arrow_back

Security Command Center を使ってみる

ログイン 参加
Quick tip: Review the prerequisites before you run the lab
Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the student account, which may cause extra charges incurred to your personal account.
知識をテストして、コミュニティで共有しましょう
done
700 を超えるハンズオンラボ、スキルバッジ、コースへのアクセス

Security Command Center を使ってみる

ラボ 1時間 universal_currency_alt クレジット: 1 show_chart 入門
info このラボでは、学習をサポートする AI ツールが組み込まれている場合があります。
知識をテストして、コミュニティで共有しましょう
done
700 を超えるハンズオンラボ、スキルバッジ、コースへのアクセス

GSP1124

Google Cloud セルフペース ラボのロゴ

概要

Security Command Center(SCC)は、次のようなユーザーの作業を支援するセキュリティ モニタリング プラットフォームです。

  • セキュリティに関連する Google Cloud リソースの構成ミスを検出する。
  • Google Cloud 環境の未対応の脅威についてレポートする。
  • Google Cloud アセット全体にわたる脆弱性を修正する。

このラボでは Security Command Center を使用する第一歩として、サービスのインターフェース、構成、脆弱性の検出結果を見ていきます。

目標

このラボでは、次のタスクの実行方法について学びます。

  • SCC のインターフェース要素を確認する。
  • プロジェクト レベルの SCC 設定を構成する。
  • SCC の脆弱性の検出結果を分析して修正する。

前提条件

このラボを開始するには、次の知識があることが推奨されますが、必須ではありません。

設定と要件

[ラボを開始] ボタンをクリックする前に

こちらの手順をお読みください。ラボの時間は記録されており、一時停止することはできません。[ラボを開始] をクリックするとスタートするタイマーは、Google Cloud のリソースを利用できる時間を示しています。

このハンズオンラボでは、シミュレーションやデモ環境ではなく、実際のクラウド環境を使ってご自身でラボのアクティビティを行うことができます。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。

このラボを完了するためには、下記が必要です。

  • 標準的なインターネット ブラウザ(Chrome を推奨)
注: このラボの実行には、シークレット モードまたはシークレット ブラウジング ウィンドウを使用してください。これにより、個人アカウントと受講者アカウント間の競合を防ぎ、個人アカウントに追加料金が発生することを防ぎます。
  • ラボを完了するために十分な時間を確保してください。ラボをいったん開始すると一時停止することはできません。
注: すでに個人の Google Cloud アカウントやプロジェクトをお持ちの場合でも、このラボでは使用しないでください。アカウントへの追加料金が発生する可能性があります。

ラボを開始して Google Cloud コンソールにログインする方法

  1. [ラボを開始] ボタンをクリックします。ラボの料金をお支払いいただく必要がある場合は、表示されるポップアップでお支払い方法を選択してください。 左側の [ラボの詳細] パネルには、以下が表示されます。

    • [Google Cloud コンソールを開く] ボタン
    • 残り時間
    • このラボで使用する必要がある一時的な認証情報
    • このラボを行うために必要なその他の情報(ある場合)

  2. [Google Cloud コンソールを開く] をクリックします(Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウでリンクを開く] を選択します)。

    ラボでリソースが起動し、別のタブで [ログイン] ページが表示されます。

    ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておきましょう。

    注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。

  3. 必要に応じて、下のユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。

    {{{user_0.username | "Username"}}}

    [ラボの詳細] パネルでも [ユーザー名] を確認できます。

  4. [次へ] をクリックします。

  5. 以下のパスワードをコピーして、[ようこそ] ダイアログに貼り付けます。

    {{{user_0.password | "Password"}}}

    [ラボの詳細] パネルでも [パスワード] を確認できます。

  6. [次へ] をクリックします。

    重要: ラボで提供された認証情報を使用する必要があります。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。

