脅威の調査と対処

このドキュメントでは、Security Command Center で脅威の検出結果を操作する方法の概要について説明します。

始める前に

検出結果とログの表示または編集、 Google Cloud リソースの変更を行うには、適切な Identity and Access Management（IAM）のロールが必要です。Security Command Center でアクセスエラーが発生した場合は、管理者にサポートを依頼してください。また、ロールの詳細については、アクセス制御をご覧ください。リソースエラーを解決するには、影響を受けたプロダクトのドキュメントをご覧ください。

脅威の検出結果について

Security Command Center には、さまざまな手法を使用してクラウド環境の脅威を検出する組み込みの検出サービスがあります。

• Event Threat Detection は、Cloud Logging ログストリーム内のイベントを既知のセキュリティ侵害インジケーター（IoC）と照合して、セキュリティの検出結果を生成します。Google 社内のセキュリティ ソースによって開発された IoC は、潜在的な脆弱性と攻撃を識別します。Event Threat Detection は、ロギング ストリームの既知の敵対的な戦術、手法、手順を特定し、組織またはプロジェクトの過去の動作からの逸脱を検出することでも脅威を検出します。組織レベルで Security Command Center のプレミアム ティアを有効にすると、Event Threat Detection は Google Workspace のログもスキャンできます。

• Container Threat Detection は、コンテナのゲストカーネルで観測された下位レベルの行動を収集、分析して、検出結果を生成します。

• Virtual Machine Threat Detection は、Compute Engine プロジェクトと仮想マシン（VM）インスタンスをスキャンし、VM で実行されている悪質な可能性のあるアプリケーション（暗号通貨マイニング ソフトウェアやカーネルモードのルートキットなど）を検出します。

• Cloud Run Threat Detection は、サポートされている Cloud Run リソースの状態をモニタリングし、一般的なランタイム攻撃を検出します。

• Sensitive Actions Service は、 Google Cloud の組織、フォルダ、プロジェクトで悪意のある行為者によって行われ、ビジネスに被害を及ぼす可能性のあるアクションを検出します。

• 異常検出は、システム外部からの動作シグナルを使用して、サービス アカウントのセキュリティ異常（認証情報の漏洩の可能性など）を検出します。

これらの検出サービスは、Security Command Center で検出結果を生成します。Cloud Logging への継続的なエクスポートを構成することもできます。

調査と対応の推奨事項を確認する

Security Command Center では、悪意のある攻撃者による Google Cloud 環境内の不審なアクティビティの検出結果を調査する際に役立つ非公式なガイダンスを提供します。このガイダンスに沿って対応することで、潜在的な攻撃で何が起きたのかを理解し、影響を受けるリソースに対して想定されるレスポンスを作成できます。

Security Command Center が提供する手法が、過去、現在または将来において、直面する脅威に対して有効であるとは限りません。Security Command Center が脅威に対する公式の修正策を提供していない理由については、脅威の修復をご覧ください。

• 検出結果の調査と対応に関する推奨事項を表示するには、脅威の検出結果のインデックスで検出結果を見つけます。

• 回答の推奨の概要を表示するには、以下をご覧ください。

  • Cloud Run の脅威の検出結果に対応する
  • Compute Engine の脅威の検出結果に対応する
  • Google Workspace の脅威の検出結果に対応する
  • ネットワークの脅威の検出結果に対応する

検出結果を確認する

Google Cloud コンソールで脅威の検出結果を確認する手順は次のとおりです。

1. Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。

   [検出結果] に移動

2. 必要に応じて、 Google Cloud プロジェクト、フォルダ、または組織を選択します。

3. [クイック フィルタ] セクションで、適切なフィルタをクリックして、必要な検出結果を [検出結果クエリの結果] テーブルに表示します。たとえば、[ソースの表示名] サブセクションで [Event Threat Detection] または [Container Threat Detection] を選択した場合、選択したサービスの検出結果のみが結果に表示されます。

   テーブルに、選択したソースに関する結果が表示されます。

4. 特定の検出の詳細を表示するには、[Category] の下にある検出結果の名前をクリックします。検出結果の詳細ペインが開き、検出結果の詳細のサマリーが表示されます。

5. 検出結果の JSON 定義を表示するには、[JSON] タブをクリックします。

インシデントに関係するリソースの名前と数値形式の ID、環境変数、アセット プロパティを確認できます。この情報を使用して、影響を受けたリソースを迅速に分離し、イベントの潜在的な影響範囲を判断できます。

調査に役立つように、脅威の検出には、次の外部リソースへのリンクも含まれます。

• MITRE ATT&CK フレームワークのエントリ。このフレームワークは、クラウド リソースに対する攻撃の手口を説明し、問題を修復するためのガイダンスを提供します。

• VirusTotal は、悪意のある可能性のあるファイル、URL、ドメイン、IP アドレスに関するコンテキストを提供する、Alphabet 社のサービスです。[VirusTotal インジケーター] フィールドには、潜在的なセキュリティ上の問題をさらに調査するために VirusTotal へのリンクが表示されます。

  VirusTotal は、使用量上限と機能が異なる、別途料金が発生するサービスです。VirusTotal の API 利用ポリシーと関連する費用を理解し、遵守する責任はお客様にあります。詳細については、VirusTotal のドキュメントをご覧ください。

