データ分析

BigQuery と Looker で Chronicle の機能を強化

2021年8月5日

https://storage.googleapis.com/gweb-cloudblog-publish/images/GCP_CSCC.max-2600x2600.jpg

Google Cloud Japan Team

※この投稿は米国時間 2021 年 7 月 22 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud のセキュリティ分析プラットフォームである Chronicle は、Google のインフラストラクチャ上に構築されており、セキュリティチームがこれまでにないスピードと規模でセキュリティ運用を実行できるように支援します。このたび Google は、Chronicle と Looker および BigQuery を統合することを発表いたします。これにより、業界をリードする Google のテクノロジーをこれまで以上にセキュリティチームにご活用いただけるようになります。この強力なツールセットを基盤として、セキュリティアナリストは、セキュリティオペレーションセンター（SOC）の効率性と成果を向上させる、まったく新しいビジュアルワークフローを作成できます。

Looker による Chronicle の新たな可視化

Google Cloud のビジネスインテリジェンス（BI）と分析プラットフォームである Looker を活用した Chronicle の新しい可視化によって、ダッシュボード、レポート、コンプライアンス、データ探索など、さまざまな新しいセキュリティユースケースが可能になります。セキュリティチームは、以下の 5 つのコンテンツカテゴリで、Looker を活用した最新の埋め込みダッシュボードに追加費用なしですぐにアクセスできます。

Chronicle のセキュリティの概要 - 大まかな分析情報を表示する一連の概要の可視化（統計情報、取り込まれたイベントのトレンド、アラート数、グローバルな脅威マップなど）
データの取り込みと健全性 - データ型やボリュームを含む、Chronicle に取り込まれるすべてのセキュリティテレメトリーの概要
IOC マッチ - Chronicle で検出された IOC マッチを、IP、ドメイン、アセットの IOC マッチと合わせてきめ細かく表示
ルール検出 - トリガーされた検出ルールのトップ 10 や、ルールに関連する上位ユーザー、IP、アセットなどを詳細に分析

ユーザーのログインデータ - 組織全体のログインデータに関する分析情報（一定時間内のログインステータスや、アプリケーションとユーザーごとの上位ログインなど）

https://storage.googleapis.com/gweb-cloudblog-publish/images/Looker-based_dashboard.max-700x700.jpg

Chronicle 環境での IOC マッチに関連する可視化を表示した Looker ベースのダッシュボードの例

Chronicle のダッシュボードは使いやすく、自由にカスタマイズ可能であり、組織にとって最も重要なセキュリティ情報にアクセスして表示できます。可視化をすぐに実現できるほか、多数のパラメータに基づいて独自のダッシュボードをゼロから簡単に作成できます。Looker を利用したこの柔軟なダッシュボードフレームワークにより、すべてのデフォルトダッシュボードとカスタムダッシュボードを編集、保存、共有して、オンデマンドの分析とレポートを作成できます。

下の例では、Windows セキュリティログまたは EDR ログを使用し、ランサムウェア検出を高度に可視化しています。ランサムウェアの影響をもっとも受けたホスト、一定時間内のアラート数、偽のプロセス作成、ラテラルムーブメントアクティビティなどが含まれます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/custom-built_Looker_dashboard.max-1000x1000.jpg

ランサムウェア検出用のカスタムビルド Looker ダッシュボードの例

BigQuery でセキュリティ主導のデータサイエンスをレベルアップ

Chronicle は BigQuery とも統合されたため、アナリストは複雑で膨大なセキュリティデータセットを活用して、より迅速かつ簡単に問題を発見することができるようになりました。この統合により、Chronicle のお客様は、ペタバイト規模のセキュリティテレメトリーを Google Cloud のサーバーレスでスケーラブルなマルチクラウドデータウェアハウスである BigQuery にエクスポートできます。セキュリティ主導のデータサイエンスに無限の可能性がもたらされます。たとえば、セキュリティチームは BigQuery を使用して、Chronicle の Unified Data Model（UDM）のセキュリティテレメトリーを任意のデータセットと結合したり、UDM データ上で Deloitte の PACE 分析ソリューションのようなカスタム分析を実行したりすることが可能です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Data_from_Chronicles_Unified_Data_Model.max-2000x2000.jpg

Chronicle の Unified Data Model（UDM）からのデータを BigQuery に送信し、詳細な分析と可視化を実行できます。

Chronicle の各テナントには、非公開のマネージド BigQuery データレイクが含まれており、定期的なデータのエクスポートと 180 日間のデータ保持を追加費用なしで利用できます。Looker に加えて、Google データポータル、Grafana、Google スプレッドシート、Tableau などの BigQuery と互換性のある任意のツールを使用して、Chronicle データを可視化できます。

Chronicle のお客様は、今すぐ BigQuery のデータレイクを利用して、お好みのツールでセキュリティの可視化を実現できます。Chronicle の Looker を活用した埋め込みダッシュボードは、プレビュー版としてすべてのお客様にご利用いただけます。Chronicle の詳細については、お問い合わせフォームにご入力ください。

-Chronicle プロダクトマネージャー Rajesh Gwalani

投稿先