたリソースと、Vulnerability クラス、Misconfiguration クラス、Toxic combination クラスの検出結果に対して攻撃の発生可能性スコアが計算されます。

攻撃パス シミュレーションは約 6 時間ごとに実行されます。組織の規模が大きくなると、シミュレーション時間は長くなりますが、必ず 1 日に 1 回以上実行されます。リソースまたはリソース値の構成を作成、変更、削除しても、シミュレーションはトリガーされません。

高価値リソースセットとリソース値の構成の概要については、高価値リソースセットをご覧ください。

始める前に

リソース値の構成を表示して操作するために必要な権限を取得するには、組織に対して次の IAM ロールを付与するよう管理者に依頼してください。

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

リソース値の構成を作成する

リソース値の構成を作成するには、 Google Cloud コンソールで Security Command Center の [設定] ページに移動し、[攻撃パス シミュレーション] タブを使用します。

リソース値の構成を作成するには、クラウド サービス プロバイダのタブをクリックして次の手順を実行します。

Google Cloud

  1. Security Command Center の [設定] で、[攻撃パス シミュレーション] ページに移動します。

    攻撃パス シミュレーションに移動する

  2. 組織を選択します。[攻撃パス シミュレーション] ページが開きます。

  3. [Create new configuration] をクリックします。[Create resource value configuration] パネルが開きます。

  4. [名前] フィールドに、このリソース値の構成の名前を指定します。

  5. 省略可: 構成の説明を入力します。

  6. [クラウド プロバイダ] で [Google Cloud] を選択します。

  7. [スコープの選択] フィールドで [選択] をクリックし、プロジェクト ブラウザを使用してプロジェクト、フォルダ、または組織を選択します。この構成は、指定したスコープのリソース インスタンスにのみ適用されます。

  8. [リソースタイプを選択] フィールドをクリックし、リソースタイプまたは [すべて] を選択します。この構成は、選択したリソースタイプのインスタンスに適用されます。[すべて] を選択した場合は、サポートされているすべてのリソースタイプのインスタンスに適用されます。デフォルトは [すべて] です。

  9. (省略可)[ラベル] セクションで、[ラベルを追加] をクリックして 1 つ以上のラベルを指定します。ラベルを指定すると、メタデータにラベルを含むリソースにのみ構成が適用されます。

    リソースに新しいラベルを適用すると、ラベルが構成と照合できるようになるまでに数時間かかることがあります。

  10. 省略可: [タグ] セクションで [タグを追加] をクリックして、1 つ以上のタグを指定します。タグを指定すると、メタデータ内にタグを含むリソースにのみ構成が適用されます。

    リソースに新しいタグを定義すると、タグが構成と照合できるようになるまでに数時間かかることがあります。

  11. 次のいずれかのオプションを指定して、一致するリソースの優先度の値を設定します。

    • 省略可: Sensitive Data Protection の検出サービスを使用する場合は、Security Command Center を有効にし、Sensitive Data Protection によるデータ機密性の分類に基づいてサポートされているデータリソースの優先度の値を自動的に設定します。

      1. [Sensitive Data Protection からの検出分析情報を含める] の横にあるスライダーをクリックします。
      2. 最初の [リソース値を割り当てる] フィールドで、機密性が高いデータを含む一致するリソースに割り当てる優先度の値を選択します。
      3. 2 番目の [リソース値を割り当てる] フィールドで、機密性が中程度のデータを含む一致するリソースに割り当てる優先度の値を選択します。

    • [リソース値を割り当てる] フィールドで、リソース インスタンスに割り当てる値を選択します。この値は、高価値リソースセット内の他のリソース インスタンスとの相対値になります。この値は、攻撃の発生可能性スコアの計算に使用されます。

  12. [保存] をクリックします。

AWS

Security Command Center がリソース値の構成で指定したリソースの攻撃の発生可能性スコアと攻撃パスを生成するには、Security Command Center が AWS に接続されている必要があります。詳細については、マルチクラウド サポートをご覧ください。

  1. Security Command Center の [設定] で、[攻撃パス シミュレーション] ページに移動します。

    攻撃パス シミュレーションに移動する

  2. 組織を選択します。[攻撃パス シミュレーション] ページが開きます。

  3. [Create new configuration] をクリックします。[Create resource value configuration] パネルが開きます。

