Google Security Operations で潜在的なセキュリティの問題を確認する
このドキュメントでは、Google Security Operations を使用してアラートと潜在的なセキュリティの問題を調査する際に、検索を行う方法について説明します。
始める前に
Google Security Operations は、Google Chrome または Mozilla Firefox ブラウザ専用で動作するように設計されています。
ブラウザを最新バージョンにアップグレードすることをおすすめします。Chrome の最新バージョンは https://www.google.com/chrome/ からダウンロードできます。
Google SecOps は、シングル サインオン ソリューション(SSO)に統合されます。所属する企業から提供された認証情報を使用して、Google SecOps にログインできます。
Chrome または Firefox を起動します。
企業のアカウントにアクセスできることを確認します。
Google SecOps アプリケーションにアクセスするには、https://customer_subdomain.backstory.chronicle.security にアクセスしてください。ここで、customer_subdomain はお客様固有の ID です。
アラートと IOC の一致を表示
ナビゲーション バーで、[検出] > [アラートと IOC] を選択します。
[IOC Matches] タブをクリックします。
[ドメイン] ビューでの IOC 一致の検索
[IOC ドメイン一致] タブの [ドメイン] 列には、疑わしいドメインのリストが含まれています。この列のドメインをクリックすると、次の図に示すように [ドメイン] ビューが開き、このドメインに関する詳細情報が表示されます。
![[Domain] ビュー](https://cloud-dot-devsite-v2-prod.appspot.com/chronicle/images/qs/qs-search-domain-view.png?hl=ja)
[ドメイン] ビュー
Google Security Operations の検索フィールドの使用
次の図に示すように、Google Security Operations のホームページから直接検索を開始します。
Google Security Operations の検索フィールド
このページでは、次の検索キーワードを入力できます。
|
(例: plato.example.com) |
|
(例: altostrat.com) |
|
(例: 192.168.254.15) |
|
(例: https://new.altostrat.com) |
|
(例: betty-decaro-pc) |
|
(例: e0d123e5f316bef78bfdf5a888837577) |
入力する検索キーワードの種類を指定する必要はありません。Google Security Operations によって決定されます。結果は適切な調査ビューに表示されます。たとえば、検索フィールドにユーザー名を入力すると、[アセット] ビューが表示されます。
未加工ログの検索
インデックス付きデータベースを検索するか、未加工のログを検索するかを選択できます。未加工のログの検索はより広範な検索ですが、インデックス付きの検索よりも時間がかかります。
検索をさらに絞り込むには、正規表現を使用するか、検索エントリで大文字と小文字が区別されるようにします。または、ログソースを選択します。[開始] 時間フィールドと [終了] 時間フィールドを使用して、目的のタイムラインを選択することもできます。
未加工ログの検索を実行するには、次の手順に従います。
検索語句を入力し、次の図に示すように、プルダウン メニューで [未加工のログスキャン] を選択します。
![[未加工のログスキャン] メニュー](https://cloud-dot-devsite-v2-prod.appspot.com/chronicle/images/qs/qs-search-raw-log-scan-menu.png?hl=ja)
[未加工のログスキャン] オプションを示すプルダウン メニュー検索条件を設定したら、[Search] ボタンをクリックします。
[未加工のログスキャン] ビューでは、ログデータを詳しく分析できます。