Google Security Operations を使用してアラートを確認する

以下でサポートされています。
このガイドでは、Google Security Operations を使用してアラートを調査する方法について説明します。

アラートとは何か。

アラートは、Google Security Operations によってフラグが付けられたセキュリティ侵害インジケーター(IOC)であり、企業内の通常のトラフィック ワークフローでの異常を示します。アラートは、セキュリティ侵害の可能性として調査する必要があります。

アラートはどのように Google Security Operations に送信されますか?

Google Security Operations は、業界全体のデータベースを継続的に更新して、セキュリティ コミュニティ内のさまざまな外部ソースを活用します。Google Security Operations には、機能豊富なプログラミング言語 YARA-L も用意されているため、独自のカスタムルールを作成できます。

YARA-L の詳細については、YARA-L 2.0 言語の概要をご覧ください。ルールの詳細については、ルールエディタを使用してルールを管理するをご覧ください。

始める前に

これらの手順は、貴社の Google Security Operations インスタンスまたは Google Security Operations デモ環境から行うことができます。

Google Security Operations は、Google Chrome または Mozilla Firefox ブラウザ専用で動作するように設計されています。

ブラウザを最新バージョンにアップグレードすることをおすすめします。Chrome の最新バージョンは https://www.google.com/chrome/ からダウンロードできます。

Google Security Operations が、シングル サインオン ソリューション(SSO)に統合されます。所属する企業から提供された認証情報を使用して、Google Security Operations にログインできます。

  1. Chrome または Firefox を起動します。

  2. 企業のアカウントにアクセスできることを確認します。

  3. Google Security Operations アプリケーションにアクセスするには、https://customer_subdomain.backstory.chronicle.security にアクセスしてください。ここで、customer_subdomain はお客様固有の ID です。

アラートと IOC の一致を表示

ナビゲーション バーで、[検出] > [アラートと IOC] を選択します。

[アラートと IOC の一致] タブが表示されます。一致とアラートを表示するには、右上のカレンダー コントロールを使用して期間を調整しなければならない場合があります。

アセットビューにピボット

次に、侵害された可能性のある特定のアセットにドリルダウンします。

  1. [IOC の一致] タブでドメインをクリックして、[ドメイン] ビューを開きます。

  2. [タイムライン] タブを選択します。

  3. アセットビューに切り替えるには、時刻をクリックしてイベントを選択します。次の図に示すように、[Asset] ビューには、アラート トリガーのタイムライン付近で選択したアセットの詳細が表示されます。

    [Asset] ビュー [Asset] ビュー

    メイン ウィンドウのふきだしには、アセットの普及率が表示されます。 グラフは整理され、発生頻度の低いイベントが上部に表示されます。普及率の低いイベントは疑わしいとみなされます。右上の [時間] スライダーを使用して、調査が必要なイベントを拡大します。

  4. [Procedural Filtering] メニューが表示されていない場合は、右上のフィルタ アイコン フィルタ アイコン をクリックします。

  5. メニューの上部にある [Prevalence] スライダーを調整して、一般的なイベントを除外します。[Time] スライダーと [Prevalence] スライダーを使用して、不審なイベントを特定します。

  6. タイムライン サイドバーのリストからアラートを開きます。左側のパネルで、アラート周辺のイベントを表示する [タイムライン] タブを選択します。トリガー イベントが緑色でハイライト表示されます。

アラートをトリガーした要因を調査する

トリガーとなるイベントに関する詳細な分析情報を取得するには、いくつかの方法があります。

  • 中央のパネルでは、アラートの場所と時刻を示す小さなオレンジ色の三角形の上に、オレンジ色のダイアログ ボックスが表示されることがあります。ダイアログ ボックスが表示されない場合は、三角形にカーソルを合わせると表示されます。ダイアログには、アラートの日時と説明が表示されます。

  • [Asset] ビューの左側のパネルに [Timeline] タブが表示されます。イベントに「Rule Alert」というラベルが付いている場合は、アラートの説明も記載されています。

  • [ルールアラート] イベントにカーソルを合わせると、イベントの右側に [展開] アイコン [Expand Event] アイコン が表示されます。このアイコンをクリックすると、次の図に示すように、イベントの詳細が UDM 形式で表示された新しいウィンドウが開きます。

    イベントの詳細 イベントの詳細