特定のフローからのエンリッチメントをブロックする

このドキュメントでは、エンリッチメント ブロックを使用してデータ拡充プロセスをきめ細かく制御する方法について説明します。デフォルトの拡充プロセスでは、さまざまなソースのコンテキスト データを使用してデータを分析し、内部ロジックに従って統合データモデル(UDM)のフィールドデータを上書きします。通常、デフォルトのプロセスは想定どおりに機能します。ただし、特定のケースでは、UDM フィールドデータを上書きすると、検出エンジンルールの不適切なトリガーなど、予期しない動作が発生します。

エンリッチメント ブロックを構成して表示する

情報追加ブロックを構成できるのは、Chronicle 管理者権限と編集者権限を持つ Google SecOps ユーザーのみです。すべての Google SecOps ユーザーが [情報追加ブロック] インターフェースを表示できます。

拡充ブロックの基本構成には、[拡充の種類]、[ターゲット ログタイプ]、[ソース] の 3 つの連続したパラメータが必要です。[ターゲット ログタイプ] で使用できるオプションは、選択した [エンリッチメント タイプ] によって異なります。また、[ソース] で使用できるオプションは、選択した [ターゲット ログタイプ] によって異なります。

エンリッチメント ブロックは削除できません。

エンリッチメント ブロックは有効、無効、再度有効にできます。

[エンリッチメント ブロック] ダイアログには、[有効なブロック] タブと [無効なブロック] タブがあります。両方のタブの表には、エンリッチメント ブロックの基本構成パラメータ、ブロックが最後に有効になった UTC の日付、ブロックの理由(ユーザーが指定した場合はその理由)が表示されます。[無効なブロック] タブの表には、ブロックが無効になった UTC の日付が表示されます。

エンリッチメント ブロック時間のロジックを改訂

エンリッチメント ブロックのステータスの変更は、5 ~ 10 分以内に有効になります。

ブロックを有効または無効にする主な影響は、同期された開始時間です。

  • ブロック(非エンリッチメント)を有効にする: Google SecOps は、現在の日付の 00:00:00 UTC から開始して、関連するすべてのフィールドのエンリッチメントを解除します。

  • ブロックの無効化(再エンリッチメント): Google SecOps は、現在の日付の 00:00:00 UTC からすべての関連フィールドの再エンリッチメントを開始し、今後もエンリッチメントを継続します。

例: 9 月 16 日(火)23 時 59 分 59 秒(UTC)にエンリッチメント ブロックを有効にします。Google SecOps は、2025 年 9 月 16 日火曜日午前 0 時 0 分 0 秒(UTC)から、関連するすべての拡充フィールドの拡充を解除し、今後も拡充ブロックの実装を継続します。9 月 17 日水曜日の 09:00:00 UTC に、エンリッチメント ブロックを無効にします。Google SecOps は、9 月 17 日水曜日午前 0 時 0 分 0 秒(UTC)から、関連するすべてのフィールドを再拡充し、今後も関連するすべてのデータを拡充し続けます。

エンリッチメント ブロックを作成して有効にする

エンリッチメント ブロックを作成して有効にする手順は次のとおりです。

  1. [設定] > [エンリッチメント ブロック] に移動します。

  2. 以下の構成を行います。

    1. [エンリッチメント タイプ] リストから、次のいずれかのオプションを選択します。

      • すべてのタイプ
      • アセット。エンリッチメント ブロックにない場合、このオプションは次の処理を行います。
        • hostnameasset_idmacip などのフィールドを抽出します(asset_id が空の場合)。
        • Noun から Assethostnameasset_idmacip など)に含まれるフィールドを拡充します。
        • DHCPAsset Context などの拡充ソース(Tanium AssetCrowdStrike など)を使用します。
      • GeoIP。エンリッチメント ブロックにない場合、このオプションは次の処理を行います。
        • 公開されているか、ルーティング可能かなど、フィールドを抽出します。ip
        • artifact.ipartifact.locationartifact.networklocation を含むフィールドを拡充します。
        • Google GeoIP サービスのエンリッチメント ソースを使用します。
      • Google Threat Intel。エンリッチメント ブロックにない場合、このオプションは次の処理を行います。
        • 関連するフィールドを抽出します。
        • File フィールドまたは process.file フィールドを拡充します。
        • VirusTotal ファイルのメタデータから拡充ソースを使用します。
      • プロセス。エンリッチメント ブロックにない場合、このオプションは次の処理を行います。
        • process.product_specific_process_id などのフィールドを抽出します。
        • フィールドを拡充します。これには Process のすべての項目が含まれます。
        • EDR ログ(CrowdStrike や SentinelOne など)などのエンリッチメント ソースを使用します。
      • ユーザー。エンリッチメント ブロックにない場合、このオプションは次の処理を行います。
        • user.email_addressesuser.useriduser.windows_siduser.employee_iduser.product_object_id などのフィールドを抽出します。
        • User の下にあるものを含むフィールドを拡充します。
        • ユーザー コンテキスト ログ(Workday や Windows AD など)などのエンリッチメント ソースを使用します。

