2024年7月 気になるGoogle Cloudアップデート(SecOps関連)

2024年7月のGoogle Security Operations(以下、SecOps)に関連する
気になるアップデートを中心に書き留めます。

全般

既存のRBAC設定をIAMへ移行するコマンドが自動生成できるように

既存のSecOpsをGoogle Cloudにリンクする際
RBAC設定をIAMへ移行するコマンドを自動生成する機能が追加されました。
Google Cloudとのリンク設定が楽になりますように。
Migrate existing permissions to IAM

Security Command Center Enterprise 検出結果・リソース操作機能の登場

Security Command Center Enterprise(以下、SCCE)が発表されてから
SecOpsとの連携が気になっています。
今回SecOpsコンソールから検出結果と影響を受けるリソースを操作する機能が
プレビューとして提供されるようになりました。
Inspect resources related to findings

SIEM関連

Ops エージェント エージェントポリシー 一般提供開始

SecOpsではComputer Engineからログを直接取り込む際Opsエージェントを利用します。
一般提供版では自動アップグレードはサポートされなくなるようですが
ポリシーに基づくインストールや削除は可能なようです。
Overview of agent policies for the Ops Agent
Ingest Google Cloud data to Google Security Operations

2025年1月7日よりCloud Monitoringアラート課金開始

データの取り込み通知にCloud Monitoringを使用するので注意が必要です。
Pricing for alerting
Using Cloud Monitoring for ingestion notifications

SOAR関連

Python2.7は非推奨に Python3.11へ要更新

2024年10月13日までにIntegrationのスクリプト更新が必要とのこと
期日を過ぎると削除されてしまうそうなので忘れずに更新しましょう。
Upgrade the Python version to 3.11

IDEステージングモードの登場

Integration更新時Prebuilt Parser同様テスト後に適用できるようになりました。
Test integrations in staging mode

GeminiとPlaybookを作成する機能の登場

UDM検索やルール作成に続いて、Geminiを使ってPlaybookを作成する機能がパブリックプレビューとして提供されるようになりました。
Create playbooks with Gemini

その他

2024年第2四半期機能強化ハイライト

毎週様々なアップデートがリリースされるのでこのようなまとめはありがたいです。
Google Security Operations (formerly Chronicle) Q2, 2024 Feature Roundup

SCCEとSecOpsの関係

SCCEとSecOpsの連携が気になっていたものの相関的な視点で
自分の中に落とし込めていない感覚があったため大変参考になりました。
Google Cloud セキュリティ ソリューションまとめ