リソースを検査する

このページでは、セキュリティ ポスチャーの改善、セキュリティの問題の修正、脅威への対応を目的としてクラウド リソースを使用する方法について説明します。

Security Command Center では、リソースに対して実行できる操作の一部は次のとおりです。

必要な権限を取得

このセクションでは、コンソールでリソースを操作するために必要な IAM ロールを示します。

Google Cloud コンソール IAM ロール

Google Cloud コンソールでリソースを操作するには、次の IAM ロールが必要です。

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    [IAM] に移動
  2. 組織を選択します。
  3. [ アクセスを許可] をクリックします。

  4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Google アカウントのメールアドレスです。

  5. [ロールを選択] リストでロールを選択します。
  6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
  7. [保存] をクリックします。

    8. Security Command Center のロールと権限の詳細については、組織レベルで有効にするための IAM をご覧ください。

    Security Operations コンソールの IAM ロール

    Security Command Center Enterprise をご利用の場合は、Security Operations コンソールでリソースを操作できます。次のいずれかの IAM ロールが必要です。

    • Chronicle SOAR 管理者roles/chronicle.soarAdmin
    • Chronicle SOAR 脅威マネージャーroles/chronicle.soarThreatManager
    • Chronicle SOAR 脆弱性マネージャーroles/chronicle.soarVulnerabilityManager

    ユーザーにロールを付与する方法については、IAM を使用してユーザーをマッピングして承認するをご覧ください。

    リソースページ

    リソースは、Google Cloud コンソールの [アセット] ページのクエリ結果に表示されます。Security Command Center Enterprise のお客様の場合は、Security Operations コンソールの [リソース] ページに表示されます。

    Security Command Center が組織レベルで有効になっている場合は、組織全体のリソースを表示できます。また、特定のプロジェクト、リソースタイプ、ロケーションでリソースをフィルタすることもできます。

    Security Command Center がプロジェクト レベルで有効になっている場合は、Google Cloud コンソールでリソースタイプとロケーションでリソースをフィルタできます。

    リソースのリストは Cloud Asset Inventory によって提供されます。ほとんどの場合、Google Cloud 環境でリソースが作成、変更、削除された後、数分以内に Cloud Asset Inventory によってリストが更新されます。

    Cloud Asset Inventory の詳細については、Cloud Asset Inventory の概要をご覧ください。

    Security Command Center Enterprise のコンソールでリソースを操作する

    Security Command Center Enterprise のお客様は、次の 2 つのコンソールでリソースを操作できます。

    • Google Cloud コンソールの [アセット] ページ: すべてのサービスティアで利用可能
    • Security Operations コンソールの [リソース] ページ: Enterprise ティアでのみ使用可能

    Security Operations コンソールの [リソース] ページは、プレビュー版です。

    このページでは、2 つのコンソールでリソースを操作する手順を、別々のタブで並べて説明します。

    詳細については、Security Command Center Enterprise コンソールをご覧ください。

    すべての関連情報を表示

    リソースを表示する方法については、使用しているコンソールのタブをクリックしてください。

    Google Cloud コンソール

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. Google Cloud プロジェクトまたは組織を選択します。

    Security Operations コンソール

    Security Operations コンソールで、[リソース] ページに移動します。 

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

    CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    このコンソールの詳細については、Security Operations コンソールをご覧ください。

    リソースの並べ替え

    リソースを並べ替えるには、並べ替える値の列見出しをクリックします。列は、番号順、次にアルファベット順に並べ替えられます。

    リソースを検索

    デフォルトでは、組織内のすべてのリソースがリソースクエリの結果に表示されます。Security Command Center で特定のリソースを検索するには、クイック フィルタを使用するか、カスタム フィルタを指定します。

    クイック フィルタを使用して高度な検索を行う

    リソースの高度な検索を行うには、クイック フィルタを使用します。たとえば、プロジェクト、リソースタイプ、ロケーションで検索できます。詳細については、使用しているコンソールのタブをクリックしてください。

    Google Cloud コンソール

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. [クイック フィルタ] パネルで、属性フィルタを 1 つ以上選択し、クエリに追加します。

    Security Operations コンソール

    1. Security Operations コンソールで、[リソース] ページに移動します。 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    2. Google Cloud リソースでフィルタするには、[Google Cloud リソース] をクリックします。
    3. Amazon Web Services(AWS)リソースをフィルタするには、[AWS リソース] をクリックします。
    4. 特定の属性値を持つリソースをフィルタするには、次の手順を行います。
      1. [フィルタ] パネルで、属性値をクリックし、[のみを表示] をクリックします。それに応じてクエリが更新されます。
      2. クエリに別の属性値を追加するには、属性値をクリックして [および、のみを表示] をクリックします。
      3. 属性値をクエリから削除するには、属性値をクリックして [のみを表示しない] をクリックします。
    5. 属性値をコピーするには、属性値をクリックして [コピー] をクリックします。

