Applied Threat Intelligence のキュレートされた検出の概要

以下でサポートされています。

このドキュメントでは、Google SecOps Enterprise Plus で使用できる Applied Threat Intelligence のキュレートされた優先度カテゴリのキュレートされた検出ルールセットの概要について説明します。これらのルールは、Mandiant の脅威インテリジェンスを使用して、優先度の高い脅威を事前に特定し、アラートを送信します。

このカテゴリには、Google SecOps の Applied Threat Intelligence 機能をサポートする次のルールセットが含まれます。

  • アクティブな侵害の優先ネットワーク インジケーター: Mandiant の脅威インテリジェンスを使用して、イベントデータ内のネットワーク関連のセキュリティ侵害インジケーター(IOC)を特定します。[アクティブな侵害] ラベルが付けられた IOC を優先します。
  • アクティブな侵害の優先ホスト インジケーター: Mandiant の脅威インテリジェンスを使用して、イベントデータ内のホスト関連の IOC を特定します。[アクティブな侵害] ラベルが付けられた IOC を優先します。
  • High Priority Network Indicators: Mandiant の脅威インテリジェンスを使用して、イベントデータ内のネットワーク関連の IOC を特定します。[高] ラベルが付けられた IOC を優先します。
  • High Priority Host Indicators: Mandiant の脅威インテリジェンスを使用して、イベントデータ内のホスト関連の IOC を特定します。[高] ラベルが付けられた IOC を優先します。
  • インバウンド IP アドレス認証インジケーター: インバウンド ネットワーク方向でローカル インフラストラクチャに対して認証している IP アドレスを識別します。[高] ラベルが付けられた脅威を優先します。

ルールセットを有効にすると、Google SecOps は Mandiant の脅威インテリジェンス データとイベントデータを照らし合わせて評価を開始します。1 つ以上のルールで、[アクティブな侵害] ラベルまたは [高] ラベルの IOC に一致することが特定されると、アラートが生成されます。キュレートされた検出のルールセットを有効にする方法の詳細については、すべてのルールセットを有効にするをご覧ください。

サポート対象のデバイスとログタイプ

Google SecOps がデフォルト パーサーでサポートする任意のログタイプからデータを取り込むことができます。リストについては、サポートされているログタイプとデフォルト パーサーをご覧ください。

Google SecOps は、Mandiant の脅威インテリジェンスによってキュレートされた IOC と UDM イベントデータを評価し、ドメイン、IP アドレス、ファイル ハッシュの一致があるかどうかを特定します。ドメイン、IP アドレス、ファイル ハッシュを保存する UDM フィールドを分析します。

デフォルトのパーサーをカスタム パーサーに置き換え、ドメイン、IP アドレス、またはファイル ハッシュが保存されている UDM フィールドを変更すると、これらのルールセットの動作に影響を与える可能性があります。

ルールセットでは、次の UDM フィールドを使用して、[アクティブな侵害] や [高] などの優先度を決定します。

  • network.direction
  • security_result.[]action

IP アドレス インジケータの場合は、network.direction が必要です。UDM イベントで network.direction フィールドが入力されていない場合、Applied Threat Intelligence は principal.iptarget.ip フィールドを RFC 1918 の内部 IP アドレス範囲と照合して、ネットワークの方向を決定します。このチェックで明確でない場合、IP アドレスはお客様の環境の外部とみなされます。

Applied Threat Intelligence のカテゴリから返されるアラートの調整

ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。

ルールの除外では、ルールセットによる評価からイベントを除外する UDM イベントの条件を定義します。指定した UDM フィールドの値を持つイベントは、ルールセット内のルールによって評価されません。

たとえば、次の情報を基にイベントを除外できます。

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256

ルール除外を作成する方法については、ルール除外を構成するをご覧ください。

ルールセットで事前定義の参照リストを使用する場合、参照リストの説明では、評価される UDM フィールドの詳細が提供されます。

インバウンド IP アドレス認証ルールセットでは、このルールセットのアラートのチューニングに使用できる 3 つの UDM フィールドが使用されます。

  • principal.ip
  • principal.asset.ip
  • src.ip