    2. [Target Log Type] リストで、選択した [Enrichment Type] に応じて必要なオプションを選択します。オプションの例としては、[All Types]、[Windows_Sysmon]、[CB_EDR]、[BRO_JSON] などがあります。

    3. [Source] リストから必要なオプションを選択します。使用できるオプションは、選択した [ターゲット ログタイプ] によって異なります。オプションの例としては、[All Types]、[INFOBLOX_DHCP]、[WINDOWS_AD]、[VIRUSTOTAL_FILE_METADATA] などがあります。

  3. [ブロックを有効にする] をクリックして [ブロックを有効にする] ダイアログを開き、前の手順で設定した構成を表示します。

  4. 省略可: [ブロックの理由] フィールドに、エンリッチメント ブロックの理由を入力します。

  5. 情報を確認したら、[ブロックを有効にする] をクリックします。[Enabled Blocks] テーブルには、有効なエンリッチメント ブロックの行が表示されます。

    約 5 ~ 10 分後、Google SecOps は現在の日付の 0:00:00(UTC)から、エンリッチメント ブロック(関連するすべてのエンリッチ フィールドのエンリッチメントを解除)を実装します。この期間が経過したら、結果が想定どおりであることを確認することをおすすめします。

エンリッチメント ブロックを無効にする

エンリッチメント ブロックを無効にするには、次の操作を行います。

  1. [設定] > [エンリッチメント ブロック] に移動します。
  2. [有効なブロック] タブで、エンリッチメント ブロックを見つけ、その行の [その他] をクリックして、[ブロックを無効にする] を選択します。確認ダイアログが表示されます。

  3. 情報を確認し、[ブロックを無効にする] をクリックします。[無効なブロック] テーブルに、無効になったエンリッチメント ブロックの行が表示され、[有効なブロック] テーブルから対応する行が削除されます。

    約 5 ~ 10 分後、Google SecOps は、現在の日付の 0:00:00 UTC 以降の関連するすべてのフィールドを再エンリッチします。この期間が経過したら、結果が想定どおりであることを確認することをおすすめします。

拡充ブロックを再度有効にする

拡充ブロックを再度有効にするには、次の操作を行います。

  1. [設定] > [エンリッチメント ブロック] に移動します。
  2. [無効なブロック] タブで、エンリッチメント ブロックを見つけて、その行の [その他] をクリックし、[ブロックを有効にする] を選択します。確認ダイアログが表示されます。

  3. 情報を確認し、[ブロックを有効にする] をクリックします。[Enabled Blocks] テーブルに、再度有効にしたエンリッチメント ブロックの行が表示され、[Disabled Blocks] テーブルから対応する行が削除されます。

    約 5 ~ 10 分後、Google SecOps は現在の日付の 0:00:00(UTC)から、エンリッチメント ブロック(関連するすべてのエンリッチ フィールドのエンリッチメントを解除)を実装します。この期間が経過したら、結果が想定どおりであることを確認することをおすすめします。

エンリッチメント ブロックのワークフローの例

このワークフローは、不要なデータの書き換えによって誤ってトリガーされたルールを解決するために、エンリッチメント ブロックを使用する方法を示しています。

  1. ルールを検証する: アラートを受け取り、アラートが不適切にトリガーされたと判断します。ルールロジックが正しいことを確認します。ルール除外の候補ではありません。
  2. ログソースを特定する: アラートを確認し、CrowdStrike ログによってトリガー条件が満たされたことを確認します。

  3. 拡充ソースを調査する: イベント ビューアを使用して、どの外部ソースが重要なフィールドを変更したかを特定します。イベント ビューアを開く方法の 1 つを次の手順で説明します(別の方法もあります)。

    1. Google SecOps コンソールで、[検出] > [アラートと IOC] に移動します。
    2. 誤ってトリガーされた検出を選択し、イベントまでドリルダウンします。
    3. イベントのタイムスタンプをクリックして、イベント ビューアーを開きます。デフォルトでは、[イベント フィールド] タブが表示されます。各拡充フィールドは E で識別されます。ノードを展開すると、拡充ソースが表示されます。
    4. [イベント フィールド] タブで、問題のある拡張フィールドのノードを開いてソースを特定します。アラートをトリガーしたフィールドが Okta によって拡充されていることがわかります。

  4. エンリッチメント ブロックを作成して有効にする: CrowdStrike ログのエンリッチメントのソースとして Okta からの User データを無効にするエンリッチメント ブロックを作成して有効にします。

  5. 解決策を確認する: 拡充ブロックが有効になるまで 5 ~ 10 分待ってから、アラートが誤ってトリガーされなくなったことを確認します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。