  7. その後次のように進みます。

    • 利用規約に同意してください。
    • 一時的なアカウントなので、復元オプションや 2 要素認証プロセスは設定しないでください。
    • 無料トライアルには登録しないでください。

その後、このタブで Google Cloud コンソールが開きます。

注: Google Cloud のプロダクトやサービスのリストを含むメニューを表示するには、左上のナビゲーション メニューをクリックします。ナビゲーション メニュー アイコン

Cloud Shell をアクティブにする

Cloud Shell は、開発ツールと一緒に読み込まれる仮想マシンです。5 GB の永続ホーム ディレクトリが用意されており、Google Cloud で稼働します。Cloud Shell を使用すると、コマンドラインで Google Cloud リソースにアクセスできます。

  1. Google Cloud コンソールの上部にある「Cloud Shell をアクティブにする」アイコン 「Cloud Shell をアクティブにする」アイコン をクリックします。

接続した時点で認証が完了しており、プロジェクトに各自の PROJECT_ID が設定されます。出力には、このセッションの PROJECT_ID を宣言する次の行が含まれています。

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud は Google Cloud のコマンドライン ツールです。このツールは、Cloud Shell にプリインストールされており、タブ補完がサポートされています。

  1. (省略可)次のコマンドを使用すると、有効なアカウント名を一覧表示できます。
gcloud auth list

  1. [承認] をクリックします。

  2. 出力は次のようになります。

出力:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (省略可)次のコマンドを使用すると、プロジェクト ID を一覧表示できます。
gcloud config list project

出力:

[core] project = <project_ID>

出力例:

[core] project = qwiklabs-gcp-44776a13dea667a6 注: Google Cloud における gcloud ドキュメントの全文については、gcloud CLI の概要ガイドをご覧ください。

シナリオ

5ce916afc496a60c.jpeg


Cymbal Bank は、米国のリテールバンクで、全米 50 州に 2,000 以上の支店があります。堅牢な支払いプラットフォームを基盤とした包括的なデビットおよびクレジット サービスを提供しています。従来の金融サービス機関からの変革を目指し、デジタル トランスフォーメーションを推進しています。

Cymbal Bank は、1920 年に Troxler という名前で設立されました。Cymbal Group 独自の ATM への積極的な投資を行っていた Cymbal Group は、Troxler を 1975 年に買収しました。Cymbal Bank は、全米をリードする銀行に成長するにつれ、支店での対面サービスと 2014 年にリリースしたアプリを通じオンラインにおいても、カスタマー エクスペリエンスを近代化させることに注力しました。Cymbal Bank は全国で 42,000 人を雇用し、2019 年の収益は 240 億ドルでした。

Cymbal Bank は自社の銀行アプリケーションに一元化されたセキュリティ モニタリング プラットフォームを統合することで Google Cloud リソース全体での脅威のモニタリングや脆弱性の修復に役立てることに関心があります。クラウド セキュリティ エンジニアであるあなたは、Security Command Center の利点について CTO にプレゼンテーションできるように、このサービスの最先端の機能について学ぶことを任されました。

タスク 1. SCC のインターフェース要素を確認する

このタスクでは、Security Command Center(SCC)のインターフェースをひととおり見て、サービスの主な機能について確認していきます。

  1. Cloud コンソールのナビゲーション メニューナビゲーション メニュー アイコン)で、[セキュリティ] > [リスクの概要] を順に選択します。
注: 「組織を作成する必要がある」というメッセージが表示された場合は、ブラウザを更新してください。
  1. [リスクの概要] ページで、下方向にスクロールし、[新たな脅威の件数の推移] と [リソースタイプ別の脆弱性] が示されている情報パネルを確認します。

脅威と脆弱性は 2 つの異なるタイプの検出結果クラスとして SCC が環境内のセキュリティ問題を分類しレポートするために使用されます。検出結果クラスについて詳しくは、検出結果クラスのドキュメントをご覧ください。

