このページでは、リソース値の構成を作成、編集、削除、表示する方法について説明します。
リソース値の構成を使用して、高価値リソースセットを作成します。高価値リソースセットにより、攻撃パス シミュレーションで高価値リソースと見なされるリソース インスタンス(リソースと呼ばれる)が決まります。
リソース値の構成は、Google Cloud 上のリソースに対して定義できます。また、Security Command Center のエンタープライズ ティアをご利用の場合は、Security Command Center が接続されている他のクラウド サービス プロバイダのリソースに対して定義できます。
攻撃パス シミュレーションを実行すると、攻撃パスが特定され、高価値リソースと指定されたリソースと、Vulnerability
クラス、Misconfiguration
クラス、Toxic combination
クラスの検出結果に対して攻撃の発生可能性スコアが計算されます。
攻撃パス シミュレーションは 1 日に最大 4 回まで実行できます(6 時間ごとに 1 回)。組織の規模が大きくなると、シミュレーション時間は長くなりますが、必ず 1 日に 1 回以上実行されます。リソースまたはリソース値の構成を作成、変更、削除しても、シミュレーションはトリガーされません。
高価値リソースセットとリソース値の構成の概要については、高価値リソースセットをご覧ください。
始める前に
リソース値の構成を表示して操作するために必要な権限を取得するには、組織に対する次の IAM ロールの付与を管理者に依頼してください。
-
リソース値構成の編集者(
roles/securitycenter.resourceValueConfigEditor
) -
リソース値構成の閲覧者(
roles/securitycenter.resourceValueConfigsViewer
) -
セキュリティ センター設定の編集者(
roles/securitycenter.settingsEditor
)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
リソース値の構成を作成する
リソース値の構成を作成するには、Google Cloud コンソールで Security Command Center の [設定] ページに移動し、[攻撃パス シミュレーション] タブを使用します。
リソース値の構成を作成するには、クラウド サービス プロバイダのタブをクリックして次の手順を実行します。
Google Cloud
Security Command Center の [設定] で、[攻撃パス シミュレーション] ページに移動します。
組織を選択します。[攻撃パス シミュレーション] ページが開きます。
[Create new configuration] をクリックします。[Create resource value configuration] パネルが開きます。
[名前] フィールドに、このリソース値の構成の名前を指定します。
省略可: 構成の説明を入力します。
[クラウド プロバイダ] で [Google Cloud] を選択します。
[スコープの選択] フィールドで [選択] をクリックし、プロジェクト ブラウザを使用してプロジェクト、フォルダ、または組織を選択します。この構成は、指定したスコープのリソース インスタンスにのみ適用されます。
[リソースタイプを選択] フィールドで、フィールドをクリックしてプルダウン メニューを表示し、リソースタイプまたは [すべて] を選択します。この構成は、指定したリソースタイプのインスタンスに適用されます。[すべて] を選択した場合は、サポートされているすべてのリソースタイプのインスタンスに適用されます。デフォルトは [すべて] です。
(省略可)[ラベル] セクションで、[ラベルを追加] をクリックして 1 つ以上のラベルを指定します。ラベルを指定すると、メタデータにラベルを含むリソースにのみ構成が適用されます。
リソースに新しいラベルを適用すると、ラベルが構成と照合できるようになるまでに数時間かかることがあります。
省略可: [タグ] セクションで [タグを追加] をクリックして、1 つ以上のタグを指定します。タグを指定すると、構成はメタデータ内にタグ含むリソースにのみ適用されます。
リソースに新しいタグを定義すると、タグが構成と照合できるようになるまでに数時間かかることがあります。
次のいずれかのオプションを指定して、一致するリソースの優先度の値を設定します。
省略可: Sensitive Data Protection の検出サービスを使用する場合は、Security Command Center を有効にし、Sensitive Data Protection によるデータ機密性の分類に基づいてサポートされているデータリソースの優先度値を自動的に設定します。
- [Sensitive Data Protection からの検出分析情報を含める] の横にあるスライダーをクリックします。
- 最初の [リソース値を割り当てる] フィールドで、機密性の高いデータを含む一致するリソースに割り当てる優先度の値を選択します。
- 2 番目の [リソース値を割り当てる] フィールドで、機密性が中程度のデータを含む一致するリソースに割り当てる優先度の値を選択します。
[リソース値を選択] フィールドで、リソース インスタンスに割り当てる値を選択します。この値は、高価値リソースセット内の他のリソース インスタンスとの相対値になります。この値は、攻撃の発生可能性スコアの計算に使用されます。
[保存] をクリックします。
AWS
Security Command Center がリソース値の構成で指定したリソースの攻撃の発生可能性スコアと攻撃パスを返すには、Security Command Center が AWS に接続されている必要があります。詳細については、マルチクラウド サポートをご覧ください。
Security Command Center の [設定] で、[攻撃パス シミュレーション] ページに移動します。
組織を選択します。[攻撃パス シミュレーション] ページが開きます。
[Create new configuration] をクリックします。[Create resource value configuration] パネルが開きます。
