アラートの調査

アラートは、セキュリティ システムによって脅威として識別されたデータに関連付けられます。 アラートを調査することで、アラートや関連するエンティティに関するコンテキストが得られます。

アラートをクリックすると、3 つのタブに整理されたアラートの詳細が含まれるページが表示されます。

  • 概要: アラートのステータスや検出ウィンドウなど、アラートに関する重要な情報の概要を示します。
  • グラフ: YARA-L ルールから生成されたアラートを可視化します。他のエンティティとのアラートの関係のグラフが表示されます。アラートがトリガーされると、アラートに関連付けられたエンティティがグラフと画面の左側に表示され、それぞれに独自のカードが表示されます。アラートグラフでは、UDM イベントでエンティティ principaltargetsrcobserverintermediaryabout が使用されます。 .
  • アラート履歴: アラートのステータスの変更やメモの追加など、このアラートで行われたすべての変更が一覧表示されます。

エンティティとアラートの関係を可視化したグラフの下には、アラートに関するコンテキストを示す次の 3 つのサブタブがあります。

  • イベント: アラートに関連するイベントの詳細が含まれます。
  • エンティティ: アラートに関連付けられている各エンティティの詳細が含まれます。
  • アラート コンテキスト: アラートに関する追加のコンテキストを提供します。

始める前に

アラートグラフにデータを入力するには、アラートを生成する YARA-L ルールを作成する必要があります。アラートグラフの品質は、YARA-L ルールに組み込まれているコンテキストに結び付けられます。ルールの結果セクションは、ルールによってトリガーされた検出のコンテキストを提供します。

principaltargetsrcobserverintermediaryabout などの UDM の名詞はアラート グラフで使用されるため、結果セクションに追加することをおすすめします。これらの UDM 名詞の場合、アラートグラフで次のフィールドが使用されます。

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

上記の UDM フィールドの値は、[アラート コンテキスト] サブタブの UDM 検索にもリンクされます。詳細については、アラートに関するコンテキストを表示するをご覧ください。

次の YARA-L ルールでは、短時間(1 時間)以内に多数の Google Cloud サービス API が無効になると、アラートが生成されます。

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

アラートが生成された後、[アラート グラフ] ページに移動して、アラートに関する詳細なコンテキストを取得し、さらに調査できます。

[グラフ] には、[アラートと IOC] ページまたは [UDM 検索] ページからアクセスできます。

アラートと IOC からアラート グラフにアクセスする

[アラートとセキュリティ侵害インジケーター(IOC)] ページでは、企業に現在影響を与えているすべてのアラートと IOC をフィルタリングして表示できます。このページで、IOC の一致を表示する方法については、アラートと IOC の表示をご覧ください。

[アラートと IOC] ページからアラートの詳細を表示するには、次の手順を行います。

  1. ナビゲーション バーで、[検出] > [アラートと IOC] をクリックします。
  2. アラートの表で、調査するアラートを見つけます。
  3. アラートの行で、名前列のテキストをクリックして、[アラート グラフ] を開きます。
  1. ナビゲーション バーの上部にある [検索] を選択します。
  2. [検索マネージャー] を使用して検索を読み込むか、新しい検索を作成します。UDM で検索を行う方法については、UDM 検索 をご覧ください。
    1. [概要]、[エンティティ]、[アラート] の 3 つのタブが表示されます。 [アラート] をクリックします。
  3. 調査するアラートをクリックします。アラート ビューアが表示されます。
  4. [詳細を表示] をクリックして [アラート] ビューを開きます。
  5. [グラフ] タブをクリックして、アラートのグラフを表示します。

アラートの詳細を表示する

アラートビューの [概要] タブには、アラートに関する次の情報が表示されます。

  • アラートの詳細: アラートのステータス、作成日、重大度、優先度、リスクスコア。
  • 検出の概要: アラートを生成した検出ルール。同じ検出ルールから他のアラートを表示できます。
  • イベント: このアラートに関連付けられているイベント。

重要な情報の表示に加えて、アラートのステータスも調整できます。

アラートのステータスを変更する

  1. 右上の [アラート ステータスを変更] をクリックします。
  2. 表示されるウィンドウで、重大度と優先度を適宜更新します。
  3. [保存] をクリックします。

アラートを閉じる

  1. [アラートを閉じる] をクリックします。
  2. 表示されるウィンドウに、アラートを閉じる理由に関するコンテキストを追加するメモを追加できます。
  3. 情報を入力して [保存] を押します。

エンティティの関係の表示

[グラフ] には、さまざまなアラートとエンティティがどのように接続されているかが表示されます。この機能によって、既存のエンティティに関する関係情報を展開して不明な関係を明らかにするために使用できる、視覚的なインタラクティブなグラフが提供されます。期間を広げて、過去のポイントインタイム アラートを拡張して、アラートの経路を拡充することで、検索を拡張することもできます。