  • [脅威] は Google Cloud ユーザーに Google Cloud 環境で現在発生している疑わしいアクティビティについて通知します。たとえばサービス アカウントがそのアカウント自体の権限を調査しているなどです。
  • [脆弱性] には構成ミスまたはリソースの脆弱性に関する情報が示されます。たとえば TCP ポートが開いている、仮想マシンで古いライブラリが実行されているなどです。

検出結果は SCC によって生成されるレコードで、Security Command Center ダッシュボードの脆弱性や脅威のデータに関する詳細を提供します。

  1. [新たな脅威の件数の推移] カードで、[リソースタイプ別の検出結果] タブをクリックします。

このカードには、現在未対応の脅威のうち、この情報パネルの右側の [期間] プルダウンで決定された期間中にプロジェクトで発生したものが列挙されます。

注: このラボ インスタンスでは、以前に攻撃されたことがないサンドボックス Google Cloud プロジェクトを使用しているため、脅威の数はゼロになります。別のラボ「Security Command Center による脅威の検出と調査」では、脅威から身を守る方法を学習します。

デフォルトでは期間プルダウンには過去 7 日間に出現したすべての脅威が表示されますが、過去 180 日間に発生したすべての脅威を表示できます。

  1. 期間セレクタで [過去 180 日間] を選択します。
  2. [リソースタイプ別の脆弱性] カードまで下方向にスクロールします。
過去 180 日間の未対応の脆弱性

未対応の脆弱性が 80 件ほど一覧表示されます。

これらの検出結果の大部分は、このラボのために故意に安全でない状態に設計された、デフォルトの VPC ネットワークを使用しているために生成されたものです。たとえばこれにはすべての IP アドレスからの SSH アクセスと RDP アクセスを許可するファイアウォール ルールが含まれています。

  1. [未対応の脆弱性] カードまで下方向にスクロールします。

  2. デフォルトで選択されていない場合は、[検出(カテゴリ別)] タブをクリックします。

これにより、環境の脆弱性が脆弱性のカテゴリと重大度別にまとめて表示されます。重大度は、問題によって Google Cloud 環境にもたらされる潜在的なリスクの見積もりに役立つ検出結果のプロパティです。

重大度のレベルは変更できません。検出結果のそれぞれのタイプの重大度レベルは、SCC によって事前に決定されています。重大度のタイプと一般的な例の一覧を下に示します。

  • 重大 - GKE Pod 内部からリバースシェル セッションが開始された場合など。
  • - SSH ポートがインターネット全体(0.0.0.0/0)に対して開かれている場合など。
  • - IAM 基本ロール(オーナー / 編集者 / 閲覧者)の一つがユーザーまたはサービス アカウントに付与されている場合など。
  • - VPC フローログが収集されなかった場合など。
  • 不明 - SCC に表示される場合がありますが、一般的ではありません。

