このページでは、Google Cloud コンソールの Security Command Center の [検出結果] ページで検出結果を操作する方法について説明します。検出結果は、セキュリティの問題を検出したときに Security Command Center サービスが作成するセキュリティ問題の記録です。
検出結果ページでは、次のような操作を行うことができます。
- 検出結果をクエリする
- 検出結果を検査する
- 検出結果をミュートする
- 検出結果にセキュリティ マークを追加する
検出結果は、[検出結果] ページの [検出結果クエリの結果] パネルに表示されます。検出結果をクリックすると、検出結果の詳細と完全な JSON 形式が表示されます。
Security Command Center API を使用して検出結果を操作する方法については、プログラムでの Security Command Center へのアクセスをご覧ください。
Security Command Center の IAM ロール
Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。
Google Cloud コンソールで検出結果を表示する
デフォルトでは、[検出結果] ページの [検出結果クエリの結果] パネルに、ミュートされていない、新しい、または過去 7 日間で更新されたアクティブな検出結果がすべて表示されます。
特定の検出結果を表示するには、検出結果クエリを編集して、表示する必要のある値または属性を指定するか、表示しない値または属性を指定します。
次の例は、デフォルトの検出結果クエリです。
state="ACTIVE" AND NOT mute="MUTED"
現在の検出結果のクエリは、[検出結果] ページの [クエリのプレビュー] フィールドで確認できます。
期間を調整して他の検出結果を表示する
クエリに使用される期間は、[クエリエディタ] アクションバーの右側にある [期間] フィールドで調整できます。デフォルト値は Last 7 days
です。
期間は、検出結果の eventTime
属性の値に基づいて設定されます。この値には、検出結果レコードが最後に更新された時刻が反映されます。
検出結果を利用できる期間
検出結果は通常、それを生成したサービスが検出結果を Security Command Center の検出結果データベースに格納してから 1 分以内に Security Command Center でクエリできるようになります。検出結果は、少なくとも 13 か月間クエリ可能です。
Security Command Center には、各検出結果のスナップショットが 1 つ以上保存されます。検出結果のスナップショットは、eventTime
フィールドのタイムスタンプから 13 か月後に削除されます。検出結果のスナップショットがすべて削除されると、検出結果の復元や復旧ができなくなります。
Security Command Center のデータ保持の詳細については、データの保持をご覧ください。
特定の検出結果を見つけて表示する
[検出結果] ページで検出結果クエリを編集することで、特定の検出結果や検出結果のグループを検索して表示できます。クエリは次の方法で編集できます。
- [クイック フィルタ] パネルで、事前に定義された属性フィルタを 1 つ以上選択し、クエリに追加します。
- [クエリエディタ] パネルの [フィルタを追加] メニューで、事前定義済みの属性フィルタを 1 つ以上選択して、クエリに追加します。
- クエリエディタ パネルで検出結果クエリを直接編集します。
- 検出結果の詳細パネルで、特定の属性のプルダウン メニューから、その属性の事前定義フィルタを選択して、クエリに追加します。
事前定義されたフィルタを選択すると、クエリに自動的に追加されます。
一般的に使用される高度なフィルタ オプションには、[クイック フィルタ] パネルを使用します。下位レベルの検出属性に基づく、より詳細で高度なフィルタには、[フィルタを追加] メニューを使用します。
コンソールで検出結果クエリを作成および編集する詳細については、Google Cloud コンソールで検出結果クエリを編集するをご覧ください。
検出結果の詳細を表示する
検出結果の詳細を確認するには、[検出結果クエリの結果] パネルの [カテゴリ] 列にある検出結果の名前をクリックして、検出結果の詳細ビューを開きます。
詳細ビューでは、検出結果を把握し、脅威の調査や脆弱性への対応に不可欠な情報を確認できます。
検出結果の詳細ビューには次のタブが表示されます。これらのタブで検出結果の詳細を確認して、問題に対処できます。
- デフォルトのビューである [概要] タブには、検出結果に関する重要な情報と属性がハイライト表示されます。
- [ソース プロパティ] タブには、検出結果 JSON の
sourceProperties
オブジェクトの属性が表示されます。 - [JSON] タブでは、検出結果の完全な JSON 形式を確認できます。
詳細ビューでは検出結果に対して特定のアクションを実行できます。また、検出結果に関連する追加情報のリンクも確認できます。
詳細ビューで検出結果を確認する
検出結果の詳細ビューには、検出結果に関する重要な情報が表示されます。これらの情報を使用して、基盤となるセキュリティの問題を把握して対処できます。
[概要] タブの情報
[概要] タブでは、次のセクションに検出結果に関する情報が表示されます。
- 検出された内容
検出された検出結果に関する詳細の例:
- AI 生成のサマリープレビュー
- 検出結果の重大度
- 検出結果の状態(
ACTIVE
またはINACTIVE
) - 特定の検出結果に関連する重要なフィールド
- 脆弱性
