アラートと IoC を表示する

以下でサポートされています。

[アラートと IoC] ページには、企業に影響を与えているすべてのアラートとセキュリティ侵害インジケーター(IoC)が表示されます。[アラートと IoC] ページにアクセスするには、ナビゲーション メニューで [検出] > [アラートと IoC] をクリックします。

このページには、[アラート] タブと [IoC の一致] タブが表示されます。

  • [アラート] タブを使用して、企業内の現在のアラートを表示します。

    アラートは、セキュリティ インフラストラクチャ、セキュリティ担当者、または Google Security Operations ルールによって生成できます。

    データ RBAC が有効になっているシステムでは、割り当てられたスコープに関連付けられているルールから発生したアラートと検出結果のみを表示できます。詳細については、データ RBAC が検出に与える影響をご覧ください。

  • [IoC matches] タブを使用して、不審なものとしてフラグが設定され、企業内で確認された IoC を表示します。

    Google SecOps は、インフラストラクチャやその他のセキュリティ データソースからデータを継続的に取り込み、不審なセキュリティ インジケーターとセキュリティ データを自動的に関連付けます。一致するものが見つかった場合(たとえば企業内で不審なドメインが見つかった場合)、Google SecOps はイベントを IoC としてラベル付けし、[IoC matches] ページに表示します。詳細については、Google SecOps で IoC が自動的に照合される仕組みをご覧ください。

    データ RBAC が有効になっているシステムでは、アクセス権限のあるアセットの IoC 一致のみを表示できます。詳細については、データ RBAC が侵害分析と IoC に与える影響をご覧ください。

    信頼スコア、重大度、フィード名、カテゴリなどの IoC の詳細は、IoC の一致数ダッシュボードでも確認できます。

アラートを表示

[アラート] ページには、指定した期間内に企業内で検出されたアラートのリストが表示されます。このページでは、重大度、優先度、リスクスコア、判断など、アラートに関する情報を一目で確認できます。色分けされたアイコンや記号で、直ちに対応が必要なアラートをすばやく確認できます。

[フィルタ] 機能と [期間を設定] 機能を使用すると、表示されるアラートのリストを絞り込むことができます。

列マネージャー(このページのセクションへのリンクを挿入)を使用して、ページに表示する列を指定します。リストを昇順または降順に並べ替えることもできます。

アラートを開いて、イベントのタイムスタンプ、タイプ、概要を表示します。

リスト内のアラートの [名前] をクリックして、[アラート ビュー] にピボットし、アラートとそのステータスに関する追加情報を表示します。

複合検出によって生成されたアラート

アラートは、他のルールからの出力(検出)とイベント、指標、エンティティ リスクシグナルを組み合わせた複合ルールを使用する複合検出によって生成できます。これらのルールは、個々のルールでは見逃す可能性がある複雑な多段階の脅威を検出します。

複合検出は、定義されたルール インタラクションとトリガーを通じてイベントを分析するのに役立ちます。これにより、精度が向上し、誤検出が減少し、さまざまなソースと攻撃段階のデータを関連付けることで、セキュリティ脅威の包括的なビューが提供されます。

[アラート] ページの [入力] 列には、アラートのソースが表示されます。アラートが複合検出からのものである場合、列には「検出」と表示されます。

アラートをトリガーした複合検出を表示するには、[アラート] ページで次のいずれかを行います。

  • アラートを開き、[検出] テーブルで複合検出を表示します。
  • [ルール名] をクリックして、[検出] ページを開きます。
  • アラートの [名前] をクリックして、[アラートの詳細] ページを開きます。

アラートのフィルタ

フィルタを使用して、表示されるアラートのリストを絞り込むことができます。アラートのリストにフィルタを追加する手順は次のとおりです。

  1. ページの左上にある [フィルタ] アイコンまたは [フィルタを追加] をクリックして、[フィルタを追加] ダイアログを開きます。

  2. 以下の情報を指定します。

    • フィールド: フィルタするオブジェクトを入力するか、フィールドに入力を開始してリストから選択します。
    • 演算子: 値の処理方法を示す =(表示のみ)または !=(除外)を入力します。
    • : 照合または除外するフィールドのチェックボックスをオンにします。表示されるリストは、[フィールド] の値に基づいています。