SCC が検出結果の重大度を設定する方法の詳細な基準については、検出結果の重大度のページをご覧ください。

注: 開いている RDP ポートと SSH ポートに関する検出結果の重大度レベルが高いことに注意してください。
  1. 今度は [リソースタイプ別の検出結果] タブをクリックします。ここには、利用可能な Google Cloud リソースのタイプ別に分類された脆弱性が表示されます。
注: このプロジェクトにはデフォルト VPC ネットワークがあるため、ここのほとんどの検出結果は、ファイアウォール、ネットワーク、サブネットワークなどのネットワーク コンポーネントに関連します。
  1. 最後に、[プロジェクト別の検出結果] タブをクリックします。このタブは、フォルダまたは組織のルートノードのレベルで SCC を使用する場合に使用します。
注: このラボでアクセスできるプロジェクトは 1 つのみとなるため、このタブには現在のプロジェクトの名前のみが含められます。
  1. セキュリティ ポータル(ナビゲーション メニューナビゲーション メニュー アイコン)から [セキュリティ] を選択するとアクセスできます)で、Security Command Center のヘッダーの下に表示されているさまざまなタブを確認します。各説明は次のとおりです。
SCC セクション 説明
リスクの概要 環境の脆弱性が、脆弱性のカテゴリと重大度別にまとめて表示されます。
脅威 SCC で脅威として分類された検出結果の概要を手早く確認できます。たとえば、ブルート フォース: SSH 攻撃の成功、コンピューティング リソースで実行されているクリプトマイニング ソフトウェア(実行: 暗号通貨マイニング YARA ルール)、GKE コンテナ内から開始されたリバースシェル セッションなどです。
脆弱性 現在のスコープ(プロジェクト内、フォルダ内または組織内)に存在する可能性がある、すべての構成ミスまたはソフトウェアの欠陥の概要を手早く確認できます。ここからそれぞれの脆弱性をドリルダウンして、よりきめ細かくアクセスできます。脆弱性の例としては、インターネット全体に対して開いているオープン MySQL ポート使用されている基本ロールのインスタンス(ユーザーまたはサービス アカウントに割り当てられたオーナー / 編集者 / 閲覧者ロールなど)、XSS 攻撃に対して脆弱なウェブページまたはウェブ アプリケーションなどがあります。
コンプライアンス CIS、PCI DSS、NIST 800-53 などの重要性が非常に高いコンプライアンス標準に対するプロジェクトの適合性に関する情報が示されます
アセット クラウド環境内のアセットを継続的にモニタリングする Cloud Asset Inventory のアセット情報を含みます。
検出結果 SCC データベースで利用可能なすべての検出結果を確認できます。
出典 Google Cloud リソースの構成を分析し、ログファイルを読み、現在実行されているプロセスを確認することで現在のアクティビティをモニタリングするソフトウェア モジュール。
ポスチャーの管理 SCC でセキュリティ ポスチャー サービスを使用できます。詳細については、セキュリティ ポスチャーを管理するガイドをご覧ください。

タスク 2. プロジェクト レベルの SCC 設定を構成する

このタスクでは、プロジェクト レベルで SCC 設定を構成する方法を確認します。

  1. [リスクの概要] ページの右上にある [設定] をクリックします。

  2. [サービス] タブが表示されていることを確認します。

このタブで、ソースと呼ばれる SCC の統合サービス(前のタスクで確認した「SCC の頭脳」部分)のパラメータを設定できます。このラボでは、サービスとソースという用語は同じ意味になります。

サービスは脅威と脆弱性を検出して情報を SCC に提供します。そのほとんどは SCC の Premium エディション(このラボでプロビジョニング済み)でのみ利用できます。

自分で構成できる組み込みサービスは次のとおりです。

  • Security Health Analytics(SHA): リソースの構成ミス(無効化されたログ、余分な IAM 権限、公開されたサービス)を検出してレポートします。プロジェクトでは現在これが有効で、この機能によって 76 件の脆弱性が検出されました。
  • Web Security Scanner(WSS): 外部 IP アドレスを介して公開され、利用できるようになっているウェブ アプリケーションをスキャンし、OWASP top 10 の脆弱性をチェックします。
  • Container Threat Detection(CTD): Container-Optimized OS で最も一般的なコンテナ ランタイム攻撃を検出します。
  • Event Threat Detection(ETD): Google Cloud と Google Workspace のログを継続的にモニタリングして潜在的な脅威をスキャンするログベースの脅威分析を行います。
  • Virtual Machine Threat Detection: ハイパーバイザのレベルで VM インスタンスのメモリを分析し、VM メモリで発生している疑わしいアクティビティを検出できます。予期しないカーネル モジュールや、クリプトマイニング ソフトウェアの実行などがその例に該当します。

