このページでは、Google Cloud コンソールと Security Operations コンソールで Security Command Center の検出結果を操作する方法について説明します。
検出結果は、セキュリティの問題を検出したときに Security Command Center サービスが作成するセキュリティ問題の記録です。検出結果は [検出結果] ページに表示されます。検出結果をクリックすると、検出結果の詳細と完全な JSON 形式が表示されます。
検出結果ページでは、次のような操作を行うことができます。
- 検出結果をクエリする
- 検出結果を検査する
- 検出結果をミュートする
- 検出結果へのセキュリティ マークの追加
検出結果をプログラムで操作する方法については、Security Command Center クライアント ライブラリをご覧ください。
Security Command Center Enterprise コンソールで検出結果を操作する
Security Command Center Enterprise をご利用の場合は、次の 2 つのコンソールで検出結果を操作できます。
- Google Cloud コンソール: すべてのサービスティアで利用可能
- Security Operations コンソール: Enterprise ティアでのみ使用可能
詳細については、Security Command Center Enterprise コンソールをご覧ください。
必要な権限を取得
このセクションでは、コンソールで検出結果を操作するために必要な IAM のロールを一覧表示します。
Google Cloud コンソールの IAM ロール
Google Cloud コンソールで検出結果を操作するには、次の IAM ロールが必要です。
Make sure that you have the following role or roles on the organization:
- Security Center Findings Viewer (
roles/securitycenter.findingsViewer) - Security Center Findings Editor (
roles/securitycenter.findingsEditor)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
[IAM] に移動 - 組織を選択します。
- [ アクセスを許可] をクリックします。
-
[新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。
- [ロールを選択] リストでロールを選択します。
- 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
- [保存] をクリックします。
- Chronicle SOAR 管理者(
roles/chronicle.soarAdmin) - Chronicle SOAR 脅威マネージャー(
roles/chronicle.soarThreatManager) - Chronicle SOAR 脆弱性マネージャー(
roles/chronicle.soarVulnerabilityManager) - Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
- Google Cloud プロジェクトまたは組織を選択します。
- [クイック フィルタ] パネルで、事前に定義された属性フィルタを 1 つ以上選択し、クエリに追加します。一般的に使用される高度なフィルタ オプションには、[クイック フィルタ] パネルを使用します。
- [クエリエディタ] パネルの [フィルタを追加] メニューで、事前定義済みの属性フィルタを 1 つ以上選択して、クエリに追加します。下位レベルの検出属性に基づく、より詳細で高度なフィルタには、[フィルタを追加] メニューを使用します。詳細については、コンソールで検出結果クエリを編集するをご覧ください。
- クエリエディタ パネルで検出結果クエリを直接編集します。
- 検出結果の詳細ビューで、特定の属性のプルダウン メニューから、その属性の事前定義フィルタを選択して、クエリに追加します。
- [集計] パネルで、事前に定義された属性フィルタを 1 つ以上選択し、クエリに追加します。一般的に使用される高度なフィルタ オプションには、[集計] パネルを使用します。
- [クエリエディタ] パネルの [フィルタを追加] メニューで、事前定義済みの属性フィルタを 1 つ以上選択して、クエリに追加します。下位レベルの検出属性に基づく、より詳細で高度なフィルタには、[フィルタを追加] メニューを使用します。詳細については、コンソールで検出結果クエリを編集するをご覧ください。
- クエリエディタ パネルで検出結果クエリを直接編集します。
- デフォルトのビューである [概要] タブには、検出結果に関する重要な情報と属性がハイライト表示されます。
