アラートの調査

以下でサポートされています。

アラートは、セキュリティ システムによって脅威として識別されたデータに関連付けられます。アラートを調査することで、アラートや関連するエンティティに関するコンテキストが得られます。

アラートをクリックすると、3 つのタブに整理されたアラートの詳細が含まれるページが表示されます。

  • 概要: アラートのステータスや検出期間など、アラートに関する重要な詳細の概要が表示されます。
  • グラフ: YARA-L ルールから生成されたアラートを可視化します。アラートと他のエンティティの関係を示すグラフが表示されます。アラートがトリガーされると、アラートと関連付けられたエンティティがグラフと画面の左側にそれぞれカードで表示されます。アラートグラフでは、UDM イベントでエンティティ principaltargetsrcobserverintermediaryabout が使用されます。
  • アラート履歴: アラートのステータスの変更やメモの追加など、このアラートで行われたすべての変更が一覧表示されます。

エンティティとアラートの関係を可視化するグラフの下には、アラートに関する詳細なコンテキストを提供する次の 3 つのサブタブがあります。

  • イベント: アラートに関連するイベントの詳細が含まれます。
  • エンティティ: アラートに関連付けられている各エンティティの詳細が含まれます。
  • アラート コンテキスト: アラートに関する追加のコンテキストを提供します。

始める前に

アラートグラフにデータを入力するには、アラートを生成する YARA-L ルールを作成する必要があります。アラートグラフの品質は、YARA-L ルールに組み込まれたコンテキストに関連しています。ルールの結果セクションには、ルールによってトリガーされた検出結果のコンテキストが示されます。

principaltargetsrcobserverintermediaryabout などの UDM の名詞はアラートグラフで使用されるため、結果セクションに追加することをおすすめします。これらの UDM 名詞の場合、アラートグラフでは次のフィールドが使用されます。

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

上記の UDM フィールドの値は、[アラート コンテキスト] サブタブの UDM 検索にもリンクされます。詳細については、アラートに関するコンテキストを表示するをご覧ください。

次の YARA-L ルールでは、短い時間(1 時間)内に多数の Google Cloud サービス API が無効にされた場合にアラートが生成されます。

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

アラートが生成されたら、[アラートグラフ] ページに移動して、アラートに関する詳細なコンテキストを取得し、さらに調査できます。

[グラフ] には、[アラートと IOC] ページまたは [UDM 検索] ページからアクセスできます。

アラートと IOC からアラート グラフにアクセスする

[アラートとセキュリティ侵害インジケーター(IOC)] ページでは、企業に現在影響を与えているすべてのアラートと IOC をフィルタリングして表示できます。このページの詳細と IOC の一致を表示する方法については、アラートと IOC を表示するをご覧ください。

[アラートと IOC] ページでアラートの詳細を表示するには次の手順を実行します。

  1. ナビゲーション バーで、[検出] > [アラートと IOC] をクリックします。
  2. アラート テーブルで、調査するアラートを見つけます。
  3. アラートの行で、名前列のテキストをクリックして、[アラート グラフ] を開きます。
  1. ナビゲーション バーの上部にある [検索] を選択します。
  2. [検索マネージャー] を使用して検索を読み込むか、新しい検索を作成します。UDM での検索の詳細については、UDM 検索をご覧ください。
    1. [概要]、[エンティティ]、[アラート] の 3 つのタブが表示されます。 [アラート] をクリックします。
  3. 調査するアラートをクリックします。アラート ビューアが表示されます。
  4. [詳細を表示] をクリックしてアラートビューを開きます。
  5. [グラフ] タブをクリックして、アラートのグラフを表示します。

アラートの詳細を表示する

アラートビューの [概要] タブには、アラートに関する次の情報が表示されます。

  • アラートの詳細: アラートのステータス、作成日、重大度、優先度、リスクスコア。
  • 検出の概要: アラートを生成した検出ルール。同じ検出ルールの他のアラートを表示できます。
  • イベント: このアラートに関連付けられているイベント。

重要な情報を表示するだけでなく、アラートのステータスを調整することもできます。

アラートのステータスを変更する

  1. 右上にある [アラートのステータスを変更] をクリックします。
  2. 表示されるウィンドウで、重大度と優先度を適宜更新します。
  3. [保存] をクリックします。

アラートを閉じる

  1. [アラートを閉じる] をクリックします。
  2. 表示されたウィンドウで、メモを残して、アラートを閉じた理由に関するコンテキストを追加できます。
  3. 情報を入力して [保存] を押します。

エンティティの関係を表示する

[グラフ] には、さまざまなアラートとエンティティがどのように接続されているかが表示されます。この機能を使用すると、既存のエンティティに関する関係情報を拡張して、未知の関係を表示できる、視覚的でインタラクティブなグラフを作成できます。期間を広げて、過去のポイントインタイム アラートを拡張して、アラートの経路を拡充することで、検索を拡張することもできます。