  1. [Security Health Analytics] の [設定を管理] リンクをクリックします。

  2. [モジュール] タブをクリックします。

モジュールとは、事前定義された検出ロジックの単位、またはカスタムの検出ロジックの単位です。ご覧のとおり、SCC にはさまざまなリソースの構成ミスの検出に役立つ数多くのタイプのモジュールがあります。セキュリティ ポスチャーやモニタリングの対象とするリソースをサポートするために、SCC ではさまざまなタイプのモジュールの有効化と無効化を簡単に切り替えることができます。

  1. フィルタ フィールドに「VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED」と入力して、Enter キーを押します。

  2. [ステータス] プルダウンから [有効にする] を選択します。

この設定を有効にすると、Security Health Analytics は VPC サブネットワークの enableFlowLogs プロパティが欠落しているか false に設定されているかどうかを確認します。

注: 新しく有効化されたモジュールを使用して SCC がリソースのスキャンを開始するまでに遅延が発生します。

Security Command Center のさまざまなサービスとその構成方法がわかったので、次は SCC で脆弱性を特定して修正する方法を見ていきましょう。

タスク 3. SCC の脆弱性の検出結果を分析して修正する

このタスクでは、脆弱性の検出結果を管理し、軽減する方法を学習します。

検出結果を [非アクティブ] としてマークして状態を変更する

  1. ナビゲーション メニューナビゲーション メニュー アイコン)で、[セキュリティ] > [リスクの概要] を選択します。
  2. 左側のメニューで [検出結果] タブをクリックします。
  3. 右上隅の期間セレクタを [全期間] に設定します。

  1. 画面の左上隅で [クエリのプレビュー] ウィンドウを探します、ここには利用な能なすべての検出結果を絞り込むためのフィルタが含まれています。

デフォルトでは、[検出結果] タブにはミュートされていない [アクティブ] 状態の検出結果が表示されます。

SCC の数多くのフィルタでの検出結果の可視性は、それぞれの検出結果の状態とミュートの 2 つのプロパティによって定義されます。

  • セキュリティ アナリストが SCC インターフェースに無関係で煩雑な検出結果が表示されないようにしたい場合は、検出結果にミュートの値をアナリストが手動で設定することや、自動的に設定されるようにすることができます。
  • 状態プロパティは、検出結果に注意を払う必要があり、かつまだ対処されていないかどうか、または修正や他の方法で対処されたかどうかを示します。

検出結果のライフサイクルを管理したり非表示にしたりする方法として mute プロパティを使用することをおすすめします。state プロパティの変更は一般的にはソフトウェア ソースによって処理されます。

  1. [クイック フィルタ] カードで、[デフォルト ネットワーク] カテゴリに関連付けられているチェックボックスをオンにします。

  1. [クエリのプレビュー] のクエリ文字列が変化した(AND category="DEFAULT_NETWORK" が追加された)ことに注意してください。

  2. [検出結果のクエリ結果] セクションで、[デフォルト ネットワーク] に関連付けられたチェックボックスをオンにして、[その他の操作](その他の操作アイコン> [アクティブ状態を変更] を選択します。

  3. この検出結果の状態を [非アクティブ] に設定します。

これで、検出結果は無効になり、画面に表示されなくなります。デフォルトではアクティブでミュートされていない検出結果のみが表示されるためです。

クエリを適用して検出結果をフィルタする

  1. [検出結果] タブのビューをリセットできます。これを行うには、[リスクの概要] を選択し、SCC ヘッダーの下の [検出結果] を選択します。

  1. [クエリを編集] ボタンをクリックします。

  2. クエリエディタでクエリ文字列を category="DEFAULT_NETWORK" に変更します。

  3. 編集が完了したら、[適用] ボタンをクリックします。

    変更が有効になるまで 1~2 分かかることがあります。完了すると、[デフォルト ネットワーク] の検出結果が 1 件のみ表示されます。

左側のメニューの [クイック フィルタ] で、[非アクティブを表示] チェックボックスがオンになっていることを確認します。SCC にはアクティブな検出結果と非アクティブな検出結果を検索できる柔軟性があります。今度はこの検出結果の状態を元に戻します。

