Applied Threat Intelligence のキュレートされた検出の概要

以下でサポートされています。

このドキュメントでは、Google Security Operations Enterprise Plus で使用できる Applied Threat Intelligence のキュレートされた優先度カテゴリのキュレートされた検出ルールセットの概要について説明します。これらのルールは、Mandiant Threat Intelligence を使用して、優先度の高い脅威を事前に特定し、アラートを送信します。

キュレーションされた検出ルールセット

キュレートされた優先度カテゴリには、Google SecOps の Applied Threat Intelligence 機能をサポートする次のルールセットが含まれています。

  • Active Breach Priority Network Indicators: Mandiant Threat Intelligence を使用して、イベントデータ内のネットワーク関連のセキュリティ侵害インジケーター(IOC)を検出します。[アクティブな侵害] ラベルが付けられた IOC を優先します。
  • Active Breach Priority Host Indicators: Mandiant Threat Intelligence を使用して、イベントデータ内のホスト関連の IOC を検出します。[アクティブな侵害] ラベルが付けられた IOC を優先します。
  • High Priority Network Indicators: Mandiant Threat Intelligence を使用して、イベントデータ内のネットワーク関連の IOC を特定します。高のラベルが付けられた IOC を優先します。
  • High Priority Host Indicators: Mandiant Threat Intelligence を使用して、イベントデータ内のホスト関連の IOC を検出します。高のラベルが付けられた IOC を優先します。
  • インバウンド IP アドレス認証インジケーター: インバウンド ネットワーク方向でローカル インフラストラクチャに対して認証を行っている IP アドレスを特定します。高のラベルが付けられた脅威を優先します。
  • Medium Priority Network Indicators: Mandiant Threat Intelligence を使用して、イベントデータ内のネットワーク関連の IOC を特定します。中のラベルが付けられた IOC を優先します。
  • Medium Priority Host Indicators: Mandiant Threat Intelligence を使用して、イベントデータ内のホスト関連の IOC を特定します。中のラベルが付けられた IOC を優先します。

ルールセットを有効にすると、Google SecOps は Mandiant Threat Intelligence データに対してイベントデータの評価を開始します。 [アクティブな侵害] または [高] ラベルの IOC に一致するものがルールで検出されると、アラートが生成されます。キュレートされた検出のルールセットを有効にする方法の詳細については、すべてのルールセットを有効にするをご覧ください。

サポート対象のデバイスとログタイプ

Google SecOps がデフォルト パーサーでサポートする任意のログタイプからデータを取り込むことが可能です。リストについては、サポートされているログタイプとデフォルト パーサーをご覧ください。

Google SecOps は、Mandiant Threat Intelligence によってキュレートされた IOC と UDM イベントデータを評価し、ドメイン、IP アドレス、ファイル ハッシュ、URL の一致を特定します。これらのルールセットを保存する UDM フィールドを分析します。

デフォルトのパーサーをカスタム パーサーに置き換え、ドメイン、IP アドレス、ファイル ハッシュ、URL が保存されている UDM フィールドを変更すると、これらのルールセットの動作に影響を与える可能性があります。

ルールセットでは、Google SecOps イベントから次の UDM フィールドを使用します。これらのフィールドは、Mandiant Threat Intelligence の優先度設定機能と組み合わせて、[アクティブな侵害]、[高]、[中] などの優先度レベルを決定するのに役立ちます。

  • network.direction
  • security_result.[]action
  • event_count(アクティブな侵害 IP アドレスのみ)

IP アドレス インジケーターの場合、network.direction は必須です。UDM イベントで network.direction フィールドが入力されていない場合、Applied Threat Intelligence は principal.iptarget.ip フィールドを RFC 1918 の内部 IP アドレス範囲と照合して、ネットワークの方向を決定します。このチェックで明確でない場合、IP アドレスはお客様の環境の外部とみなされます。

Applied Threat Intelligence のカテゴリから返されるアラートの調整

ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。

ルールの除外では、ルールセットによる評価からイベントを除外する UDM イベントの条件を定義します。指定した UDM フィールドの値を持つイベントは、ルールセットのルールによって評価されません。

たとえば、次の情報に基づいてイベントを除外できます。

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256
  • target.url

ルール除外を作成する方法については、ルール除外を構成するをご覧ください。

ルールセットで事前定義の参照リストを使用する場合、参照リストの説明では、評価される UDM フィールドの詳細が提供されます。

インバウンド IP アドレス認証ルールセットは、このルールセットのアラートの調整に使用できる 3 つの UDM フィールドを使用します。

  • principal.ip
  • principal.asset.ip
  • src.ip

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。