Security Command Center での脆弱性の検出結果の表示

このページでは、フィルタを使用して特定の脆弱性の検出結果を表示する方法について説明します。

Google Cloud コンソールの Security Command Center の [脆弱性] ページと [検出結果] ページで、脆弱性の検出結果を表示してフィルタできます。

重要な脆弱性の検出結果を表示した後、Security Command Center で脆弱性を選択して、特定の検出結果に関する詳細情報を表示できます。この情報には、脆弱性の説明とリスクに関する説明、修正の推奨事項が記載されています。

このページでは、脆弱性が Vulnerability クラスと Misconfiguration クラスの検出結果の両方を指します。

[脆弱性] ページと [検出結果] ページの比較

Google Cloud コンソールの [脆弱性] ページと [検出結果] ページの両方で、脆弱性の検出結果を表示してフィルタリングできます。

[脆弱性] ページのフィルタ オプションは、[検出結果] ページで使用できるフィルタとクエリのオプションに比べて制限されています。

[脆弱性] ページには、検出結果の Vulnerability クラスと Misconfiguration クラスのすべての検出結果カテゴリと、各カテゴリの現在のアクティブな検出結果の数と、各検出結果カテゴリがマッピングされているコンプライアンス標準が表示されます。特定のカテゴリに未対応の脆弱性がない場合、[アクティブな検出結果] 列に 0 が表示されます。

一方、[検出結果] ページには、任意の検出結果クラスの検出結果カテゴリを表示できますが、指定した期間に環境内でそのカテゴリにセキュリティの問題が検出された場合のみ、検出結果カテゴリが表示されます。

詳しくは次のページをご覧ください。

クエリのプリセットを適用する

[脆弱性] ページでは、特定のセキュリティ目標に関連する検出結果を返す事前定義されたクエリ(クエリのプリセット)を選択できます。

たとえば、クラウド インフラストラクチャの利用資格管理(CIEM)を担当している場合は、ID とアクセスの構成ミスクエリ プリセットを選択すると、誤って構成されたプリンシパル アカウントや、過剰な権限または機密性の高い権限が付与されたプリンシパル アカウントに関連するすべての検出結果を表示できます。

または、プリンシパルに実際に必要な権限のみを制限することが目的の場合は、[IAM Recommender] クエリ プリセットを選択して、必要以上の権限を持つプリンシパルの IAM Recommender からの検出結果を表示できます。

クエリのプリセットを選択する手順は次のとおりです。

  1. [脆弱性] ページに移動します。

    脆弱性ダッシュボードに移動

  2. [クエリ プリセット] セクションで、いずれかのクエリセレクタをクリックします。

    表示が更新され、クエリで指定された脆弱性カテゴリのみが表示されます。

プロジェクトごとに脆弱性の検出結果を表示する

Google Cloud コンソールの [脆弱性] ページでプロジェクトごとに脆弱性の検出結果を表示するには、次の手順を行います。

  1. Google Cloud コンソールの [脆弱性] ページに移動します。

    脆弱性ダッシュボードに移動

  2. ページ上部にあるプロジェクト セレクタで、脆弱性の検出結果を表示するプロジェクトを選択します。

[脆弱性] ページには、選択したプロジェクトの検出結果のみが表示されます。

コンソール ビューが組織に設定されている場合、[検出結果] ページの [クイック フィルタ] を使用して、1 つ以上のプロジェクト ID で脆弱性の検出をフィルタできます。

検出結果のカテゴリごとに脆弱性の検出結果を表示する

脆弱性の検出結果をカテゴリ別に表示する手順は次のとおりです。

  1. Google Cloud コンソールの [脆弱性] ページに移動します。

    脆弱性ダッシュボードに移動

  2. プロジェクト セレクタで、組織、フォルダ、またはプロジェクトを選択します。

  3. [カテゴリ] 列で、検出結果を表示する検出タイプを選択します。

選択したタイプに一致する検出結果が読み込まれ、[検出結果] ページに表示されます。

検出結果カテゴリの詳細については、脆弱性に関する検出をご覧ください。

アセットの種類ごとに検出結果を表示する

特定のアセットタイプの脆弱性の検出結果を表示するには、次の手順を行います。

  1. Google Cloud Console で Security Command Center の [検出] ページに移動します。

    [検出] に移動

  2. プロジェクト セレクタで、組織、フォルダ、またはプロジェクトを選択します。

  3. [クイック フィルタ] パネルで、以下を選択します。

    • [検出結果クラス] セクションで、[脆弱性] と [構成ミス] の両方を選択します。
    • (省略可)[プロジェクト ID] セクションで、アセットを表示するプロジェクトの ID を選択します。
    • [リソースの種類] セクションで、表示するリソースタイプを選択します。

[検出結果クエリの結果] パネルで検出結果のリストが更新され、選択内容に一致する検出結果のみが表示されます。

攻撃の発生可能性スコアごとに脆弱性の検出結果を表示する

高価値として指定され、攻撃パス シミュレーションによってサポートされている脆弱性の検出結果には、攻撃の発生可能性スコアが割り当てられます。検出結果をこのスコアでフィルタできます。

攻撃の発生可能性スコアごとに脆弱性の検出結果を表示するには、次の手順を行います。

  1. Google Cloud コンソールで Security Command Center の [検出結果] ページに移動します。

    [検出] に移動

  2. プロジェクト セレクタで、組織、フォルダ、またはプロジェクトを選択します。

  3. [クエリのプレビュー] パネルの右側にある [クエリを編集] をクリックします。

  4. [Query Editor] パネルの上部にある [フィルタを追加] をクリックします。

  5. [フィルタを選択] ダイアログで、[攻撃の発生可能性] を選択します。

  6. [~より大きい攻撃の発生可能性] フィールドにスコア値を入力します。

  7. [適用] をクリックします。

    フィルタ ステートメントがクエリに追加され、[検出結果クエリの結果] パネルの検出結果が更新されて、新しいフィルタ ステートメントで指定した値より大きい攻撃の発生可能性スコアの検出結果のみが表示されます。

