2024年7月 気になるGoogle Cloudアップデート(SecOps関連)
2024年7月のGoogle Security Operations(以下、SecOps)に関連する
気になるアップデートを中心に書き留めます。
全般
既存のRBAC設定をIAMへ移行するコマンドが自動生成できるように
既存のSecOpsをGoogle Cloudにリンクする際
RBAC設定をIAMへ移行するコマンドを自動生成する機能が追加されました。
Google Cloudとのリンク設定が楽になりますように。
Migrate existing permissions to IAM
Security Command Center Enterprise 検出結果・リソース操作機能の登場
Security Command Center Enterprise(以下、SCCE)が発表されてから
SecOpsとの連携が気になっています。
今回SecOpsコンソールから検出結果と影響を受けるリソースを操作する機能が
プレビューとして提供されるようになりました。
Inspect resources related to findings
SIEM関連
Ops エージェント エージェントポリシー 一般提供開始
SecOpsではComputer Engineからログを直接取り込む際Opsエージェントを利用します。
一般提供版では自動アップグレードはサポートされなくなるようですが
ポリシーに基づくインストールや削除は可能なようです。
Overview of agent policies for the Ops Agent
Ingest Google Cloud data to Google Security Operations
2025年1月7日よりCloud Monitoringアラート課金開始
データの取り込み通知にCloud Monitoringを使用するので注意が必要です。
Pricing for alerting
Using Cloud Monitoring for ingestion notifications
SOAR関連
Python2.7は非推奨に Python3.11へ要更新
2024年10月13日までにIntegrationのスクリプト更新が必要とのこと
期日を過ぎると削除されてしまうそうなので忘れずに更新しましょう。
Upgrade the Python version to 3.11
IDEステージングモードの登場
Integration更新時Prebuilt Parser同様テスト後に適用できるようになりました。
Test integrations in staging mode
GeminiとPlaybookを作成する機能の登場
UDM検索やルール作成に続いて、Geminiを使ってPlaybookを作成する機能がパブリックプレビューとして提供されるようになりました。
Create playbooks with Gemini
その他
2024年第2四半期機能強化ハイライト
毎週様々なアップデートがリリースされるのでこのようなまとめはありがたいです。
Google Security Operations (formerly Chronicle) Q2, 2024 Feature Roundup
SCCEとSecOpsの関係
SCCEとSecOpsの連携が気になっていたものの相関的な視点で
自分の中に落とし込めていない感覚があったため大変参考になりました。
Google Cloud セキュリティ ソリューションまとめ
Discussion