アラートの抑制を構成する

以下でサポートされています。

このドキュメントでは、Google Security Operations で利用できる、ノイズの多いアラートを抑制し、重大な脅威に優先順位を付けるメカニズムについて説明します。アラートの抑制では、事前定義された条件に基づいて、重複するアラートや価値の低いアラートが自動的にフィルタされます。この抑制により、SOC チームは優先度の高いセキュリティ インシデントに集中できます。

アラートの抑制を使用すると、さまざまなトリガーによって生成されるボリュームを管理できます。たとえば、同じ基盤となるアクティビティからの重複アラート、システム構成の誤りによる誤検出、既知の正当なアクティビティでトリガーされる広範なルールロジック、計画されたメンテナンス期間などです。

Google SecOps では、アラートのボリュームを管理する次の方法が用意されています。

  • スロットリング: 最初のアラートがトリガーされた後、 定義された時間枠(1 時間など)の間、同じアクティビティの繰り返し検出を抑制します。

  • 除外: 除外により、一致をフィルタすることで、特定の検出を防ぎます アラートをトリガーする前に。ルールロジックを満たしていても、除外条件を満たしていないイベントは、通常どおり検出をトリガーします。

  • SOAR ハンドブック: IP アドレスやホスト名など、特定の エンティティ ルックアップに基づいて、時間制限付きのアラート抑制を提供します。

  • SOAR アラートのグループ化: 調査を効率化するために、条件に基づいて類似のアラートを 1 つの ケースに自動的にクラスタ化します。

スロットリングによるアラートの抑制

スロットリングは、最初のルールの一致後、指定された期間、検出を抑制します。ルールロジックで suppression_window オプションと suppression_key オプションを使用すると、抑制キーの一意の組み合わせに対してのみ検出が生成されます。Google SecOps は、定義された期間が終了するまで、同じ組み合わせに対する後続の一致をすべて抑制します。

この方法では、同じ基盤となるアクティビティによって発生する重複検出を効果的に削減できます。

ユースケース

  • PowerShell の実行: 最初のイベントから 1 時間、同じユーザーと ホストに対する繰り返しアラートを抑制します。

  • ネットワーク スキャン: 悪意のあるポート スキャナからの繰り返しアラートを 最初の検出から 6 時間抑制します。

ノイズの多いルールをモニタリングする

ノイズの多いルールを特定するには、次の操作を行います。

  1. Google SecOps にログインします

  2. [メニュー] アイコンをクリックし、[検出] > [ルールと検出] を選択します。

  3. [ルールエディタ] タブでルールを選択し、[テスト] をクリックします。

  4. 期間セレクタを調整して、過去 7 日間のデータを分析します。ルールが 1 日に 100 件を超える検出を生成する場合は、範囲が広すぎる可能性があります。

  5. more_vert [Menu] アイコンをクリックし、[View rule detections] をクリックします。検出の詳細ページが表示されます。

  6. [手続き型フィルタリング] パネルで、寄与している UDM フィールドを特定します。

  7. match セクションまたは $suppression_key を変更して、検出のボリュームを減らします。

例: ロケーション別の一意のログインを特定する

アラートの疲労を防ぎながらロケーション別の一意のログインを特定するには、同じ州からの検出を抑制します。UDM フィールド event.principal.location.state を確認して、州ごとの検出数を確認します。

特定の州でカウントが過度に高い場合は、そのフィールドを suppression キーまたは match キーに追加します。これにより、ログイン ロケーションごとに 1 回の検出のみがトリガーされます。

検出のスロットリングを構成する

スロットリングは、最初のアラートがトリガーされた後、指定された期間、検出を抑制します。重複検出を制限するには、ルールの options セクションに suppression_window を追加します。次のガイドラインが適用されます。

  • 単一イベント ルール: $suppression_key 変数を outcome セクションで定義して、重複排除キーとして機能させます。

  • マルチイベント ルール: match セクションの変数を 重複排除キーとして使用します。

  • ウィンドウ期間: suppression_window が 以上であることを確認します。match同じ期間に設定すると、抑制が適用されていないかのようにルールが動作します。