  1. [検出結果のクエリ結果] セクションで [デフォルト ネットワーク] のチェックボックスをオンにして、[その他の操作](その他の操作アイコン> [アクティブ状態を変更] を選択します。

  2. この検出結果の状態を [アクティブ] に設定します。

検出結果は手動でアクティブ化し、その後非アクティブ化できますが、ユーザーが削除することはできません。検出結果がスキャナによって 13 か月間更新されなかった場合にのみ、自動で削除されます。

セキュリティ スキャナが同じ検出結果をチェックし、検出結果を発生させた構成ミスを検出しなかった場合は、INACTIVE としてマークを付けます。その脆弱性が依然としてシステムに存在する場合、検出結果は ACTIVE 状態のままになります。

  1. クイック フィルタの横にある [すべてクリア] ボタンをクリックして、検出結果タブをリセットします。

  2. [クエリのプレビュー] ウィンドウで [クエリを編集] をクリックします。

  3. 次のクエリをコピーして貼り付けます。

state="ACTIVE" AND NOT mute="MUTED" AND resource.type="google.compute.Subnetwork"
  1. 編集が完了したら、[適用] ボタンをクリックします。

サブネットワークに関連するすべての検出結果が表示されます。このラボでは、デフォルトの VPC ネットワークは --subnet-mode=auto パラメータを使用して作成されるため、そのサブネットのいずれもプライベート Google アクセスが有効になっておらず、いずれのサブネットも VPC フローログを書き込みません。

検出結果をカテゴリでフィルタしてミュートする

テスト環境で作業しているときに、特定の検出結果を非表示にしたい場合があります。この例では、このネットワークのプライベート Google アクセスに関する SCC の検出結果が表示されないようにするため、それらの検出結果をミュートします。

  1. [クイック フィルタ] ウィンドウで、カテゴリ [プライベート Google アクセスが無効] を選択します。

  2. [検出結果クエリの結果] ペインで、一番上の [カテゴリ] チェックボックスをオンにすると、[プライベート Google アクセスが無効] の検出結果が選択されます。

オンになった [カテゴリ] チェックボックス

  1. [その他の操作](その他の操作アイコン)を選択し、[ミュート オプション] ボタンをクリックします。

  2. プルダウンで [ミュートのオーバーライドを適用] を選択します。このオペレーションによって既存の検出結果がミュートされます。

  3. 左側のメニューで [リスクの概要]、[検出結果] の順に選択して、検出結果ビューをリセットします。

[プライベート Google アクセスが無効] の検出結果がミュートされ、表示されなくなりました。ミュートは SCC の結果をフィルタする場合に非常に有効で、関心のあるリソースと検出結果を詳細に制御できます。

ミュートルールを作成して特定の検出結果を非表示にする

デフォルト ネットワークのもう一つの構成ミスは、このネットワークのサブネットで VPC フローログも無効になっていることです。テスト環境で作業しているため、VPC フローログを有効にする必要はありません。

このセクションでは、このカテゴリに関連する既存の検出結果と今後の検出結果をすべてミュートします。

  1. [検出結果のクエリ結果] ウィンドウで、[その他の操作](その他の操作アイコン> [ミュート オプション] > [ミュート ルールを管理] を選択します。
  2. [ミュートルールを作成する] ボタンをクリックします。
注: [検出結果のクエリ] フィールドで定義された条件を満たす、既存および新規の検出結果をすべてミュートする SCC 構成を作成できます。前にミュートしたのは既存の [プライベート Google アクセスが無効] (PGA)検出結果です。

これは 1 回限りのオペレーションとなり、無効化されたプライベート Google アクセス(PGA)に関して新しく検出された検出結果のレポートは依然として SCC に表示されます。ただし、ミュートルールを作成すると、事実上すべての既存および新規の検出結果がミュートされます。