  4. [名前] フィールドに、このリソース値の構成の名前を指定します。

  5. 省略可: 構成の説明を入力します。

  6. [クラウド プロバイダ] で、[Amazon Web Services] を選択します。

  7. 省略可: [アカウント ID] フィールドに、12 桁の AWS アカウント ID を入力します。指定しない場合、リソース値の構成は AWS 接続構成で指定されたすべての AWS アカウントに適用されます。

  8. 省略可: [リージョン] フィールドに AWS リージョンを入力します。例: us-east-1指定しない場合、リソース値の構成はすべての AWS リージョンに適用されます。

  9. [リソースタイプを選択] フィールドをクリックして、リソースタイプまたは [すべて] を選択します。この構成は、選択したリソースタイプのインスタンスに適用されます。[すべて] を選択した場合は、サポートされているすべてのリソースタイプに適用されます。デフォルトは [すべて] です。

  10. 省略可: [タグ] セクションで [タグを追加] をクリックして、1 つ以上のタグを指定します。タグを定義すると、コネクタはメタデータにタグを含むリソースのみをスキャンします。

    リソースに新しいタグを定義すると、タグが構成と照合できるようになるまでに数時間かかることがあります。

  11. [リソース値を割り当てる] フィールドで、次のいずれかのオプションを指定して、一致するリソースの優先度の値を選択します。

    • 省略可: Sensitive Data Protection の検出サービスを使用する場合は、Security Command Center を有効にし、Sensitive Data Protection によるデータ機密性の分類に基づいてサポートされている AWS データリソースの優先度の値を自動的に設定します。

      1. [Sensitive Data Protection からの検出分析情報を含める] の横にあるスライダーをクリックします。
      2. 最初の [リソース値を割り当てる] フィールドで、機密性が高いデータを含む一致するリソースに割り当てる優先度の値を選択します。
      3. 2 番目の [リソース値を割り当てる] フィールドで、機密性が中程度のデータを含む一致するリソースに割り当てる優先度の値を選択します。

    • [リソース値を割り当てる] フィールドで、リソース インスタンスに割り当てる値を選択します。この値は、高価値リソースセット内の他のリソース インスタンスとの相対値になります。この値は、攻撃の発生可能性スコアの計算に使用されます。

  12. [保存] をクリックします。

Azure

Security Command Center がリソース値の構成で指定した Azure リソースの攻撃の発生可能性スコアと攻撃パスを生成するには、Security Command Center が AWS に接続されている必要があります。詳細については、マルチクラウド サポートをご覧ください。

  1. Security Command Center の [設定] で、[攻撃パス シミュレーション] ページに移動します。

    攻撃パス シミュレーションに移動する

  2. 組織を選択します。[攻撃パス シミュレーション] ページが開きます。

  3. [Create new configuration] をクリックします。[Create resource value configuration] パネルが開きます。

  4. [名前] フィールドに、このリソース値の構成の名前を指定します。

  5. 省略可: [説明] に、構成の説明を入力します。

  6. [クラウド プロバイダ] で [Microsoft Azure] を選択します。

  7. 省略可: [サブスクリプション ID] に、36 桁の Azure サブスクリプション ID を入力します。指定しない場合、リソース値の構成は、Azure コネクタ構成で指定されたすべてのサブスクリプションに適用されます。

  8. 省略可: [ロケーションを選択] フィールドで、Azure のロケーション(East US 2 など)を選択します。ロケーションを設定しない場合、リソース値の構成は、Azure コネクタ構成で指定されたすべてのロケーションに適用されます。

  9. [リソースタイプを選択] をクリックし、リソースタイプまたは [すべて] を選択します。この構成は、選択したリソースタイプのインスタンスに適用されます。[すべて] を選択した場合は、サポートされているすべてのリソースタイプに適用されます。デフォルトは [すべて] です。

  10. 省略可: [タグ] セクションで [タグを追加] をクリックして、1 つ以上のタグを指定します。タグを指定すると、メタデータ内にタグを含むリソースにのみ構成が適用されます。

    リソースに新しいタグを定義すると、タグが構成と照合できるようになるまでに数時間かかることがあります。

  11. [リソース値を割り当てる] フィールドで、優先度の値を選択します。

  12. [保存] をクリックします。

新しい構成は、次の攻撃パス シミュレーションが実行された後にのみ、攻撃の発生可能性スコアと攻撃パスに反映されます。

高価値リソースセットを表示すると、セット内のリソースと一致するリソース値の構成を確認できます。詳細については、高価値リソースに一致する構成を表示するをご覧ください。