- [ソース プロパティ] タブでは、検出結果 JSON の
sourcePropertiesオブジェクトの属性が表示されます。 - [JSON] タブには、検出結果の完全な JSON 形式を確認できます。
- 検出された内容(または概要)
検出された検出結果に関する詳細の例:
- 検出結果の重大度
- 検出結果の状態(
ACTIVEまたはINACTIVE) - 特定の検出結果に関連する重要なフィールド
- Vulnerability
脆弱性に対応する CVE レコードの情報(存在する場合)。[脆弱性] セクションには、以下のような CVE レコードの情報が含まれます。
- CVE ID
- CVE スコア
- 影響
- 脆弱性を悪用したアクティビティ
- 攻撃の発生可能性
攻撃の発生可能性スコアとスコアが最後に計算された時間。スコアをクリックすると、影響を受けている価値の高いリソースと、関連する攻撃パスが視覚的に表示されます。
- 影響を受けているリソース
次の情報を含む、検出結果に関連するリソースの詳細。
- 影響を受けるリソースの完全な名前。
- リソースのクラウド サービス プロバイダ
- 技術担当者およびセキュリティ担当者の連絡先
- ケース情報
次の情報を含む、検出結果に関連するケースの詳細。
- 検出結果に関連付けられている外部システムの完全なリソース名
- ケースに割り当てられたグループ
- セキュリティ運用コンソールのケースにリンクされたケース ID
- ケースのステータス
- 外部ケース管理システムでの更新日時
- ケースをクローズする期限
- セキュリティ マーク
この検出結果に関連するセキュリティ マーク(存在する場合)。
- 次のステップ
検出された問題の対処方法に関するガイダンス。次のステップは、Security Health Analytics などの特定のサービスのみで提供されます。
- 関連リンク
Security Command Center の外部にある重要なセキュリティ情報の情報源を示すリンク。関連リンクは、Event Threat Detection などの特定のサービスでのみ提供されます。
- 検出サービス
検出結果を検出したサービスまたはソースの詳細。
findings: 検出結果の属性。これらの属性は、すべての組み込みサービスと統合サービス(セキュリティ ソースとも呼ばれます)で標準化されています。詳細については、Findingをご覧ください。resource: 影響を受けるリソースの属性。詳細については、Resourceをご覧ください。sourceProperties: 検出結果のサービス固有のプロパティ。- [検出結果] ページで、検出結果をクリックして詳細を表示します。
- 検出結果の詳細ビューで、フィルタする属性を見つけます。
- 属性の横にあるプルダウン メニューを開きます。
- 属性の事前定義済みフィルタを選択します。フィルタは、[検出結果] ページの検出結果クエリに追加されます。
- [検出結果] ページで、検出結果をクリックして詳細を表示します。
- 検出結果の詳細ビューで、フィルタする属性を見つけます。
- 属性の横にあるプルダウン メニューを開きます。
- 属性の事前定義済みフィルタを選択します。フィルタは、[検出結果] ページの検出結果クエリに追加されます。
- [検出結果] ページで、検出結果をクリックして詳細を表示します。
-
検出結果の詳細ビューで、表示される各属性に対応する API 名を見つけてコピーできます。
各属性に対応する API 名は、属性と同じ行に表示されます。最後の列には、すべての API 名が表示されます。たとえば、State 属性の場合、同等の API 名は
stateです。 - [検出結果] ページで、検出結果をクリックして詳細を表示します。
- 検出結果の詳細ビューで、対応する API をコピーする属性を見つけます。
- 属性の横にあるプルダウン メニューを開きます。
- [Copy API Equivalent] をクリックします。
- [検出結果] ページで、検出結果をクリックして詳細を表示します。
- [操作] > [リンクをコピー] をクリックします。
- [検出結果] ページで、検出結果をクリックして詳細を表示します。
- [リンクをコピー] をクリックします。
- [検出結果] ページで、検出結果をクリックして詳細を表示します。
- [操作] > [フィードバックを送信] をクリックします。
- フィードバックの説明を入力します。
- スクリーンショットを追加するには、[スクリーンショットをキャプチャ] をクリックします。
- [送信] をクリックします。
- [検出結果] ページの検出結果クエリの結果
- 検出結果の詳細ビュー
- Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
- Google Cloud プロジェクトまたは組織を選択します。
- [検出結果クエリの結果] パネルで、検出結果を選択します
