統合ルールで脅威を検出する
このガイドは、組織の脅威を検出したい検出エンジニアを対象としています。統合ルール インターフェースを活用して脅威検出機能を強化する方法について説明します。
一般的なユースケース
このワークフローの一般的なユースケースは次のとおりです。
ルールのデプロイの高速化
目的: 特定の攻撃者の戦術(Initial Access など)のキュレーテッド検出を迅速に特定して有効にします。
価値: 手動でルールを作成しなくても、一般的な攻撃ベクトルの平均検出時間(MTTD)を短縮できます。
ルール ライフサイクルの一元管理
目的: 単一のコンソールからルールの実行、ステータス、デプロイ履歴をモニタリングします。
価値: オペレーションの監視が強化され、アクティブな検出が想定どおりに機能します。
主な用語
キュレーテッド検出: セキュリティ専門家が管理する事前構築済みの検出セット Google Cloud 。
統合ルール インターフェース: カスタム YARA-L ルールとキュレートされたコンテンツの両方に対応する統合管理コンソール。
ルールのデプロイ: ルールの状態(ライブまたはアーカイブ)と、関連するアラート構成。
レトロハント: 過去のデータに対してルールを実行し、過去の脅威のインスタンスを検出するプロセス。
始める前に
チームでカスタム IAM ロールを使用している場合は、統合ルール ダッシュボードとエディタを使用するための次の権限があることを確認してください。
ルール ダッシュボードの権限
| 権限 | 必要な IAM 権限 |
|---|---|
View
|
|
Edit
|
|
保存済みビュー - 保存済みルールビューのリスト表示と作成
| 権限 | 必要な IAM 権限 |
|---|---|
Manage
|
|
ルールエディタの権限
| コンポーネント | IAM 権限(IAM を使用する場合) | アナリスト権限(以前の RBAC を使用する場合) |
|---|---|---|
| ルールエディタ ページ |
|
detectRulesView
|
| 関連資料リスト セクション |
|
referenceListView
|
| 関連データテーブル セクション |
|
該当なし |
| [新しいルールを作成] ボタン |
|
detectRulesCreate
|
| [**ルールをテスト**] ボタン | chronicle.legacies.legacyRunTestRule
|
detectRulesRun
|
| [**ルールのスコープ**] メニュー | chronicle.rules.update
|
detectRulesEdit
|
| [ルールを保存] ボタン | chronicle.rules.update
|
detectRulesEdit
|
| [新しいルールとして保存] ボタン | chronicle.rules.create
|
detectRulesCreate
|
| [**ルールのレトロハント**] ボタン | chronicle.retrohunts.create
|
detectRulesRun
|
| [Rule live] toggle | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| [**ルールのアラート**] 切り替え | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| [Rule run frequency] toggle | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| [Rule archive and unarchive] toggle | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| エディタでキュレートされたルールを表示する | chronicle.featuredContentRules.list
|
該当なし |
統合インターフェースの設定を管理する
ルール ダッシュボードとルールエディタの両方で、統合エクスペリエンスと以前のビューを切り替えることができます。選択すると、インスタンスに設定が保存され、デフォルトでその特定のバージョンが読み込まれます。
ルール ダッシュボード: 統合ルール ダッシュボードを有効にするには、ルール ダッシュボードに移動して [新しい統合ルールページを試す] をクリックします。無効にするには、[以前のルール ダッシュボードに戻る] をクリックします。
ルールエディタ: 新しいルールエディタを有効にするには、ルールエディタ ページに移動して [新しいルールエディタ ページ] をクリックします。無効にするには、[以前のルールエディタ ページ] をクリックします。
キュレートされたルールで脅威検出を加速する
統合ルール インターフェースを使用して、特定の MITRE ATT&CK 戦術の検出を特定できます。アラートが有効になっていて、初期アクセスに関連するルールを見つけるには、次の操作を行います。
[ルール] ダッシュボードに移動します。
検索バーを使用して、特定の脅威をフィルタします。
たとえば、初期アクセス(MITRE ATT&CK 戦術
TA0001)に関連するキュレートされたルールを見つけるには、次の検索クエリを使用します。alerting_enabled = true AND tags:"TA0001"複雑なフィルタリングについては、 [検索] ルールのページの高度な構文をご覧ください。
省略可: 検索結果からルールを選択して、ルールの詳細を表示します。
デプロイするルールの横にある [Menu] をクリックします。
[ライブルール] 切り替えと [アラート] 切り替えをクリックして、脅威の検出を開始します。
ルールの実行、ステータス、アラート履歴はダッシュボードから追跡できます。
トラブルシューティング
レイテンシと上限
ルールの実行: ルールを保存してから、ダッシュボードに最初の実行指標が表示されるまでに、短い伝播遅延(通常は数分)が発生する可能性があります。
レトロハントの上限: キュレーテッド検出は、レトロハントとして実行できません。また、レトロハントには、データ保持階層に基づくルックバック ウィンドウの上限が適用されます。
エラーの修復
| エラーコード | 問題の内容 | 修正 |
|---|---|---|
| 403 Forbidden | キュレートされたコンテンツを表示する権限がありません。 | chronicle.featuredContentRules.list が IAM ロールに追加されていることを確認します。
|
| デプロイ失敗 | ルールの構文エラーまたは競合。 | ルールエディタの [ルールをテスト] ボタンを使用して、YARA-L 構文を検証します。 |
次のステップ
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。