キュレーテッド検出を使用して脅威を特定する

Google Cloud の Threat Intelligence(GCTI)チームは、事前定義された脅威分析を提供しています。キュレーテッド検出の一部として、お客様の企業に対する脅威の特定を支援するために、GCTI は一連のYARA-L ルールを備えて管理します。

GCTI マネージド ルールでは次のことを行います。

  • 取り込んだデータに対して使用できる即座に実行可能なインテリジェンスをお客さまに提供します。

  • キュレーテッド検出を通じてこの情報を使用する簡単な方法をお客様に提供することで、Google の脅威インテリジェンスを活用します。

このドキュメントでは、キュレーテッド検出を使用して脅威を識別するために必要な手順(キュレーテッド検出のルールセットを有効にする方法、ルールセットによって生成された検出を表示する方法、アラートを調査する方法など)について説明します。

必要なデータを取り込む

各ルールセットは、特定のデータソースでパターンを識別するように設計されており、次のような異なるデータセットが必要になる場合があります。

  • イベントデータ: サービスに関連するアクティビティとイベントを記述します。
  • コンテキスト データ: イベントデータで定義されたエンティティ、デバイス、サービス、ユーザーを記述します。これはエンティティ データとも呼ばれます。

各ルールセットについて説明するドキュメントで、ルールセットに必要なデータも確認してください。

データの取り込みを確認する

データの取り込みが成功したことを確認するには、次の方法を利用できます。

  • [Data Ingestion and Health] ダッシュボード: これを使用すると、すべてのソースからの取り込みをモニタリングできます。
  • Managed Detection Testing のテストルール: テストルールを有効にして、必要な受信データが存在し、特定のキュレーテッド検出のルールセットで必要な形式であることを確認します。

[Data Ingestion and Health] ダッシュボードを使用する

取り込まれるデータの種類と量に関する情報を提供する [Data Ingestion and Health] という事前構築済みの SIEM ダッシュボードを使用します。新しく取り込まれたデータは、約 30 分以内にダッシュボードに表示される必要があります。詳細については、SIEM ダッシュボードの使用をご覧ください。

(省略可)Managed Detection Testing のテストルールを使用する

一部のカテゴリは、各ルールセットに必要なデータが正しい形式であることを確認するのに役立つテストルールのセットとして提供されます。

これらのテストルールは、Managed Detection Testing カテゴリの下にあります。各ルールセットでは、テストデバイスで受信したデータが、指定したカテゴリのルールで想定されている形式であることを検証します。

これは、取り込みの設定を確認する場合や、問題のトラブルシューティングを行う場合に便利です。これらのテストルールの使用方法の詳細については、テストルールを使用してデータの取り込みを検証するをご覧ください。

ルールセットを有効にする

キュレーテッド検出は、企業に対する脅威の特定に役立つ YARA-L ルールセットとして提供される脅威分析です。これらのルールセットは、次のことを行います。

  • 取り込んだデータに対して使用できる実用的なインテリジェンスを即座に提供します。
  • この情報を簡単に使用する方法を提供して、Google の脅威インテリジェンスを使用します。

各ルールセットによって、不審なアクティビティの特定のパターンが識別されます。ルールセットの詳細を有効にして表示するには、次を行います。

  1. メインメニューから [Detections] > [Rules & Detections] を選択します。 デフォルトのタブはキュレーテッド検出であり、デフォルトのビューはルールセットです。
  2. [キュレーテッド検出] をクリックして [ルールセット] タブを開きます。
  3. [クラウド脅威] カテゴリでルールセット([CDIR SCC の高度な引き出しアラート] など)を選択します。
  4. ステータス有効に設定し、アラートBroad ルールと Precise ルールの両方に対して オン に設定します。ルールは、ルールのロジックに一致するパターンの受信データを評価します。[ステータス] = [有効] の場合、パターン一致が見つかるとルールでは検出が生成されます。[アラート] = [オン] の場合、パターン一致が見つかるとルールではアラートも生成されます。

キュレーテッド検出のページの操作については、以下をご覧ください。

ルールセットを有効にしても検出またはアラートを受信しない場合、ルールセットに必要なデータが受信され、正しい形式であることを確認する 1 つ以上のテストルールをトリガーする手順を実行できます。詳細については、ログデータの取り込みを検証するをご覧ください。