- [検出結果クエリの結果] パネルのアクションバーで、[アクティブ状態を変更] をクリックします。ポップアップ メニューが表示されます。
- [アクティブ状態を変更] ポップアップ メニューで、[有効] または [無効] を選択します。
- カテゴリ: 検出結果のタイプの名前。
- [重大度]: 検出結果の重大度。検出結果の重大度レベルの詳細については、検出結果の重大度の分類をご覧ください。
- 有害な組み合わせスコア:
Toxic combinationクラスの検出結果に対する攻撃の発生可能性スコア。 - 攻撃の発生可能性スコア: 検出結果の攻撃の発生可能性スコア。
- イベント時間: 検出結果が最初に検出された時刻または最後に更新された時刻。
- 作成時間: 検出結果が Security Command Center で作成された時刻。
- [検出結果クラス]: 検出結果のクラス(
THREAT、VULNERABILITY、MISCONFIGURATIONなど)。 - [リソースの表示名]: 問題が検出されたリソースの表示名。
- [完全なリソース名]: 問題が検出されたリソースの完全な名前。
- リソース クラウド プロバイダ: リソースがホストされているクラウド サービス プロバイダ。
- [リソースパス]: 問題が検出されたリソースへのパス。
- [リソースタイプ]: 問題が検出されたリソースのタイプ。
- [セキュリティ マーク]: 検出結果に追加されるセキュリティ マーク。
- [検出結果クエリの結果] アクションバーの右側で、view_column [列] をクリックします。
- 表示する列を選択します。
- 非表示にする列の選択を解除します。
- [適用] をクリックして、[検出結果クエリの結果] パネルに変更を適用します。
- [検出結果] アクションバーで、view_column [列を管理] をクリックします。[列の管理] メニューが開きます。
- 表示する列を選択します。
- 非表示にする列の選択を解除します。
- メニューを閉じます。
- クイック フィルタ パネル
- クエリエディタ パネル
- [集計] サイドパネルを非表示にするには、chevron_left [サイドバーを閉じる] をクリックします。
- [集計] サイドパネルを表示するには、chevron_right [サイドバーを開く] をクリックします。
- [クエリエディタ] パネルを非表示にするには、 keyboard_arrow_up [クエリエディタを閉じる] をクリックします。
- [クエリエディタ] パネルを表示するには、 keyboard_arrow_down [クエリエディタを開く] をクリックします。
- 検出サービスについて確認する。
- セキュリティ マークの使用方法を確認する。
- Security Command Center を構成する方法を学習する。
- Security Command Center API を使用して検出結果フィルタを作成する方法を学習します。
Security Command Center のロールと権限の詳細については、組織レベルでの有効化のための IAM をご覧ください。
Security Operations コンソールの IAM ロール
Security Command Center Enterprise をご利用の場合は、Security Operations コンソールで検出結果を操作できます。次のいずれかの IAM ロールが必要です。
ユーザーにロールを付与する方法については、IAM を使用してユーザーをマッピングして承認するをご覧ください。
知見を表示
[検出結果] ページの場所については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
セキュリティ運用コンソール
Security Operations コンソールで、[検出結果] ページに移動します。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。
このコンソールの詳細については、Security Operations コンソールをご覧ください。
期間を調整して他の検出結果を表示する
クエリに使用される期間は調整できます。デフォルトの期間は Last 7 days です。
期間は、検出結果の eventTime 属性の値に基づいて設定されます。この値には、検出結果レコードが最後に更新された時刻が反映されます。
期間を調整する方法については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
Google Cloud コンソールの [検出結果] ページで、[期間フィールド] を設定します。
セキュリティ運用コンソール
セキュリティ運用コンソールの [検出結果] ページにある検出結果のリストの上部にある [表示] フィールドを設定します。
検出結果を利用できる期間