  1. 新しいウィンドウで、ID が muting-pga-findings のミュートルールを入力します。

  2. ミュートルールの説明として「Mute rule for VPC Flow Logs」と入力します。

  3. [検出結果のクエリ] フィルタ入力フィールドに、次のフィルタを入力します。

category="FLOW_LOGS_DISABLED"
  1. [保存] をクリックします。

ミュートルールが作成されたことを通知するメッセージが表示されます。

[進行状況を確認] をクリックし、この目標を達成したことを確認します。 ミュートルールの作成

  1. 左側のメニューから [検出結果] を選択してメイン SCC ダッシュボードを更新します。

    [プライベート Google アクセスが無効] または [フローログが無効] の検出結果が表示されなくなったことを確認します。

注: それらの検出結果がまだ表示される場合は、ブラウザタブを更新してください。

別の VPC ネットワークを作成して検出結果のミュートルールをテストする

このセクションでは、サブネットが自動的に構成されるネットワークをもう 1 つ作成して、検出ルールの最近の変更をテストします。

  1. 新しい Cloud Shell セッションを開き(Cloud Shell をアクティブにするアイコン)、次のコマンドを実行して以下のネットワークを作成します。
gcloud compute networks create scc-lab-net --subnet-mode=auto 注: サブネットの作成には数分かかることがあります。

次のように出力されることを確認します。

出力:

Created [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-c6821aef4c0f/global/networks/SCC-lab-net]. NAME: SCC-lab-net SUBNET_MODE: AUTO BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4:

[進行状況を確認] をクリックし、この目標を達成したことを確認します。 ネットワークの作成

  1. 上記のメッセージを確認した後、Cloud Shell ウィンドウを閉じます。

  2. SCC の検出結果ウィンドウを更新し、新しく作成された [プライベート Google アクセスが無効] 検出結果を確認します。ただし、VPC フローログに関する検出結果は表示されません(これは先ほど作成したミュートルールによるものです)。

    VPC フローログに対するミュートルールを作成しましたが、それでもクエリエディタを使用すれば SCC で表示できます。

  3. [クエリを編集] ボタンをクリックして次の内容を貼り付け、既存のクエリ フィルタ テキストを上書きします。

category="FLOW_LOGS_DISABLED"

  1. [適用] をクリックします。

    [検出結果のクエリ結果] ウィンドウを確認します。[リソースの表示名] 列に、「defaults」ネットワークと「SCC-lab-net」ネットワークの両方が表示されていることに注意してください。

注: デフォルト ネットワークが表示されない場合は、Rows per page パラメータが 100 に設定されていることを確認してください。また、Time Range パラメータが All time に設定されていることも確認してください。

  1. [クエリのプレビュー] ウィンドウで [クエリを編集] をクリックします。

  2. 次のクエリをコピーして貼り付け、前のクエリテキストを上書きします。

state="ACTIVE" AND NOT mute="MUTED"

  1. 編集が完了したら、[適用] ボタンをクリックします。

    以前にミュートした検出結果が表示されます。

重大度の高い 2 件の検出結果を調査して修正する

このセクションでは、重大度の高い 2 件の検出結果を調査し、修正方法を確認していきます。

  1. [クイック フィルタ] セクションで [重大度] タイプまで下方向にスクロールし、重大度オプションのリストから [] を選択します。

[RDP ポートがオープン状態] と [SSH ポートがオープン状態] の 2 件の検出結果が表示されます。これらが発生したのは「デフォルト」ネットワークに含まれる 2 つのファイアウォール ルールによって、このネットワークのすべてのインスタンスに対するインターネット全体からの SSH トラフィックと RDP トラフィックが有効になっているためです。