脆弱性に対応する CVE レコードの情報(存在する場合)。[脆弱性] セクションには、CVE レコードからの次のような情報が含まれています。
- CVE ID
- CVE スコア
- 影響
- 脆弱性を悪用したアクティビティ
- 攻撃の発生可能性
攻撃の発生可能性スコアとスコアが最後に計算された時間。スコアをクリックすると、影響を受けている価値の高いリソースと、関連する攻撃パスが視覚的に表示されます。
- 影響を受けているリソース
検出結果に関連するアセットの詳細(技術担当者およびセキュリティ担当者の連絡先など)。このセクションには、リソースの詳細を表示できるメニューも含まれています。
- セキュリティ マーク
この検出結果に関連するセキュリティ マーク(存在する場合)。
- 次のステップ
検出された問題の対処方法に関するガイダンス。次のステップは、Security Health Analytics などの特定のサービスのみで提供されます。
- 関連リンク
Security Command Center の外部にあるセキュリティ情報の主要な情報源へのリンク。関連リンクは、Event Threat Detection などの特定のサービスでのみ提供されます。
- 検出サービス
検出結果を検出したサービス(ソース)の詳細。
[参照元プロパティ] タブの情報
一部の検出結果については、詳細パネルに、検出結果 JSON の sourceProperties
オブジェクトにある特定のプロパティがハイライト表示されたソース プロパティタブが含まれています。
ソース プロパティは、各検出結果と Security Command Center で実行されるサービスごとに異なります。ソース プロパティがすべてのサービスで標準化されているという保証はありません。このため、ソース プロパティはプログラムで使用しないことを強くおすすめします。すべてのサービスでソース プロパティを標準化したい場合は、フィードバックを送信して Google へお知らせください。
[JSON] タブの情報
[JSON] タブには、現在選択されている検出結果の完全な JSON 構造が表示されます。これは、検出結果について調べる場合や、検出結果クエリで使用できる属性を確認する場合に役立ちます。
JSON オブジェクトをクリップボードにコピーするには、
[Copy] をクリックします。検出結果の JSON 構造には、次のオブジェクトが含まれます。
findings
: 検出結果の属性。これらの属性は、すべての組み込みサービスと統合サービス(セキュリティ ソースとも呼ばれます)で標準化されています。詳細については、Finding
をご覧ください。resource
: 影響を受けるリソースの属性。詳細については、Resource
をご覧ください。sourceProperties
: 検出結果のサービス固有のプロパティ。
ListFindings
API を使用して検出結果を一覧表示し、JSON 定義を取得することもできます。
詳細ビューで検出結果に対応する
検出結果をミュートしたり、検出結果の属性を現在の検出結果クエリに追加するなど、検出結果に対してさまざまな操作を行うことができます。
詳細ビューで検出結果をミュートする
検出結果の詳細ビューの [操作] メニューから、検出結果のミュートやミュート解除を行うことができます。また、現在の検出結果のように、今後のすべての検出結果をミュートするルールを作成することもできます。
検出結果のミュートやミュートルールの作成の詳細については、Security Command Center の検出結果をミュートするをご覧ください。
詳細ビューからクエリに属性フィルタを追加する
検出結果の詳細ビューから、表示されている属性のフィルタを現在の検出結果クエリに追加できます。
手順については、検出結果の詳細ビューから属性フィルタを追加するをご覧ください。
検出結果の詳細ビューで属性の API 名を表示する
Google Cloud コンソールに表示されるほとんどの検出結果の属性には、Security Command Center API で使用される対応する名前が付いています。検出結果の詳細ビューで、表示された検出結果属性に対応する API 名を見つけてコピーできます。
検出結果の詳細ビューを共有する
検出結果の詳細ビューを共有するには、詳細ビューページの URL をコピーして他のユーザーと共有します。
詳細ビューの URL をクリップボードにコピーするには、[操作] メニューで [リンクをコピー] をクリックします。
検出結果のフィードバックを Google Cloud に送信する
Google Cloud にフィードバックを送信するには、[操作] メニューを開き、[フィードバックを送信] をクリックします。
フィードバック ツールを使用すると、スクリーンショットを取得して送信できます。
以下のセクションでは、[概要] タブ、[ソース プロパティ] タブ、[JSON] タブについて説明します。
[検出結果クエリの結果] パネルに他の検出結果の詳細を表示する
現在表示している検出結果の前後にある検出結果の詳細を表示するには、
(次へ)ボタンまたは (前へ)ボタンを使用します。[検出結果] ページに戻ることなく、次の検出結果または前の検出結果に移動できます。Google Cloud コンソールで検出結果にセキュリティ マークを追加する
検出結果へのセキュリティ マークの追加、セキュリティ マークの編集、検出結果からのセキュリティ マークの削除は、[検出結果クエリの結果] パネルで行うことができます。
セキュリティ マークは、検出結果にアノテーションを付けるカスタム Key-Value ラベルで、同じセキュリティ マークを持つ他の検出結果と関連付けるために使用できます。
Google Cloud コンソールでセキュリティ マークを作成、編集、削除するには、[検出結果クエリの結果] パネルのアクションバーで [セキュリティ マークを設定] をクリックします。
