概要
Google Threat Intelligenceは、攻撃者の視点で自社のインターネット公開資産を可視化・管理できる Attack Surface Management (ASM) 機能を提供しています。
ASM では、探索の起点となる Seed(例:ドメイン名や組織名) を設定し、それを基に
① 関連する公開資産の発見
② その資産上で稼働しているテクノロジー(WebサーバやCMSなどのサービスやソフトウェア)の特定
③ 脆弱性や設定ミスに基づくリスク判定
というプロセスで分析することで、外部から露出している資産とそのリスクを把握できます。
本記事では、このASMの初期設定となるコレクションの作成手順をご紹介します。
初期設定手順
1. ASM画面へ移動
Google threat intelligenceにログインし、画面左側のメニューバーから、「Attack Surface Management」>「Dashboard」を選択し、ASM画面へ移動します。
2. プロジェクト作成
- 右上に表示されているプロジェクトをクリックし、「My projects」を選択します。
- 遷移先の画面右上の「+ Create New Project」をクリックし、任意のプロジェクト名を入力し、「Create」します。
3. コレクション作成
- 作成したプロジェクト上であることを確認し、「Collections」を選択し、「Settings」をクリックします。
- 遷移先の画面で「+ Create New Collection」をクリックします。
- コレクション名を入力し、任意のスキャンワークフローを選択し「Next」へ進みます。遷移後の画面で、Seed(探索の起点となる情報)を設定します。
※各スキャンワークフローの詳細については、こちらをご参照ください。
(例:画像右)「External Discovery & Assessment」(シャドーITや未知の資産および脆弱性を特定します)を選択した場合
①Seedを入力します。
②Seedを複数登録する場合は、「+ Add Another」を選択し、追加します。
③Seedの追加は、CSVファイルをインポートすることでも可能です。
④「Create & Run Collection」をクリックすると、コレクション作成後、すぐにスキャンが開始します。
※すぐにスキャンを開始しない場合は、「Create Collection」を選択してください。
4. スキャンの詳細設定
3-1のとおり、「Settings」をクリックすると、プロジェクト内に作成したコレクションを一覧で確認をすることができます。
①スキャンの実行頻度は、「Daily」「Weekly」「Monthly」「On Demand」から選択できます。
※「On Demand」は定期実行を行わず、手動で任意のタイミングにスキャンを実行できます。
②スキャン中は、「Scan」がグレーアウトします。
③コレクションを詳細に設定したい場合や、Seedの追加など設定を変更したい場合は、「Settings」から設定可能です。
