Security Command Center サービスを構成する

Security Command Center では、組み込みサービスと統合サービスの 2 種類のサービスが実行されます。組み込みサービスは、Security Command Center の一部です。統合サービスは、Security Command Center に検出結果を提供する Google Cloud またはサードパーティのサービスです。

このページでは、組み込みサービスと統合サービスを構成する方法について説明します。

組み込みサービスを有効または無効にする

次の組み込みサービスは、Security Command Center の一部です。

• Container Threat Detection
• Event Threat Detection
• Security Health Analytics
• セキュリティ ポスチャー
• Sensitive Actions Service
• Virtual Machine Threat Detection
• Amazon Web Services（AWS）の脆弱性評価
• Web Security Scanner

一部の組み込みサービスは、Security Command Center Premium ティアまたは Enterprise ティアでのみ利用可能です。Security Command Center のティアの詳細

セキュリティ ポスチャー サービスを有効または無効にすることはできません。Security Command Center Enterprise ティアを有効にすると、デフォルトで使用できるようになります。

ほとんどの組み込みサービスは、組織全体で有効にできます。また、選択したフォルダまたはプロジェクトでのみ有効にすることもできます。デフォルトでは、フォルダとプロジェクトは親の組織またはフォルダからサービス有効化設定を継承します。

AWS サービスの脆弱性評価サービスは、Google Cloud 組織でのみ有効にできます。また、Security Command Center と AWS の間の接続を確立する必要があります。

Container Threat Detection サービスは、クラスタに対してのみ有効にできます。Container Threat Detection に必要な権限については、必要な IAM 権限をご覧ください。

リソースの Security Command Center サービスを有効または無効にするには、次の操作を行います。

1. Google Cloud コンソールで、Security Command Center ページに移動します。

   Security Command Center に移動

2. サービスを管理する組織、フォルダ、プロジェクトを選択します。

3. [settings 設定] をクリックします。

4. 変更するサービスの [設定を管理] をクリックします。

5. [サービスの有効化] タブのリソースの階層ビューで、サービスを有効にする組織、フォルダ、プロジェクト、またはコンテナを選択します。AWS サービスの脆弱性評価サービスを有効にする場合は、[有効にする] を選択します。

6. リソースに対して、サービスを [有効]、[無効]、または [継承] に設定します。

Security Health Analytics などの一部のサービスはバッチスキャンを使用して動作します。このようなサービスを無効にしても、変更がすぐに反映されない場合があります。変更は、進行中のすべてのバッチスキャンが完了すると有効になります。これにより、サービスを無効にした後も、新しい脆弱性が短期間検出される可能性があります。

サービスの検出機能を表示して編集する

一部のサービス（Security Health Analytics など）では、特定の検出機能（モジュール）を有効または無効にできます。サービスの検出機能を構成して、現在のステータスを表示する方法は次のとおりです。

1. Google Cloud コンソールで、Security Command Center ページに移動します。

   Security Command Center に移動

2. サービスを管理する組織、フォルダ、プロジェクトを選択します。

3. [settings 設定] をクリックします。

4. 表示するサービスの [設定を管理] をクリックします。

5. [モジュール] タブをクリックします。サービスの検出機能とそれぞれのステータスが表示されます。

6. 変更する検出機能のステータスを [有効] または [無効] に設定します。

統合された Google Cloud サービスを Security Command Center に追加する

統合サービスは、組織レベルで有効にした Security Command Center に追加できます。プロジェクト レベルで有効にした場合、統合された Google Cloud サービスはサポートされません。

組織レベルで有効にした Security Command Center と統合される Google Cloud セキュリティ サービスは次のとおりです。

• Assured Open Source Software（Assured OSS）
• Mandiant Attack Surface Management
• 異常検出
• Google Cloud Armor
• IAM Recommender
• Sensitive Data Protection
• VM Manager（プレビュー）

一部の組み込みサービスは、Security Command Center Premium ティアまたは Enterprise ティアでのみ利用可能です。Security Command Center のティアの詳細

これらのサービスの詳細については、脆弱性と脅威の検出サービスをご覧ください。

1. Google Cloud コンソールで、Security Command Center ページに移動します。

   Security Command Center に移動

2. 組織またはプロジェクトを選択します。

3. [settings 設定] をクリックします。

4. [統合されたサービス] タブをクリックします。

5. 有効にする統合ソースの横にある [ステータス] リストをクリックし、[有効にする] を選択します。

有効にしたサービスからの検出結果は、Security Command Center ダッシュボードの [検出結果] ページに表示されます。

一部の Google Cloud セキュリティ サービスでは、追加の統合手順を完了する必要があります。以下をご覧ください。

• Assured OSS の統合を構成するには、Assured OSS と統合するをご覧ください。
• Sensitive Data Protection の統合を構成するには、Sensitive Data Protection との統合をご覧ください。