CVE ID ごとに脆弱性の検出結果を表示する

検出結果は、対応する CVE ID で [概要] ページまたは [検出結果] ページで確認できます。

[概要] ページの [上位の CVE の検出結果] セクションでは、脆弱性の検出結果が、Mandiant が評価した対応する CVE の悪用可能性と影響別にインタラクティブなグラフでグループ化されます。グラフのブロックをクリックすると、環境で検出された CVE ID 別の脆弱性のリストが表示されます。

[検出結果] ページでは、その CVE ID で検出結果をクエリできます。

CVE ID で脆弱性の検出をクエリするには、次の手順を行います。

  1. Google Cloud コンソールで Security Command Center の [検出結果] ページに移動します。

    [検出] に移動

  2. プロジェクト セレクタで、組織、フォルダ、またはプロジェクトを選択します。

  3. [クエリのプレビュー] フィールドの右側にある [クエリを編集] をクリックします。

  4. クエリエディタで、検索する CVE ID を含むようにクエリを編集します。次に例を示します。

    state="ACTIVE"
     AND NOT mute="MUTED"
     AND vulnerability.cve.id="CVE-2016-5195"
    

    [検出結果クエリの結果] が更新され、ミュートされていない CVE ID を含むアクティブな検出結果がすべて表示されます。

重大度別に脆弱性の検出結果を表示する

重大度別に脆弱性の検出結果を表示するには、次の手順を行います。

  1. Google Cloud コンソールで Security Command Center の [検出結果] ページに移動します。

    [検出] に移動

  2. プロジェクト セレクタで、組織、フォルダ、またはプロジェクトを選択します。

  3. [クイック フィルタ] パネルで、[検出結果クラス] セクションに移動し、[脆弱性] と [構成ミス] の両方を選択します。

    表示される検出結果は、Vulnerability クラスと Misconfiguration クラスの検出結果のみを表示するように更新されます。

  4. また、[クイック フィルタ] パネルで [重大度] セクションに移動し、表示する必要がある検出結果の重大度を選択します。

    表示される検出結果は、選択した重大度の脆弱性の検出結果のみを表示するように更新されます。

アクティブな検出結果の数ごとに検出結果のカテゴリを表示する

含まれるアクティブな検出結果の数ごとに検出結果カテゴリを表示するには、Google Cloud コンソールまたは Google Cloud CLI コマンドを使用します。

Console

[脆弱性] ページに含まれるアクティブな検出結果の数ごとに検出結果カテゴリを表示するには、[アクティブな検出結果] 列でカテゴリを並べ替えることも、それぞれに含まれるアクティブな検出結果の数でカテゴリをフィルタリングすることもできます。

含まれるアクティブな検出結果の数ごとに脆弱性の検出結果カテゴリをフィルタするには、次の手順を実施します。

  1. Google Cloud コンソールで [脆弱性] ページを開きます。

    脆弱性ダッシュボードに移動

  2. プロジェクト セレクタで、組織、フォルダ、またはプロジェクトを選択します。

  3. フィルタ フィールドにカーソルを置くと、フィルタのリストが表示されます。

  4. フィルタのリストから [アクティブな検出結果] を選択します。論理演算子のリストが表示されます。

  5. フィルタで使用する論理演算子(>= など)を選択します。

  6. 数字を入力して Enter キーを押します。

表示が更新され、フィルタに一致する多数のアクティブな検出結果を含む脆弱性カテゴリのみが表示されます。

gcloud

gcloud CLI を使用してすべての検出結果の数を取得するには、まず Security Command Center にクエリを送信し、脆弱性サービスのソース ID を取得してから、ソース ID を使用して有効な検出結果の数をクエリします。

手順 1: ソース ID を取得する

この手順を完了するには、組織 ID を取得してから、脆弱性検出サービスのソース ID を取得します。これは、検出結果のソースとも呼ばれます。Security Command Center API をまだ有効にしていない場合は、有効にするように求められます。

  1. gcloud organizations list を実行して組織 ID を取得してから、組織名の横にある数字をメモします。
  2. 次のコマンドを実行して、Security Health Analytics のソース ID を取得します。

    gcloud scc sources describe organizations/ORGANIZATION_ID \
      --source-display-name='SOURCE_DISPLAY_NAME'

    以下を置き換えます。

    • ORGANIZATION_ID: 組織の ID。 Security Command Center の有効化レベルに関係なく、組織 ID が必要です。
    • SOURCE_DISPLAY_NAME: 検出結果を表示する必要がある脆弱性検出サービスの表示名。例: Security Health Analytics
  3. プロンプトが表示されたら、Security Command Center API を有効にしてから前述のコマンドを実行し、ソース ID を再度取得します。

ソース ID を取得するコマンドから、次のような出力が返されます。

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

次のステップで使用する SOURCE_ID をメモします。

手順 2: アクティブな検出結果の数を取得する

前の手順でメモした SOURCE_ID を使用して、検出結果をフィルタします。次の gcloud CLI コマンドは、検出結果の数をカテゴリごとに返します。

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

ページサイズは 1,000 までの任意の値に設定できます。このコマンドにより、特定の組織またはプロジェクトの結果とともに、次のような出力が表示されます。

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50