セキュリティ センターでルールを作成して対応措置とアラートを自動化

この記事は 10 月 29 日に英語版ブログに掲載された記事を翻訳したものです。

新しい機能の概要

セキュリティ センターに新しい種類のルールが加わります。このルールを使用することで、G Suite 管理者およびアナリストはセキュリティ管理に関わるタスクを自動化し、組織のセキュリティ体制を強化することができます。具体的には次のことを行えます。

• アクティビティ ルールを作成する。アクティビティ ルールとは、セキュリティ センターの調査ツール内のログイベントに基づく自動化ルールのことです。
• アラートの作成や対応措置を行うためのアクティビティ ルールを設定する。
• アクティビティ ルールがトリガーされた日時、対応措置の内容、影響を受けたエンティティなどを示す特定のログエントリを確認する。
• アクティビティ ルールをモニターモードに切り替えて、実装前に設定と効果をテストする。
• 管理コンソール > [セキュリティ] > [セキュリティ ルール] のルール一覧で、アクティビティ ルールを確認する。
• アラート センターのアラートを通じて、通知を受け取ったり、ルールのトリガーを調査したりする。

詳しくは、以下をご覧ください。

ご利用対象

管理者のみ

利点

管理者とアナリストがセキュリティに関する問題を特定および調査し、対応措置を講じるうえでセキュリティ センターは有効なツールですが、問題検出と対応措置の実施を自動化できればより迅速な対応につながるとのご意見もいただいていました。

今回のリリースでは、アラートの設定、対応措置の自動化、ルールの機能および影響の把握が簡単にできるようになり、管理者の手間が軽減されます。

ご利用方法

 

• 管理者: 
  • ヘルプセンターで、セキュリティ センターの詳細と調査ツールの使い方についてご確認ください。
  • ヘルプセンターで、調査ツールでのアクティビティ ルールの作成とセキュリティ ルールの表示と管理についてご確認ください。
• エンドユーザー: ご対応の必要はありません。

 

補足

セキュリティ センターの調査ツール内でルールを作成、設定する。 
セキュリティ センターの調査ツール内でアクティビティ ルールを作成、設定できるようになりました。アクティビティ ルールは調査ツールにおける任意のログイベントのクエリに基づいて作成することができ、対応措置を自動で実行できます。これは、ルールを作成して Gmail とドライブでデータ損失防止（DLP）を実行するのと同様の仕組みで機能します。また、ルールを検索したり、調査ツールのルールから監査ログを検索したりする際に、ルールの有効 / 無効を切り替えることもできるようになりました。

ログエントリとルールのトリガー イベントの詳細を確認する。 
アクティビティ ルールを作成すると、より具体的なログエントリを記録、確認できるようになります。ログエントリには、ルールがトリガーされた日時、ルールがトリガーされたときに講じられた対応措置、影響を受けたエンティティ、対応措置の結果が記載されています。たとえば、ルールによってメールが迷惑メールに振り分けられた場合は、どのような対応措置が講じられたか、ルール内のどの条件がトリガーされたかを示す監査イベントが記録されます。これらのログにより調査機能が向上し、管理者は効果的にルールを作成したり、古いルールを特定したりできるようになります。

アクティビティ ルールの実装前に、モニターモードでテストする。 
アクティビティ ルールはモニターモードに切り替えることもできます。モニターモードでは、トリガーされた措置は実際には実行されず、アラート センターにアラートが送信されることもありません。ただしログが記録され、仮にアクティブ モードであればどのルールがトリガーされていたかを把握することができるので、悪影響を心配することなくルールの効果を評価できます。テスト結果に問題がなければ、アクティブ モードに切り替えてください。

一覧からルールを確認、管理する。 
管理コンソール > [セキュリティ] > [セキュリティ ルール] のセキュリティ ルール一覧には、セキュリティ センターで設定したルールが他のルールとともに表示されます。

アラート センターでルールのトリガーを確認する。 
アラート センターで、ルールベースのアラートを確認、調査できます。

ログエントリとルールのトリガー イベントの詳細を確認する

関連情報

• ヘルプセンター: セキュリティ センターについて
• ヘルプセンター: セキュリティ調査ツールについて
• ヘルプセンター: 調査ツールでのルールを作成する

利用できる時期 / エディション

公開の詳細

• 即時リリースを利用しているドメイン: 2019 年 10 月 29 日以降、段階的に展開（最長 15 日で機能が実装されます）
• 計画的リリースを利用しているドメイン: 2019 年 10 月 29 日以降、段階的に展開（最長 15 日で機能が実装されます）

G Suite のエディション

• セキュリティ センターの利用は、G Suite Enterprise、G Suite Enterprise for Education、Cloud Identity Premium が対象
• セキュリティ センターの利用は、G Suite Basic、G Suite Business、G Suite for Education、G Suite for Nonprofits は対象外

デフォルト設定 
この機能はデフォルトで有効になります。

G Suite の最新のリリース情報を入手する

• G Suite サービスに関する更新情報のアラートをメールで受け取る
• G Suite のリリース カレンダーを見る (英語)
• 更新情報の RSS フィードを購読する