    リソースクエリを編集する

    リソースクエリを編集する方法については、使用しているコンソールのタブをクリックしてください。

    Google Cloud コンソール

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. [アセットクエリ] タブをクリックします。
    3. 次のいずれかの方法でクエリを編集します。
      • [クエリ ライブラリ] サブタブで、事前構築済みのクエリを選択します。[適用] をクリックします。[クエリを編集] パネルのクエリが更新されます。
      • [テーブルを選択] パネルで、クエリを実行するリソースタイプをクリックします。[スキーマ] サブタブで、クエリに追加する属性を探します。この属性が [クエリを編集] パネルに追加されます。
      • [クエリを編集] パネルでクエリを直接編集します。
    4. [実行] をクリックします。クエリ結果はそれに応じて更新されます。

    Security Operations コンソール

    1. Security Operations コンソールで、[リソース] ページに移動します。 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    2. Google Cloud リソースでフィルタするには、[Google Cloud リソース] をクリックします。
    3. Amazon Web Services(AWS)リソースをフィルタするには、[AWS リソース] をクリックします。
    4. [ フィルタを追加] をクリックします。[フィルタ] ダイアログが表示されます。このダイアログでは、サポートされているリソースの属性と値を選択できます。
    5. [フィルタ] で、フィルタする属性を選択します。
    6. フィルタ評価オプションと属性値を設定します。使用可能な評価オプションは、選択した属性によって異なります。
      • 特定の属性値を持つリソースをフィルタするには、[のみを表示] を選択します。[] リストで属性値を選択します。
      • 特定の文字列を含む属性値を持つリソースをフィルタするには、[含む] を選択します。[] フィールドに文字列を入力します。

        [次を含む] 評価オプションは、テキスト部分一致演算子のクエリ構文に従います。検索キーワードを 1 つ以上のトークンに変換し、特殊文字を区切り文字として使用し、トークン全体が一致する必要があります。トークンの一部のみを照合するには、トークン プレフィックス マッチ指標としてアスタリスク(*)を使用します。

      • タイムスタンプに基づいてリソースをフィルタするには、[次の前] または [] を選択します。[] フィールドにタイムスタンプを入力します。
    7. 別のフィルタを追加する手順は次のとおりです。
      1. [Add filter] をクリックします。
      2. 属性、評価オプション、属性値を設定します。
      3. フィルタ間の論理関係を設定します。[論理演算子] で、AND または OR を選択します。
    8. [適用] をクリックします。クエリエディタが更新され、それに応じてクエリ結果がフィルタされます。

    リソースの詳細を検査

    このセクションでは、特定のリソースの詳細を調べる方法について説明します。

    概要を表示する

    1. リソースを検索します。
    2. クエリ結果で、リソースの名前をクリックします。リソースの詳細パネルが開き、詳細の要約が表示されます。

    リソースの詳細情報を表示する

    低レベルのメタデータを含む、リソースに関するすべての詳細を表示するには、次の手順に従います。

    1. リソースを検索します。
    2. クエリ結果で、リソースの名前をクリックします。対象のリソースの詳細パネルが開きます。
    3. [完全なメタデータ] タブをクリックします。リソースのすべてのプロパティ名と値はツリー構造で表示されます。
    4. ツリー内の特定のプロパティ名または値を検索するには、フィルタに名前または値を入力します。
    1. リソースを検索します。
    2. クエリ結果で、リソースの名前をクリックします。対象のリソースの詳細パネルが開きます。
    3. [検出結果] タブをクリックします。リソースに関連するすべての検出結果が表示されます。

    リソースに対する変更を表示する

    リソースのメタデータのスナップショットを比較して、変更内容を確認できます。

    時間の経過とともにリソースの変更を確認する方法については、使用しているコンソールのタブをクリックしてください。

    Google Cloud コンソール

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. リソースを検索します。
    3. 結果パネルのリソースのリストで、リソースの名前をクリックします。対象のリソースの詳細パネルが開きます。
    4. リソースの詳細パネルで、[変更履歴] タブをクリックします。
    5. [変更履歴] タブで、[開始日時] と [終了日時] の両方を選択します。
    6. 左側の [比較するレコードを選択] リストで、スナップショットを選択します。
    7. 右側の [比較するレコードを選択] リストで、選択した最初のスナップショットと比較するスナップショットを選択します。2 つのスナップショット間の変更がハイライト表示されます。

    Security Operations コンソール

    1. Security Operations コンソールで、[リソース] ページに移動します。 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    2. リソースを検索します。
    3. 結果パネルのリソースのリストで、リソースの名前をクリックします。対象のリソースの詳細パネルが開きます。
    4. リソースの詳細パネルで、[変更履歴] タブをクリックします。
    5. 左側の [比較] リストで、スナップショットを選択します。
    6. 右側の [比較] リストで、選択した最初のスナップショットと比較するスナップショットを選択します。2 つのスナップショット間の変更がハイライト表示されます。

