[Emerging Threats] の詳細ビュー
[Emerging Threats] フィードには、選択したキャンペーンまたはレポートの詳細が表示されます。フィードで脅威を選択すると、Google Threat Intelligence の情報と環境のデータを組み合わせて、脅威の影響と範囲を分析できるページが開きます。
各ページには、関連する脅威インテリジェンス、検出データ、関連エンティティを表示する複数の展開可能なパネルが含まれています。各パネルで、セクション名の横にある chevron_forward (矢印)をクリックしてセクションを開き、詳細を表示します。
[新興の脅威] の詳細ビューには、次のパネルが表示されます。
関連ルール
[関連するルール] パネルには、選択したキャンペーンに関連する検出ルールが表示されます。ルール関連付けはキャンペーンにのみ適用され、レポートには適用されません。
Emerging Threats は、GTI からインテリジェンスを継続的に取り込み、組織のテレメトリーと照合します。次のプロセスを通じて、キャンペーンの検出、エンリッチメント、関連付けを自動化します。
- キャンペーン インテリジェンスを取り込む: システムは、GTI からキャンペーン インテリジェンスを自動的に収集します。これには、グローバル リサーチ、Mandiant のインシデント対応エンゲージメント、Mandiant Managed Defense テレメトリーのデータが含まれます。
- シミュレートされたログイベントを生成する: バックグラウンドで、Gemini は実際の敵対者の行動を反映した、忠実度が高く匿名化されたシミュレートされたログイベントを生成します。
- 検出範囲を自動的にハイライト表示する: システムは、シミュレートされたログイベントを Google Cloud Threat Intelligence(GCTI)のキュレートされた検出ルールと照合し、Google SecOps で検出された場所とギャップが存在する場所を示すカバレッジ レポートを生成します。
- ルール作成の加速: ギャップが特定されると、Gemini はテスト済みのパターンに基づいて新しい検出ルールのドラフトを自動的に作成し、ルールロジックと予想される動作の概要を提供します。最終ステップでは、これらのルールを本番環境に移行する前に、人間によるレビューと承認が必要です。
次の表に、[関連付けられたルール] パネルの列の説明を示します。
| 列名 | 説明 |
|---|---|
| ルール名 | ルールのタイトルと、関連付けられたルールセットまたは検出カテゴリが表示されます。 ルール名をクリックすると、 Detections ページが開き、このルールによって生成された検出結果が表示されます。 |
| タグ | 検出ルールに適用されたルールタグまたはラベルを一覧表示します。 |
| 過去 4 週間のアクティビティ | 過去 4 週間のルールの警告または検出アクティビティが表示されます。 |
| 最終検出 | ルールによって生成された最新のアラートのタイムスタンプが表示されます。 |
| 重大度 | 指定されたルールによって生成された検出に構成されている重大度レベルを示します。 |
| アラート | ルールのアラートが有効か無効かを指定します。 |
| ライブ ステータス | 環境内でルールが有効か無効かを示します。 |
キャンペーンに関連付けられているルールがない場合、パネルには「ルールなし」というテキストが表示されます。
無効なルール
[無効なルール] パネルには、キャンペーンに関連する検出ルールで現在有効になっていないものがある場合、それらが一覧表示されます。これにより、潜在的な脅威の範囲のギャップを特定できます。キャンペーンのルール関連付けは、関連付けられたルールで説明されているように決定されます。
次の表に、列の説明を示します。
| 列名 | 説明 | |
|---|---|---|
| ルール名 | 無効になっているルールの名前が表示されます。 | ルール名をクリックすると、ルールのロジック、構成、関連するルールセットを説明する詳細ビューが開きます。これは、Curated Detections ページのビューに似ています。 |
| カテゴリ | ルールタイプまたはカテゴリが表示されます。 | |
| ルール設定済み | Mandiant Frontline Threats、Mandiant Hunt Rules、Mandiant Intel Emerging Threats などのルールソースを識別します。 | |
| 適合率 | ルールの精度タイプ(Broad または Precise)を示します。 | |
| アラート | アラートが有効かどうかを示します。 | |
| 最終更新日時 | ルールが最後に変更されたときのタイムスタンプが表示されます。 |
最近関連付けられたエンティティ
[最近の関連エンティティ] パネルには、選択した脅威にリンクされ、その影響を受ける可能性がある環境内のエンティティが一覧表示されます。
このパネルには、次の条件を満たすユーザー エンティティとアセット エンティティが表示されます。
- 過去 7 日間の検出に表示されました。
- 脅威に関連付けられた IoC にリンクされているイベントに表示されました。
- リスクスコアが割り当てられている。
次の表に、[最近関連付けられたエンティティ] パネルの列を示します。
| 列名 | 説明 |
|---|---|
| エンティティ名 | キャンペーンに関連付けられているアセットまたはエンティティが表示されます。 エンティティ名をクリックして [リスク分析] ページを開きます。このページには、そのエンティティの最近のリスクスコアの変化と、その変化に寄与した検出の詳細が表示されます。 |
| エンティティ タイプ | エンティティのタイプ(アセットやユーザー アカウントなど)を示します。 |
| IOC の一致 | キャンペーンの IoC のうち、組織のテレメトリーと一致し、最近の検出でエンティティに関連付けられている IoC の数を示します。 |
| エンティティ リスクスコア | 最近の IoC の一致に基づいて計算されたエンティティのリスクスコアが表示されます。 |
IOC
[IOC] パネルには次の表が表示されます。
IOC マッチ
[IOC Matches] テーブルには、選択したキャンペーンの環境内で検出または照合された IoC が一覧表示されます。
次の表に、列の説明を示します。
| 列名 | 説明 |
|---|---|
| IOC | ドメイン、IP アドレス、ハッシュ、URL が表示されます。 IoC をクリックすると、 Entity context パネルが開き、IoC に関する追加情報と、環境内で IoC が検出された場所が表示されます。 |
| タイプ | IoC カテゴリ(DOMAIN、IP、FILE(HASH_SHA256)、URL など)を表示します。 |
| GTI スコア | GTI によって割り当てられた脅威スコアを 0 ~ 100 のスケールで表示します。 |
| GCTI 優先度 | GCTI によって割り当てられた相対的な優先度レベルを示します。 |
| アセット | IoC に一致するイベントに関与している環境内のアセットを一覧表示します。 |
| 関連付け | インジケーターに関連する GTI エンティティ(脅威アクターやキャンペーンなど)が表示されます。 |
| 初回検知 | 環境内でインジケーターが最初に検出された日時が表示されます。 |
| 最終検知 | 環境内でインジケーターが最後に検出された日時が表示されます。 |
GTI 関連の IOC
GTI 関連の IOC の表には、GTI がキャンペーンに関連付ける追加の IOC が一覧表示されます。
次の表に、列の説明を示します。
| 列名 | 説明 |
|---|---|
| IOC | ドメイン、IP アドレス、ハッシュ、URL が表示されます。 |
| タイプ | IoC カテゴリ(DOMAIN、IP、FILE、HASH_SHA256、URL など)を表示します。 |
| GTI スコア | GTI によって割り当てられた脅威スコアを 0 ~ 100 のスケールで表示します。 |
| 関連する脅威アクター | IoC に関連付けられている脅威アクターのリストを返します。 アクターの名前をクリックすると、 |
| 関連するマルウェア | IoC にリンクされているマルウェア ファミリーを一覧表示します。 マルウェア名をクリックすると、 |
| GTI の検出 | GTI が IoC を最初に記録したときのタイムスタンプが表示されます。 |
| GTI の最終更新 | IoC が GTI によって最後に更新されたときのタイムスタンプが表示されます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。