Google SecOps の概要

以下でサポートされています。

Google Security Operations は、Google インフラストラクチャ上に特別なレイヤとして構築されるクラウド サービスであり、企業で生成された大量のセキュリティ テレメトリーとネットワーク テレメトリーを非公開で保持、分析、検索できるようにするように企業向けに設計されています。

Google SecOps は、データの正規化、インデックス付け、相互関連付け、分析を実施して、リスクのあるアクティビティが発生すると即時に分析とコンテキストを提示します。Google SecOps を使用すると、脅威を検出し、それらの脅威の範囲と原因を調査して、エンタープライズ ワークフロー、対応、オーケストレーションのプラットフォームとの事前構築された統合を使用した修復を行うことができます。

Google SecOps を使用すると、自社の集約されたセキュリティ情報を数か月以上に遡って調査できます。Google SecOps を使用して、企業内でアクセスされているすべてのドメインを検索します。特定のアセット、ドメイン、または IP アドレスに検索を絞って、侵害が起きているかどうかを判断できます。

Google SecOps プラットフォームを使用すると、セキュリティ アナリストは次の機能を使用して、ライフサイクル全体にわたってセキュリティの脅威を分析して軽減できます。

  • 収集: フォワーダー、パーサー、コネクタ、Webhook を使用して、データがプラットフォームに取り込まれます。
  • 検出: このデータは、Universal Data Model(UDM)を使用して集計および正規化され、検出と脅威インテリジェンスにリンクされます。
  • 調査: ケース管理、検索、コラボレーション、コンテキスト認識分析を通じて脅威を調査します。
  • 対応: セキュリティ アナリストは、自動化ハンドブックとインシデント管理を使用して迅速に対応し、解決策を提供できます。

データ収集

Google SecOps では、次のようなさまざまな方法で数多くのセキュリティ テレメトリー タイプを取り込むことができます。

  • フォワーダー: お客様のネットワークにデプロイされる軽量のソフトウェア コンポーネントであり、syslog、パケット キャプチャ、既存のログ管理またはセキュリティ情報およびイベント管理(SIEM)データ リポジトリをサポートします。

  • 取り込み API: お客様の環境にハードウェアやソフトウェアを追加することなく、ログを Google SecOps プラットフォームに直接送信できるようにする API です。

  • サードパーティ統合: サードパーティの Cloud APIs と統合して、Office 365 や Azure AD といったソースなどのログを取り込むことができます。

攻撃者について

Google SecOps の分析機能は、ブラウザベースのアプリケーションとして提供されます。その機能の多くには、Read API を介してプログラマティックにアクセスすることもできます。アナリストは、疑われる脅威を発見したとき、さらに調査を進め、どのような対処が適切かを Google SecOps を利用して判断できます。

Google SecOps の機能の概要

このセクションでは、Google SecOps で利用可能な機能について説明します。

  • UDM 検索: Google SecOps インスタンス内の統合データモデル(UDM)イベントとアラートを検索できます。
  • 未加工ログスキャン: 未加工の解析されていないログを検索します。
  • 正規表現: 正規表現を使用して、未加工の解析されていないログを検索します。

ケース管理

関連するアラートをケースにグループ化し、ケースキューを並べ替えとフィルタリングしてトリアージと優先順位付けを行い、ケースを割り当て、すべてのケースで共同作業し、ケースの監査と報告を行います。

ハンドブック デザイナー

事前定義されたアクションを選択し、それらをハンドブック キャンバスにドラッグ&ドロップして、追加のコーディングなしにハンドブックを作成します。ハンドブックを使用すると、アラートの種類ごとと SOC のロールごとに専用のビューを作成することもできます。ケース管理には、特定の種類の警告とユーザーロールに関連するデータのみが表示されます。

グラフ調査者

攻撃が誰によって、何に対して、いつ行われたかを可視化し、脅威探査の機会を特定し、全体像を把握して対処します。

ダッシュボードとレポート

運用を効果的に測定、管理し、ステークホルダーに価値を示し、リアルタイムの SOC 指標と KPI を追跡します。組み込みのダッシュボードとレポートを使用することも、独自のものを作成することもできます。

統合開発環境(IDE)

コーディング スキルを持つセキュリティ チームは、既存のハンドブック アクションの変更と強化、コードのデバッグ、既存の統合の新しいアクションの構築、Google Security Operations SOAR Marketplace では利用できない統合の作成を行うことができます。

調査ビュー

  • [Asset] ビュー: 企業内のアセットと、不審なドメインとのやり取りの有無を調査できます。
  • [IP Address] ビュー: 企業内の特定の IP アドレスや、アセットにどのような影響があるかを調査できます。
  • [Hash] ビュー: ハッシュ値に基づいてファイルを検索して調査します。
  • [Domain] ビュー: 企業内の特定のドメインと、アセットにどのような影響を与えているかを調査します。
  • [User] ビュー: セキュリティ イベントの影響を受けた可能性がある社内ユーザーを調査します。
  • 手続き型フィルタリング: イベントタイプ、ログソース、ネットワーク接続ステータス、トップレベル ドメイン(TLD)など、アセットに関する情報を微調整します。

ハイライト表示情報

  • アセット分析情報ブロック: さらに調査が必要なドメインとアラートをハイライト表示します。
  • 罹患率グラフは、指定した期間にアセットが接続したドメインの数を表示します。
  • 他の一般的なセキュリティ プロダクトからのアラート。

検出エンジン

Google SecOps Detection Engine を使用すると、セキュリティの問題についてデータ全体を検索するプロセスを自動化できます。受信データすべてを検索し、企業内で脅威の可能性や既知の脅威が検出された場合に通知するルールを指定できます。

アクセス制御

事前定義ロールの使用と新しいロールの構成の両方を行うことで、Google SecOps インスタンス内に格納されているデータ、アラート、イベントのクラスへのアクセスを制御できます。Identity and Access Management は、Google SecOps のアクセス制御を提供します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。