Google Security Operations で潜在的なセキュリティの問題を確認する
このドキュメントでは、Google Security Operations を使用してアラートと潜在的なセキュリティの問題を調査する際に、検索を行う方法について説明します。
始める前に
Google Security Operations は、Google Chrome または Mozilla Firefox ブラウザ専用で動作するように設計されています。
ブラウザを最新バージョンにアップグレードすることをおすすめします。Chrome の最新バージョンは https://www.google.com/chrome/ からダウンロードできます。
Google Security Operations は、シングル サインオン ソリューション(SSO)に統合されています。所属する企業から提供された認証情報を使用して、Google Security Operations にログインできます。
Chrome または Firefox を起動します。
企業のアカウントにアクセスできることを確認します。
Google Security Operations アプリケーションにアクセスするには、https://customer_subdomain.backstory.chronicle.security にアクセスしてください。ここで、customer_subdomain はお客様固有の ID です。
アラートと IOC の一致を表示
ナビゲーション バーで、[検出] > [アラートと IOC] を選択します。
[IOC の一致] タブをクリックします。
[ドメイン] ビューでの IOC 一致の検索
[IOC ドメイン一致] タブの [ドメイン] 列には、疑わしいドメインのリストが含まれています。この列のドメインをクリックすると、次の図に示すように [ドメイン] ビューが開き、このドメインに関する詳細情報が表示されます。
![[Domain] ビュー](https://cloud.google.com/chronicle/images/qs/qs-search-domain-view.png?hl=ja)
[ドメイン] ビュー
[ユーザー] ビューを使用した検索
[ユーザー] ビューに移動する手順は次のとおりです。
- [Enterprise Insights] ビューでは、[最近のアラート] セクションに、[Enterprise Insights] ヘッダーに表示される期間内にアラートをトリガーしたユーザーを一覧表示する列が含まれます。この期間は、時間スライダー バーを使用して調整できます。一致とアラートが表示されるように、スライダーを使用して期間を長くする必要があります。
- この列のユーザー名をクリックすると、ユーザーのアクティビティの詳細が表示されます。脅威を詳細に調査するために、この情報が必要な場合があります。
[アセット] ビューを使用した検索
[アセット] ビューに移動するには、次の手順を行います。
- [Enterprise Insights] ビューでは、[最近のアラート] セクションに、[Enterprise Insights] ヘッダーに表示される期間内にアラートをトリガーしたアセットの一覧が含まれます。この期間は、時間スライダー バーを使用して調整できます。一致とアラートが表示されるように、スライダーを使用して期間を長くする必要があります。
詳細を確認するアセットをクリックします。次の図に示すように、Google Security Operations は [アセット] ビューにピボットします。
![[Asset] ビュー](https://cloud.google.com/chronicle/images/qs/qs-search-asset-view.png?hl=ja)
メイン ウィンドウのふきだしには、アセットの普及率が表示されます。 グラフは整理され、発生頻度の低いイベントが上部に表示されます。普及率の低いイベントは、疑わしいとみなされる可能性が高くなります。詳細な調査が必要なイベントを拡大するには、右上の期間スライダーを使用します。
検索をさらに絞り込むには、[Procedural Filtering] を使用します。 [Procedural Filtering] プルダウン メニューがまだ開いていない場合は、右上隅にあるアイコン
![[フィルタリング] アイコン](https://cloud.google.com/chronicle/images/filtering-icon-c.png?hl=ja)
をクリックします。プルダウン メニューの上部にある [普及率] スライダーを使用して、通常のイベントを除外し、不審なイベントをターゲットにします。
Google Security Operations の検索フィールドの使用
次の図に示すように、Google Security Operations のホームページから直接検索を開始します。
Google Security Operations の検索フィールド
このページでは、次の検索キーワードを入力できます。
|
(例: plato.example.com) |
|
(例: altostrat.com) |
|
(例: 192.168.254.15) |
|
(例: https://new.altostrat.com) |
|
(例: betty-decaro-pc) |
|
(例: e0d123e5f316bef78bfdf5a888837577) |
入力する検索キーワードの種類を指定する必要はありません。Google Security Operations によって決定されます。結果は、適切な調査ビューに表示されます。たとえば、検索フィールドにユーザー名を入力すると、[アセット] ビューが表示されます。
未加工ログの検索
インデックス登録されたデータベースを検索することも、未加工のログを検索することもできます。未加工のログの検索はより広範な検索ですが、インデックス付きの検索よりも時間がかかります。
検索をさらに絞り込むには、正規表現を使用するか、検索エントリで大文字と小文字が区別されるようにします。または、ログソースを選択します。[開始] 時間フィールドと [終了] 時間フィールドを使用して、目的のタイムラインを選択することもできます。
未加工ログの検索を実行するには、次の手順に従います。
検索語句を入力し、次の図に示すように、プルダウン メニューで [未加工のログスキャン] を選択します。
![[未加工のログスキャン] メニュー](https://cloud.google.com/chronicle/images/qs/qs-search-raw-log-scan-menu.png?hl=ja)
[未加工のログスキャン] オプションを示すプルダウン メニュー検索条件を設定したら、[Search] ボタンをクリックします。
[未加工のログスキャン] ビューでは、ログデータを詳しく分析できます。