Applied Threat Intelligence のキュレートされた検出の概要

以下でサポートされています。

このドキュメントでは、Google Security Operations Enterprise Plus で使用できる Applied Threat Intelligence のキュレートされた優先度カテゴリのキュレートされた検出ルールセットの概要について説明します。これらのルールは、Mandiant Threat Intelligence を使用して、優先度の高い脅威を事前に特定し、アラートを送信します。

キュレートされた検出ルールセット

キュレートされた優先度カテゴリには、Google SecOps の Applied Threat Intelligence 機能をサポートする次のルールセットが含まれています。

  • Active Breach Priority Network Indicators: Mandiant Threat Intelligence を使用してイベントデータ内のネットワーク関連のセキュリティ侵害インジケーター(IoC)を検出し、[アクティブな侵害] ラベルが付けられた IoC を優先します。
  • Active Breach Priority Host Indicators: Mandiant Threat Intelligence を使用してイベントデータ内のホスト関連の IoC を検出し、[アクティブな侵害] ラベルを付けて優先順位を付けます。
  • High Priority Network Indicators: Mandiant Threat Intelligence を使用して、イベントデータ内のネットワーク関連の IoC を特定し、「高」のラベルを付けて優先順位を付けます。
  • High Priority Host Indicators: Mandiant Threat Intelligence を使用してイベントデータ内のホスト関連の IoC を検出し、高のラベルを付けて優先順位を付けます。
  • 受信 IP アドレス認証インジケーター: 受信ネットワーク方向でローカル インフラストラクチャに対して認証を行っている IP アドレスを特定し、「高」ラベルで優先順位を付けます。
  • Medium Priority Network Indicators: Mandiant Threat Intelligence を使用してイベントデータ内のネットワーク関連の IoC を特定し、「中」ラベルで優先順位を付けます。
  • Medium Priority Host Indicators: Mandiant Threat Intelligence を使用してイベントデータ内のホスト関連の IoC を特定し、「中」のラベルで優先順位を付けます。

ルールセットを有効にすると、Google SecOps は Mandiant Threat Intelligence データに対してイベントデータの評価を開始します。いずれかのルールで、[アクティブな侵害] または [高] のラベルが付いた IoC との一致が検出されると、アラートが生成されます。キュレートされた検出のルールセットを有効にする方法の詳細については、すべてのルールセットを有効にするをご覧ください。

サポート対象のデバイスとログタイプ

Google SecOps がデフォルト パーサーでサポートする任意のログタイプからデータを取り込むことができます(サポートされているログタイプとデフォルト パーサーをご覧ください)。

Google SecOps は、Mandiant Threat Intelligence によってキュレートされた IoC と UDM イベントデータを評価し、ドメイン、IP アドレス、ファイル ハッシュ、URL の一致を特定します。次に、これらのルールセットを保存する UDM フィールドを分析します。

デフォルトのパーサーをカスタム パーサーに置き換え、ドメイン、IP アドレス、ファイル ハッシュ、URL が保存されている UDM フィールドを変更すると、これらのルールセットの動作に影響を与える可能性があります。

ルールセットでは、Google SecOps イベントから次の UDM フィールドを使用します。これらのフィールドは、Mandiant Threat Intelligence の優先度設定機能と組み合わせて、[アクティブな侵害]、[高]、[中] などの優先度レベルを決定するのに役立ちます。

  • network.direction
  • security_result.[]action
  • event_count(アクティブな侵害 IP アドレスのみ)

IP アドレス インジケーターの場合、network.direction は必須です。UDM イベントで network.direction フィールドが入力されていない場合、Applied Threat Intelligence は principal.iptarget.ip フィールドを RFC 1918 の内部 IP アドレス範囲と照合して、ネットワークの方向を決定します。このチェックで明確でない場合、IP アドレスはお客様の環境の外部とみなされます。

Applied Threat Intelligence のカテゴリから返されるアラートの調整

ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。

ルールの除外では、ルールセットによる評価からイベントを除外する UDM イベントの条件を定義します。指定した UDM フィールドの値を持つイベントは、ルールセットのルールによって評価されません。

たとえば、次の情報に基づいてイベントを除外できます。

  • principal.hostname
  • principal.ip
  • target.domain.name
  • target.file.sha256
  • target.url

ルール除外を作成する方法については、ルール除外を構成するをご覧ください。

ルールセットで事前定義の参照リストを使用する場合、参照リストの説明では、評価される UDM フィールドの詳細が提供されます。

インバウンド IP アドレス認証ルールセットは、このルールセットのアラートの調整に使用できる 3 つの UDM フィールドを使用します。

  • principal.ip
  • principal.asset.ip
  • src.ip

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。