有害な組み合わせを管理する

このページでは、ケースと検出結果を使用して有害な組み合わせを特定し、対応する手順について説明します。

始める前に

有害な組み合わせの検出を正確に行うには、セキュリティ オペレーション コンポーネント ソフトウェアが最新の状態であること、高価値リソースセットが正確に指定されていること、適切な IAM 権限があることを確認します。

必要な権限を取得

Google Cloud コンソールと Security Operations コンソールの両方で有害な組み合わせの検出結果とケースを操作するには、両方のコンソールで権限が付与されている必要があります。

Google Cloud コンソールの IAM ロール

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    [IAM] に移動
  2. 組織を選択します。
  3. [ アクセスを許可] をクリックします。

  4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

  5. [ロールを選択] リストでロールを選択します。
  6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
  7. [保存] をクリックします。

    8. Security Command Center のロールと権限の詳細については、組織レベルでの有効化のための IAM をご覧ください。

    セキュリティ運用コンソールのロール

    セキュリティ運用コンソールで有害な組み合わせの検出結果とケースを操作するには、次のいずれかのロールが必要です。

    • Chronicle SOAR 脆弱性マネージャー
    • Chronicle SOAR 脅威マネージャー
    • Chronicle SOAR 管理者

    ユーザーにロールを付与する方法については、IAM を使用してユーザーをマッピングして承認するをご覧ください。

    最新のセキュリティ運用のユースケースをインストールする

    有害な組み合わせ機能を使用するには、2024 年 6 月 25 日以降の SCC Enterprise - Cloud Orchestration and Remediation ユースケースのリリースが必要です。

    ユースケースのインストールについては、エンタープライズ ユースケースの更新(2024 年 6 月)をご覧ください。

    高価値リソースセットを指定する

    有害な組み合わせの検出を有効にする必要はありません。常にオンになっています。Risk Engine は、デフォルトの高価値リソースセットを公開する有害な組み合わせを自動的に検出します。

    デフォルトの高価値リソースセットに基づいて生成された有害な組み合わせの検出結果は、セキュリティの優先度を正確に反映していない可能性があります。そのため、高価値リソースセットにリソースを指定することをおすすめします。

    高価値リソースセットに含まれるリソースを指定するには、Google Cloud コンソールでリソース値の構成を作成します。手順については、高価値リソースセットを定義して管理するをご覧ください。

    有害な組み合わせのケースを表示する

    セキュリティ運用コンソールで、すべての有害な組み合わせのケースの概要と各ケースの詳細を確認できます。

    すべての有害な組み合わせのケースの概要を表示する

    [体制の概要] ページの複数のウィジェットには、Google Cloud と Amazon Web Services(AWS)(プレビュー)のクラウド環境における有害な組み合わせのケースの概要が表示されます。次の情報を確認できます。

    • 未解決のすべての体制のケースまたは未解決の有害な組み合わせのケース: 未解決の有害な組み合わせのケースを表示するには、セレクタから [有害な組み合わせ] を選択します。ウィジェットには、優先度レベルごとに未解決の有害な組み合わせのケースの数が表示されます。特定の優先度のバーをクリックして、ケースのリストビューを開きます。

    • 有害な組み合わせのケースの TTR と傾向: 特定の期間の未解決とクローズ済みの有害な組み合わせのケースの傾向。トレンドラインの上にポインタを置くと、期間内の特定のデータポイントの未解決ケースとクローズされたケースの具体的な数を確認できます。このウィジェットには、特定の期間に基づいて有害な組み合わせのケースを解決するのに要する平均時間(TTR)の値も表示されます。

    • 上位の有害な組み合わせのケース: 攻撃の発生可能性スコアで並べ替えられた上位の有害な組み合わせのケース。ケース ID をクリックしてケースを開きます。

    • SLA を超える有害な組み合わせのケース: サービスレベル契約(SLA)の残り時間で並べ替えられた有害な組み合わせのケース。ケース ID をクリックしてケースを開きます。

