ハンドブックの概要

このドキュメントでは、Security Command Center の Enterprise ティアで利用可能なハンドブックの概要について説明します。

概要

Security Command Center で、ハンドブックを使用して、アラートの調査と拡充、検出結果の詳細情報の取得、組織内の過剰な権限に関する推奨事項の取得、脅威、脆弱性、構成ミスへの対応の自動化を行います。チケット発行システムと統合すると、ハンドブックにより、ケースとチケットの同期を確保しながら、関連する体制の検出結果に集中できます。

Security Command Center の Enterprise ティアでは、次のハンドブックが提供されます。

  • 脅威対応ハンドブック:
    • AWS Threat Respponse ハンドブック
    • Azure 脅威対応 ハンドブック
    • GCP 脅威対応ハンドブック
    • Google Cloud - 実行 - バイナリまたはライブラリの読み込みの実行
    • Google Cloud - 実行 - クリプトマイニング
    • Google Cloud - 実行 - 悪意のある URL スクリプトまたはシェル プロセス
    • Google Cloud - マルウェア - 指標
    • Google Cloud - 永続性 - IAM の異常な付与
    • Google Cloud - 永続性 - 不審な動作
  • 体制の検出結果ハンドブック
    • 体制 - 有害な組み合わせのハンドブック
    • 体制の検出結果 - 一般
    • 体制の検出結果 - 一般 - VM Manager(デフォルトでは無効)
    • [Jira による体制の検出結果](デフォルトでは無効)
    • [ServiceNow による体制の検出結果](デフォルトでは無効)
  • IAM 推奨事項を処理するためのハンドブック:
    • IAM Recommender のレスポンス(デフォルトでは無効)

デフォルトで無効になっているプレイブックはオプションであり、使用する前に手動で有効にする必要があります。

Security Operations コンソールの [ケース] ページでは、検出結果はケースアラートになります。アラートは、アタッチされたハンドブックをトリガーして、アラートについてできるだけ多くの情報を取得し、構成されたアクション セットを実行します。脅威の修復や、また、ハンドブックの種類に応じて、必要な情報を提供し、チケットの作成、または有害な組み合わせやIAM 推奨事項の管理を行います。

脅威対応プレイブック

脅威対応ハンドブックを実行して、脅威を分析し、さまざまなソースを使用して検出結果を強化し、修復措置を提案して適用できます。脅威対応ハンドブックでは、Google SecOps、Security Command Center、Cloud Asset Inventory などの複数のサービスと、VirusTotal や Mandiant Threat Intelligence などのプロダクトを使用して、可能な限り多くの脅威に関するコンテキストの取得を支援します。このハンドブックは、環境内の脅威が真陽性か擬陽性か、最適な対応方法を理解するのに役立ちます。

脅威対応ハンドブックで脅威に関する完全な情報を入手するには、脅威管理の高度な構成をご覧ください。

GCP 脅威対応ハンドブックは、 Google Cloudで発生した脅威に対して一般的な対応を実行します。

AWS 脅威対応ハンドブックは、Amazon Web Services で発生した脅威に対する一般的な対応を実行します。

Azure 脅威対応ハンドブックでは、Microsoft Azure で発生した脅威に対して一般的な対応を実行します。脅威を修復するために、ハンドブックは Microsoft Entra ID からの情報を拡充し、メールへの対応をサポートします。

Google Cloud - マルウェア - インジケーター ハンドブックは、マルウェア関連の脅威に対応し、セキュリティ侵害インジケーター(IoC)と影響を受けるリソースを強化するのに役立ちます。修復の一環として、プレイブックでは、疑わしいインスタンスを停止するか、サービス アカウントを無効にすることが推奨されています。

Google Cloud - 実行 - バイナリまたはライブラリの読み込みの実行プレイブックは、コンテナ内の不審な新しいバイナリまたはライブラリの処理に役立ちます。コンテナと関連するサービス アカウントに関する情報を拡充した後、ハンドブックは割り当てられたセキュリティ アナリストにメールを送信して、さらなる修復を行います。

Google Cloud - 実行 - バイナリまたはライブラリの読み込みの実行プレイブックは、次の検出結果で動作します。

  • 追加されたバイナリの実行
  • 追加されたライブラリの読み込み
  • 実行: 追加された悪意のあるバイナリが実行された
  • 実行: 追加された悪意のあるライブラリが読み込まれた
  • 実行: 組み込まれた悪意のあるバイナリが実行された
  • 実行: 変更された悪意のあるバイナリが実行された
  • 実行: 変更された悪意のあるライブラリが読み込まれた

