キュレーテッド検出を使用して脅威を特定する

以下でサポートされています。

Google Threat Intelligence(GCTI)チームは、事前定義された脅威分析を提供します。キュレーテッド検出の一部として、お客様の企業に対する脅威の特定を支援するために、GCTI は一連のYARA-L ルールを備えて管理します。

GCTI マネージド ルールは次の処理を行います。

  • 取り込んだデータに対して使用できる即座に実行可能なインテリジェンスをお客さまに提供します。

  • キュレーテッド検出を通じてこの情報を使用する簡単な方法をお客様に提供することで、Google Threat Intelligence を活用します。

このドキュメントでは、キュレーテッド検出を使用して脅威を識別するために必要な手順(キュレーテッド検出のルールセットを有効にする方法、ルールセットによって生成された検出を表示する方法、アラートを調査する方法など)について説明します。

必要なデータを取り込む

各ルールセットは、特定のデータソースのパターンを特定するように設計されており、次のような異なるデータセットが必要になる場合があります。

  • イベントデータ: サービスに関連して発生したアクティビティとイベントを説明します。
  • コンテキスト データ: イベントデータで定義されたエンティティ、デバイス、サービス、ユーザーを説明します。これはエンティティ データとも呼ばれます。

各ルールセットを説明するドキュメントで、ルールセットに必要なデータを確認します。

データの取り込みを確認する

データの取り込みが成功したことを確認するには、次の方法を利用できます。

  • [Data Ingestion and Health] ダッシュボード: これを使用すると、すべてのソースからの取り込みをモニタリングできます。
  • Managed Detection Testing のテストルール: テストルールを有効にして、必要な受信データが存在し、特定のキュレーテッド検出のルールセットで必要な形式であることを確認します。

[Data Ingestion and Health] ダッシュボードを使用する

事前構築済みの SIEM ダッシュボード「データの取り込みと健全性」を使用して、取り込まれるデータの種類と量に関する情報を確認します。 新しく取り込まれたデータは、約 30 分以内にダッシュボードに表示される必要があります。詳細については、SIEM ダッシュボードの使用をご覧ください。

(省略可)Managed Detection Testing のテストルールを使用する

一部のカテゴリは、各ルールセットに必要なデータが正しい形式であることを確認するのに役立つテストルールのセットとして提供されます。

これらのテストルールは、Managed Detection Testing カテゴリの下にあります。各ルールセットでは、テストデバイスで受信したデータが、指定したカテゴリのルールで想定されている形式であることを検証します。

これは、取り込みの設定を確認する場合や、問題のトラブルシューティングを行う場合に便利です。これらのテストルールの使用方法については、テストルールを使用してデータの取り込みを確認するをご覧ください。

ルールセットを有効にする

キュレーテッド検出は、企業に対する脅威の特定に役立つ YARA-L ルールセットとして提供される脅威分析です。これらのルールセットは次のことを行います。

  • 取り込んだデータに対して使用できる実用的なインテリジェンスを即座に提供します。
  • この情報を簡単に使用する方法を提供して、Google Threat Intelligence を使用します。

各ルールセットは、不審なアクティビティの特定のパターンを識別します。ルールセットの詳細を有効にして表示するには、次を行います。

  1. メインメニューから [検出] > [ルールと検出] を選択します。デフォルトのタブはキュレーテッド検出であり、デフォルトのビューはルールセットです。
  2. [キュレーテッド検出] をクリックして [ルールセット] タブを開きます。
  3. [クラウド脅威] カテゴリでルールセット([CDIR SCC の高度な引き出しアラート] など)を選択します。
  4. ステータス有効に設定し、アラートBroad ルールと Precise ルールの両方に対して オン に設定します。ルールは、受信したデータでルールロジックに一致するパターンを評価します。[ステータス] = [有効] の場合、パターン一致が見つかるとルールでは検出が生成されます。[アラート] = [オン] の場合、パターン一致が見つかるとルールではアラートも生成されます。

キュレーテッド検出のページの操作については、以下をご覧ください。

ルールセットを有効にしても検出またはアラートを受信しない場合、ルールセットに必要なデータが受信され、正しい形式であることを確認する 1 つ以上のテストルールをトリガーする手順を実行できます。詳細については、ログデータの取り込みを確認するをご覧ください。

