ハンドブックの概要

このドキュメントでは、Security Command Center の Enterprise ティアで利用可能なハンドブックの概要について説明します。

概要

Security Command Center でハンドブックを使用して、アラートの調査と情報補完、検出結果の詳細情報の取得、組織内の過剰な権限に関する推奨事項の取得、脅威、脆弱性、構成ミスへの対応の自動化ができます。ハンドブックをチケット発行システムと統合することにより、ケースとサポート チケットの同期を確保しつつ、関連するポスチャーの検出結果に集中できます。

Security Command Center の Enterprise ティアでは、次のハンドブックを利用できます。

  • 脅威対応ハンドブック:
    • AWS 脅威対応ハンドブック
    • Azure 脅威対応ハンドブック
    • GCP 脅威対応ハンドブック
    • Google Cloud - 実行 - バイナリまたはライブラリの読み込みの実行
    • Google Cloud - 実行 - クリプトマイニング
    • Google Cloud - 実行 - 悪意のある URL スクリプトまたはシェルプロセス
    • Google Cloud - マルウェア - インジケーター
    • Google Cloud - 永続性 - IAM の異常な付与
    • Google Cloud - 永続性 - 不審な動作
  • ポスチャーの検出結果ハンドブック:
    • ポスチャー - 有害な組み合わせのハンドブック
    • ポスチャーの検出結果 - 一般
    • ポスチャーの検出結果 - 一般 - VM Manager(デフォルトでは無効)
    • Jira によるポスチャーの検出結果(デフォルトでは無効)
    • ServiceNow によるポスチャーの検出結果(デフォルトでは無効)
  • IAM の推奨事項の対応ハンドブック:
    • IAM Recommender レスポンス(デフォルトでは無効)

デフォルトで無効になっているハンドブックは任意であり、使用前に手動で有効にする必要があります。

Security Operations コンソールの [ケース] ページでは、検出結果はケースアラートになります。アラートはアタッチされたハンドブックをトリガーして、一連の構成済みアクションを実行し、アラートについてできる限り多くの情報を入手して脅威に対応します。また、ハンドブックのタイプによっては必要な情報を提供し、サポート チケットの作成、有害な組み合わせと IAM 推奨事項の管理を行います。

脅威対応ハンドブック

脅威対応ハンドブックを実行すると、脅威の分析、さまざまなソースを使用した検出結果の補完、修復対応の提案と適用ができます。脅威対応ハンドブックでは、Google SecOps、Security Command Center、Cloud Asset Inventory などの複数のサービスと、VirusTotal や Mandiant Threat Intelligence などのプロダクトを使用して、可能な限り多くの脅威に関するコンテキストを取得できるようにします。このハンドブックは環境内の脅威が真陽性のものか擬陽性のものかを特定し、最適な対応方法を把握するうえで役に立ちます。

脅威対応ハンドブックで脅威に関するすべての情報を入手できるようにするには、脅威管理の高度な構成をご覧ください。

GCP 脅威対応ハンドブックは Google Cloudで発生した脅威に対して一般的なレスポンスを実行します。

AWS 脅威対応ハンドブックはアマゾン ウェブ サービス(AWS)で発生した脅威に対して一般的なレスポンスを実行します。

Azure 脅威対応ハンドブックでは Microsoft Azure で発生した脅威に対して一般的なレスポンスを実行します。脅威に対処するために、ハンドブックは Microsoft Entra ID からの情報を補完して、メールへの対応をサポートします。

Google Cloud - マルウェア - インジケーター ハンドブックは、マルウェア関連の脅威に対応し、セキュリティ侵害インジケーター(IoC)と影響を受けるリソースに関する情報を補完します。対応の一環として、ハンドブックは不審なインスタンスの停止またはサービス アカウントの無効化を推奨します。

Google Cloud - 実行 - バイナリまたはライブラリの読み込みの実行ハンドブックは、コンテナ内の不審な新規のバイナリまたはライブラリへの対応で役に立ちます。ハンドブックはコンテナと関連するサービス アカウントの情報を補完し、その後担当のセキュリティ アナリストにメールを送信して、さらなる対処ができるようにします。

Google Cloud - 実行 - バイナリまたはライブラリの読み込みの実行ハンドブックは次の検出結果で機能します。

  • 追加されたバイナリの実行
  • 追加されたライブラリの読み込み
  • 実行: 追加された悪意のあるバイナリの実行
  • 実行: 追加された悪意のあるライブラリの読み込み
  • 実行: 組み込まれた悪意のあるバイナリの実行
  • 実行: 変更された悪意のあるバイナリの実行
  • 実行: 変更された悪意のあるライブラリの読み込み

