統合ルールで脅威を検出する
このガイドは、組織の脅威を検出したい検出エンジニアを対象としています。統合ルール インターフェースを活用して脅威検出機能を強化する方法について説明します。
一般的なユースケース
このワークフローの一般的なユースケースは次のとおりです。
ルールのデプロイの高速化
目的: 特定の攻撃者の戦術(Initial Access など)のキュレートされた検出を迅速に特定して有効にします。
価値: 手動でルールを作成しなくても、一般的な攻撃ベクトルの平均検出時間(MTTD)を短縮できます。
ルール ライフサイクルの一元管理
目的: 単一のコンソールからルールの実行、ステータス、デプロイ履歴をモニタリングします。
価値: オペレーションの監視が強化され、アクティブな検出が想定どおりに機能します。
主な用語
キュレートされた検出: セキュリティ専門家が管理する事前構築済みの検出セット Google Cloud 。
統合ルール インターフェース: カスタム YARA-L ルールとキュレートされたコンテンツの両方に対応する統合管理コンソール。
ルールのデプロイ: ルールの状態(ライブまたはアーカイブ)と、関連するアラート構成。
Retrohunt: 過去のデータに対してルールを実行し、過去の脅威のインスタンスを検出するプロセス。
始める前に
チームでカスタム IAM ロールを使用している場合は、統合ルール ダッシュボードとエディタを使用するための次の権限があることを確認してください。
組織でデータ ロールベースのアクセス制御(データ RBAC)を使用している場合は、管理するルールに関連付けられたスコープへのアクセス権も必要です。 詳細については、 データ RBAC の概要をご覧ください。
ルール ダッシュボードの権限
| 権限 | 必要な IAM 権限 |
|---|---|
View
|
|
Edit
|
|
保存済みビュー - 保存済みルールビューのリスト表示と作成
| 権限 | 必要な IAM 権限 |
|---|---|
Manage
|
|
ルールエディタの権限
| コンポーネント | IAM 権限(IAM を使用する場合) | アナリスト権限(以前の RBAC を使用する場合) |
|---|---|---|
| ルールエディタ ページ |
|
detectRulesView
|
| 関連資料リスト セクション |
|
referenceListView
|
| 関連データテーブル セクション |
|
該当なし |
| [新しいルールを作成] ボタン |
|
detectRulesCreate
|
| [**ルールをテスト**] ボタン | chronicle.legacies.legacyRunTestRule
|
detectRulesRun
|
| [**ルールのスコープ**] メニュー | chronicle.rules.update
|
detectRulesEdit
|
| [ルールを保存] ボタン | chronicle.rules.update
|
detectRulesEdit
|
| [新しいルールとして保存] ボタン | chronicle.rules.create
|
detectRulesCreate
|
| [**ルールの Retrohunt**] ボタン | chronicle.retrohunts.create
|
detectRulesRun
|
| [Rule live] toggle | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| [**ルールのアラート**] 切り替え | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| [Rule run frequency] toggle | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| [Rule archive and unarchive] toggle | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| エディタでキュレートされたルールを表示する | chronicle.featuredContentRules.list
|
該当なし |
統合インターフェースの設定を管理する
ルール ダッシュボードとルールエディタの両方で、統合エクスペリエンスと以前のビューを切り替えることができます。選択すると、インスタンスに設定が保存され、デフォルトでその特定のバージョンが読み込まれます。
ルール ダッシュボード: 統合ルール ダッシュボードを有効にするには、ルール ダッシュボードに移動して [新しい統合ルールページを試す] をクリックします。無効にするには、[以前のルール ダッシュボードに戻る] をクリックします。
ルールエディタ: 新しいルールエディタを有効にするには、ルールエディタ ページに移動して [新しいルールエディタ ページ] をクリックします。無効にするには、[以前のルールエディタ ページ] をクリックします。
キュレートされた保存済みビュー
統合ルール ダッシュボードには、ルールをすばやくフィルタして整理できるデフォルトの保存済みビューが含まれています。次の表に、デフォルトのキュレートされた保存済みビューを示します。
| 保存済みビュー | 説明 | フィルタ条件 |
|---|---|---|
| 異常なルール | 実行に問題があるルール、またはデフォルト以外の実行状態にあるルールを表示します。 | execution_state が default ではない、アーカイブされていないルール。 |
| アクティブ、アラート、Google ルール | Google が作成した、アクティブでアラートを生成するように構成されているキュレートされたルールを表示します。 | rule_owner が GOOGLE に設定され、archived が false に設定され、alerting_enabled が true に設定され、live_mode_enabled が true に設定されているルール。 |
| ECG を使用するルール | Entity Context Graph(ECG)データを活用するルールを表示します。 | entity.graph を使用する、アーカイブされていないルール。 |
| 永続化と権限昇格のルール | 永続化と権限昇格の戦術に関連するルールを表示します。 | TA0003(永続化)または TA0004(権限昇格)のタグが付いた、アーカイブされていないルール。 |
キュレートされたルールで脅威検出を加速する
統合ルール インターフェースを使用して、特定の MITRE ATT&CK 戦術の検出を特定できます。アラートが有効になっていて、初期アクセスに関連するルールを見つけるには、次の操作を行います。
[ルール] ダッシュボードに移動します。
検索バーを使用して、特定の脅威をフィルタします。
たとえば、初期アクセス(MITRE ATT&CK 戦術
TA0001)に関連するキュレートされたルールを見つけるには、次の検索クエリを使用します。alerting_enabled = true AND tags:"TA0001"複雑なフィルタリングについては、 [検索] ルールのページの高度な構文をご覧ください。
省略可: 検索結果からルールを選択して、ルールの詳細を表示します。
デプロイするルールの横にある [Menu] をクリックします。
[ライブルール] 切り替えと [アラート] 切り替えをクリックして、脅威の検出を開始します。
ルールの実行、ステータス、アラート履歴はダッシュボードから追跡できます。
トラブルシューティング
レイテンシと上限
ルールの実行: ルールを保存してから、ダッシュボードに最初の実行指標が表示されるまでに、短い伝播遅延(通常は数分)が発生する場合があります。
Retrohunt の上限: キュレートされた検出は Retrohunt として実行できません。 また、Retrohunt には、データ保持階層に基づくルックバック ウィンドウの上限が適用されます。
エラーの修復
| エラーコード | 問題の内容 | 修正 |
|---|---|---|
| 403 Forbidden | キュレートされたコンテンツを表示する権限がありません。 | chronicle.featuredContentRules.list が IAM ロールに追加されていることを確認します。
|
| デプロイ失敗 | ルールの構文エラーまたは競合。 | ルールエディタの [ルールをテスト] ボタンを使用して、YARA-L 構文を検証します。 |
user does not have access to scope <scope_name>
|
ユーザーには、ルールに割り当てられたスコープに必要なデータ RBAC 権限がありません。 | 必要なスコープにアクセスできることを確認します。詳細については、ユーザー向けにデータの RBAC を構成するをご覧ください。 |
The rule has been modified by someone else
|
ルールを開いた後に、別のユーザーがルールの新しいバージョンを保存しました。 | 変更をコピーし、ページを更新して最新バージョンを読み込んでから、変更を再適用して保存します。 |
rules editing not enabled
|
Google SecOps インスタンスでルールの編集が無効になっています。 | 管理者に連絡して、ルールの編集を有効にしてください。 |
次のステップ
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。