    リソースに関連付けられている IAM ポリシーを表示する

    1. リソースを検索します。
    2. クエリ結果で、リソースの名前をクリックします。対象のリソースの詳細パネルが開きます。
    3. [IAM ポリシー] タブをクリックします。リソースに関連付けられている IAM ポリシーが表示されます。

    高価値リソースセットを表示する

    Risk Engine が最後の攻撃パス シミュレーションに含めた高価値リソースを表示できます。Risk Engine が各リソースに対して計算した攻撃の発生可能性スコアも表示できます。詳細については、使用しているコンソールのタブをクリックしてください。

    Google Cloud コンソール

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. [高価値リソースセット] タブをクリックします。
    3. 表示するクラウド プロバイダのサブタブをクリックします。
      • 価値の高い Google Cloud リソースを表示するには、[Google] をクリックします。リソースの詳細を表示するには、そのリソース名をクリックします。
      • 高価値の Amazon Web Services(AWS)リソースを表示するには、[AWS] をクリックします。
      • 高価値の Microsoft Azure リソースを表示するには、[Azure] をクリックします。
    4. リソースの攻撃パス シミュレーションの詳細を表示するには、リソースの攻撃の発生可能性スコアをクリックします。攻撃パスを解釈する方法については、攻撃パスをご覧ください。

    Security Operations コンソール

    Security Operations コンソールでは、高価値リソースセットを表示できますが、リソースの攻撃パス シミュレーションの詳細は表示できません。攻撃パスのシミュレーションの詳細を表示するには、代わりに Google Cloud コンソールを使用します。

    Security Operations コンソールで高価値リソースセットを表示する手順は次のとおりです。

    1. Security Operations コンソールで、[リソース] ページに移動します。 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources

      CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

    2. [高価値リソースセット] タブをクリックします。
    3. 表示するクラウド プロバイダのサブタブをクリックします。
      • 価値の高い Google Cloud リソースを表示するには、[Google Cloud リソース] をクリックします。
      • 価値の高い Amazon Web Services(AWS)リソースを表示するには、[AWS リソース] をクリックします。
    4. リソースの詳細を表示するには、リソースの表示名をクリックします。

    作成日時または最終更新日時のタイムスタンプでリソースをフィルタする

    タイムスタンプでリソースをフィルタする方法については、使用しているコンソールのタブをクリックしてください。

    Google Cloud コンソール

    [アセット] ページの結果パネルでは、[作成日時] タイムスタンプと [最終更新日時] タイムスタンプによって、リソースをフィルタまたは並べ替えることができます。

    [作成日時] タイムスタンプ、[最終更新日時] タイムスタンプ、またはその両方に基づくフィルタに対して、次の手順を行います。

    1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

      アセットに移動

    2. [アセット] ページの結果パネルの上部で、[フィルタ] フィールドにカーソルを置きます。フィルタのメニューが開きます。
    3. [作成日時] または [更新日時] のセクションまでスクロールし、時間ベースのフィルタ オプションの一つを選択します。例: Update time after。[フィルタ] フィールドにフィルタが追加されます。
    4. フィルタ フィールドで、MM/DD/YYYY 形式の日付を入力して、キーボードの Enter キーを押します。

    結果パネルのリソースが更新され、フィルタに一致するリソースのみが表示されます。

    Security Operations コンソール

    この機能はセキュリティ運用コンソールで利用できません。

    リソース ページをカスタマイズする

    画面領域を制御するには、クエリ結果に表示される一部の要素をカスタマイズします。

    列の表示と非表示を切り替える

    クエリ結果の列を非表示または表示する方法については、使用しているコンソールのタブをクリックしてください。

    Google Cloud コンソール

    1. 結果パネルの上部にある view_column [] をクリックします。
    2. 表示する列を選択します。
    3. 非表示にする列の選択を解除します。
    4. [適用] をクリックして、変更をクエリ結果に適用します。

    Security Operations コンソール

    1. 結果パネルの上部にある view_column [列セレクタを開く] をクリックします。[列の管理] メニューが開きます。
    2. 表示する列を選択します。
    3. 非表示にする列の選択を解除します。
    4. メニューを閉じます。

    クイック フィルタ パネルを非表示にする、またはサイズを変更する

    クエリ結果の画面領域を増やすには、パネルを非表示にするか、サイズを変更します。詳細については、使用しているコンソールのタブをクリックしてください。

    Google Cloud コンソール

    • [クイック フィルタ] サイドパネルを非表示にするには、左矢印 first_page をクリックします。
    • [クイック フィルタ] サイドパネルを表示するには、右矢印 last_page をクリックします。
    • 表示列のサイズを変更するには、分割線を左右にドラッグします。

    Security Operations コンソール

    • [フィルタ] サイドパネルを非表示にするには、chevron_left [サイドバーを閉じる] をクリックします。
    • [フィルタ] サイドパネルを表示するには、chevron_right [サイドバーを開く] をクリックします。

    次のステップ