ハンドブックが重点を置く検出結果の詳細については、Container Threat Detection の概要をご覧ください。

Google Cloud - 実行 - クリプトマイニング ハンドブックは、 Google Cloudで暗号通貨マイニングの脅威の検出、影響を受けるアセットとサービス アカウントに関する情報の補完、関連リソースで検出されたアクティビティにおける脆弱性と構成ミスの調査で役に立ちます。脅威への対応として、ハンドブックは影響を受けるコンピューティング インスタンスの停止またはサービス アカウントの無効化を推奨します。

Google Cloud – 実行 – 悪意のある URL スクリプトまたはシェルプロセス ハンドブックは、コンテナ内の不審なアクティビティへの対応、専用のリソース補完の実行で役に立ちます。脅威への対応として、ハンドブックは担当のセキュリティ アナリストにメールを送信します。

Google Cloud - 実行 - 悪意のある URL スクリプトまたはシェルプロセス ハンドブックは次の検出結果で機能します。

  • 悪意のあるスクリプトの実行
  • 悪意のある URL の観測
  • リバースシェル
  • 予期しない子シェル

ハンドブックが重点を置く検出結果の詳細については、Container Threat Detection の概要をご覧ください。

Google Cloud - マルウェア - インジケーター ハンドブックは、Security Command Center が検出したマルウェア関連の脅威への対応、不正使用された可能性があるインスタンスの調査で役に立ちます。

Google Cloud - 永続性 - IAM の異常な付与ハンドブックは、プリンシパルに不審な権限を付与した ID またはサービス アカウントを付与された権限も合わせて調査し、問題のプリンシパルを特定する場合に役に立ちます。脅威への対応として、ハンドブックは不審なサービス アカウントの無効化を推奨します。または、検出結果に関連付けられているのがサービス アカウントではなくユーザーの場合は、担当のセキュリティ アナリストにメールを送信してさらに対応ができるようにします。

ハンドブックで使用されるルールの詳細については、Container Threat Detection の概要をご覧ください。

Google Cloud - 永続性 - 不審な動作ハンドブックは、新しい API メソッドを使用したログインなど、ユーザー関連の不審な動作の特定のサブセットに対応する際に役立ちます。脅威への対応として、ハンドブックは担当セキュリティ アナリストにメールを送信し、さらなる対応ができるようにします。

ハンドブックで使用されているルールの詳細については、Event Threat Detection の概要をご覧ください。

ポスチャーの検出結果ハンドブック

ポスチャーの検出結果ハンドブックを使用すると、マルチクラウドのポスチャーの検出結果の分析、Security Command Center と Cloud Asset Inventory を使用した情報の補完、受信した関連情報の [ケースの概要] タブでのハイライト表示ができます。ポスチャーの検出結果ハンドブックにより、検出結果とケースの同期が想定どおりに機能するよう徹底できます。

ポスチャー - 有害な組み合わせのハンドブックは、有害な組み合わせについて情報を補完し、Security Command Center が有害な組み合わせと関連する検出結果をトラッキングするうえで必要なケースタグなどの情報を設定します。

ポスチャーの検出結果 - 一般 - VM Manager ハンドブックは、ポスチャーの検出結果 - 一般ハンドブックの簡易版で、Cloud Asset Inventory の補完ステップは含まれておらず、VM Manager の検出結果に対してのみ機能します。

デフォルトでは、ポスチャーの検出結果 - 一般ハンドブックのみが有効になっています。Jira または ServiceNow と統合する場合は、ポスチャーの検出結果 - 一般ハンドブックを無効にし、チケット発行システムに関連するハンドブックを有効にします。Jira または ServiceNow の構成の詳細については、Security Command Center Enterprise をチケット発行システムと統合するをご覧ください。

Jira によるポスチャーの検出結果ハンドブックと ServiceNow によるポスチャーの検出結果ハンドブックでは、ポスチャーの検出結果の調査と補完に加えて、検出結果に表示されるリソース オーナーの値(メールアドレス)がそれぞれのチケット発行システムで有効かつ割り当て可能であるよう徹底します。任意のポスチャーの検出結果ハンドブックは、新しいアラートが既存のケースに取り込まれたときに、新しいサポート チケットの作成と既存のサポート チケットの更新に必要な情報を収集します。

IAM の推奨事項の対応ハンドブック

IAM Recommender レスポンス ハンドブックを使用すると、IAM Recommender によって提案された推奨事項に自動的に対応してそれを適用できます。このハンドブックでは補完は行わず、チケット発行システムと統合していてもサポート チケットは作成されません。

IAM Recommender レスポンス ハンドブックの有効化と使用方法の詳細については、ハンドブックを使用して IAM の推奨事項を自動化するをご覧ください。

次のステップ

ハンドブックの詳細については、Google SecOps ドキュメントの次のページをご覧ください。