Google Security Operations の概要

Google Security Operations は、Google インフラストラクチャ上に特別なレイヤとして構築されるクラウド サービスであり、企業で生成された大量のセキュリティ テレメトリーとネットワーク テレメトリーを非公開で保持、分析、検索できるようにするように企業向けに設計されています。

Google Security Operations は、データの正規化、インデックス付け、相互関連付け、分析を実施して、リスクのあるアクティビティが発生すると即時に分析とコンテキストを提示します。Google Security Operations を使用すると、脅威を検出し、それらの脅威の範囲と原因を調査して、エンタープライズ ワークフロー、対応、オーケストレーションのプラットフォームとの事前構築された統合を使用した修復を行うことができます。

Google SecOps を使用すると、自社の集約されたセキュリティ情報を数か月以上にわたって調査できます。Google Security Operations を使用して、企業内でアクセスされているすべてのドメインを検索します。特定のアセット、ドメイン、または IP アドレスに検索を絞って、侵害が起きているかどうかを判断できます。

Google SecOps プラットフォームでは、セキュリティ アナリストがライフサイクル全体でセキュリティ脅威を分析、軽減するために次の機能を使用できます。

  • 収集: データは、フォワーダー、パーサー、コネクタ、Webhook を使用してプラットフォームに取り込まれます。
  • 検出: このデータは、ユニバーサル データモデル(UDM)を使用して集計、正規化され、検出と脅威インテリジェンスにリンクされます。
  • 調査: 脅威は、ケース管理、検索、コラボレーション、コンテキストアウェア分析を通じて調査されます。
  • 対応: セキュリティ アナリストは、自動化ハンドブックとインシデント管理を使用して迅速に対応し、解決策を提供できます。

データ収集

Google Security Operations では、次のようなさまざまな方法で数多くのセキュリティ テレメトリー タイプを取り込むことができます。

  • フォワーダー: お客様のネットワークにデプロイされる軽量のソフトウェア コンポーネントであり、syslog、パケット キャプチャ、既存のログ管理またはセキュリティ情報およびイベント管理(SIEM)データ リポジトリをサポートします。

  • 取り込み API: お客様の環境にハードウェアやソフトウェアを追加することなく、ログを Google Security Operations プラットフォームに直接送信できるようにする API です。

  • サードパーティ統合: サードパーティの Cloud APIs と統合して、Office 365 や Azure AD といったソースなどのログを取り込むことができます。

攻撃者について

Google Security Operations の分析機能は、ブラウザベースのアプリケーションとして提供されます。その機能の多くには、Read API を介してプログラマティックにアクセスすることもできます。アナリストは、疑われる脅威を発見したとき、さらに調査を進め、どのような対処が適切かを Google Security Operations を利用して判断できます。

Google Security Operations の機能の概要

このセクションでは、Google Security Operations で使用できる機能の一部について説明します。

  • UDM 検索: Google Security Operations インスタンス内の統合データモデル(UDM)イベントとアラートを検索できます。
  • 未加工ログスキャン: 未加工の解析されていないログを検索します。
  • 正規表現: 正規表現を使用して、解析されていない未加工のログを検索します。

ケース管理

関連するアラートをケースにグループ化し、ケースキューを並べ替えとフィルタリングしてトリアージと優先順位付けを行い、ケースを割り当て、すべてのケースで共同作業し、ケースの監査と報告を行います。

ハンドブック デザイナー

事前定義されたアクションを選択し、それらをハンドブック キャンバスにドラッグ&ドロップして、追加のコーディングなしにハンドブックを作成します。ハンドブックを使用すると、アラートの種類ごとと SOC のロールごとに専用のビューを作成することもできます。ケース管理には、特定のアラートタイプとユーザーロールに関連するデータのみが表示されます。

グラフ調査者

攻撃が誰によって、何に対して、いつ行われたかを可視化し、脅威探査の機会を特定し、全体像を把握して対処します。

ダッシュボードとレポート

運用を効果的に測定して管理し、関係者に価値を実証し、リアルタイムの SOC 指標と KPI を追跡します。組み込みのダッシュボードとレポートを使用することも、独自のものを作成することもできます。

統合開発環境(IDE)

コーディング スキルを持つセキュリティ チームは、既存のハンドブック アクションの変更と強化、コードのデバッグ、既存の統合の新しいアクションの構築、Google Security Operations SOAR Marketplace では利用できない統合の作成を行うことができます。

調査ビュー

  • [Asset] ビュー: 企業内のアセットと、不審なドメインとのやり取りの有無を調査できます。
  • [IP Address] ビュー: 企業内の特定の IP アドレスや、アセットにどのような影響があるかを調査できます。
  • [Hash] ビュー: ハッシュ値に基づいてファイルを検索して調査します。
  • [Domain] ビュー: 企業内の特定のドメインと、アセットにどのような影響を与えているかを調査します。
  • [User] ビュー: セキュリティ イベントの影響を受けた可能性がある社内ユーザーを調査します。
  • 手続き型フィルタリング: イベントタイプ、ログソース、ネットワーク接続ステータス、トップレベル ドメイン(TLD)など、アセットに関する情報を微調整します。

ハイライト表示情報

  • アセット分析情報ブロック: さらに調査が必要なドメインとアラートをハイライト表示します。
  • 罹患率グラフは、指定した期間にアセットが接続したドメインの数を表示します。
  • 他の一般的なセキュリティ プロダクトからのアラート。

検出エンジン

Google Security Operations Detection Engine を使用すると、セキュリティの問題についてデータ全体を検索するプロセスを自動化できます。受信データすべてを検索し、企業内で脅威の可能性や既知の脅威が検出された場合に通知するルールを指定できます。

アクセス制御

事前定義ロールの使用と新しいロールの構成の両方を行うことで、Google Security Operations インスタンス内に格納されているデータ、アラート、イベントのクラスへのアクセスを制御できます。Identity and Access Management は、Google Security Operations のアクセス制御を提供します。