Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

脅威を検出

以下でサポートされています。

Google SecOps SIEM

このガイドは、組織の脅威を検出する検出エンジニアを対象としています。統一ルールのインターフェースを活用して脅威検出機能を強化する方法について説明します。

一般的なユースケース

このワークフローの一般的なユースケースは次のとおりです。

ルールの迅速なデプロイ

目的: 特定の攻撃者の戦術（Initial Access など）に対して、キュレーテッド検出を迅速に特定して有効にします。

価値: 手動でルールを作成しなくても、一般的な攻撃ベクトルの平均検出時間（MTTD）を短縮できます。

ルールライフサイクルの一元管理

目標: 単一のコンソールからルールの実行、ステータス、デプロイ履歴をモニタリングします。

価値: 運用上の監視を改善し、アクティブな検出が想定どおりに機能していることを確認します。

主な用語

キュレーテッド検出: Google Cloudのセキュリティ専門家が管理する事前構築済みの検出セット。
統合ルールインターフェース: カスタム YARA-L ルールとキュレートされたコンテンツの両方を統合的に管理できるコンソール。
ルールのデプロイ: ルールの状態（ライブまたはアーカイブ済み）と、関連するアラート構成。
Retro hunt: 過去のデータに対してルールを実行し、過去の脅威のインスタンスを見つけるプロセス。

始める前に

チームでカスタム IAM ロールを使用している場合は、統合ルールダッシュボードとエディタを使用するために次の権限が付与されていることを確認してください。

ルールダッシュボードの権限

権限	必要な IAM 権限
`View`	`chronicle.rules.list` `chronicle.retrohunts.list` `chronicle.ruleDeployments.list` `chronicle.legacies.legacySearchCustomerStats` `chronicle.legacies.legacyGetRuleCounts` `chronicle.legacies.legacyGetRulesTrends` `chronicle.legacies.legacyGetCuratedRulesTrends`
`Edit`	`chronicle.retrohunts.create` `chronicle.ruleDeployments.update` `chronicle.ModifyRules`

ルールエディタの権限

コンポーネント	IAM 権限（IAM を使用する場合）	アナリスト権限（以前の RBAC を使用している場合）
ルールエディタページ	`chronicle.ruleDeployments.list` `chronicle.rules.list`	`detectRulesView`
関連資料リストセクション	`chronicle.referenceLists.get` `chronicle.referenceLists.list`	`referenceListView`
関連するデータテーブルセクション	`chronicle.dataTables.get` `chronicle.dataTables.list`	N/A
[新しいルールを作成] ボタン	`chronicle.rules.verifyRuleText` `chronicle.rules.create`	`detectRulesCreate`
[ルールをテスト] ボタン	`chronicle.legacies.legacyRunTestRule`	`detectRulesRun`
ルールの適用範囲メニュー	`chronicle.rules.update`	`detectRulesEdit`
[ルールを保存] ボタン	`chronicle.rules.update`	`detectRulesEdit`
[Save as new rule]（新しいルールとして保存）ボタン	`chronicle.rules.create`	`detectRulesCreate`
[Rule retro hunt]（ルールのレトロハンティング）ボタン	`chronicle.retrohunts.create`	`detectRulesRun`
ライブルールの切り替え	`chronicle.ruleDeployments.update`	`detectRulesEdit`
ルールアラートの切り替え	`chronicle.ruleDeployments.update`	`detectRulesEdit`
ルールの実行頻度の切り替え	`chronicle.ruleDeployments.update`	`detectRulesEdit`
ルールのアーカイブとアーカイブ解除の切り替え	`chronicle.ruleDeployments.update`	`detectRulesEdit`
エディタでキュレートされたルールを表示する	`chronicle.featuredContentRules.list`	N/A

統合インターフェースの設定を管理する

ルールダッシュボードとルールエディタの両方で、統合されたエクスペリエンスと以前のビューを切り替えることができます。選択すると、インスタンスで設定が保存され、その特定のバージョンがデフォルトで読み込まれます。

ルールダッシュボード: 統合ルールダッシュボードを有効にするには、ルールダッシュボードに移動して [新しい統合ルールページを試す] をクリックします。オプトアウトするには、[以前のルールダッシュボードに戻る] をクリックします。
ルールエディタ: 新しいルールエディタを有効にするには、ルールエディタのページに移動して、[新しいルールエディタのページ] をクリックします。オプトアウトするには、[以前のルールエディタのページ] をクリックします。

キュレートされたルールで脅威検出を加速する

統合ルールインターフェースを使用して、特定の MITRE ATT&CK 戦術の検出を特定できます。アラートが有効になっていて、初期アクセスに関連するルールを見つけるには、次の操作を行います。

[ルール] ダッシュボードに移動します。
検索バーを使用して、特定の脅威をフィルタします。

たとえば、初期アクセス（MITRE ATT&CK 戦術 TA0001）に関連する厳選されたルールを見つけるには、次の検索クエリを使用します。

alerting_enabled = true AND tags:"TA0001"

複雑なフィルタリングについては、[検索] ルールページの高度な構文をご覧ください。
省略可: 検索結果からルールを選択して、ルールの詳細を表示します。
デプロイするルールの横にある メニューをクリックします。
[Live rule] と [Alerting] の切り替えをクリックして、脅威の積極的な検出を開始します。

ダッシュボードで、ルールの実行、ステータス、アラート履歴を追跡できます。

トラブルシューティング

レイテンシと上限

ルールの実行: ルールを保存してから、ダッシュボードに最初の実行指標が表示されるまでに、短い伝播遅延（通常は数分）が発生する場合があります。
過去の検索の制限: キュレーテッド検出は、過去の検索として実行できません。また、遡及検索には、データ保持階層に基づくルックバックウィンドウの上限が適用されます。

エラーの修復

エラーコード	問題の説明	修正
403 Forbidden（アクセス拒否）	キュレートされたコンテンツを表示する権限がありません。	`chronicle.featuredContentRules.list` が IAM ロールに追加されていることを確認します。
デプロイに失敗しました	ルールの構文エラーまたは競合。	ルールエディタの [ルールをテスト] ボタンを使用して、YARA-L 構文を検証します。

次のステップ

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。