  3. [適用] をクリックします。フィルタは、アラート リストの上にあるフィルタバーにチップとして表示されます。必要に応じて、複数のフィルタを追加できます。

フィルタをクリアするには、フィルタチップの [x] をクリックして削除します。

IoC マッチを表示する

[IoC matches] ページには、ネットワークで検出され、インテリジェント脅威フィードの既知の不審な IoC のリストと照合された IoC が一覧表示されます。IOC に関する情報(タイプ、優先度、ステータス、カテゴリ、アセット、キャンペーン、ソース、IOC 取り込み時間、初回検知、最終検知など)を表示できます。色分けされたアイコンや記号で、IOC で注意が必要なアラートをすばやく確認できます。

Google SecOps で IoC が自動的に照合される仕組み

Google SecOps は、Mandiant、VirusTotal、 Google Cloud Threat Intelligence(GCTI)などの Google 脅威インテリジェンス ソースによってキュレートされた IoC を自動的に取り込みます。MISP_IOC などのフィードを介して独自の IoC データを取り込むこともできます。データの取り込みの詳細については、Google SecOps へのデータの取り込みをご覧ください。

データが取り込まれると、ユニバーサル データモデル(UDM)イベントデータが継続的に分析され、既知の悪意のあるドメイン、IP アドレス、ファイル ハッシュ、URL と一致する IoC が検出されます。一致が見つかると、アラートが生成されます。

次の UDM イベント フィールドが照合の対象となります。

Enterprise Enterprise Plus
about.file
network.dns.answers
network.dns.questions network.dns.questions
principal.administrative_domain
principal.asset
principal.ip
principal.process.file principal.process.file
principal.process.parent_process.file principal.process.parent_process.file
security_result.about.file security_result.about.file
src.file src.file
src_ip
target.asset.ip
target.domain.name
target.file target.file
target.hostname target.hostname
target.ip target.ip
target.process.file target.process.file
target.process.parent_process.file

Google SecOps Enterprise Plus ライセンスがあり、高度な脅威インテリジェンス(ATI)機能が有効になっている場合、IoC は Mandiant のインジケーター信頼度スコア(IC-Score)に基づいて分析され、優先順位が付けられます。IC スコアが 80 を超える IoC のみが自動的に取り込まれます。

また、イベント内の特定の UDM フィールドが YARA-L ルールを使用して分析され、一致するものが特定され、アラートに割り当てる優先度レベル([アクティブな侵害]、[高]、[中])が決定されます。次のようなフィールドがあります。

  • ネットワーク
  • direction
  • security_result
  • []action
  • event_count(アクティブな侵害 IP アドレスに固有)

Google SecOps では、次の IoC インテリジェンス ソースをすぐに利用できます。

Google SecOps Enterprise ライセンス Google SecOps Enterprise Plus ライセンス
  • Google Threat Intelligence(GTI)フィード
  • Google Threat Intelligence(GTI)
  • Mandiant Threat Intelligence(キュレーションとエンリッチメント)
  • Mandiant
  • キュレーテッド検出
  • VirusTotal
  • Applied Threat Intelligence(ATI)
  • Mandiant Fusion
  • キュレーテッド検出
  • 拡充されたオープンソース インテリジェンス(OSINT)

IoC をフィルタする

フィルタを使用して、表示される IoC のリストを絞り込むことができます。IoC のリストにフィルタを追加する手順は次のとおりです。

  1. ページの左上にある [フィルタ] アイコンをクリックして、[フィルタ] ダイアログを開きます。

  2. 以下の情報を指定します。

    • 論理演算子: 結合された条件(分離)のいずれかに一致させる場合は [または] を選択し、結合されたすべての条件(結合)に一致させる場合は [かつ] を選択します。
    • - フィルタする列を選択します。
    • 演算子: 中央の列で、[表示の絞り込み]()または [除外]()を選択して、値の処理方法を指定します。
    • : [] の値に基づいて表示または除外する値のチェックボックスをオンにします。

  3. [適用] をクリックします。フィルタは、IoC リストの上にあるフィルタバーにチップとして表示されます。必要に応じて、複数のフィルタを追加できます。

重大な IoC をフィルタリングする例:

重大度が「重大」と識別された IoC を検索する場合は、左側の列で [重大度]、中央の列で [表示の絞り込み]、右側の列で [重大] を選択します。

Applied Threat Intelligence IoC のフィルタリングの例:

