BYOL 脅威インテリジェンスを統合する
自前ライセンス(BYOL)インテグレーションを使用して、ライセンスを取得した Google Threat Intelligence(GTI)データを Google SecOps に直接統合します。脅威リスト、IoC ストリーム、攻撃者のコンテキストを取り込んで、脅威の検出とハンティングの機能を強化します。
Google Threat Intelligence BYOL インテグレーションは、脅威インテリジェンス データを Google SecOps に取り込み、統合データモデル(UDM)形式に正規化します。Google SecOps は、この脅威テレメトリーをセキュリティ イベントと関連付け、脅威ハンティングと検出を直ちに改善します。
対象
この統合は、Google Threat Intelligence ライセンスが有効な Google SecOps Standard と Enterprise のお客様にご利用いただけます。
- Standard と Enterprise: この統合により、お客様がデプロイしたパイプラインが提供され、検出とハンティングのために Google Threat Intelligence データを Google SecOps 環境に取り込むことができます。
- Enterprise+: Enterprise+ のお客様は、Google の脅威インテリジェンスを自動的にキュレートして適用する、フルマネージドの組み込みパイプラインである Applied Threat Intelligence(ATI)のメリットをすでに享受しています。この BYOL 統合は Enterprise+ と互換性がありますが、ATI サービスが推奨されるソリューションです。
主な機能
- 統合されたデータの取り込み: GTI 脅威リスト(分類された IoC)と IoC ストリームデータを取り込み、ファイル ハッシュ、IP、URL、ドメインの準リアルタイムの更新を提供します。
- UDM 正規化: ログタイプ
GCP_THREATINTELの下にある統合データモデル(UDM)にデータを自動的に解析し、すぐに検索可能にして、相関ルールに対応できるようにします。 - 攻撃者のコンテキスト: マルウェア、脅威アクター、キャンペーン、レポートの関連付け(MITRE ATT&CK マッピングを含む)を取り込みます。
- 構築済みのダッシュボード: 脅威リスト、攻撃者のインテリジェンス、IoC ストリームを可視化するための ダッシュボードがすぐに利用できます。
前提条件
統合を設定する前に、次のものが揃っていることを確認してください。
- GTI API にアクセスするための、有効でアクティブな Google Threat Intelligence ライセンス(BYOL)。
- 必要なリソース(Cloud Run functions、Cloud Scheduler、Secret Manager)をデプロイするための Google Cloud プロジェクトへのアクセス権。
- Google SecOps インスタンスへのアクセス権。
デプロイ
この統合は、 Google Cloudリソースを使用して GTI API からデータを取得し、Google SecOps にストリーミングする、お客様がデプロイするソリューションです。
手順とユーザーガイドに沿って、デプロイ スクリプトを実行し、Google Threat Intelligence の統合を構成します。詳細については、公式の GitHub リポジトリの README ファイル(GitHub の Google Threat Intelligence 取り込みスクリプト)をご覧ください。
デプロイが完了すると、Cloud Scheduler ジョブによって BYOL 取り込みプロセスがトリガーされ、Cloud Function が有効になって Secret Manager から API 認証情報が安全に取得されます。関数は、外部 GTI API に最新の脅威データをクエリし、Chronicle API にストリーミングします。デフォルトのパーサーは、未加工データを UDM エンティティに変換(正規化)します。
ダッシュボード
Google Threat Intelligence は、脅威アクターの戦術を理解して予測し、新たに出現した脅威から組織を保護するために必要な可視性を提供します。次のダッシュボードを使用して、取り込まれたデータを可視化します。
- 脅威リスト ダッシュボード: 検出とブロックに焦点を当て、重要度とエンティティ タイプ別に IoC の数を示します。
- 攻撃者インテリジェンス ダッシュボード: コンテキストに焦点を当て、マルウェア ファミリー、脅威アクター、キャンペーンをドリルダウンできます。
- Google Threat Intelligence ダッシュボード: 重大度の分布や地域別の内訳など、IoC ストリームの概要をリアルタイムで提供します。
統合ワークフロー: SIEM と SOAR
BYOL 統合では、SIEM の検出機能とハンティング機能を、クローズド ループのセキュリティ ワークフローで SOAR の Google Threat Intelligence 機能と組み合わせます。
SIEM は脅威の検出に役立ち、SOAR は脅威への対応に役立ちます。次のシナリオは、これらの機能がどのように連携するかを示しています。
- 調査の強化(SIEM から SOAR):
- アクション: アナリストは、取り込まれた GTI データを使用して、Google SecOps SIEM で不審なドメインを特定します。
- 回答: SOAR 検索アクションをトリガーして、調査フローを離れることなく、そのドメインに関する詳細なコンテキスト(関連する脅威アクター、パッシブ DNS など)を GTI にクエリします。
- 高度なアーティファクト分析(SIEM から SOAR):
- アクション: Google SecOps SIEM での調査中に、アナリストが明確な評価データのない不審なファイル ハッシュまたは URL を検出します。
- 対応: アナリストは SOAR 統合を使用して、URL またはファイルを Google Threat Intelligence に非公開で送信し、高度な分析を行うアクションをトリガーします。これにより、送信されたサンプルを非公開にし、すぐに広範なコミュニティと共有することなく、詳細なスキャンとサンドボックスの爆発を実行して悪意のあるかどうかを判断します。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。