Chronicle SIEM の概要
Chronicle SIEM は、コアとなる Google インフラストラクチャ上に特別なレイヤとして構築されるクラウド サービスとして、社内で生成された大量のセキュリティ テレメトリーとネットワーク テレメトリーを非公開で保持、分析、検索できるようにするように設計されています。また、データの正規化、インデックス付け、相互関連付け、分析を実施して、リスクのあるアクティビティが発生すると即時に分析とコンテキストを提示します。
Chronicle を使用すると、自社の集約されたセキュリティ情報を数か月以上にわたって調査できます。Chronicle を使用して、企業内でアクセスされたすべてのドメインを検索します。検索を特定のアセット、ドメイン、IP アドレスに絞り込むことで、不正使用が発生したかどうかを判断できます。
Chronicle プラットフォームの概要
データ収集
Chronicle では、次のようなさまざまな方法で数多くのセキュリティ テレメトリー タイプを取り込むことができます。
フォワーダー: お客様のネットワークにデプロイされた軽量のソフトウェア コンポーネント。Syslog、パケット キャプチャ、既存のログ管理またはセキュリティ情報およびイベント管理(SIEM)データ リポジトリをサポートしています。
取り込み API: お客様の環境にハードウェアやソフトウェアを追加することなく、ログを Chronicle プラットフォームに直接送信できるようにする API です。
サードパーティ統合: サードパーティの Cloud APIs と統合して、Office 365 や Azure AD といったソースなどのログを取り込むことができます。
データ分析
セキュリティ担当者は、Chronicle の分析機能をブラウザベースの簡単なアプリケーションとして利用できます。その機能の多くには、Read API を介してプログラマティックにアクセスすることもできます。 アナリストは、疑われる脅威を認識したとき、それがどのようなもので、何を行い、どの影響程度があり、どのような対処が適切かを Chronicle を活用して判断できます。
セキュリティとコンプライアンス
Google のコア インフラストラクチャに構築された特別なプライベート レイヤとして、Chronicle はコンピューティング機能とストレージ機能に加えて、そのインフラストラクチャのセキュリティに関連する設計と機能を継承しています。
セキュリティ設計の一環として、Chronicle はユーザー認証情報(たとえば、Chronicle フィードがサードパーティの API からログデータを取り込むことができるように指定した認証情報)を Secret Manager に保存します。
Chronicle の機能
検索
- 未加工ログスキャン: 解析されていない未加工のログを検索します。
- 正規表現: 正規表現を使用して、解析されていない未加工のログを検索します。
調査ビュー
- Enterprise Insights: 最も調査が必要なドメインとアセットが表示されます。
- [Asset] ビュー: 企業内のアセットと、不審なドメインとのやり取りの有無を調査できます。
- [IP Address] ビュー: 企業内の特定の IP アドレスや、アセットにどのような影響があるかを調査できます。
- [Hash] ビュー: ハッシュ値に基づいてファイルを検索して調査します。
- [Domain] ビュー: 企業内の特定のドメインと、アセットにどのような影響を与えているかを調査します。
- [User] ビュー: セキュリティ イベントの影響を受けた可能性がある社内ユーザーを調査します。
- 手続き型フィルタリング: イベントタイプ、ログソース、ネットワーク接続ステータス、トップレベル ドメイン(TLD)など、アセットに関する情報を微調整します。
キュレート済み情報
- アセット分析情報ブロック: さらに調査が必要なドメインとアラートをハイライト表示します。
- 罹患率グラフ: 指定した期間にアセットが接続したドメインの数を表示します。
- 人気のセキュリティ プロダクトからのアラート。
検出エンジン
Chronicle Detection Engine を使用すると、セキュリティの問題についてデータ全体を検索するプロセスを自動化できます。受信データすべてを検索し、企業内で脅威の可能性や既知の脅威が検出された場合に通知するルールを指定できます。
VirusTotal
Chronicle から VirusTotal を起動すると、[VT Context] をクリックしてアセット、ドメイン、IP アドレスを詳細に調査できます。