検出結果やアセットにセキュリティ マークを設定する詳しい手順については、セキュリティ マークの使用をご覧ください。
Google Cloud コンソールで検出結果をミュートする
[検出結果] ページで検出結果のミュートまたはミュート解除を行うには、[検出結果クエリの結果] アクションバーの [ミュート オプション] を使用するか、検出結果の詳細パネルで [操作] をクリックします。
個々の検出結果をミュートすることも、定義したフィルタに基づいて現在と将来の検出結果をミュートするミュートルールを作成することもできます。
ミュートされた検出結果は表示されませんが、検索クエリに mute="MUTED"
フィルタを追加すると表示できます。ミュートされた検出結果は監査とコンプライアンス目的で引き続き記録されます。
現在定義されているミュートルールは、Security Command Center 設定の [ミュートルール] タブで確認できます。
検出結果をミュートまたはミュート解除する方法については、Security Command Center の検出結果をミュートするをご覧ください。
検出結果の状態を変更する
検出結果の状態は Active
または Inactive
のいずれかです。
Active
は、検出結果によって特定されたセキュリティの問題が、潜在的な脅威または脆弱性として環境内に残されていることを意味します。
Inactive
は、セキュリティの問題に対処済みであることを意味します。
検出結果の状態はさまざまな理由で変更できます。たとえば、対処後すぐに検出結果の状態を Inactive
に変更すると、次のスキャンで状態が変更されるまで待つ必要がなくなります。
Google Cloud コンソールで検出結果の状態を変更するには、次の操作を行います。
Security Command Center の [検出結果] ビューに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
[検出結果クエリの結果] パネルで、検出結果を選択します。
[検出結果クエリの結果] パネルのアクションバーで、[アクティブ状態を変更] をクリックします。ポップアップ メニューが表示されます。
[アクティブ状態を変更] ポップアップ メニューで、[有効] または [無効] を選択します。
[検出結果] ページを構成する
[検出結果] ページに表示される一部の要素は制御できます。
クエリ結果の列を調整する
[検出結果クエリの結果] パネルで列を追加または削除できます。
[カテゴリ] 以外の列はすべて削除できます。
デフォルトでは、[検出結果クエリの結果] パネルに次の列が表示されますが、右にスクロールしないと表示されない場合があります。
- カテゴリ: 検出結果のタイプの名前。
- 重大度: 検出結果の重大度。検出結果の重大度レベルの詳細については、検出結果の重大度の分類をご覧ください。
- 攻撃の発生可能性スコア: 検出結果の攻撃の発生可能性スコア。
- イベント時間: 検出結果が最初に検出された時刻または最後に更新された時刻。
- 作成時間: 検出結果が Security Command Center で作成された時刻。
- リソースの表示名: 問題が検出されたリソースの表示名。
- 完全なリソース名: 問題が検出されたリソースの完全な名前。
- リソースパス: 問題が検出されたリソースへのパス。
- リソースタイプ: 問題が検出されたリソースのタイプ。
- セキュリティ マーク: 検出結果に追加されたセキュリティ マーク。
- 検出結果クラス: 検出結果のクラス(
THREAT
、VULNERABILITY
、MISCONFIGURATION
など)。
表示する検出結果の列を選択する手順は次のとおりです。
- [検出結果クエリの結果] アクションバーの右側で、view_column [列] をクリックします。
- 表示されたメニューで、表示する列を選択します。
- 列を非表示にするには、列の名前の選択を解除します。
- [適用] をクリックして、[検出結果クエリの結果] パネルに変更を適用します。
列の選択は、次に [検出結果] ページを表示するときにも維持されます。これは、プロジェクトや組織を変更しても維持されます。カスタムの列選択をすべて解除するには、[列の選択を解除] をクリックします。
検出結果ページのパネルを調整する
クエリを編集したり、検出結果を表示するための表示領域を増やすには、次のパネルを折りたたむか開きます。
- [クイック フィルタ] パネル。
- [クエリエディタ] パネル
パネルを折りたたむには、パネルの切り替えアイコン first_page または first_page をクリックします。
パネルをもう一度開くには、アイコンをクリックします。
Security Command Center チームにフィードバックを送信する
Google は常にサービスの改善を務めています。お寄せいただいたフィードバックは、サービスの改善と Security Command Center のすべてのユーザーを対象とするエクスペリエンスの改善に活用いたします。
フィードバックの送信手順は次のとおりです。
Security Command Center の [検出結果] ビューに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
[オプション] をクリックし、[フィードバックを送信する] を選択します。
次のステップ
- セキュリティ ソースについて確認する。
- セキュリティ マークの使用方法を確認する。
- Security Command Center の構成方法を確認する。
- Security Command Center API を使用して検出結果フィルタを作成する方法を確認する。