Applied Threat Intelligence のキュレートされた検出の概要

このドキュメントでは、Chronicle Security Operations Enterprise Plus で使用できる Applied Threat Intelligence のキュレートされた優先度カテゴリのキュレートされた検出ルールセットの概要について説明します。これらのルールは、Mandiant の脅威インテリジェンスを活用して、優先度の高い脅威を事前に特定し、アラートを出します。

このカテゴリには、Chronicle SIEM の Applied Threat Intelligence 機能をサポートする次のルールセットが含まれています。

  • Active Breach Priority Network Indicators: Mandiant の脅威インテリジェンスを使用して、イベントデータにおけるネットワーク関連のセキュリティ侵害インジケーター(IOC)を特定します。[アクティブな侵害] ラベルが付けられた IOC を優先します。
  • Active Breach Priority Host Indicators: Mandiant の脅威インテリジェンスを使用して、イベントデータ内のホスト関連の IOC を特定します。[アクティブな侵害] ラベルが付けられた IOC を優先します。
  • High Priority Network Indicators: Mandiant の脅威インテリジェンスを使用して、イベントデータ内のネットワーク関連の IOC を特定します。[高] ラベルが付けられた IOC を優先します。
  • High Priority Host Indicators: Mandiant の脅威インテリジェンスを使用して、イベントデータ内のホスト関連の IOC を特定します。[高] ラベルが付けられた IOC を優先します。

ルールセットを有効にすると、Chronicle SIEM は Mandiant の脅威インテリジェンス データに対してイベントデータの評価を開始します。1 つ以上のルールで、[アクティブな侵害] ラベルまたは [高] ラベルの IOC に一致することが特定されると、アラートが生成されます。キュレートされた検出のルールセットを有効にする方法の詳細については、すべてのルールセットを有効にするをご覧ください。

サポート対象のデバイスとログタイプ

デフォルトのパーサーで Chronicle SIEM がサポートするあらゆるログタイプからデータを取り込むことができます。リストについては、サポートされているログタイプとデフォルトのパーサーをご覧ください。

Chronicle は、Mandiant の脅威インテリジェンスによってキュレートされた IOC と照らし合わせて UDM イベントデータを評価し、ドメイン、IP アドレス、ファイル ハッシュの一致があるかどうかを識別します。ドメイン、IP アドレス、ファイル ハッシュを保存する UDM フィールドを分析します。

デフォルトのパーサーをカスタム パーサーに置き換え、ドメイン、IP アドレス、またはファイル ハッシュが保存されている UDM フィールドを変更すると、これらのルールセットの動作に影響を与える可能性があります。

ルールセットでは、次の UDM フィールドを使用して、[アクティブな侵害] や [高] などの優先度を決定します。

  • network.direction
  • security_result.[]action

IP アドレス インジケーターの場合、network.direction は必須です。UDM イベントで network.direction フィールドが入力されていない場合、Applied Threat Intelligence は principal.iptarget.ip フィールドを RFC 1918 の内部 IP アドレス範囲と照合して、ネットワークの方向を決定します。このチェックで明確でない場合、IP アドレスはお客様の環境の外部とみなされます。

Applied Threat Intelligence のカテゴリから返されるアラートの調整

ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。

ルールの除外では、ルールセットによる評価からイベントを除外する UDM イベントの条件を定義します。指定した UDM フィールドの値を持つイベントは、ルールセットのルールで評価されません。

たとえば、次の情報に基づいてイベントを除外できます。

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256

ルール除外の作成方法については、ルール除外を構成するをご覧ください。

ルールセットで事前定義の参照リストを使用する場合、参照リストの説明では、評価される UDM フィールドの詳細が提供されます。