Google Security Operations を使用してアラートを確認する
このガイドでは、Google セキュリティ オペレーションを使用してアラートを調査する方法について説明します。
アラートとは何か。
アラートは、Google セキュリティ オペレーションによってフラグが付けられたセキュリティ侵害インジケーター(IOC)であり、企業内の通常のトラフィック ワークフローでの異常を示します。セキュリティ侵害の可能性があるため、アラートを調査する必要があります。
アラートを Google Security Operations に送信する方法
Google Security Operations は、業界全体のデータベースを継続的に更新して、セキュリティ コミュニティ内のさまざまな外部ソースを活用しています。Google Security Operations には機能が豊富なプログラミング言語である YARA-L も用意されているため、独自のカスタムルールを作成できます。
YARA-L の詳細については、YARA-L 2.0 言語の概要をご覧ください。ルールの詳細については、ルールエディタを使用してルールを管理するをご覧ください。
始める前に
次の手順は、企業の Google Security Operations インスタンスまたは Google Security Operations デモ環境から行うことができます。
Google Security Operations は、Google Chrome または Mozilla Firefox ブラウザ専用で動作するように設計されています。
ブラウザを最新バージョンにアップグレードすることをおすすめします。Chrome の最新バージョンは https://www.google.com/chrome/ からダウンロードできます。
Google Security Operations は、シングル サインオン ソリューション(SSO)に統合されます。所属する企業から提供された認証情報を使用して、Google Security Operations にログインできます。
Chrome または Firefox を起動します。
企業のアカウントにアクセスできることを確認します。
Google Security Operations アプリケーションにアクセスするには、https://customer_subdomain.backstory.chronicle.security にアクセスしてください。ここで、customer_subdomain はお客様固有の ID です。
アラートと IOC Matches を表示する
ナビゲーション バーで、[検出] > [アラートと IOC] を選択します。
[アラート] タブと [IOC Matches] タブが表示されます。一致とアラートを表示するには、右上のカレンダー コントロールを使用して期間を調整する必要があります。
アセットビューにピボット
次に、不正使用された可能性のある特定のアセットにドリルダウンします。
[IOC Matches] タブでドメインをクリックして、[ドメイン] ビューを開きます。
[タイムライン] タブを選択します。
アセットビューにピボットするには、時間をクリックしてイベントを選択します。次の図に示すように、[Asset] ビューには、アラート トリガーのタイムライン付近で選択したアセットの詳細が表示されます。
![[Asset] ビュー](https://cloud.google.com/chronicle/images/qs/qs-alert-asset-view.png?hl=ja)
[Asset] ビューメイン ウィンドウのふきだしには、アセットの普及率が表示されます。 グラフは整理され、発生頻度の低いイベントが上部に表示されます。普及率の低いイベントは疑わしいとみなされます。右上の時間スライダーを使って、調査が必要なイベントにズームインします。
[Procedural Filtering] メニューが表示されていない場合は、右上のフィルタ アイコン
をクリックします。メニューの上部にある [Prevalence] スライダーを調整して、一般的なイベントを除外します。[Time] スライダーと [Prevalence] スライダーを使用して、不審なイベントを特定します。
[タイムライン] サイドバー リストからアラートを開きます。左側のパネルで、アラート周辺のイベントを表示する [タイムライン] タブを選択します。トリガーされたイベントが緑色でハイライト表示されます。
アラートをトリガーした要因を調査する
トリガーとなるイベントに関する詳細な分析情報を取得するには、いくつかの方法があります。
中央のパネルには、アラートの場所を示すオレンジ色の小さな三角形の上にオレンジ色のダイアログ ボックスが表示されることがあります。ダイアログ ボックスが表示されていない場合は、三角形にカーソルを合わせると、表示されます。ダイアログには、アラートの日付、時刻、説明が含まれています。
[Asset] ビューの左側のパネルに [Timeline] タブが表示されます。イベントに「Rule Alert」というラベルが付いている場合は、アラートの説明も記載されています。
ルールアラートイベントにカーソルを合わせると、イベントの右側に展開アイコン
![[Expand Event] アイコン](https://cloud.google.com/chronicle/images/expand-event-icon-c.png?hl=ja)
が表示されます。このアイコンをクリックすると、イベントの詳細を示す新しいウィンドウが開きます。次の図をご覧ください。
イベントの詳細