アラートとエンティティ コンテキストを調査する
このガイドは、関連するアクティビティを特定し、アラートからリスク プロファイルを評価する調査担当者を対象としています。このガイドでは、アラートからエンティティのタイムラインにピボットする方法について説明します。調査が成功すると、複雑なインシデントのトリアージまでの時間を短縮し、影響の大きい脅威に最初に焦点を当てることができます。
一般的なユースケース
このセクションでは、一般的なユースケースをいくつか紹介します。
トリアージとケースの優先順位付け
目的: 関連するエンティティのリスク プロファイルを評価して 、直ちにエスカレーションする必要があるアラートを特定します。このアプローチでは、組織に最も大きな脅威をもたらすアラートを特定することで、時系列処理を超えた対応が可能になります。
ワークフロー:
[アラート] ダッシュボードを開き、アラートを表示します。
アセット ID またはユーザー名をコピーして、Risk Analytics にピボットします。
エンティティのリスクスコアがすでに高い場合は、リスクの低いエンティティに関連するアラートよりもこのケースを優先します。
結果: 限られた SOC リソースを、影響の大きい脅威に最初に集中させることができます。
アラートの影響範囲を分析する
目的: アラートの 関連アクティビティを追跡して、インシデントの全範囲を把握します。環境全体で関連するアクティビティを追跡することで、侵害されたシステムとアカウントの関係をマッピングし、脅威がどのように移行したかを可視化できます。
ワークフロー:
[アラート] ダッシュボードを開き、高リスクのアラートを表示します。
[グラフ] タブに移動して、エンティティ コンテキスト グラフ(ECG)の関係を表示します。
関連するエンティティごとに、Risk Analytics の [検出のタイムライン] にピボットします。
検出パターンの重複を探して、脅威がどのように拡散したかをマッピングします。
結果: 影響を受けるシステムとアカウントを特定するインシデントの包括的なマップ。
ラテラル ムーブメントの調査
目的: UDM イベントを 通常の行動履歴のベースラインと比較して、悪意のある動作を事前に特定します。内部通信とアクセス パターンに微妙な異常を特定し、攻撃者がネットワーク内を移動していることを示唆できます。
ワークフロー:
エンティティを選択し、その行動履歴 (通常のログイン時間やファイル アクセス)を確認します。
UDM イベントで、アセットが突然新しい内部 IP アドレスと通信したり、ユーザーが機密性の高いアプリケーションに初めてアクセスしたりするなど、逸脱がないか検索します。
正式なアラートがまだトリガーされていない場合でも、これらの異常によってエンティティのリスクスコアが最近急上昇したかどうかを評価します。
UDM イベントをエンティティの履歴にリンクすることで、正当なビジネス上の変更と潜在的なラテラル ムーブメントを区別できます。
結果: シグネチャ ベースのアラートをバイパスする脅威を早期に検出できます。
始める前に
次のものが用意されていることを確認してください。
権限: アラート ダッシュボード、Risk Analytics ダッシュボード、UDM 検索機能にアクセスできる必要があります。
環境チェック: ECG と Risk Analytics を有効にして、それらが タイムラインにデータを取り込んでいることを確認します。
検出とエンティティ コンテキストを調査する
アラートをリスク プロファイルに手動でリンクし、関連するアセットの履歴アクティビティを分析する手順は次のとおりです。
アラートからエンティティを特定する
調査の開始点として、アラートに関連する特定のアセットまたはユーザーを特定します。
[アラート] ページに移動します。
[検出] テーブルでアラート名をクリックして、アラートページを開きます。
[入力] テーブルを見つけます。
テーブルに [エンティティ] が含まれている場合は、次の操作を行います。
エンティティ名をクリックして、[エンティティ コンテキスト] タブを開きます。
関連するエンティティ(特定のハッシュ、IP アドレス、アセット名など)を特定します。
アセット ID またはユーザー名 をコピーします。
テーブルに [検出] または [イベント] が含まれている場合は、次の操作を行います。
検出の場合は、[検出] 行をクリックして、基盤となるイベントを表示します。
イベント行をクリックして、[イベント ビューア] タブを開きます。
[エンティティ] タブで、関連するエンティティ(特定のハッシュ、IP アドレス、アセット名など)を特定します。
- アラートで特定されたアセット ID またはユーザー名 をコピーします。
Risk Analytics にピボットする
アラートで検出された識別子を使用して、アナリティクス ダッシュボード内のエンティティのより広範なリスク プロファイルにアクセスします。
Risk Analytics ダッシュボードに移動します。
[エンティティ] タブに移動し、コピーした識別子を検索バーに貼り付けます。
結果からエンティティ名をクリックして、アセットの [検出のタイムライン] を表示します。[検出のタイムライン] には、アセットまたはユーザーの履歴コンテキストが表示されます。
検出のタイムラインを分析する
現在のリスクスコアに寄与した検出のリスト(
19 detectionsなど)を確認します。タイムラインを確認して、UDM イベントと ECG の関係が時間の経過とともにどのように変化したかを確認し、インシデントの重大度を判断します。
注: タイムラインを無視して単一のアラートのみを確認すると、より大規模で連携した脅威を示す重複する検出パターンを見逃す可能性があります。
トラブルシューティング
このセクションでは、パフォーマンスの期待値と、調査に関する一般的な問題のセルフサービスによる修正方法について説明します。
レイテンシと上限
同期のレイテンシにより、新しいイベントがタイムラインに相関付けられるまでに 10 ~ 15 分ほどかかることに注意してください。この期間中は、検索を再実行したり、サポート チケットを送信したりしないでください。
調査に関する一般的な問題
調査の一般的なギャップを解決するには、次の表を使用してください。
| 問題 | 説明 | 修正 |
|---|---|---|
| アセット ID がない | アラートには、リンクされたアセットのないファイルのハッシュまたは IP アドレスのみが表示されます。 | そのハッシュまたは IP の UDM 検索を実行して、関連付けられた
principal.asset_id を特定します。
|
| タイムラインが空 | エンティティは Risk Analytics に存在するが、検出は表示されない。 | エンティティが検出をトリガーしていることを確認します。トリガーしている場合は、 ECG 取り込みパイプラインがアクティブかどうかを確認します。 |
検証とテスト
調査後、必要に応じて UDM 検索を使用して、タイムラインで見つかった特定のイベントが生ログとして存在することを確認できます。これにより、相関関係の正確性を確認できます。
次のステップ
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。