ハンドブックで重視する検出結果の詳細については、Container Threat Detection の概要をご覧ください。

Google Cloud - 実行 - クリプトマイニングのプレイブックを使用すると、 Google Cloudで暗号通貨マイニングの脅威を検出し、影響を受けるアセットとサービス アカウントに関する情報を拡充し、関連リソースで検出されたアクティビティを調査して脆弱性と構成ミスを特定できます。脅威対応として、ハンドブックでは影響を受けるコンピューティング インスタンスを停止するか、サービス アカウントを無効にすることが推奨されています。

Google Cloud – 実行 – 悪意のある URL スクリプトまたはシェル プロセスのハンドブックは、コンテナ内の不審なアクティビティを処理し、専用のリソース拡充を実行する際に役立ちます。脅威への対応として、ハンドブックは割り当てられたセキュリティ アナリストにメールを送信します。

Google Cloud - 実行 - 悪意のある URL スクリプトまたはシェル プロセスのプレイブックは、次の検出結果に対応しています。

  • 悪意のあるスクリプトの実行
  • 悪意のある URL の観測
  • リバースシェル
  • 予期しない子シェル

ハンドブックで重視する検出結果の詳細については、Container Threat Detection の概要をご覧ください。

Google Cloud - マルウェア - 指標プレイブックを使用すると、Security Command Center で検出されたマルウェア関連の脅威に対処し、侵害された可能性のあるインスタンスを調査できます。

Google Cloud – 永続性 – IAM 異常付与ハンドブックは、プリンシパルに不審な権限を付与した一連の権限とともに ID またはサービス アカウントを調査し、対象のプリンシパルを特定する際に有用です。脅威への対応として、ハンドブックは、不審なサービス アカウントを無効にするか、検出結果に関連付けられているサービス アカウントではなくユーザーである場合は、割り当てられたセキュリティ アナリストにメールを送信してさらなる修復を行うことを提案します。

ハンドブックで使用されるルールの詳細については、Container Threat Detection の概要をご覧ください。

Google Cloud - 永続性 - 不審な動作プレイブックは、新しい API メソッドを使用したログインなど、不審なユーザー関連の動作の特定のサブセットを処理するのに役立ちます。脅威への対応として、ハンドブックは割り当てられたセキュリティ アナリストにメールを送信してさらなる修復を行います。

ハンドブックで使用されているルールの詳細については、Event Threat Detection の概要をご覧ください。

体制の検出結果ハンドブック

体制の検出結果ハンドブックを使用して、マルチクラウド体制の検出結果を分析し、Security Command Center と Cloud Asset Inventory を使用して拡充し、受信した関連情報を [ケースの概要] タブでハイライト表示します。体制の検出結果ハンドブックにより、検出結果とケースの同期を想定どおりに機能させることができます。

体制 - 有害な組み合わせのハンドブックを使用すると、有害な組み合わせを強化し、Security Command Center が有害な組み合わせと関連する検出結果を追跡して処理するために必要なケースタグなどの情報を設定できます。

体制の検出結果 - 一般 - VM Manager ハンドブックは、体制の検出結果 - 一般ハンドブックの軽量版で、Cloud Asset Inventory の拡張手順は含まれず、VM Manager の検出結果に対してのみ機能します。

デフォルトでは、[体制の検出結果 - 一般] ハンドブックのみが有効になっています。Jira または ServiceNow と統合する場合は、[体制の検出結果 - 一般] ハンドブックを無効にし、チケット発行システムに関連するハンドブックを有効にします。Jira または ServiceNow の構成の詳細については、Security Command Center Enterprise をチケット発行システムと統合するをご覧ください。

体制の検出結果の調査と拡充に加えて、Jira による体制の検出結果ServiceNow による体制の検出結果 ハンドブックでは、検出結果に表示されるリソース オーナーの値(メールアドレス)が、それぞれのチケット発行システムで有効で、割り当て可能な状態が保証されます。省略可能なポスチャー検出結果プレイブックは、新しいアラートが既存のケースに取り込まれたときに、新しいチケットの作成と既存のチケットの更新に必要な情報を収集します。

IAM 推奨事項を処理するためのハンドブック

IAM Recommender Response ハンドブックを使用して、IAM Recommender によって提案された推奨事項を自動的に対処し、適用します。このハンドブックではエンリッチメントは行われず、チケット システムと統合していてもチケットは作成されません。

IAM Recommender Response ハンドブックの有効化と使用の詳細については、ハンドブックを使用して IAM の推奨事項を自動化するをご覧ください。

次のステップ

ハンドブックの詳細については、Google SecOps ドキュメントの次のページをご覧ください。