Mandiant ハンティング ルールのカテゴリの概要
このドキュメントでは、Google Security Operations プラットフォームで Mandiant ハンティング ルールセットの概要、必要なデータソース、生成されるアラートを調整するための構成オプションについて説明します。
Mandiant Hunting Rules は、クラウドとエンドポイントのデータに関連するセキュリティ イベントを特定します。これらのルールは Mandiant Threat Defense チームと連携して開発され、脅威ハンティング オペレーションのベースラインを提供します。これらのルールからの検出は、複合ルールで使用できます。このカテゴリには、次のルールセットが含まれます。
Cloud 識別ルール: 世界中のクラウド インシデントに対する Mandiant Threat Defense の調査と対応から導き出されたロジック。これらのルールは、セキュリティ関連のクラウド イベントを検出するように設計されており、クラウド複合ルールセットの相関ルールで使用するように設計されています。
エンドポイント識別ルール: 世界中のインシデントに対する Mandiant Threat Defense の調査と対応から導き出されたロジック。これらのルールは、セキュリティ関連のエンドポイント イベントを検出するように設計されており、エンドポイント複合ルールセットの関連付けルールで使用するように設計されています。
サポート対象のデバイスとログタイプ
これらのルールは主に、Cloud Audit Logs のログ、エンドポイントの検出と対応のログ、ネットワーク プロキシのログに依存しています。Google SecOps 統合データモデル(UDM)は、これらのログソースを自動的に正規化します。
Google SecOps がサポート対象とするすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。
次のカテゴリは、キュレートされた複合コンテンツが効果的に機能するために必要な最も重要なログソースの概要を示しています。
エンドポイント識別ルールのログソース
Google Cloud 識別ルールのログソース
Google Cloud とエンドポイント ルールログのソース
利用可能なキュレーテッド検出の完全なリストについては、キュレーテッド検出を使用するをご覧ください。別のメカニズムを使用して検出ソースを有効にする必要がある場合は、Google SecOps の担当者にお問い合わせください。
Google SecOps には、未加工のログを解析して正規化し、複合検知ルールセットと厳選された検知ルールセットで必要なデータを使用して UDM レコードを作成するデフォルトのパーサーが用意されています。Google SecOps がサポート対象とするすべてのデータソースのリストについては、サポートされているログタイプとデフォルト パーサーをご覧ください。
ルールセット内のルールを変更する
ルールセット内のルールの動作をカスタマイズして、組織のニーズに合わせて調整できます。次のいずれかの検出モードを選択して各ルールの動作を調整し、ルールでアラートを生成するかどうかを構成します。
- 広範: 悪意のある動作や異常な動作を検出しますが、ルールの一般的な性質により、誤検出が多くなる可能性があります。
- Precise(正確): 特定の悪意のある動作や異常な動作を検出します。
設定を変更する手順は次のとおりです。
- ルールのリストで、変更する各ルールの横にあるチェックボックスをオンにします。
- ルールの [ステータス] と [アラート] の設定を次のように構成します。
- ステータス: 選択したルールにモード(Precise または Broad)を適用します。ルールのステータスをモードに設定するには、
Enabledに設定します。 - アラート: ルールで [アラート] ページにアラートを生成するかどうかを制御します。アラートを有効にするには、[オン] に設定します。
- ステータス: 選択したルールにモード(Precise または Broad)を適用します。ルールのステータスをモードに設定するには、
ルールセットのアラートを調整する
ルール除外を使用すると、複合ルールによって生成されるアラートの数を減らすことができます。
ルールの除外では、特定のイベントがルールまたはルールセットによって評価されないようにする条件を指定します。除外を使用して、検出量を減らします。詳細については、ルールの除外対象の構成をご覧ください。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。