Security Command Center¶
SCCデータソースを有効にすると、GCPのSecurity Command Centerサービス(SCC) で分析された結果が収集されます
Security Command Centerとは?
- SCCは、Googleが提供する驚異検知のためのセキュリティサービスです
- SCCでどのような項目が検知されるかは公式ドキュメント を参照してください
Security Command Centerは組織向けのソリューションです
SCCは組織 向けのセキュリティサービスです
- 設定を有効にするには何らかの組織に属する必要があります
- 組織側のIAMにもサービスアカウントの登録が必要です
- サービスアカウントに以下のロールを設定してください
- Security Center Findings Viewer/セキュリティ センターの検出閲覧者 (
roles/securitycenter.findingsViewer)
- Security Center Findings Viewer/セキュリティ センターの検出閲覧者 (
- もしくは以下のパーミッション(SCCの参照権限)を含むカスタムロールを設定してください
- securitycenter.findings.group - securitycenter.findings.list - securitycenter.findings.listFindingPropertyNames - securitycenter.sources.get - securitycenter.sources.list - 詳細は サービスアカウントを許可 を参照してください
- サービスアカウントに以下のロールを設定してください
フォーマット¶
RISKENへデータを取り込む際に、以下のメタデータを付加します
| 項目 | 説明 |
|---|---|
DataSource |
google:scc (固定) |
ResourceName |
検出したアセット名 |
Description |
説明 |
Score |
スコアリング参照 |
Tag |
google gcp scc {プロジェクトID} {サービス名} |
スコアリング¶
Security Command Centerで解析された結果データにはSeverity情報 を持っています
RISKENに取り込む際に、以下のロジックによってSeverityを基準にしたスコアリングを行います
graph TD
A[Start] --> B{{Status Active?}};
B -->|NO| C[Score: 0.1]:::low;
B -->|YES| D{{Severity = LOW?}};
D -->|YES| E[Score: 0.1]:::low;
D -->|NO| F{{Severity = MEDIUM?}};
F -->|YES| G[Score: 0.3]:::low;
F -->|NO| H{{Severity = HIGH?}};
H -->|YES| I[Score: 0.6]:::mid;
H -->|NO| J{{Severity = CRITICAL?}};
J -->|YES| K[Score: 0.9]:::high;
J -->|NO| L[Score: 0.0]:::unknown;
classDef high fill:#FFFFFF,stroke:#C2185B,stroke-width:4px;
classDef mid fill:#FFFFFF,stroke:#F57C00,stroke-width:4px;
classDef low fill:#FFFFFF,stroke:#4DB6AC,stroke-width:4px;
classDef unknown fill:#FFFFFF,stroke:#BDBDBD,stroke-width:4px;