ルールセットによって作成された検出を特定する

キュレーテッド検出のダッシュボードには、データに対して検出を生成した各ルールに関する情報が表示されます。キュレーテッド検出のダッシュボードを開くには、次を行います。

  1. メインメニューから [検出] > [ルールと検出] を選択します。
  2. [キュレーテッド検出] > [ダッシュボード] をクリックして、ダッシュボード ビューを開きます。検出を生成したルールセットと個々のルールのリストが表示されます。ルールはルールセットごとにグループ化されます。
  3. [CDIR SCC の高度な引き出しアラート] など、目的のルールセットに移動します。
  4. 特定のルールによって生成された検出結果を表示するには、そのルールをクリックします。これによって、[検出] ページが開き、検出と、検出を生成したエンティティ データまたはイベントデータが表示されます。
  5. このビューのデータをフィルタリングして検索できます。

詳細については、キュレーテッド検出を表示するキュレーテッド検出のダッシュボードを開くをご覧ください。

1 つ以上のルールセットによって返されるアラートを調整する

キュレーテッド検出機能では、過剰な数の検出項目またはアラートが生成される場合があります。 ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。 ルールの除外はキュレーテッド検出でのみ使用され、カスタムルールでは使用されません。

ルールの除外では、ルールセットまたはルールセット内の特定のルールによる評価対象からイベントを除外するために使用される条件を定義します。1 つ以上のルールの除外を作成して、検出の量を減らします。たとえば、次の統合データモデル(UDM)フィールドに基づいてイベントを除外する場合があります。

  • metadata.product_event_type
  • principal.user.userid
  • target.resource.name
  • target.resource.product_object_id
  • additional.fields["recipientAccountId"]
  • principal.ip
  • network.http.user_agent

ルールセットによって作成されたアラートを調査する

[アラートと IOC] ページには、アラートや関連するエンティティに関するコンテキストが表示されます。アラートの詳細を表示したり、アラートを管理したり、エンティティとの関係を表示したりできます。

  1. メインメニューから [検出] > [アラートと IOCs] を選択します。[アラート] ビューには、すべてのルールによって生成されたアラートのリストが表示されます。
  2. 期間を選択して、アラートのリストをフィルタリングします。
  3. [CDIR SCC の高度な引き出し] などのルールセット名でリストをフィルタリングします。「SCC: DLP Context で Google Drive への BigQuery 引き出し」などのルール名でリストをフィルタリングすることもできます。
  4. リスト内のアラートをクリックして、[アラートと IOC] ページを開きます。
  5. [アラートと IOC] > [概要] タブには、アラートの詳細が表示されます。

エンティティ グラフを使用して調査コンテキストを収集する

[アラートと IOC] > [グラフ] タブには、アラートと他のアラート間、またはアラートと他のエンティティ間の関係を視覚的に表すアラートグラフが表示されます。

  1. メインメニューから [検出] > [アラートと IOC] を選択します。[アラート] ビューには、すべてのルールによって生成されたアラートのリストが表示されます。
  2. 期間を選択して、アラートのリストをフィルタリングします。
  3. [CDIR SCC の高度な引き出し] などのルールセット名でリストをフィルタリングします。「SCC: DLP Context で Google Drive への BigQuery 引き出し」などのルール名でリストをフィルタリングすることもできます。
  4. リスト内のアラートをクリックして、[アラートと IOC] ページを開きます。
  5. [アラートと IOC] > [グラフ] タブにアラートのグラフが表示されます。
  6. アラートグラフでノードを選択すると、そのノードに関する詳細が表示されます。

調査中に UDM 検索機能を使用して、元のアラートに関連するイベントについての追加のコンテキストを収集できます。UDM 検索を使用すると、ルールによって生成された UDM イベントとアラートを検索できます。UDM 検索にはさまざまな検索オプションが含まれているため、UDM データを検索できます。特定の検索キーワードに関連する個別の UDM イベントと UDM イベント グループの両方を検索できます。

メインメニューから [検索] を選択して、[UDM 検索] ページを開きます。

UDM 検索クエリについては、UDM 検索を入力するをご覧ください。パフォーマンスと機能に最適化された UDM 検索クエリの作成に関するガイダンスについては、UDM 検索のベスト プラクティスをご覧ください。

アラートからレスポンスを作成する

アラートまたは検出でインシデント対応が必要な場合は、SOAR 機能を使用して対応を開始できます。詳細については、ケースの概要Playbook 画面の概要をご覧ください。

次のステップ

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。