ノードの右上にある + アイコンをクリックして、検索を拡張することもできます。これにより、そのエンティティに関連するすべてのノードが表示されます。

グラフ アイコン

別々のエンティティは別々のアイコンで表示されます。

アイコン アイコンが表すエンティティ 説明
ユーザー ユーザーは、ネットワークへのアクセスをリクエストし、情報を使用する人または他のエンティティです。例: janedeo、cloudysanfrancisco@gmail.com
データベース リソース リソースは、独自の一意のリソース名を持つエンティティの総称です。例: BigQuery テーブル、データベース、プロジェクト。
IP アドレス
説明 ファイル
ドメイン名
URL
device_unknown 不明なエンティティ タイプ Google Security Operations のソフトウェアで認識されないエンティティ タイプ。
メモリ アセット アセットとは、組織に価値をもたらすものすべてです。これには、ホスト名、MAC アドレス、内部 IP アドレスが含まれます。例: 10.120.89.92(内部 IP アドレス)、00:53:00:4a:56:07(MAC アドレス)

2 つ以上のアラートが同じルールから送信された場合は、グループ アイコンでグループ化されます。同じエンティティを表すインジケータは 1 つのアイコンに統合されます。

各アイコンの詳細については、次のドキュメントをご覧ください。

[アラート グラフ] をクリックすると、アラートの前後 12 時間のすべての結果が表示されます。アラートのエンティティがない場合、グラフには元のアラートのみが表示されます。

メインのアラートは赤い円でハイライト表示されます。アラートは実線でエンティティに接続され、他のアラートは点線で接続されます。エッジ(2 つのノードを接続する線)にポインタを合わせると、グラフ上のノードに接続する結果変数または一致変数が表示されます。

左側には、関連するルール、検出期間、重大度、優先度などの詳細を含むノードごとのカードが表示されます。

グラフの真上にある [グラフ オプション] と書いてあるボタンをクリックします。[グラフ オプション] をクリックすると、[アラートなし検出] と [リスクスコア] の 2 つのオプションが表示されます。どちらもデフォルトでオンになっていますが、必要に応じてオンまたはオフにできます。

ノードを移動するには、グラフ内でノードをドラッグするだけです。ノードを離すと、[更新] をクリックするまで、それは固定されたままになります。

ノードを追加、削除する

ノードをクリックすると、画面の下部に表が表示されます。各ノードで次の操作を行うことができます。

アラート

  • 関連するエンティティ、アラート、イベントを表示する
  • アラートからの結果と一致を表示する
  • サブグラフをすべて削除する
  • [On Graph] 列のチェックボックスをオンまたはオフにして、関連するエンティティとアラートをグラフに追加または削除する

エンティティ

  • 関連するすべてのアラートを表示する
  • サブグラフをすべて削除する
  • [On Graph] 列のチェックボックスをオンまたはオフにして、関連するアラートをグラフに追加または削除する

Group

  • そのグループを構成するすべてのエンティティまたはアラートを表示する
  • ページの下部にあるテーブルで [On Graph] をクリックして、個々のノードをグループ化します。

ノードのリスクスコアを追加または削除するには、表の上にある [リスクスコア] チェックボックスをオンまたはオフにします。

アラート グラフを展開する

関連するノードをさらに表示するには、アラートの下部にある [+] アイコンをクリックします。選択したアイコンに関連するエンティティとアラートがポップアップ表示されます。新しいアラートごとに、詳細を示すカードが横に表示されます。

グラフをリセットする

グラフを消去するには、右側のウィンドウで期間を調整します。最大期間は 90 日です。期間をリセットすると、グラフも元の状態にリセットされます。期間を更新すると、グラフの追加ノードがすべて消去され、グラフが元の状態にリセットされます。

ノードをデフォルトの位置に戻すには、[更新] をクリックします。

アラートのコンテキストを表示する

[アラート コンテキスト] セクションには、アラートに関する追加のコンテキストを提供する値のリストが表示されます。

アラート コンテキストには [タイプ] 列があり、ルールのどの部分によって選択したアラートが生成されたかを示します(結果または一致)。次の列は [変数] と呼ばれます。これらの変数名は、ルールで定義された一致変数と結果変数の名前に基づいています。最後に、右端の列は [UDM フィールド] です。UDM フィールドが一覧表示されている変数も [] 列にリンクされています。

始める前にセクションに一覧表示されている UDM フィールドに加えて、次の UDM フィールドも [UDM 検索] ページにリンクされています。

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

これらのフィールドに関連付けられている特定の UDM 名詞は、principaltargetsrcobserverintermediaryabout です。値をクリックすると、UDM 検索がトリガーされ、値と過去の期間が渡されます。

始める前にセクションで説明した YARA-L ルールの例では、次の UDM フィールドが [UDM 検索] ページにリンクされます。

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

アラートの履歴を表示する

[アラート履歴] タブには、このアラートで行われたすべてのアクションの完全な履歴が表示されます。以下が該当します。

  • アラートが表示された日時
  • チームのメンバーがこのアラートについて残したメモ
  • 重大度が変更された場合
  • 優先度が変更された場合
  • アラートが閉じられた場合

Google Security Operations SOAR からのアラート

Google Security Operations SOAR のアラートには、Google Security Operations SOAR のケースに関する追加情報が含まれています。また、Google Security Operations SOAR でケースを開くリンクも用意されています。詳細については、Google Security Operations の SOAR ケースの概要をご覧ください。

Google Security Operations SOAR ケースのアラート

Google Security Operations SOAR ケースのアラート