検索の右上にある [+] アイコンをクリックして、検索を拡張することもできます。これにより、そのエンティティに関連するすべてのノードが表示されます。

グラフ アイコン

別々のエンティティは別々のアイコンで表示されます。

アイコン アイコンが表すエンティティ 説明
ユーザー ユーザーは、ネットワークへのアクセスをリクエストし、情報を使用する人または他のエンティティです。例: janedeo、cloudysanfrancisco@gmail.com
データベース リソース リソースは、独自の一意のリソース名を持つエンティティの総称です。例: BigQuery テーブル、データベース、プロジェクト。
IP アドレス
説明 ファイル
ドメイン名
URL
device_unknown 不明なエンティティ タイプ Google Security Operations のソフトウェアで認識されないエンティティ タイプ。
メモリ アセット アセットは、組織にとって価値を生み出すものです。これには、ホスト名、MAC アドレス、内部 IP アドレスが含まれます。例: 10.120.89.92(内部 IP アドレス)、00:53:00:4a:56:07(MAC アドレス)

同じルールから複数のアラートが送信される場合、それらはグループ アイコンにまとめられます。同じエンティティを表すインジケーターは 1 つのアイコンに統合されています。

各アイコンの詳細については、次のドキュメントをご覧ください。

[アラート グラフ] をクリックすると、アラートの前後 12 時間のすべての結果が表示されます。アラートのエンティティがない場合は、元のアラートのみがグラフに表示されます。

メインのアラートは赤い円でハイライト表示されます。アラートは実線でエンティティに接続され、他のアラートは点線で接続されます。エッジ(2 つのノードを接続する線)の上にポインタを置くと、グラフ上のノードに接続する結果変数または一致変数が表示されます。

左側には、関連するルールの詳細、検出ウィンドウ、重大度と優先度のステータスなど、各ノードのカードが表示されます。

グラフのすぐ上に「グラフ オプション」ボタンが表示されます。[グラフ オプション] をクリックすると、[アラート以外の検出] と [リスクスコア] の 2 つのオプションが表示されます。どちらもデフォルトでオンになっていますが、必要に応じて切り替えることができます。

ノードを移動するには、グラフでノードをドラッグします。ノードを解放すると、[更新] をクリックするまでノードが固定されます。

ノードの追加と削除

ノードをクリックすると、画面の下部にテーブルが表示されます。各ノードに対して次の操作を行うことができます。

アラート

  • 関連するエンティティ、アラート、イベントを表示する
  • アラートからの結果と一致を表示する
  • サブグラフをすべて削除する
  • [On Graph] 列のチェックボックスをオンにして、グラフから関連するエンティティやアラートを追加または削除する

エンティティ

  • 関連するすべてのアラートを表示する
  • サブグラフをすべて削除する
  • [On Graph] 列のチェックボックスをオンまたはオフにして、関連するアラートをグラフに追加または削除する

Group

  • そのグループを構成するすべてのエンティティまたはアラートを表示する
  • ページの下部にあるテーブルで [On Graph] をクリックして、個々のノードをグループ化します。

ノードからリスクスコアを追加または削除するには、テーブルの上にある [リスクスコア] チェックボックスをオンまたはオフにします。

アラート グラフを展開する

その他の関連するノードを表示するには、アラートの下部にある + アイコンをクリックします。選択したアイコンに関連するエンティティとアラートがポップアップします。新しいアラートの横には詳細カードが表示されます。

グラフをリセットする

グラフをクリアするには、右側のウィンドウで期間を調整します。最大期間は 90 日です。期間をリセットすると、グラフも元の状態にリセットされます。期間を更新すると、追加のノードのグラフがクリアされ、グラフが元の状態にリセットされます。

ノードをデフォルトの位置に戻すには、[更新] をクリックします。

アラートに関するコンテキストを表示する

[アラート コンテキスト] セクションには、アラートに関する追加のコンテキストを提供する値のリストが含まれます。

アラート コンテキストには [タイプ] 列があり、ルールのどの部分によって選択したアラートが生成されたかを示します(結果または一致)。次の列は変数と呼ばれます。これらの変数名は、ルールで定義された一致変数と結果変数の名前に基づいています。最後に、右端の列は [UDM フィールド] です。UDM フィールドが一覧表示されている変数も [] 列にリンクされています。

始める前にセクションに一覧表示されている UDM フィールドに加えて、次の UDM フィールドも [UDM 検索] ページにリンクされています。

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

これらのフィールドに関連付けられた特定の UDM 名詞は、principaltargetsrcobserverintermediaryabout です。値をクリックすると、UDM 検索がトリガーされ、値と過去の期間が渡されます。

始める前にセクションで説明した YARA-L ルールの例では、次の UDM フィールドが [UDM 検索] ページにリンクされます。

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

アラートの履歴を表示する

[アラート履歴] タブには、このアラートで行われたすべてのアクションの完全な履歴が表示されます。以下が該当します。

  • アラートが最初に表示された日時
  • チームのメンバーがこのアラートについて残したメモ
  • 重大度が変更された場合
  • 優先度が変更された場合
  • アラートが閉じられた場合

Google Security Operations SOAR からのアラート

Google Security Operations SOAR からのアラートには、Google Security Operations SOAR のケースに関する追加情報が含まれます。これらのアラートには、Google Security Operations SOAR でケースを開くリンクも用意されています。詳細については、Google Security Operations の SOAR ケースの概要をご覧ください。

Google Security Operations SOAR ケースのアラート

Google Security Operations SOAR ケースのアラート