コンテンツに移動
データ分析

BigQuery と Looker で Chronicle の機能を強化

2021年8月5日
Google Cloud Japan Team

※この投稿は米国時間 2021 年 7 月 22 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud のセキュリティ分析プラットフォームである Chronicle は、Google のインフラストラクチャ上に構築されており、セキュリティ チームがこれまでにないスピードと規模でセキュリティ運用を実行できるように支援します。このたび Google は、Chronicle と Looker および BigQuery を統合することを発表いたします。これにより、業界をリードする Google のテクノロジーをこれまで以上にセキュリティ チームにご活用いただけるようになります。この強力なツールセットを基盤として、セキュリティ アナリストは、セキュリティ オペレーション センター(SOC)の効率性と成果を向上させる、まったく新しいビジュアル ワークフローを作成できます。

Looker による Chronicle の新たな可視化

Google Cloud のビジネス インテリジェンス(BI)と分析プラットフォームである Looker を活用した Chronicle の新しい可視化によって、ダッシュボード、レポート、コンプライアンス、データ探索など、さまざまな新しいセキュリティ ユースケースが可能になります。セキュリティ チームは、以下の 5 つのコンテンツ カテゴリで、Looker を活用した最新の埋め込みダッシュボードに追加費用なしですぐにアクセスできます。

  • Chronicle のセキュリティの概要 - 大まかな分析情報を表示する一連の概要の可視化(統計情報、取り込まれたイベントのトレンド、アラート数、グローバルな脅威マップなど)

  • データの取り込みと健全性 - データ型やボリュームを含む、Chronicle に取り込まれるすべてのセキュリティ テレメトリーの概要

  • IOC マッチ - Chronicle で検出された IOC マッチを、IP、ドメイン、アセットの IOC マッチと合わせてきめ細かく表示

  • ルール検出 - トリガーされた検出ルールのトップ 10 や、ルールに関連する上位ユーザー、IP、アセットなどを詳細に分析

ユーザーのログインデータ - 組織全体のログインデータに関する分析情報(一定時間内のログイン ステータスや、アプリケーションとユーザーごとの上位ログインなど)

https://storage.googleapis.com/gweb-cloudblog-publish/images/Looker-based_dashboard.max-700x700.jpg
Chronicle 環境での IOC マッチに関連する可視化を表示した Looker ベースのダッシュボードの例

Chronicle のダッシュボードは使いやすく、自由にカスタマイズ可能であり、組織にとって最も重要なセキュリティ情報にアクセスして表示できます。可視化をすぐに実現できるほか、多数のパラメータに基づいて独自のダッシュボードをゼロから簡単に作成できます。Looker を利用したこの柔軟なダッシュボード フレームワークにより、すべてのデフォルト ダッシュボードとカスタム ダッシュボードを編集、保存、共有して、オンデマンドの分析とレポートを作成できます。

下の例では、Windows セキュリティ ログまたは EDR ログを使用し、ランサムウェア検出を高度に可視化しています。ランサムウェアの影響をもっとも受けたホスト、一定時間内のアラート数、偽のプロセス作成、ラテラル ムーブメント アクティビティなどが含まれます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/custom-built_Looker_dashboard.max-1000x1000.jpg
ランサムウェア検出用のカスタムビルド Looker ダッシュボードの例

BigQuery でセキュリティ主導のデータ サイエンスをレベルアップ

Chronicle は BigQuery とも統合されたため、アナリストは複雑で膨大なセキュリティ データセットを活用して、より迅速かつ簡単に問題を発見することができるようになりました。この統合により、Chronicle のお客様は、ペタバイト規模のセキュリティ テレメトリーを Google Cloud のサーバーレスでスケーラブルなマルチクラウド データ ウェアハウスである BigQuery にエクスポートできます。セキュリティ主導のデータ サイエンスに無限の可能性がもたらされます。たとえば、セキュリティ チームは BigQuery を使用して、Chronicle の Unified Data Model(UDM)のセキュリティ テレメトリーを任意のデータセットと結合したり、UDM データ上で Deloitte の PACE 分析ソリューションのようなカスタム分析を実行したりすることが可能です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Data_from_Chronicles_Unified_Data_Model.max-2000x2000.jpg
Chronicle の Unified Data Model(UDM)からのデータを BigQuery に送信し、詳細な分析と可視化を実行できます。

Chronicle の各テナントには、非公開のマネージド BigQuery データレイクが含まれており、定期的なデータのエクスポートと 180 日間のデータ保持を追加費用なしで利用できます。Looker に加えて、Google データポータル、Grafana、Google スプレッドシート、Tableau などの BigQuery と互換性のある任意のツールを使用して、Chronicle データを可視化できます。

Chronicle のお客様は、今すぐ BigQuery のデータレイクを利用して、お好みのツールでセキュリティの可視化を実現できます。Chronicle の Looker を活用した埋め込みダッシュボードは、プレビュー版としてすべてのお客様にご利用いただけます。Chronicle の詳細については、お問い合わせフォームにご入力ください。

 

-Chronicle プロダクト マネージャー Rajesh Gwalani
投稿先