  1. [検出結果クエリの結果] ウィンドウで、[RDP ポートがオープン状態] の検出結果をクリックします。

新しいウィンドウが表示され、問題自体の詳細な説明、影響を受けるリソースのリスト、修復に役立つ [次のステップ] が表示されます。

  1. [次のステップ] セクションでリンクをクリックしてファイアウォール ルールのページに移動すると、新しいタブが開きます。

  2. [default-allow-rdp] ファイアウォール ルールをクリックします。

  3. [編集] をクリックします。

  4. ソース IP 範囲「0.0.0.0/0」を削除します。

  5. ソース IP 範囲「35.235.240.0/20」を追加して Enter キーを押します。

注: この IP アドレス範囲は Identity-Aware Proxy を介して VM インスタンスに安全に接続するために使用します。詳細については、TCP 転送での IAP の使用のページをご覧ください。

他のパラメータは変更しないでください。

  1. [保存] をクリックします。

  2. 保存したら、ファイアウォール ルールを編集したブラウザタブを閉じます。

  3. SCC 検出結果のブラウザタブを更新します。

    これで、重大度 [] の検出結果は [SSH ポートがオープン状態] 1 件のみとなります。

検出結果に対処するようにファイアウォール ルールを更新する

  1. [SSH ポートがオープン状態] の検出結果をクリックします。

  2. [次のステップ] セクションまで下方向にスクロールし、リンクをクリックしてファイアウォール ルールのページに移動すると、新しいタブが開きます。

  3. default-allow-ssh ファイアウォール ルールをクリックします。

  4. [編集] をクリックします。

  5. ソース IP 範囲「0.0.0.0/0」を削除します。

  6. ソース IP 範囲「35.235.240.0/20」を追加して Enter キーを押します。

    他のパラメータは変更しないでください。

  7. [保存] をクリックします。

  8. 保存したら、ファイアウォール ルールを編集したブラウザタブを閉じます。

[進行状況を確認] をクリックし、この目標を達成したことを確認します。 ファイアウォール ルールの更新

  1. 開いた検出結果の説明のウィンドウを閉じてブラウザ ウィンドウを更新します。

    重大度 [] の検出結果は表示されなくなりました。

お疲れさまでした

このラボを通して、Security Command Center インターフェース要素の確認、プロジェクト レベルでの SCC 設定の構成、SCC の脆弱性の分析と修正の方法を学習しました。また、SCC を使用して、Google Cloud 環境の重大なセキュリティの脆弱性を特定して修復しました。

次のステップと詳細情報

Google Cloud トレーニングと認定資格

Google Cloud トレーニングと認定資格を通して、Google Cloud 技術を最大限に活用できるようになります。必要な技術スキルとベスト プラクティスについて取り扱うクラスでは、学習を継続的に進めることができます。トレーニングは基礎レベルから上級レベルまであり、オンデマンド、ライブ、バーチャル参加など、多忙なスケジュールにも対応できるオプションが用意されています。認定資格を取得することで、Google Cloud テクノロジーに関するスキルと知識を証明できます。

マニュアルの最終更新日: 2024 年 11 月 26 日

ラボの最終テスト日: 2024 年 4 月 29 日

Copyright 2025 Google LLC All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。

Before you begin

  1. Labs create a Google Cloud project and resources for a fixed time
  2. Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
  3. On the top left of your screen, click Start lab to begin

Use private browsing

  1. Copy the provided Username and Password for the lab
  2. Click Open console in private mode

Sign in to the Console

  1. Sign in using your lab credentials. Using other credentials might cause errors or incur charges.
  2. Accept the terms, and skip the recovery resource page
  3. Don't click End lab unless you've finished the lab or want to restart it, as it will clear your work and remove the project

このコンテンツは現在ご利用いただけません

利用可能になりましたら、メールでお知らせいたします

ありがとうございます。

利用可能になりましたら、メールでご連絡いたします

One lab at a time

Confirm to end all existing labs and start this one

Setup your console before you begin

Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the Student account, which may cause extra charges incurred to your personal account.