以降のセクションでは、脅威の検出に対して想定される対応について説明します。

脅威の検出結果を無効にする

脅威の検出の原因となった問題を解決した後、Security Command Center で検出結果の状態が自動的に INACTIVE に設定されることはありません。脅威の検出状態は、state プロパティを手動で INACTIVE に設定しない限り、ACTIVE のままです。

偽陽性の場合は、検出結果の状態を ACTIVE のままにし、検出結果をミュートすることを検討してください。

偽陽性が持続または繰り返し発生する場合は、ミュートルールを作成します。ミュートルールを設定すると、管理する必要のある検出結果の数を削減できるため、真の脅威が発生したときに簡単に特定できます。

真の脅威の場合、検出結果の状態を INACTIVE に設定する前に、脅威を排除し、検出された脅威、侵入の程度、その他の関連する検出結果や問題について徹底的な調査を行います。

検出結果をミュートするか、状態を変更するには、次のトピックをご覧ください。

• 検出結果をミュートする
• 検出結果の状態を変更する

関連する脆弱性を修正する

脅威の再発を防ぐため、関連する脆弱性と構成ミスの検出結果を確認して修正します。

関連する検出結果を確認するには、次の操作を行います。

1. Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。

   [検出結果] に移動

2. 脅威の検出結果を確認し、関連する脆弱性や構成ミスの検出結果に表示される可能性が高い属性の値（プリンシパル メールアドレスや影響を受けるリソースの名前など）をコピーします。

3. [検出結果] ページで [クエリを編集] をクリックして、[クエリエディタ] を開きます。

4. [フィルタを追加] をクリックします。[フィルタを選択] メニューが開きます。

5. メニューの左側にあるフィルタ カテゴリのリストから、脅威の検出結果でメモした属性を含むカテゴリを選択します。

   たとえば、影響を受けるリソースの完全な名前をメモした場合は、[リソース] を選択します。[Full name] 属性など、[リソース] カテゴリの属性タイプが右側の列に表示されます。

6. 表示された属性から、脅威の検出でメモした属性のタイプを選択します。右側に属性値の検索パネルが開き、選択した属性タイプの検出された値がすべて表示されます。

7. [フィルタ] フィールドに、脅威の検出結果からコピーした属性値を貼り付けます。表示された値のリストが更新され、貼り付けた値と一致する値のみが表示されます。

8. 表示された値のリストから 1 つ以上の値を選択し、[適用] をクリックします。[検出結果クエリの結果] パネルが更新され、一致する検出結果のみが表示されます。

9. 検出結果が多数ある場合は、[クイック フィルタ] パネルで追加のフィルタを選択して、検出結果をフィルタします。

   たとえば、選択した属性値を含む Vulnerability クラスと Misconfiguration クラスの検出結果のみを表示するには、[クイック フィルタ] パネルの [検出結果クラス] セクションまで下にスクロールし、[脆弱性] と [構成ミス] を選択します。

脅威の修復

脅威の検出結果の修復は、Security Command Center によって検出された構成ミスと脆弱性を修正するだけではありません。

構成ミスやコンプライアンス違反によって、悪用されるおそれのあるリソースの脆弱性を特定できます。通常、構成ミスには、ファイアウォールを有効にする、暗号鍵をローテーションするなど、簡単に実装できる修正方法が存在します。

脅威は、動的であるという点で脆弱性とは異なり、1 つ以上のリソースを悪用している可能性があります。修復の推奨は、悪用の手口が正確に特定できない可能性もあるため、リソースの保護に効果的でない場合があります。

たとえば、Added Binary Executed 検出結果は、コンテナで未承認のバイナリが起動されたことを示します。基本的な修復策として、コンテナの隔離とバイナリの削除が推奨されますが、攻撃者にバイナリの実行を許した根本原因は未解決のままになる可能性があります。悪用された問題を修復するには、コンテナ イメージの破損を調べる必要があります。ファイルが、構成ミスのポートを経由して追加されたのか、別の方法で追加されたのかを判断するには、詳細な調査が必要です。システムの脆弱性は、システムに精通したアナリストが調査する必要があります。

不正な行為者は、さまざまな手口でリソースに対する攻撃を行います。そのため、特定の攻撃に対して修正を適用しても、その攻撃の亜種には効果がない可能性があります。たとえば、Brute Force: SSH の検出結果に応じて、一部のユーザーでアカウントに対する権限レベルを下げて、リソースへのアクセスを制限したとします。しかし、パスワードが脆弱であれば、攻撃者に付け入る隙を与えることになります。

攻撃ベクトルは多岐にわたります。あらゆる状況に対応できる修復手順を提供することは困難です。クラウド セキュリティ計画における Security Command Center の役割は、影響を受けるリソースをほぼリアルタイムで特定し、どのような脅威に直面しているのかを伝え、調査に役立つ裏付けとコンテキストを提供することです。セキュリティ担当者は、Security Command Center の検出結果で提供される豊富な情報を駆使し、問題を修復して将来の攻撃を阻止する最適な方法を判断する必要があります。

次のステップ

• 脅威の検出結果のインデックスをご覧ください。