ナビゲーション構造を再編成し、運用ワークフローに直接対応するようにしました。詳細については、Google SecOps リリースノートをご覧ください。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

拡充ブロックを管理する

このドキュメントでは、拡充ブロックを使用してデータ拡充プロセスをきめ細かく制御する方法について説明します。デフォルトの拡充プロセスでは、さまざまなソースのコンテキストデータを使用してデータを分析し、内部ロジックに従って統合データモデル（UDM）フィールドのデータを上書きします。通常、デフォルトのプロセスは想定どおりに機能しますが、場合によっては、UDM フィールドのデータを上書きすると、検出エンジンのルールが誤ってトリガーされるなど、予期しない動作が発生することがあります。

拡充ブロックを構成して表示する

拡充ブロックを構成できるのは、Chronicle 管理者と編集者の権限を持つ Google Security Operations ユーザーのみです。すべての Google SecOps ユーザーが [Enrichment Blocks]インターフェースを表示できます。

拡充ブロックの基本的な構成には、[Enrichment Type]、[Target Log Type]、[Source] の 3 つの連続したパラメータが必要です。[Target Log Type] で使用できるオプションは、選択した [Enrichment Type] によって異なります。また、[Source] で使用できるオプションは、選択した [Target Log Type] によって異なります。

拡充ブロックを削除することはできません。

拡充ブロックは有効、無効、再度有効にできます。

[Enrichment Blocks] ダイアログには、[Enabled Blocks] タブと [Disabled Blocks] タブがあります。どちらのタブの表にも、拡充ブロックの基本的な構成パラメータ、ブロックが最後に有効になった UTC 日付、ブロックの理由（ユーザーが指定した場合）が表示されます。[Disabled Blocks] タブの表には、ブロックが無効になった UTC 日付が表示されます。

拡充ブロックの時間ロジックの改訂

拡充ブロックのステータスの変更は、5 ～ 10 分以内に有効になります。

ブロックを有効または無効にする主な効果は、同期された開始時間です。

ブロックを有効にする（拡充解除）: Google SecOps は、現在の日付の 00:00:00 UTC から、関連するすべてのフィールドの拡充を解除します。
ブロックを無効にする（再拡充）: Google SecOps は、現在の日付の 00:00:00 UTC から、関連するすべてのフィールドを再拡充します。

例: 9 月 16 日（火）23:59:59 UTC に、拡充ブロックを有効にします。Google SecOps は、9 月 16 日（火）0:00:00 UTC から、関連するすべての拡充フィールドの拡充を解除し、今後も拡充ブロックを実装し続けます。9 月 17 日（水）09:00:00 UTC に、拡充ブロックを無効にします。 Google SecOps は、9 月 17 日（水）0:00:00 UTC から、関連するすべてのフィールドを再拡充し、今後も関連するすべてのデータを拡充し続けます。

拡充ブロックを作成して有効にする

拡充ブロックを作成して有効にするには、次の操作を行います。

[Settings] [>] [Enrichment Blocks] に移動します。
以下の構成を行います。
1. [Enrichment Type] リストから、次のいずれかを選択します。
  - All Types 。Google SecOps が取り込むデータとログタイプに基づいて入力されるリスト内のすべての項目に適用されます。
  - Asset。拡充ブロックに含まれていない場合、このオプションは次の処理を行います。
    - hostname、asset_id、mac、ip などのフィールドを抽出します（asset_id が空の場合）。
    - Noun から Asset の下にあるもの（hostname、asset_id、mac、ip など）を含むフィールドを拡充します。
    - DHCP や Asset Context（Tanium Asset、CrowdStrike など）などの拡充ソースを使用します。
  - GeoIP。拡充ブロックに含まれていない場合、このオプションは次の処理を行います。
    - パブリックまたはルーティング可能な場合は、ip などのフィールドを抽出します。
    - artifact.ip、artifact.location、artifact.network、location を含むフィールドを拡充します。
    - Google GeoIP Service の拡充ソースを使用します。
  - Google Threat Intel。拡充ブロックに含まれていない場合、このオプションは次の処理を行います。
    - 関連するフィールドを抽出します。
    - File または process.file フィールドを拡充します。
    - VirusTotal ファイルのメタデータから拡充ソースを使用します。
  - Process。拡充ブロックに含まれていない場合、このオプションは次の処理を行います。
    - process.product_specific_process_id などのフィールドを抽出します。
    - Process の下にあるものを含むフィールドを拡充します。
    - EDR ログ（CrowdStrike、SentinelOne など）などの拡充ソースを使用します。
  - User。拡充ブロックに含まれていない場合、このオプションは次の処理を行います。
    - user.email_addresses、user.userid、user.windows_sid、user.employee_id、user.product_object_id などのフィールドを抽出します。
    - User の下にあるものを含むフィールドを拡充します。
    - ユーザーコンテキストログ（Workday、Windows AD など）などの拡充ソースを使用します。
2. [Target Log Type] リストから、選択した [Enrichment Type] に応じて必要なオプションを選択します。オプションの例としては、All Types、Windows_Sysmon、CB_EDR、BRO_JSONなどがあります。
  
