GCTI アラートを調査する

以下でサポートされています。

Google Cloud Threat Intelligence(GCTI)アラートは、Google 内部の脅威検出インフラストラクチャと GCTI のセキュリティ アナリストによる調査の両方から生成されます。

Google Security Operations SIEM のお客様の場合、GCTI アラートは [アラートと IOC] ページに表示されます。これらの値は [ソース] 列の下に表示されます。GCTI によって生成されたアラートには、[キュレーテッド検出] というラベルが付けられています。

GCTI アラートを表示する

GCTI アラートを表示する手順は次のとおりです。

  1. ナビゲーション バーで、[検出] > [アラートと IOC] をクリックします。
  2. [ソース] タブで、GCTI アラートには [キュレーテッド検出] というラベルが付けられています。 [ソース] をクリックすると、[キュレートされた検出] タグが付いたすべてのアラートが上部に移動します。
  3. 調査するアラートの [名前] 列にあるリンクをクリックします。

[名前] のテキストをクリックすると、[概要]、[グラフ]、[アラート履歴] が開きます。[グラフ] は、検索を拡大できるインタラクティブなグラフです。[アラート履歴] には、アラートに関する重要な情報が表示されます。

]グラフ] と[アラート履歴] の使用方法については、アラートを調査するをご覧ください。

[キュレーテッド検出] ダッシュボードには、GCTI 関連のすべてのルールが配置されています。

[キュレーテッド検出] ダッシュボードを表示する手順は次のとおりです。

  1. ナビゲーション バーで、[検出] > [ルールと検出] をクリックします。
  2. [ルール ダッシュボード]、[ルールエディタ]、[キュレーテッド検出]、[除外] の 4 つのタブがあります。[キュレーテッド検出] をクリックします。[キュレーテッド検出] には、すべての GCTI ルールと、それらが生成するアラートが配置されます。

GCTI ルールを調査する

表の上には、[ルールセット] と [ダッシュボード] の 2 つのタブが表示されます。

[ルールセット] には、すべてのルールとルールセット(併用されるルールのグループ)が表示されます。このタブでは、次のことができます。

  • セクションを展開または折りたたむ
  • アラートステータスを有効または無効にする
  • 表の左上にあるチェックボックスを使用して、変更を 1 つのルールセットまたはすべてのルールセットに適用します。

キュレーテッド検出

[ダッシュボード] セクションには、カテゴリ別に分類されたルールが表示されます。

ルール ダッシュボード

[ダッシュボード] セクションでアラートをクリックすると、ページが開き、そのアラートに対する最近の検出のタイムラインが表示されます。

正確なルールと幅広いルールの使用

[ルールセット] には、[Precise] と [Broad] の 2 種類のルールがあります。実行する検索の種類に応じて、正確なルールまたは幅広いルールを個別に有効または無効にできます。

  • [Precise] ルールは、より具体的なルールの性質のために、より少ない擬陽性で、より高い信頼性で悪意のある行為を検出するルールです。
  • [Broad] ルールでは、悪意のある動作や異常である可能性のある動作を検出します。これらのルールは [Precise] なルールよりも汎用的であるため、偽陽性となる可能性が高くなります。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。