検出結果は通常、それを生成したサービスが検出結果を Security Command Center の検出結果データベースに格納してから 1 分以内に Security Command Center でクエリできるようになります。Premium および Enterprise ティアの検出結果は、少なくとも 13 か月間クエリ可能です。Standard ティアの検出結果は、少なくとも 35 日間利用可能です。
Security Command Center には、各検出結果のスナップショットが 1 つ以上保存されます。Premium または Enterprise ティアの検出結果のスナップショットは、eventTime フィールドのタイムスタンプから 13 か月後に削除されます。検出結果のスナップショットがすべて削除されると、検出結果の復元や復旧ができなくなります。
Security Command Center のデータ保持の詳細については、データの保持をご覧ください。
特定の検出結果を見つけて表示する
デフォルトでは、[検出結果] ページに、ミュートされていない、新しい、または過去 7 日間で更新されたアクティブな検出結果がすべて表示されます。
特定の検出結果を表示するには、検出結果クエリを編集して、表示する必要のある値または属性を指定するか、表示しない値または属性を指定します。
次の例は、デフォルトの検出結果クエリです。
state="ACTIVE" AND NOT mute="MUTED"
現在の検出結果クエリは、[クエリエディタ] パネルで確認できます。クエリを直接編集することも、事前定義されたフィルタを選択してクエリを作成することもできます。詳細については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
Google Cloud コンソールの [検出結果] ページでは、次の操作を行うことができます。
セキュリティ運用コンソール
セキュリティ運用コンソールの [検出結果] ページでは、次の操作を行うことができます。
検出結果の詳細を表示する
検出結果の詳細を確認するには、[検出結果クエリの結果] の [カテゴリ] 列にある検出結果の名前をクリックして、検出結果の詳細ビューを開きます。
詳細ビューでは、検出結果を把握し、脅威の調査や脆弱性への対応に不可欠な情報を確認できます。
検出結果の詳細ビューには次のタブが表示されます。これらのタブで検出結果の詳細を確認して、問題に対処できます。
詳細ビューでは検出結果に対して特定のアクションを実行できます。また、検出結果に関連する追加情報へのリンクも確認できます。
詳細ビューで検出結果を確認する
検出結果の詳細ビューには、検出結果に関する重要な情報が表示されます。これらの情報を使用して、基盤となるセキュリティの問題を把握して対処できます。
[概要] タブに関する情報
[概要] タブでは、次のセクションに検出結果に関する情報が表示されます。
[参照元プロパティ] タブの情報
一部の検出結果については、検出結果 JSON の sourceProperties オブジェクトから特定のプロパティがハイライト表示されたソース プロパティタブが詳細パネルに含まれています。
ソース プロパティは、各検出結果と Security Command Center で実行されるサービスごとに異なります。ソース プロパティがすべてのサービスで標準化されているという保証はありません。このため、ソース プロパティをプログラムで使用しないことを強くおすすめします。すべてのサービスでソース プロパティを標準化したい場合は、フィードバックをお送りください。
[JSON] タブの情報
[JSON] タブには、検出結果の完全な JSON 構造が表示されます。これは、検出結果について調べる場合や、検出結果クエリで使用できる属性を確認する場合に役立ちます。
JSON オブジェクトをクリップボードにコピーするには、 [Copy] をクリックします。
検出結果の JSON 構造には、次のオブジェクトが含まれます。
ListFindings API を使用して検出結果を一覧表示し、JSON 定義を取得することもできます。
詳細ビューで検出結果に対応する
検出結果の詳細ビューでは、検出結果のミュートなど、検出結果に対してさまざまな操作を行うことができます。Google Cloud コンソールで検出結果の詳細ビューを表示している場合は、検出結果の属性を現在の検出結果クエリに追加することもできます。
詳細ビューで検出結果をミュートする
検出結果の詳細ビューで、検出結果のミュートまたはミュート解除を行うことができます。現在の検索結果と同じように、今後の検出結果をすべてミュートするルールを作成することもできます。
検出結果のミュートやミュートルールの作成の詳細については、Security Command Center の検出結果をミュートするをご覧ください。
詳細ビューからクエリに属性フィルタを追加する
Google Cloud コンソールの検出結果の詳細ビューで、表示されている属性のフィルタを現在の検出結果クエリに追加できます。
詳細ビューからクエリに属性フィルタを追加する方法については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