  注: All Types は、Google SecOps が取り込むデータとログタイプに基づいて入力されるリスト内のすべての項目に適用されます。
3. [Source] リストから、必要なオプションを選択します。使用できるオプションは、選択した [Target Log Type] によって異なります。オプションの例としては、All Types、INFOBLOX_DHCP、WINDOWS_AD、VIRUSTOTAL_FILE_METADATAなどがあります。
[Enable Block] をクリックして [Enable Block] ダイアログを開き、前の手順の構成を表示します。
省略可: [Reason for blocking] フィールドに、拡充ブロックの理由を入力します。
情報を確認したら、[Enable Block] をクリックします。[Enabled Blocks] テーブルに、有効な拡充ブロックの行が表示されます。

約 5 ～ 10 分後、Google SecOps は、現在の日付の 0:00:00 UTC から、拡充ブロック（つまり、関連するすべての拡充フィールドの拡充を解除）を実装します。この後、結果が想定どおりであることを確認することをおすすめします。

拡充ブロックを無効にする

拡充ブロックを無効にするには、次の操作を行います。

[Settings] [>] [Enrichment Blocks] に移動します。
[Enabled Blocks] タブで、拡充ブロックを見つけて、その行の [その他] をクリックし、[Disable Block] を選択します。確認ダイアログが表示されます。
情報を確認して、[Disable Block] をクリックします。[Disabled Blocks] テーブルに、無効な拡充ブロックの行が表示され、対応する行が [Enabled Blocks] テーブルから削除されます。

約 5 ～ 10 分後、Google SecOps は、現在の日付の 0:00:00 UTC から、関連するすべてのフィールドを再拡充します。この後、結果が想定どおりであることを確認することをおすすめします。

拡充ブロックを再度有効にする

拡充ブロックを再度有効にするには、次の操作を行います。

[Settings] [>] [Enrichment Blocks] に移動します。
[Disabled Blocks] タブで、拡充ブロックを見つけて、その行の [その他] をクリックし、[Enable Block] を選択します。確認ダイアログが表示されます。
情報を確認して、[Enable Block] をクリックします。[Enabled Blocks] テーブルに、再度有効になった拡充ブロックの行が表示され、対応する行が [Disabled Blocks] テーブルから削除されます。

約 5 ～ 10 分後、Google SecOps は、現在の日付の 0:00:00 UTC から、拡充ブロック（つまり、関連するすべての拡充フィールドの拡充を解除）を実装します。この後、結果が想定どおりであることを確認することをおすすめします。

拡充ブロックのワークフローの例

このワークフローでは、拡充ブロックを使用して、不要なデータの上書きによって誤ってトリガーされたルールを解決する方法を示します。

ルールを検証する: アラートを受信し、誤ってトリガーされたことを確認します。ルールロジックが正しいことを確認します。ルール除外の候補ではありません。
ログソースを特定する: アラートを確認し、トリガー条件が CrowdStrike ログによって満たされたことを確認します。
拡充ソースを調査する: イベントビューアを使用して、どの外部ソースが重要なフィールドを変更したかを特定します。次の手順は、イベントビューアを開く方法の一例です（別の方法もあります）。
1. Google SecOps コンソールで、[Detections] [>] [Alerts & IOCs] に移動します。
2. 誤ってトリガーされた検出を選択し、イベントにドリルダウンします。
3. イベントのタイムスタンプをクリックして、イベントビューアを開きます。デフォルトでは、[Event Fields] タブが表示されます。各拡充フィールドは E で識別され、ノードを展開すると拡充ソースが表示されます。
4. [Event Fields] タブで、問題のある拡充フィールドのノードを展開してソースを特定します。アラートをトリガーしたフィールドが Okta によって拡充されたことがわかります。
拡充ブロックを作成して有効にする: CrowdStrike ログで、Okta からの User データを拡充のソースとして無効にする拡充ブロックを作成して有効にします。
解決を確認する: 拡充ブロックが有効になるまで 5 ～ 10 分待ってから、アラートが誤ってトリガーされなくなったことを確認します。

さらにサポートが必要な場合コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。