Google Security Operations で潜在的なセキュリティの問題を確認する

このドキュメントでは、Google Security Operations を使用してアラートと潜在的なセキュリティの問題を調査する際に、検索を行う方法について説明します。

始める前に

Google Security Operations は、Google Chrome または Mozilla Firefox ブラウザ専用で動作するように設計されています。

ブラウザを最新バージョンにアップグレードすることをおすすめします。Chrome の最新バージョンは https://www.google.com/chrome/ からダウンロードできます。

Google SecOps は、シングル サインオン ソリューション(SSO)に統合されます。所属する企業から提供された認証情報を使用して、Google SecOps にログインできます。

  1. Chrome または Firefox を起動します。

  2. 企業のアカウントにアクセスできることを確認します。

  3. Google SecOps アプリケーションにアクセスするには、https://customer_subdomain.backstory.chronicle.security にアクセスしてください。ここで、customer_subdomain はお客様固有の ID です。

アラートと IOC の一致を表示

  1. ナビゲーション バーで、[検出] > [アラートと IOC] を選択します。

  2. [IOC Matches] タブをクリックします。

[ドメイン] ビューでの IOC 一致の検索

[IOC ドメイン一致] タブの [ドメイン] 列には、疑わしいドメインのリストが含まれています。この列のドメインをクリックすると、次の図に示すように [ドメイン] ビューが開き、このドメインに関する詳細情報が表示されます。

[Domain] ビュー [ドメイン] ビュー

Google Security Operations の検索フィールドの使用

次の図に示すように、Google Security Operations のホームページから直接検索を開始します。

検索フィールド Google Security Operations の検索フィールド

このページでは、次の検索キーワードを入力できます。

  • ホスト名により [ドメイン] ビューが表示される
 (例: plato.example.com)
  • ドメインにより [ドメイン] ビューが表示される
 (例: altostrat.com)
  • IP アドレスにより [IP アドレス] ビューが表示される
 (例: 192.168.254.15)
  • URL により [ドメイン] ビューが表示される
 (例: https://new.altostrat.com)
  • ユーザー名により [アセット] ビューが表示される
 (例: betty-decaro-pc)
  • ファイル ハッシュにより [ハッシュ] ビューが表示される
 (例: e0d123e5f316bef78bfdf5a888837577)

入力する検索キーワードの種類を指定する必要はありません。Google Security Operations によって決定されます。結果は適切な調査ビューに表示されます。たとえば、検索フィールドにユーザー名を入力すると、[アセット] ビューが表示されます。

未加工ログの検索

インデックス付きデータベースを検索するか、未加工のログを検索するかを選択できます。未加工のログの検索はより広範な検索ですが、インデックス付きの検索よりも時間がかかります。

検索をさらに絞り込むには、正規表現を使用するか、検索エントリで大文字と小文字が区別されるようにします。または、ログソースを選択します。[開始] 時間フィールドと [終了] 時間フィールドを使用して、目的のタイムラインを選択することもできます。

未加工ログの検索を実行するには、次の手順に従います。

  1. 検索語句を入力し、次の図に示すように、プルダウン メニューで [未加工のログスキャン] を選択します。

    [未加工のログスキャン] メニュー [未加工のログスキャン] オプションを示すプルダウン メニュー

  2. 検索条件を設定したら、[Search] ボタンをクリックします。

  3. [未加工のログスキャン] ビューでは、ログデータを詳しく分析できます。