Emerging Threats Center

以下でサポートされています。

Google Security Operations の Emerging Threats Center は、現在および新たな脅威キャンペーンが組織にどのような影響を与える可能性があるかを把握するのに役立つ AI 搭載の脅威インテリジェンスを提供します。Applied Threat Intelligence(ATI)を基盤としており、Google Threat Intelligence(GTI)と Gemini モデルを活用しています。

Emerging Threats Center には、環境にリスクをもたらす GTI の最も重大なグローバル脅威のキュレートされたビューが表示されます。これには、IoC、検出一致、影響を受けるエンティティが含まれます。Gemini を使用して、大量の未加工のインテリジェンス フィードを実用的な分析情報に変換し、調査ワークフローで脅威データを直接運用できます。

[新興の脅威] ページにアクセスするために必要な IAM 権限の詳細については、新興の脅威: threatCollections と iocAssociations をご覧ください。

主なメリット

Emerging Threats Center は、現在展開中の脅威キャンペーンと開発中の脅威キャンペーンに対する組織の可視性を強化します。
次のような特典があります。

  • 継続的な脅威の可視性: GTI キャンペーン データがワークスペースに継続的に反映されるため、関連する脅威キャンペーンの展開を常に把握できます。
  • 行動につながるインサイト: 脅威レポートを手動で閲覧するのではなく、コンテキストが強化された結果を受け取ります。
  • 検出の検証を迅速化: 自動化されたプロセスにより、手作業を減らしながら検出範囲を検証し、キャンペーン データをレビューできます。
  • 運用オーバーヘッドの削減: 検出生成をすぐに使用できるため、検出の機会を求めて脅威レポートを解析する手作業が軽減されます。

Emerging Threats Center フィード

Google SecOps の [Emerging Threats Center] フィードには、Google Threat Intelligence(GTI)から提供される AI ベースの脅威インテリジェンスがリアルタイムで表示されます。組織に最も関連性の高いアクティブな脅威キャンペーンと新たな脅威キャンペーンを公開することで、環境内の潜在的な侵害を特定できます。

このフィードには、キャンペーンとレポート、関連する脅威アクターとマルウェア ファミリーのキュレートされたビューが表示されます。脅威の関係を調べたり、脅威キャンペーンの詳細を調査したりできます。

フィードに表示されるレポートは GTI によって生成されたものに限定され、GTI 自体で表示されるクラウドソーシング レポートは含まれません。

フィルタを適用してキャンペーンを表示する

Emerging Threats Center フィードをフィルタして、特定の条件に基づいてキャンペーンとレポートのリストを表示できます。

フィルタを適用するには:

  1. [新興の脅威センター] フィードで、[ filter_alt フィルタ] をクリックします。
  2. [フィルタ] ダイアログで、論理演算子を選択します。
    • OR: 選択したフィルタのいずれかに一致します。
    • AND: 選択したすべてのフィルタに一致します。
  3. フィルタ カテゴリを選択します。
    • 関連するマルウェア: 脅威に関連付けられている特定のマルウェア ファミリーでフィルタします。
    • 関連ツール: キャンペーンで使用されている特定のツールでフィルタします。
    • 送信元地域: 脅威の発生元の地域でフィルタします。
    • ターゲットとする業種: キャンペーンのターゲットとする業種でフィルタします。
    • 対象地域: 対象地域でフィルタします。
    • 関連する攻撃グループ: キャンペーンに関連付けられている特定の攻撃グループでフィルタします。
    • IoC の一致あり: 環境に一致する IoC を含むキャンペーンを表示します。
    • オブジェクト タイプ: 調査の焦点に応じて、キャンペーンまたはレポートを表示します。

選択したフィルタは、表の上にチップとして表示されます。

脅威カードについて

フィード内の各脅威は、次の情報を含むカードとして表示されます。

  • 脅威のタイトルと概要: 脅威アクティビティの簡単な説明。
  • 関連するメタデータ: 標的となる業界、標的となる地域、関連するマルウェア、脅威アクターの概要。
  • バッジ: IoC の一致と関連するルールを表示するクイック インジケーター。
    • キャンペーンとレポートの場合、[IOC] バッジは、レポートまたはキャンペーンの IoC が環境のデータと一致するかどうかを示します。
    • キャンペーンの場合、[ルール] バッジには、環境で有効になっている関連する検出ルールの数が表示されます。たとえば、1/2 rules というラベルのバッジは、そのキャンペーンで使用可能な 2 つのルールのうち 1 つだけが環境で有効になっていることを示します。

バッジにポインタを合わせると、広範囲ルールと精密ルールの数と、それらが有効か無効かの内訳が表示されます。

関連するアクターとマルウェアを表示する

関連する攻撃者とマルウェアを表示するには、脅威カードをクリックして、脅威に関する詳細なコンテキストを表示します。これには次の情報が含まれます。

  • 関連する攻撃者: 攻撃者名、概要、既知のソース国、初回と最終確認日、関連するキャンペーン、マルウェア、インジケーターのセクションを含む [攻撃者の詳細] パネルが表示されます。

  • 関連するマルウェア: マルウェア ファミリー、概要、オペレーティング システム、報告されたエイリアス、関連するキャンペーン、攻撃者、インジケーターのセクションを含む [マルウェアの詳細] パネルが表示されます。

各パネルで、セクション名の横にある keyboard_arrow_down をクリックしてセクションを開き、詳細を表示します。または、これらの詳細を GTI で直接開いて、詳細情報を取得することもできます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。