  • 上限: 抑制期間に上限はありません。

  • 互換性: スロットリングは、単一イベント ルールとマルチイベント ルール、 カスタムルールとキュレートされたルールの両方に適用されます。

例: Windows ファイル共有アクティビティをモニタリングする

次のルールは、Windows ファイル共有アクティビティをモニタリングします。60 分(1hr)のウィンドウ内でユニーク ユーザーとホスト名ごとに 1 つの検出を作成し、同じ組み合わせに対する繰り返しの一致を 24 時間(24h)抑制します。


rule rule_noisy_winshares {

  meta:
   author = "Google Cloud Security"

  events:
    $e.metadata.event_type = "NETWORK_CONNECTION"
    $e.target.resource.name = /(C|ADMIN|IPC)\$/ nocase
    $user = $e.principal.user.userid
    $hostname = $e.target.hostname

  match:
    $hostname, $user over 1h

  outcome:
    $sharename = array_distinct($e.target.resource.name)

  condition:
    $e

  options:
    suppression_window = 24h
}

この構成により、アナリストは抑制期間中に同じユーザーとホストの重複アラートを処理することなく、最初のアクティビティを調査できます。

ルールの除外を使用してアラートを抑制する

除外により、アラートをトリガーする前に一致をフィルタすることで、特定の検出を防ぎます。一致が除外ロジックを満たしている場合、検出は抑制されます。ルールロジックを満たしていても、除外条件を満たしていないイベントは、通常どおり検出をトリガーします。適用すると、除外は手動で無効にするまで有効になります。

除外の完全なリストと関連するメタデータは、[ルールと検出] ページの [除外] タブで表示、管理、監査できます。また、[除外をテスト] 機能を使用して、特定のフィルタを適用する前に、検出ボリュームに与える影響を評価することもできます。

API を使用して除外を作成するには、API を使用してルールの除外を管理するをご覧ください。

ユースケース

  • 承認された IT ツールによる正当な PowerShell の実行を抑制します。

  • 大量のポート スキャンを実行する内部脆弱性スキャナを除外します。

ルールの除外を作成する

ノイズの多いルールの除外を作成する手順は次のとおりです。

  1. Google SecOps にログインします

  2. [メニュー] > [検出] > [ルールと検出] に移動します。

  3. [ルール ダッシュボード] タブで、検出数の多いルールを探します。

  4. [ルール名] をクリックして、[検出] ページを開きます。

  5. [**ルールのオプション**] [>] [**除外**] をクリックします。

  6. 次の詳細を指定して、除外フィルタを追加します。

    • 除外名

    • 適用するルールまたはルールセット

    • 指定された条件が満たされたときに検出を抑制する除外条件。複数の条件を追加するには、次のガイドラインに従います。

      1. 論理 OR 関係を作成するには、Enter キーを使用して 1 つの行に複数の値を入力します。

        例: principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2

      2. [+ 条件文] をクリックして、前のステートメントと 論理 AND 関係を持つ新しいステートメントを追加します。

        例: (principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2) AND (principal.user.userid CONTAINS sensitive)

  7. 省略可: [除外をテスト] をクリックして、過去 30 日間の検出数の減少をフィルタで測定する方法を確認します。結果に基づいて条件を調整します。

  8. [作成] をクリックして、除外を有効にします。

ルールの除外を管理する

除外を管理する手順は次のとおりです。

  1. Google SecOps にログインします

  2. [メニュー] > [検出] > [ルールと検出] に移動します。

  3. [除外] タブに移動して、除外のリストを表示します。次の操作を行うことができます。

    • 除外を有効または無効にするには、[有効] 切り替えを切り替えます。

    • 除外をフィルタするには、 [Filter] をクリックします。

    • 除外を編集するには、 [メニュー] > [編集] をクリックします。

    • 除外をアーカイブするには、 [メニュー] > [アーカイブ] をクリックします。

    • 除外を復元するには、 [メニュー] > [アーカイブ解除] をクリックします。

API を使用してルールの除外を作成および管理するには、 API を使用してルールの除外を管理するをご覧ください。

制限事項

除外を構成する場合は、コンソールと API の機能の違いに注意してください。

  • ルールのスコープ: コンソールでは、複数のキュレートされた ルールに同時に除外を適用できますが、一度に適用できるカスタムルールは 1 つだけです。

  • 結果変数: 結果変数に基づいてロジックを使用する除外を作成するには、API を使用する必要があります。

SOAR ハンドブックによるアラートの抑制

SOAR ハンドブック は、特定のルックアップ条件に基づいて重複アラートを特定して抑制するのに役立ちます。ハンドブックは、事前定義された有効期限までアラートを抑制し、その後、アラートをテーブルから自動的に削除します。 アナリストは、この方法を使用して、IP アドレスやホスト名などの特定のエンティティのアラートを一定期間抑制します。

他の方法とは異なり、このメカニズムは過去のデータを追跡し、ケースの詳細内で抑制アクションの明示的な監査証跡を提供します。

ユースケース

最初の警告の後、疑わしい IP アドレスからの受信接続リクエストに対する後続のアラートを抑制しながら、抑制監査証跡を維持します。

SOAR でアラートをグループ化する

アラートのグループ化では、定義した条件に基づいて、24 時間以内に生成された類似のアラートが自動的にクラスタ化されます。グループ化されたアラートは、調査のために 1 つのケースに統合されます。

詳細については、 アラートのグループ化メカニズムをご覧ください。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。