Security Command Center の検出結果

Security Command Center は、 Google Cloudにおけるセキュリティとリスクのデータベースです。Security Command Center には、組織全体でのGoogle Cloud に関するセキュリティ リスクとデータリスクを顕在化させて把握、修正するためのリスク ダッシュボードと分析システムが含まれています。

Google Cloud Armor は Security Command Center と自動的に統合され、2 種類の検出結果([許可されたトラフィックの急増] と [拒否率の増加])が Security Command Center ダッシュボードにエクスポートされます。このガイドでは、これらの検出結果とその解釈方法について説明します。

Security Command Center で Google Cloud Armor が有効になっていない場合は、Security Command Center の構成をご覧ください。Security Command Center で表示されるのは、Security Command Center が組織レベルで有効になっているプロジェクトに関する検出結果のみです。

許可されたトラフィックの急増に関する検出結果

許可されたトラフィックは、Google Cloud Armor セキュリティ ポリシーが適用された後でバックエンド サービスに向かう、正しい形式の HTTP(S) リクエストで構成されます。

[許可されたトラフィックの急増] は、許可されたトラフィックの急増をバックエンド サービス単位で通知します。この検出結果は、1 秒あたりの許可されたリクエスト数(RPS)が最近の履歴で観測された通常のボリュームと比べて急増した場合に生成されます。急増を構成した RPS と最近の履歴の RPS が、検出結果の一部として提供されます。

ユースケース: 潜在的な L7 攻撃

分散型サービス拒否(DDoS)攻撃は、攻撃者が大量のリクエストを送信してターゲット サービスに過負荷をかけると発生します。レイヤ 7 DDoS 攻撃のトラフィックが発生すると、通常、1 秒あたりのリクエスト数が急増します。

[許可されたトラフィックの急増] では、RPS の急増が発生したバックエンド サービスが識別され、Google Cloud Armor で RPS の急増として分類される原因となったトラフィック特性が示されます。この情報から次のことを判断できます。

  • レイヤ 7 DDoS 攻撃が発生しているかどうか。
  • 対象のサービス。
  • 潜在的な攻撃を緩和するために実行できるアクション。

以下のスクリーンショットは、Security Command Center ダッシュボード上に表示された [許可されたトラフィックの急増] の例です。

許可されたトラフィックの急増に関する検出結果
許可されたトラフィックの急増に関する検出結果(クリックして拡大)

Google Cloud では、Google Cloud Armor の履歴情報に基づいて Long_Term_Allowed_RPSShort_Term_Allowed_RPS の値が計算されます。

拒否率の増加に関する検出結果

[拒否率の増加] は、セキュリティ ポリシーでユーザーが構成したルールに基づいて Google Cloud Armor がブロックしたトラフィックの割合が増加したことを通知します。トラフィックの拒否は想定どおりの動作であり、バックエンド サービスに影響することもありませんが、この検出結果から、アプリケーションを標的とした不要かつ潜在的に悪意のあるトラフィックの増加を察知できます。拒否されたトラフィックの RPS と受信トラフィックの合計が、検出結果の一部として提供されます。

ユースケース: L7 攻撃の緩和

[拒否率の増加] により、緩和策の効果と、悪意のあるクライアントの動作の大きな変化の両方を確認できます。この検出結果では、拒否されたトラフィックが向けられたバックエンドが識別され、Google Cloud Armor で検出される原因となったトラフィック特性が示されます。この情報から、攻撃の緩和策をさらに強化するために、拒否されたトラフィックを詳細に調査する必要があるかどうかを評価できます。

以下のスクリーンショットは、Security Command Center のダッシュボードに表示された [拒否率の増加] の例です。

拒否率の増加に関する検出結果
拒否率の増加に関する検出結果(クリックして拡大)

Google Cloud では、Google Cloud Armor の履歴情報に基づいて Long_Term_Denied_RPSLong_Term_Incoming_RPS の値が計算されます。

Google Cloud Armor の適応型保護

適応型保護は、Security Command Center にテレメトリーを送信します。適応型保護の検出結果の詳細については、適応型保護の概要でモニタリング、アラート、ロギングをご覧ください。

高度なネットワーク DDoS 対策

高度なネットワーク DDoS 対策では、Security Command Center にテレメトリーが送信されます。高度なネットワーク DDoS 対策の検出結果の詳細については、Security Command Center の検出結果をご覧ください。

トラフィックが通常に戻った後

Security Command Center の検出結果は、特定の時点で特定の動作が観察されたことを知らせる通知です。その動作が元に戻った場合、通知は送信されません。

現在のトラフィック特性が既存のトラフィック特性と比較して大幅に増加している場合は、既存の検出結果が更新される可能性があります。追加の検出結果がない場合は、最初の検出結果が生成された後、動作が元に戻ったか、トラフィック量が大幅に増加(許可または拒否)しなかったかのいずれかです。

次のステップ