[名前] フィールドに、このリソース値の構成の名前を指定します。
省略可: 構成の説明を入力します。
[クラウド プロバイダ] で [Amazon Web Services] を選択します。
省略可: [アカウント ID] フィールドに、12 桁の AWS アカウント ID を入力します。 指定しない場合、リソース値の構成は、AWS 接続構成で指定されているすべての AWS アカウントに適用されます。
省略可: [リージョン] フィールドに AWS リージョンを入力します。例:
us-east-1
。指定しない場合、リソース値の構成はすべての AWS リージョンに適用されます。[リソースタイプを選択] フィールドで、フィールドをクリックしてプルダウン メニューを表示し、リソースタイプまたは [すべて] を選択します。この構成は、指定したリソースタイプのインスタンスに適用されます。[すべて] を選択した場合は、サポートされているすべての AWS リソースタイプのインスタンスに適用されます。デフォルトは [すべて] です。
省略可: [タグ] セクションで [タグを追加] をクリックして、1 つ以上のタグを指定します。タグを指定すると、構成はメタデータ内にタグ含むリソースにのみ適用されます。
リソースに新しいタグを定義すると、タグが構成と照合できるようになるまでに数時間かかることがあります。
次のいずれかのオプションを指定して、一致するリソースの優先度の値を設定します。
省略可: Sensitive Data Protection の検出サービスを使用する場合は、Security Command Center を有効にし、Sensitive Data Protection によるデータ機密性の分類に基づいてサポートされている AWS データリソースの優先度値を自動的に設定します。
- [Sensitive Data Protection からの検出分析情報を含める] の横にあるスライダーをクリックします。
- 最初の [リソース値を割り当てる] フィールドで、機密性の高いデータを含む一致するリソースに割り当てる優先度の値を選択します。
- 2 番目の [リソース値を割り当てる] フィールドで、機密性が中程度のデータを含む一致するリソースに割り当てる優先度の値を選択します。
[リソース値を選択] フィールドで、リソース インスタンスに割り当てる値を選択します。この値は、高価値リソースセット内の他のリソース インスタンスとの相対値になります。この値は、攻撃の発生可能性スコアの計算に使用されます。
[保存] をクリックします。
新しい構成は、次の攻撃パス シミュレーションが実行された後にのみ、攻撃の発生可能性スコアと攻撃パスに反映されます。
構成を編集する
名前を除き、リソース値の構成の指定を更新できます。
既存のリソース値の構成を更新する手順は次のとおりです。
Security Command Center の [設定] で、[攻撃パス シミュレーション] ページに移動します。
組織を選択します。[攻撃パス シミュレーション] ページが開き、既存の構成が表示されます。
[構成名] 列で、更新する構成の名前をクリックします。[Edit resource value configuration] ページが開きます。
必要に応じて、構成の指定を更新します。
(省略可)[Preview matching resources] をクリックして、更新された構成に一致するリソースの数と、個々の一致するリソース インスタンスのリストを表示します。
[保存] をクリックします。
変更は、次の攻撃パス シミュレーションが実行された後にのみ、攻撃の発生可能性スコアと攻撃パスに反映されます。
構成を削除する
リソース値の構成を削除する手順は次のとおりです。
Security Command Center の [設定] で、[攻撃パス シミュレーション] ページに移動します。
組織を選択します。[攻撃パス シミュレーション] ページが開きます。
削除する構成の右側の [リソース値の構成] で、その他アイコンをクリックしてアクション メニューを表示します。その他アイコンが表示されない場合は、右にスクロールします。
表示されたアクション メニューから [削除] を選択します。
確認ダイアログで [確認] を選択します。
構成が削除されます。
構成を表示する
Security Command Center の [設定] の [攻撃パス シミュレーション] ページで、既存のすべてのリソース値の構成を確認できます。
特定のリソース値の構成を表示するには、[攻撃パス シミュレーション] ページに移動します。
組織を選択します。[攻撃パス シミュレーション] ページが開きます。
[攻撃パス シミュレーション] ページの [リソース値の構成] で、必要な構成が見つかるまでリソース値の構成リストをスクロールします。
構成の名前を確認するには、構成の名前をクリックします。プロパティは、[リソース値の構成の編集] ページに表示されます。
トラブルシューティング
リソース値の構成を作成、編集、削除した後にエラーが発生した場合は、次の手順に沿って Google Cloud コンソールで SCC Error
クラスの検出結果を確認します。
Google Cloud コンソールで、[検出結果] ページに移動します。
[クイック フィルタ] パネルで、[検出結果クラス] セクションまでスクロールして、[SCC エラー] を選択します。
[検出結果クエリの結果] パネルで、次の
SCC Error
の検出結果をスキャンし、カテゴリ名をクリックします。APS no resource value configs match any resources
APS resource value assignment limit exceeded
検出結果の詳細パネルが開きます。
検出結果の詳細パネルで、[次のステップ] セクションの情報を確認します。
ドキュメントで攻撃パス シミュレーション SCC Error
の検出結果に対する修正手順を確認するには、以下をご覧ください。
次のステップ
Security Command Center の検出結果の操作については、検出結果を確認して管理するをご覧ください。