ルールセットによって作成された検出を特定する

キュレーテッド検出のダッシュボードには、データに対して検出を生成した各ルールに関する情報が表示されます。キュレーテッド検出のダッシュボードを開くには、次を行います。

  1. メインメニューから [検出] > [ルールと検出] を選択します。
  2. [キュレーテッド検出] > [ダッシュボード] をクリックして、ダッシュボード ビューを開きます。検出を生成したルールセットと個々のルールのリストが表示されます。ルールはルールセットごとにグループ化されます。
  3. [CDIR SCC の高度な引き出しアラート] など、目的のルールセットに移動します。
  4. 特定のルールによって生成された検出を表示するには、ルールをクリックします。これによって、[検出] ページが開き、検出と、検出を生成したエンティティ データまたはイベントデータが表示されます。
  5. このビュー内のデータをフィルタ、検索できます。

詳細については、キュレーテッド検出を表示するキュレーテッド検出のダッシュボードを開くをご覧ください。

1 つ以上のルールセットによって返されるアラートを調整する

キュレーテッド検出で生成される検出またはアラートが多すぎる場合があります。ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。 ルールの除外はキュレーテッド検出でのみ使用され、カスタムルールでは使用されません。

ルールの除外では、ルールセットまたはルールセット内の特定のルールによる評価対象からイベントを除外するために使用される条件を定義します。1 つ以上のルールの除外を作成して、検出の量を減らします。たとえば、次の統合データモデル(UDM)フィールドに基づいてイベントを除外する場合があります。

  • metadata.product_event_type
  • principal.user.userid
  • target.resource.name
  • target.resource.product_object_id
  • target.resource.attribute.labels["Recipient Account Id"]
  • principal.ip
  • network.http.user_agent

ルールセットによって作成されたアラートを調査する

[アラートと IOC] ページには、アラートと関連エンティティに関するコンテキストが表示されます。アラートに関する詳細の表示、アラートの管理、エンティティとの関係の表示を行うことができます。

  1. メインメニューから [検出] > [アラートと IOCs] を選択します。[アラート] ビューには、すべてのルールによって生成されたアラートのリストが表示されます。
  2. 期間を選択して、アラートのリストをフィルタリングします。
  3. [CDIR SCC の高度な引き出し] などのルールセット名でリストをフィルタリングします。「SCC: DLP Context で Google Drive への BigQuery 引き出し」などのルール名でリストをフィルタリングすることもできます。
  4. リスト内のアラートをクリックして、[アラートと IOC] ページを開きます。
  5. [アラートと IOC] > [概要] タブには、アラートの詳細が表示されます。

エンティティ グラフを使用して調査コンテキストを収集する

[アラートと IOC] > [グラフ] タブには、アラートと他のアラート間、またはアラートと他のエンティティ間の関係を視覚的に表すアラートグラフが表示されます。

  1. メインメニューから [検出] > [アラートと IOC] を選択します。[アラート] ビューには、すべてのルールによって生成されたアラートのリストが表示されます。
  2. 期間を選択して、アラートのリストをフィルタリングします。
  3. [CDIR SCC の高度な引き出し] などのルールセット名でリストをフィルタリングします。「SCC: DLP Context で Google Drive への BigQuery 引き出し」などのルール名でリストをフィルタリングすることもできます。
  4. リスト内のアラートをクリックして、[アラートと IOC] ページを開きます。
  5. [アラートと IOC] > [グラフ] タブにアラートのグラフが表示されます。
  6. アラート グラフでノードを選択すると、ノードの詳細が表示されます。

調査中に UDM 検索機能を使用して、元のアラートに関連するイベントについての追加のコンテキストを収集できます。UDM 検索では、ルールによって生成された UDM イベントとアラートを検索できます。UDM 検索にはさまざまな検索オプションが含まれているため、UDM データを検索できます。特定の検索キーワードに関連する個別の UDM イベントと UDM イベント グループの両方を検索できます。

メインメニューから [検索] を選択して、[UDM 検索] ページを開きます。

UDM 検索クエリについては、UDM 検索を入力するをご覧ください。機能のパフォーマンスと機能向けに最適化された UDM 検索クエリの作成方法については、UDM 検索のベスト プラクティスをご覧ください。

アラートからのレスポンスを作成する

アラートまたは検出でインシデント対応が必要な場合は、SOAR 機能を使用して対応を開始できます。詳細については、ケースの概要ハンドブック画面の概要をご覧ください。

次のステップ