セキュリティ運用コンソール
検出結果の詳細ビューで属性の API 名を表示またはコピーする
Google Cloud コンソールに表示されるほとんどの検出結果の属性には、Security Command Center API で使用される対応する名前が付いています。
検出結果の詳細ビューで属性の API 名を表示またはコピーする方法については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
セキュリティ運用コンソール
検出結果の詳細ビューを共有する
検出結果の詳細ビューを共有するには、詳細ビューページの URL をコピーして他のユーザーと共有します。
検出結果の詳細ビューの URL をコピーする方法については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
セキュリティ運用コンソール
検出結果のフィードバックを Google Cloud に送信する
検出結果に関するフィードバックを送信する方法については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
セキュリティ運用コンソール
この機能はセキュリティ運用コンソールで利用できません。
[検出結果クエリの結果] に他の検出結果の詳細を表示する
表示している検出結果の前後にある検出結果の詳細を表示するには、(次へ)ボタンまたは (前へ)ボタンを使用します。[検出結果] ページに戻ることなく、次の検出結果または前の検出結果に移動できます。
検出結果へのセキュリティ マークの追加
セキュリティ マークは、検出結果にアノテーションを付けるカスタム Key-Value ラベルで、同じセキュリティ マークを持つ他の検出結果と関連付けるために使用できます。
検出結果やアセットにセキュリティ マークを設定する詳しい手順については、セキュリティ マークの使用をご覧ください。
コンソールで検出結果をミュートする
検出結果をミュートまたはミュート解除するには、次のビューを使用します。
個々の検出結果をミュートすることも、定義したフィルタに基づいて現在と将来の検出結果をミュートするミュートルールを作成することもできます。
ミュートされた検出結果は表示されませんが、検索クエリに mute="MUTED" フィルタを追加すると表示できます。ミュートされた検出結果は監査とコンプライアンス目的で引き続き記録されます。
検出結果をミュートまたはミュート解除する方法については、Security Command Center の検出結果をミュートするをご覧ください。
検出結果の状態を変更する
検出結果の状態は Active または Inactive のいずれかです。
Active は、検出結果によって特定されたセキュリティの問題が、潜在的な脅威または脆弱性として環境内に残されていることを意味します。
Inactive の状態は、セキュリティの問題に対処済みであることを意味します。
検出結果の状態はさまざまな理由で変更できます。たとえば、対処後すぐに検出結果の状態を Inactive に変更すると、次のスキャンで状態が変更されるまで待つ必要がなくなります。
検出結果の状態を変更する方法については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
セキュリティ運用コンソール
この機能はセキュリティ運用コンソールで利用できません。
[検出結果] ページをカスタマイズする
画面スペースを制御するために、検出結果クエリの結果に表示される要素の一部をカスタマイズできます。
[検出結果クエリの結果] で列を非表示または表示する
[検出結果クエリの結果] では、[カテゴリ] 以外の列を非表示にできます。
使用可能な列の例を次に示します。
検出結果のクエリ結果の列を非表示または表示する方法については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
列の選択は、次に [検出結果] ページを表示するときにも維持されます。これは、プロジェクトや組織を変更しても維持されます。カスタムの列選択をすべて解除するには、[列の選択を解除] をクリックします。
セキュリティ運用コンソール
列の選択は、現在のタブまたはウィンドウにのみ適用されます。列の設定は、次回セキュリティ運用コンソールにログインしたときにリセットされます。
検出結果ページのパネルを非表示または表示する
クエリの編集や検出結果の表示に使用する表示領域を増やすには、パネルを非表示または表示します。詳細については、使用しているコンソールのタブをクリックしてください。
Google Cloud コンソール
次のパネルの表示と非表示を切り替えることができます。
パネルを非表示にするには、パネルの切り替えアイコン first_page または first_page をクリックします。
パネルをもう一度表示するには、アイコンをクリックします。