GCTI アラートを調査する

Google Cloud Threat Intelligence(GCTI)アラートは、Google 内部の脅威検出インフラストラクチャと GCTI のセキュリティ アナリストによる調査の両方から生成されます。

Chronicle SIEM のお客様の場合、GCTI アラートは [アラートと IOC] ページに表示されます。これらは [ソース] 列の下に表示されます。GCTI によって生成されたアラートには、[キュレーテッド検出] というラベルが付きます。

GCTI アラートを表示する

GCTI アラートを表示する手順は次のとおりです。

  1. ナビゲーション バーで、[検出] > [アラートと IOC] をクリックします。
  2. [ソース] タブで、GCTI アラートには [キュレーテッド検出] というラベルが付けられています。 [ソース] をクリックすると、[キュレーテッド検出] タグの付いたすべてのアラートが上部に移動します。
  3. 調査するアラートの [名前] 列のリンクをクリックします。

[名前] のテキストをクリックすると、[概要]、[グラフ]、[アラート履歴] が開きます。[グラフ] は、検索を拡大できるインタラクティブなグラフです。[アラート履歴] には、アラートに関する重要な情報が表示されます。

]グラフ] と[アラート履歴] の使用方法については、アラートを調査するをご覧ください。

[キュレーテッド検出] ダッシュボードには、GCTI 関連のすべてのルールが配置されています。

[キュレーテッド検出] ダッシュボードを表示する手順は次のとおりです。

  1. ナビゲーション バーで、[検出] > [ルールと検出] をクリックします。
  2. [ルール ダッシュボード]、[ルールエディタ]、[キュレーテッド検出]、[除外] の 4 つのタブがあります。[キュレーテッド検出] をクリックします。[キュレーテッド検出] には、すべての GCTI ルールとそれらが生成するアラートが配置されています。

GCTI ルールを調査する

表の上には、[ルールセット] と [ダッシュボード] の 2 つのタブが表示されます。

[ルールセット] には、すべてのルールとルールセット(併用されるルールのグループ)が表示されます。このタブでは、次の操作を行えます。

  • さまざまなセクションを閉じる、または開く
  • [アラート] と [ステータス] を有効または無効にする
  • 表の左隅にあるボックスを使用して、単一のルールセットまたはすべてのルールセットに変更を適用します。

キュレーテッド検出

[ダッシュボード] セクションには、ルールがカテゴリ別に表示されます。

ルール ダッシュボード

[ダッシュボード] セクションでアラートをクリックすると、ページが開き、そのアラートに対する最近の検出のタイムラインが表示されます。

Precise ルールと Broad ルールの使用

[ルールセット] には、[Precise] と [Broad] の 2 種類のルールがあります。検索の種類に応じて、[Precise] ルールまたは [Broad] ルールを個別に有効または無効にできます。

  • [Precise] ルールは、より具体的なルールの性質のために、より少ない擬陽性で、より高い信頼性で悪意のある行為を検出するルールです。
  • [Broad] ルールでは、悪意のある動作や異常である可能性のある動作を検出します。これらのルールは [Precise] なルールよりも汎用的であるため、偽陽性となる可能性が高くなります。