Google Security Operations SIEM の概要
Google Security Operations SIEM は、Google インフラストラクチャ上に特別なレイヤとして構築されるクラウド サービスであり、企業で生成された大量のセキュリティ テレメトリーとネットワーク テレメトリーを非公開で保持、分析、検索できるようにするように企業向けに設計されています。Google Security Operations は、データの正規化、インデックス付け、相互関連付け、分析を実施して、リスクのあるアクティビティが発生すると即時に分析とコンテキストを提示します。
Google Security Operations を使用すると、自社の集約されたセキュリティ情報を数か月以上に遡って調査できます。Google Security Operations を使用して、企業内でアクセスされているすべてのドメインを検索します。特定のアセット、ドメイン、または IP アドレスに検索を絞って、侵害が起きているかどうかを判断できます。
Google Security Operations プラットフォームの概要
データ収集
Google Security Operations では、次のようなさまざまな方法で数多くのセキュリティ テレメトリー タイプを取り込むことができます。
フォワーダー: お客様のネットワークにデプロイされる軽量のソフトウェア コンポーネントであり、syslog、パケット キャプチャ、既存のログ管理またはセキュリティ情報およびイベント管理(SIEM)データ リポジトリをサポートします。
取り込み API: お客様の環境にハードウェアやソフトウェアを追加することなく、ログを Google Security Operations プラットフォームに直接送信できるようにする API です。
サードパーティ統合: サードパーティの Cloud APIs と統合して、Office 365 や Azure AD といったソースなどのログを取り込むことができます。
データ分析
セキュリティ担当者は、Google Security Operations の分析機能をブラウザベースの簡単なアプリケーションとして利用できます。その機能の多くには、Read API を介してプログラマティックにアクセスすることもできます。 アナリストは、疑われる脅威を認識したとき、それがどのようなもので、何を行い、どの影響程度があり、どのような対処が適切かを Google Security Operations を活用して判断できます。
セキュリティとコンプライアンス
Google のコア インフラストラクチャに構築された特別なプライベート レイヤとして、Google Security Operations はコンピューティング機能とストレージ機能に加えて、そのインフラストラクチャのセキュリティに関連する設計と機能を継承しています。
セキュリティ設計の一環として、Google Security Operations では、ユーザー認証情報(Google Security Operations フィードでサードパーティの API からログデータを取り込むために入力した認証情報など)が Secret Manager に保存されます。
Google Security Operations の機能
検索
- 未加工ログスキャン: 未加工の解析されていないログを検索します。
- 正規表現: 正規表現を使用して、未加工の解析されていないログを検索します。
調査ビュー
- Enterprise Insights: 最も調査が必要なドメインとアセットが表示されます。
- [Asset] ビュー: 企業内のアセットと、不審なドメインとのやり取りの有無を調査できます。
- [IP Address] ビュー: 企業内の特定の IP アドレスや、アセットにどのような影響があるかを調査できます。
- [Hash] ビュー: ハッシュ値に基づいてファイルを検索して調査します。
- [Domain] ビュー: 企業内の特定のドメインと、アセットにどのような影響を与えているかを調査します。
- [User] ビュー: セキュリティ イベントの影響を受けた可能性がある社内ユーザーを調査します。
- 手続き型フィルタリング: イベントタイプ、ログソース、ネットワーク接続ステータス、トップレベル ドメイン(TLD)など、アセットに関する情報を微調整します。
キュレート済み情報
- アセット分析情報ブロック: さらに調査が必要なドメインとアラートをハイライト表示します。
- 罹患率グラフ: 指定した期間にアセットが接続したドメインの数を表示します。
- 一般的なセキュリティ プロダクトからのアラート。
検出エンジン
Google Security Operations Detection Engine を使用すると、セキュリティの問題についてデータ全体を検索するプロセスを自動化できます。受信データすべてを検索し、企業内で脅威の可能性や既知の脅威が検出された場合に通知するルールを指定できます。
VirusTotal
Google Security Operations から VirusTotal を起動すると、[VT Context] をクリックしてアセット、ドメイン、IP アドレスを詳細に調査できます。