統合サービスを無効にするには、名前の横にあるリストをクリックし、[無効] を選択します。

サードパーティのセキュリティ サービスを追加する

Security Command Center を組織レベルで有効にすると、Cloud Marketplace パートナーとして登録されたサードパーティのセキュリティ サービスからの検出結果を表示できます。

Security Command Center をプロジェクト レベルで有効にした場合、サードパーティ サービスはサポートされません。

Cloud Marketplace パートナーとして登録されていないセキュリティ サービスを統合するには、各プロバイダに、Security Command Center パートナーとしてオンボーディングするためのガイドを完了するよう依頼します。

新しいサードパーティのセキュリティ サービスを Security Command Center に追加するには、セキュリティ サービスを設定してから、その後 Google Cloud コンソールで有効にします。

始める前に

登録済みの Cloud Marketplace パートナーのセキュリティ サービスを追加するには、以下が必要です。

• 次の Identity and Access Management（IAM）ロール
  • セキュリティ センター管理者（roles/securitycenter.admin）
  • サービス アカウント管理者（roles/iam.serviceAccountAdmin）
• セキュリティ サービスに使用する Google Cloud プロジェクト

セキュリティ サービスを設定する

サードパーティのセキュリティ サービスを設定するには、そのサービス用のサービス アカウントが必要です。新しいセキュリティ ソースを追加する際は、次のサービス アカウント オプションから選択できます。

• サービス アカウントを作成する。
• 独自の既存サービス アカウントを使用する。
• サービス プロバイダのサービス アカウントを使用する。

Cloud Marketplace パートナーとして登録されている新しいセキュリティ サービスを設定するには、次の手順を行います。

1. Google Cloud コンソールで Security Command Center の [Marketplace] ページに移動します。

   Marketplace に移動

2. [マーケットプレイス] ページには、Security Command Center に直接関連付けられているセキュリティ サービスが表示されます。

   • 追加するセキュリティ サービスが表示されない場合は、[セキュリティ] を検索して、セキュリティ サービス プロバイダを選択します。
   • セキュリティ サービス プロバイダが Cloud Marketplace に登録されていない場合は、プロバイダに、Security Command Center パートナーとしてオンボーディングするためのガイドを完了するよう依頼します。

3. Cloud Marketplace のセキュリティ サービス プロバイダのページで、[概要] にあるプロバイダの設定手順を行います。

正しく構成されると、追加したセキュリティ サービスが Security Command Center で利用可能になります。

新しいセキュリティ サービスを設定したら、Google Cloud コンソールで有効にする必要があります。

セキュリティ サービスを有効にする

サードパーティのセキュリティ サービスは、組織外に存在するサービス アカウントを使用します。

1. Google Cloud コンソールで、Security Command Center ページに移動します。

   Security Command Center に移動

2. 組織またはプロジェクトを選択します。

3. [settings 設定] をクリックします。

4. [統合されたサービス] タブをクリックします。

5. 有効にする統合ソースの横にある [ステータス] リストをクリックし、[有効にする] を選択します。

有効にしたサービスからの検出結果は、Security Command Center ダッシュボードの [検出結果] ページに表示されます。

セキュリティ サービスのサービス アカウントを変更する

サービス アカウントの漏洩対策やローテーションのため、サードパーティのセキュリティ サービスに使用されるサービス アカウントを変更できます。セキュリティ サービスのサービス アカウントを変更するには、Google Cloud コンソールで更新する必要があります。その後、サービス プロバイダの指示に従って、サービスのサービス アカウントを更新します。

1. Google Cloud コンソールで、Security Command Center ページに移動します。

   Security Command Center に移動

2. 組織またはプロジェクトを選択します。

3. [settings 設定] をクリックします。

4. [統合されたサービス] タブをクリックします。

5. 統合サービスの横にあるプルダウン リストで、次の操作を行います。

   1. 統合サービスを一時的に無効にするには、[無効] を選択します。
   2. [サービス アカウントの管理] を選択します。

6. 表示された [[プロバイダ名] の編集] パネルで、新しいサービス アカウントを入力して、[送信] をクリックします。

7. 統合サービスの横にあるプルダウン リストから、[有効] を選択して、セキュリティ サービスを有効にします。

正しく構成されると、Security Command Center で統合されたサービスのサービスアカウントが更新されます。サービス プロバイダの指示に従って、サービスのサービス アカウント情報を更新します。

次のステップ

• Google Cloud のセキュリティ サービスと、それらが検出する脆弱性と脅威を表示する方法について確認する。
• Security Command Center の最適化方法を確認する。
• ログを Cloud Logging にエクスポートする。
• 攻撃の発生可能性スコアを構成してリスクを評価する。