Mandiant Threat Defense ルールのカテゴリの概要
このドキュメントでは、Mandiant Threat Defense ルールセットの概要、必要なデータソース、Google Security Operations プラットフォームで生成されるアラートを調整するための構成オプションについて説明します。
[Mandian Hunt Rules] カテゴリで設定されたルールは、 Google Cloud 環境とエンドポイント環境のすべての Google SecOps 対応検出コンテンツでセキュリティ関連のイベントにラベルを付け、複合ルールと組み合わせて使用されます。このカテゴリには、次のルールセットが含まれます。
クラウド識別ルール: 世界中のクラウド インシデントに対する Mandiant Threat Defense の調査と対応から導き出されたロジック。これらのルールは、セキュリティ関連のクラウド イベントを検出するように設計されており、クラウド複合ルールセットの相関ルールで使用するように設計されています。
エンドポイント識別ルール: 世界中のインシデントに対する Mandiant Threat Defense の調査と対応から導き出されたロジック。これらのルールは、セキュリティ関連のエンドポイント イベントを検出するように設計されており、エンドポイント複合ルールセットの相関ルールで使用するように設計されています。
サポート対象のデバイスとログタイプ
これらのルールは主に、Cloud Audit Logs のログ、エンドポイントの検出と対応のログ、ネットワーク プロキシのログに依存しています。Google SecOps 統合データモデル(UDM)は、これらのログソースを自動的に正規化します。
Google SecOps がサポート対象とするすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。
次のカテゴリは、キュレートされた複合コンテンツが効果的に機能するために必要な最も重要なログソースの概要を示しています。
エンドポイント識別ルールのログソース
Google Cloud 識別ルールのログソース
Google Cloud とエンドポイント ルールログのソース
利用可能なキュレーテッド検出の完全なリストについては、キュレーテッド検出を使用するをご覧ください。別のメカニズムを使用して検出ソースを有効にする必要がある場合は、Google SecOps の担当者にお問い合わせください。
Google SecOps には、未加工のログを解析して正規化し、複合検出ルールセットとキュレーションされた検出ルールセットで必要なデータを使用して UDM レコードを作成するデフォルトのパーサーが用意されています。Google SecOps がサポート対象とするすべてのデータソースのリストについては、サポートされているログタイプとデフォルト パーサーをご覧ください。
ルールセット内のルールを変更する
ルールセット内のルールの動作をカスタマイズして、組織のニーズに合わせて調整できます。次のいずれかの検出モードを選択して各ルールの動作を調整し、ルールでアラートを生成するかどうかを構成します。
- 広範: 悪意のある動作や異常な動作を検出しますが、ルールの一般的な性質により、誤検出が多くなる可能性があります。
- 正確: 特定の悪意のある動作や異常な動作を検出します。
設定を変更する手順は次のとおりです。
- ルールのリストで、変更する各ルールの横にあるチェックボックスをオンにします。
- ルールの [ステータス] と [アラート] の設定を次のように構成します。
- ステータス: 選択したルールにモード(正確または広範囲)を適用します。ルールのステータスをモードに有効にするには、
Enabledに設定します。 - アラート: ルールで [アラート] ページにアラートを生成するかどうかを制御します。アラートを有効にするには、[オン] に設定します。
- ステータス: 選択したルールにモード(正確または広範囲)を適用します。ルールのステータスをモードに有効にするには、
ルールセットのアラートを調整する
ルール除外を使用すると、複合ルールによって生成されるアラートの数を減らすことができます。
ルールの除外では、特定のイベントがルールまたはルールセットによって評価されないようにする条件を指定します。除外を使用して、検出量を減らします。詳細については、ルールの除外対象の構成をご覧ください。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。