    姿勢の概要ページは次の URL で確認できます。

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview

    CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    有害な組み合わせのケースの詳細を表示する

    有害な組み合わせのケースのリストビューで、ケースの ID をクリックすると、ケースの詳細を開くことができます。

    1. セキュリティ運用コンソールで、[ケース] に移動します。

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

      [Cases] ページが開き、[並べて表示] ビューが選択されています。

    2. ケースのリストの上部にあるフィルタ アイコン をクリックして、フィルタパネルを開きます。[ケースキュー フィルタ] パネルが開きます。

    3. [ケースキュー フィルタ] で、次のように指定します。

      1. [期間] フィールドに、ケースがアクティブな期間を指定します。
      2. [論理演算子] を [AND] に設定します。
      3. [論理演算子] の最初の値として、メニューから [タグ] を選択します。
      4. 2 番目の値として [有害な組み合わせ] を選択します。
      5. 表示する特定のケースを見つけるために、必要に応じて他の値ペアを指定します。
      6. [適用] をクリックします。ケースキューのケースが更新され、指定したフィルタに一致するケースのみが表示されます。

    4. ケースキューから、確認するケースを選択します。ケース情報が表示され、次のタブビューが表示されます。

      • [ケースの概要] タブ(): 有害な組み合わせのケースに関する情報(簡素化された攻撃パス図、関連する検出結果のリスト、影響を受けるリソースのリスト、類似するケースのリスト、アラート、エンティティ グラフなど)が表示されます。
      • [ケースウォール] タブ(): アクション、ステータスの変更、タスク、コメントなどの記録が含まれます。
      • [関連アラート] タブ: 次のような、関連する個々の検出結果に関する詳細情報を提供します。
        • [概要] には、個々の検出結果の説明と、その検出結果を修正するために実行できる次の手順が表示されます。
        • [イベント] に、検出されたプロパティのリストが表示されます。
        • [ハンドブック] に、関連付けられているハンドブックの一覧が表示されます。

    有害な組み合わせのケースの優先度を設定

    デフォルトでは、有害な組み合わせは重大度の検出結果と重大な優先度のケースとして分類されます。したがって、これらの検出結果は、他のセキュリティ対策の検出結果カテゴリのケースの修正よりも優先する必要があります。有害な組み合わせは、攻撃意思のある攻撃者がクラウド環境にアクセスした場合に、攻撃者が公共のインターネットから高価値リソースセット内の 1 つ以上のリソースに到達する可能性のある完全なパスを表します。

    Google Cloud コンソールの [検出結果] ページで有害な組み合わせスコアを比較して、有害な組み合わせのケースの優先順位付けを行います。Security Operations コンソールでは、[体制] のページの [概要] の [上位の有害な組み合わせのケース] ウィジェットで、攻撃の発生可能性スコアが最も高い有害な組み合わせケースを確認できます。

    すべての有害な組み合わせのケースは、[ケース] ページで攻撃の発生可能性スコア別に並べ替えることができます。有害な組み合わせのケースの表示、フィルタ、並べ替えの詳細については、有害な組み合わせのケースを表示するをご覧ください。

    有害な組み合わせを修復する

    有害な組み合わせの検出結果の修正に関するガイダンスは、セキュリティ運用コンソールで検出結果に対して開かれたケース、または検出結果レコード自体で確認できます。

    ケースで修復ガイダンスを表示する

    有害な組み合わせのケースで修復ガイダンスを表示する手順は次のとおりです。

    1. Security Operations コンソールの [ケース] ページに移動します。

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    2. 修正が必要な有害な組み合わせのケースを開きます。

    3. [ケース] タブまたは [アラート] タブをクリックします。

    4. 次のいずれかのウィジェットの [次のステップ] セクションを確認します。

      • [ケース] タブをクリックした場合は、[ケースの概要] ウィジェット。
      • [アラート] タブをクリックした場合は、[検出結果の概要] ウィジェット。

      必要に応じて、[検出結果の説明] をスクロールして [次のステップ] を表示します。

    有害な組み合わせの検出結果で修復ガイダンスを表示する

    検出結果レコードで修正ガイダンスを表示する手順は次のとおりです。

    1. Security Operations コンソールで、[対策] > [検出結果] に移動します。

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    2. [クイック フィルタ] を選択するか、検出結果クエリを編集して、有害な組み合わせの検出結果を見つけます。

    3. 検出結果のカテゴリ名をクリックして、検出結果の詳細を開きます。検出結果の詳細ページが開きます。

    4. 検出結果の詳細ページの [概要] タブの [次のステップ] セクションで、修正ガイダンスを確認します。

    有害な組み合わせのケースの検出結果を確認する

    通常、有害な組み合わせには、ソフトウェアの脆弱性または構成ミスの検出結果が 1 つ以上含まれています。これらの検出結果ごとに、Security Command Center は個別のケースを自動的に開き、関連するハンドブックを実行します。これらの検出結果のケースを確認し、有害な組み合わせを解決するために修復の優先順位付けを行うようチケット オーナーに依頼できます。

