セキュリティ & アイデンティティ

迅速な検索と調査を可能にする Chronicle Security Operations の新機能のご紹介

2022年11月22日

https://storage.googleapis.com/gweb-cloudblog-publish/images/Chronicle.max-2500x2500.jpg

Google Cloud Japan Team

※この投稿は米国時間 2022 年 11 月 17 日に、Google Cloud blog に投稿されたものの抄訳です。

サイバーセキュリティにおいて重要なのはスピードです。セキュリティ侵害インジケーター（IoC）によってトリガーされたアラートの詳細を確認するときも、不審なアセットに関する追加情報を探すときも、脅威アクターが損害を与える前にセキュリティアナリストがサイバー攻撃を阻止するためには、多くの場合、スピードが重要な要素となります。

このスピードを念頭に、Chronicle Security Operations の新しい調査機能の一般提供開始を発表いたします。Google は、その強みをセキュリティ運用に活かすという使命の実現に継続的に取り組み、SOC の検索機能と調査機能の水準を高めています。

このリリースにより、SecOps チームはあらゆる形式の構造化データで Chronicle の超高速な検索機能を活用できるようになります。さらにこの新しい調査機能は、終わりが定められていない複雑な脅威調査を実施する際に、視点を変えてデータを掘り下げ、分析情報をすばやく容易に取得できる高い柔軟性を提供します。

Chronicle の高度な検索機能の中心となっているのは、さまざまなセキュリティ関連イベントを効果的に処理できる柔軟性を持つ統合データモデル（UDM）スキーマです。Google は、構造化データに対するクエリのレスポンスを最適化することで、この機能を拡張しました。また、アナリストによる大規模なデータセットの調査や複雑なクエリの構築を助ける、新しい直感的なユーザーエクスペリエンスも実現しています。ユーザーによるパーソナライズ機能が強化されたことで、アナリストは自身の環境内で保存した検索やよく使用するクエリに簡単にアクセスできるようになり、定型的な SOC ワークフローを効率化できます。

セキュリティチームは新しい調査機能を以下のように活用できます。

処理と並行して結果をストリーミングすることで不必要な長い待機時間をなくせるインタラクティブなイベント結果タイムラインにより、脅威分析にすぐに着手し、迅速に脅威を把握する
ワンクリックでフィルタをクエリに変換し、充実したコンテキストを活用して関連データを脅威分析に利用可能にする
検索保存機能と検索履歴機能を使用してアナリストエクスペリエンスをパーソナライズし、過去の知識をより迅速に引き出せるようにする
新しい改善された高性能 UDM 検索で、脅威の調査と探査を強化する

改良された調査機能と、範囲と速度が改善された新検索機能の使用例をご紹介します。

このユースケースでは、セキュリティアナリストが Windows 環境における疑わしい行為に対するキュレートされた検出アラートを調査しています。また、IP が「10.166.0.3」のホスト「win-dc-01」には使用頻度の低いドメインがあります。さらに詳しく調査するには、UDM 検索ページを開いて、ホストと IP の情報とともにホストの通信先の情報（edge.microsoft.com）を含むクエリを作成します。調査インターフェースには 7 万を超えるイベントがストリーミングされ、アナリストはアラートに関するデータの概要をすぐに把握できます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/1_Chronicle_Security_Operations.max-2000x2000.jpg

新しいインタラクティブなイベントタイムラインでは、簡単にフィルタできる主要な統計データを使用して、時間の経過に伴うイベントの傾向を明確に把握できます。また、新しいクイックフィルタを使用して、アナリストは既知の正常なホストを除外して、目的のドメインに関連する情報を確認できます。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/cast1_gif1_udm.gif

フィルタパネルに表示される、Chronicle が自動生成する値の集計を分析すれば、アナリストは最も注目すべきドメインの値を見つけて、edge.microsoft.com という URL に関連するイベントが先週は約 800 件存在していたことを迅速に確認できます。この組織では Microsoft Edge の使用は許可されていないため、このような宛先への送信トラフィックは本来存在しないはずです。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/cast_2_gif2_udm.gif

Chronicle SOAR のケース管理で対応方法をオーケストレートする前の最終ステップとして、今後関連した調査を行う際に今回の手順をすばやく引き出せるよう、検索内容を保存することができます。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/cast3_gif3_udm.gif

この新機能のプレビュー版をご利用いただいたお客様は、新たなユースケースを構築し、既存の脅威探査ワークフローを高速化し、脅威に対するより迅速な対応を推進しています。Google は引き続き、Google のスピード、規模、インテリジェンスを調査機能に取り入れることで、アナリストが迅速に脅威を把握し、より有効な対応をとれるよう支援していきます。

セキュリティオペレーションセンターへの Chronicle の導入については、Google Cloud セールスまたはカスタマーサクセス CSM チームにお問い合わせください。Google Chronicle のすべての新機能については、プロダクトドキュメントで詳細をご覧いただけます。

- Chronicle Security Operations プロダクトマネージャー Spencer Lichtenstein

投稿先