データ機密性の分類を Security Command Center に送信するように Sensitive Data Protection を構成する方法については、Sensitive Data Protection のドキュメントの Security Command Center にデータ プロファイルを公開するをご覧ください。

構成を編集する

名前を除き、リソース値の構成の指定を更新できます。

次の手順では、編集するリソース値の構成の名前がわかっていることを前提としています。関連するリソースの名前のみがわかっている場合は、代わりに高価値リソースに一致する構成を表示するをご覧ください。

既存のリソース値の構成を更新する手順は次のとおりです。

  1. Security Command Center の [設定] で、[攻撃パス シミュレーション] ページに移動します。

    攻撃パス シミュレーションに移動する

  2. 組織を選択します。[攻撃パス シミュレーション] ページが開き、既存の構成が表示されます。

  3. [構成名] 列で、更新する構成の名前をクリックします。[Edit resource value configuration] ページが開きます。

  4. 必要に応じて、構成の指定を更新します。

  5. [保存] をクリックします。

変更は、次の攻撃パス シミュレーションが実行された後にのみ、攻撃の発生可能性スコアと攻撃パスに反映されます。

構成を削除する

リソース値の構成を削除する手順は次のとおりです。

  1. Security Command Center の [設定] で、[攻撃パス シミュレーション] ページに移動します。

    攻撃パス シミュレーションに移動する

  2. 組織を選択します。[攻撃パス シミュレーション] ページが開きます。

  3. 削除する構成の右側の [リソース値の構成] で、その他アイコンをクリックしてアクション メニューを表示します。その他アイコンが表示されない場合は、右にスクロールします。

  4. 表示されたアクション メニューから [削除] を選択します。

  5. 確認ダイアログで [確認] を選択します。

    構成が削除されます。

構成を表示する

Security Command Center の [設定] の [攻撃パス シミュレーション] ページで、既存のすべてのリソース値の構成を確認できます。

  1. 特定のリソース値の構成を表示するには、[攻撃パス シミュレーション] ページに移動します。

    攻撃パス シミュレーションに移動する

  2. 組織を選択します。[攻撃パス シミュレーション] ページが開きます。

  3. [攻撃パス シミュレーション] ページの [リソース値の構成] で、必要な構成が見つかるまでリソース値の構成リストをスクロールします。

  4. 構成の名前を確認するには、構成の名前をクリックします。プロパティは、[リソース値の構成の編集] ページに表示されます。

高価値リソースに一致する構成を表示する

高価値リソースセット内のリソースと一致するすべての構成を表示できます。この機能は、高価値リソースセットのリソース値を決定したルールを確認する場合に便利です。

高価値リソースに一致する構成を表示する手順は次のとおりです。

  1. 高価値リソースセットを表示します
  2. 構成を表示するリソースを見つけます。そのリソースに一致する構成が [一致する構成] 列に一覧表示されます。構成は、リソースに割り当てるリソース値(HighMediumLow)に基づいて降順で一覧表示されます。

  3. 構成のプロパティを表示するには、構成の名前をクリックします。プロパティは、[リソース値の構成の編集] ページに表示されます。

    最近削除された構成は、次の攻撃パス シミュレーションが実行されるまで表示されますが、クリックできません。

  4. (省略可)構成を編集して、[保存] をクリックします。

トラブルシューティング

リソース値の構成を作成、編集、削除した後にエラーが発生した場合は、次の手順に沿ってGoogle Cloud コンソールで SCC Error クラスの検出結果を確認します。

  1. Google Cloud コンソールの [検出結果] ページに移動します。

    [検出結果] に移動

  2. [クイック フィルタ] パネルで、[検出結果クラス] セクションに移動して、[SCC エラー] を選択します。

  3. [検出結果クエリの結果] パネルで、次の SCC Error の検出結果をスキャンし、カテゴリ名をクリックします。

    • APS no resource value configs match any resources
    • APS resource value assignment limit exceeded

    検出結果の詳細パネルが開きます。

  4. 検出結果の詳細パネルで、[次のステップ] セクションの情報を確認します。

ドキュメントで攻撃パス シミュレーション SCC Error の検出結果に対する修正手順を確認するには、以下をご覧ください。

次のステップ

Security Command Center の検出結果の操作については、検出結果を確認して管理するをご覧ください。