    有害な組み合わせの検出結果を確認する手順は次のとおりです。

    1. セキュリティ運用コンソールで、[ケース] に移動します。

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    2. 有害な組み合わせのケースを見つけて開きます。

    3. ケースの概要タブ()を選択します。

    4. ケース概要タブの [検出結果] セクションで、表示された検出結果を確認します。

    5. 検出結果をクリックすると、ケース ID、攻撃の発生可能性スコア、検出結果のチケット ID など、検出結果の概要情報が表示されます。

      • 検出結果のケース ID をクリックしてケースを開き、ステータス、割り当てられたオーナー、その他のケース情報を表示します。
      • 攻撃の発生可能性スコアをクリックして、検出結果の攻撃パスを確認します。
      • チケット ID をクリックして、検出結果のチケットを開きます。

    有害な組み合わせのケースをクローズする

    有害な組み合わせのケースをクローズするには、基盤となる有害な組み合わせを修正するか、Google Cloud コンソールで有害な組み合わせの検出結果をミュートします。

    有害な組み合わせを修復してケースをクローズする

    有害な組み合わせを構成するセキュリティの問題を 1 つ以上修正して、高価値リソースセット内のリソースが公開されなくなったら、Risk Engine は次の攻撃パス シミュレーションで有害な組み合わせのケースを自動的にクローズします。このシミュレーションは約 6 時間ごとに実行されます。

    有害な組み合わせを修復するには、有害な組み合わせのケースの次のステップに記載されているガイダンスに沿って対応します。

    詳細については、有害な組み合わせを修正する方法をご覧ください。

    検出結果をミュートしてケースをクローズする

    有害な組み合わせによって生じるリスクがビジネスにとって許容できる場合や、有害な組み合わせを修復できない場合は、有害な組み合わせの検出結果をミュートしてケースをクローズできます。

    有害な組み合わせの検出結果をミュートする手順は次のとおりです。

    1. セキュリティ運用コンソールで、[ケース] に移動します。

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

      CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    2. 有害な組み合わせのケースを見つけて開きます。

    3. [検出アラート] タブを選択します。

    4. [検出結果の概要] ウィジェットの右下にある [探索] をクリックします。有害な組み合わせの検出結果が開きます。

    5. 検出結果の詳細ページの右上にある [ミュート オプション] を使用して、検出結果をミュートします。

    Google Cloud コンソールで検出結果をミュートすることもできます。詳細については、個々の検出結果をミュートするをご覧ください。

    クローズされた有害な組み合わせのケースを表示する

    Security Operations コンソールでケースがクローズされると、Security Command Center の [ケース] ページから削除されます。

    クローズされた有害な組み合わせのケースを表示する手順は次のとおりです。

    1. Security Operations コンソールで、[SOAR 検索] ページに移動します。

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

      CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    2. ページの左側にある [ステータス] で、[クローズ済み] を指定します。

    3. [タグ] で [有害な組み合わせ] を指定します。

    4. [適用] をクリックします。クローズされた有害な組み合わせのケースは、検索結果に表示されます。

    有害な組み合わせの検出結果を表示する

    有害な組み合わせの検出結果は、クラウド環境で有害な組み合わせが検出されたときに Risk Engine が発行する最初のレコードです。Security Command Center は、Risk Engine によって発行される有害な組み合わせの検出結果ごとにケースを自動的に開きます。

    有害な組み合わせの検出結果は、Google Cloud コンソールの [リスクの概要] ページまたは [検出結果] ページで直接確認できます。

    [リスクの概要] ページに、攻撃の発生可能性スコアが最も高い有害な組み合わせの検出結果が表示されます。各検出結果には、Security Operations コンソールの対応するケースへのリンクが表示されます。

    有害な組み合わせの検出結果を表示する手順は次のとおりです。

    1. Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。

      [検出結果] に移動

    2. 必要に応じて、Google Cloud 組織名を選択します。

    3. [クイック フィルタ] パネルの [検出結果クラス] セクションで、[有害な組み合わせ] を選択します。[検出結果クエリの結果] パネルが更新され、有害な組み合わせの検出結果のみが表示されます。

    4. 有害な組み合わせの検出結果を優先するには、[有害な組み合わせスコア] 列の見出しをクリックして、スコアが低い順に検出結果を並べ替えます。