適用された脅威インテリジェンス IOC のみを表示する場合は、左側の列で [ソース]、中央の列で [表示のみ]、右側の列で [Mandiant] を選択します。

ページの左側にある [フィルタ] フライアウト パネルを使用して、IoC をフィルタすることもできます。列名を開き、値を見つけて [その他] アイコンをクリックし、[表示の絞り込み] または [除外] を選択します。

フィルタをクリアするには、フィルタチップの [x] をクリックして削除するか、[すべてクリア] をクリックします。

アラートと IoC の日付と時刻の範囲を指定する

表示するアラートと IoC の期間を指定するには、[カレンダー] アイコンをクリックして [期間を設定] ウィンドウを開きます。[範囲] タブのプリセットの期間を使用して日付と時刻の範囲を指定するか、[イベント時刻] タブでイベント発生の特定の時刻を選択できます。

事前設定された期間を使用する

プリセット オプションを使用して日付と時間の範囲を指定するには、[範囲] タブをクリックして、次のいずれかのオプションを選択します。

  • 今日
  • 過去 1 時間
  • 過去 12 時間
  • 過去 1 日間
  • 先週
  • 過去 2 週間
  • 先月
  • 過去 2 か月間
  • カスタム: カレンダーで開始日と終了日を選択し、[開始時刻] フィールドと [終了時刻] フィールドをクリックして時刻を選択します。

日付と期間にイベント時間を使用する

イベントに基づいて日付と時刻の範囲を指定するには、[イベント時刻] タブをクリックし、カレンダーで日付を選択して、次のいずれかのオプションを選択します。

  • 正確な時間: [イベント時刻] フィールドをクリックし、イベントが発生した正確な時刻を選択します。
  • +/- 1 分
  • +/- 3 分
  • +/- 5 分
  • +/- 10 分
  • +/- 15 分
  • +/- 1 時間
  • +/- 2 時間
  • +/- 6 時間
  • +/- 12 時間
  • +/- 1 日
  • +/- 3 日
  • +/- 1 週間

アラートと IoC のリストを更新する

右上の [Refresh time] メニューを使用して、アラートリストを更新する頻度を選択します。次のオプションが用意されています。

  • 今すぐ更新
  • 自動更新しない(デフォルト)
  • 5 分ごとに更新
  • 15 分ごとに更新
  • 1 時間ごとに更新

アラートと IOC を並べ替える

表示されるアラートと IoC を昇順または降順で並べ替えることができます。列見出しをクリックして、リストを並べ替えます。

IoC の詳細を表示する

優先度、タイプ、ソース、IC-Score、カテゴリなどのインシデントの詳細を表示するには、IoC をクリックして [IoC details] ページを開きます。このページでは、次のことができます。

  • IoC をミュートまたはミュート解除する
  • イベントの優先順位付けを表示する
  • 関連付けを表示する

IoC をミュートまたはミュート解除する

管理者またはテスト アクションによって IoC が生成された場合は、インジケーターをミュートして誤検知を防ぐことができます。

  • IoC をミュートするには、右上にある [ミュート] をクリックします。
  • ステータスのミュートを解除するには、右上にある [ミュート解除] をクリックします。

イベントの優先順位付けを表示する

[イベント] タブでは、IoC が検出されたイベントの優先順位を確認できます。

イベントをクリックしてイベント ビューアを開きます。イベント ビューアには、優先度と根拠、イベントの詳細が表示されます。

関連付けを表示する

[関連付け] タブを使用して、アクターまたはマルウェアの関連付けを表示し、侵害の調査とアラートの優先順位付けを行います。

SOAR アラート

Google SecOps のお客様の場合、SOAR アラートがこのページに表示され、ケース ID が含まれます。ケース ID をクリックして [ケース] ページを開きます。[ケース] ページでは、アラートとページの両方に関する情報を取得できます。このページでは、アラートと関連するケースの両方の詳細を表示し、対応アクションを実行できます。詳細については、ケースの概要をご覧ください。

[アラートと IOC] ページで、Google SecOps のお客様の場合、[アラートのステータスの変更] ボタンと [アラートを閉じる] ボタンは無効になります。アラートのステータスを管理したり、アラートを閉じたりするには、次の操作を行います。 1. [ケース] ページに移動します。1. [ケースの詳細] セクション > アラートの概要で、[ケースに移動] をクリックしてケースにアクセスします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。