アラートの抑制を構成する

以下でサポートされています。

このドキュメントでは、Google Security Operations で使用できる、ノイズの多いアラートを抑制し、重大な脅威に優先順位を付けるメカニズムについて説明します。アラートの抑制では、事前定義された条件に基づいて重複したアラートや価値の低いアラートが自動的にフィルタされます。この抑制により、SOC チームは優先度の高いセキュリティ インシデントに集中できます。

アラート抑制を使用すると、さまざまなトリガーによって生成されるボリュームを管理できます。たとえば、同じ基盤となるアクティビティからの重複アラート、システム設定の誤りによる誤検出、既知の正常なアクティビティをトリガーする広範なルールロジック、計画されたメンテナンス ウィンドウなどです。

Google SecOps には、アラートの量を管理するための次の方法が用意されています。

  • スロットリング: 最初のアラートがトリガーされた後、定義された時間枠(1 時間など)で同じアクティビティの繰り返し検出を抑制します。

  • 除外: 除外は、アラートがトリガーされる前に一致をフィルタリングすることで、特定の検出を防ぎます。ルールロジックを満たしているが、除外条件を満たしていないイベントは、通常どおり検出をトリガーします。

  • SOAR プレイブック: IP アドレスやホスト名などの特定のエンティティ ルックアップに基づいて、時間制限付きのアラート抑制を提供します。

  • SOAR アラートのグループ化: 類似したアラートを基準に基づいて 1 つのケースに自動的にクラスタリングし、調査を効率化します。

スロットリングによるアラートの抑制

スロットリングは、最初のルール一致後、指定された期間の検出を抑制します。ルールロジックで suppression_window オプションと suppression_key オプションを使用すると、システムは抑制キーの最初の固有の組み合わせに対してのみ検出を生成します。Google SecOps は、定義されたウィンドウが期限切れになるまで、同じ組み合わせの後続の一致をすべて抑制します。

この方法により、同じ基盤となるアクティビティによって発生する重複した検出を効果的に減らすことができます。

ユースケース

  • PowerShell の実行: 最初のイベントから 1 時間、同じユーザーとホストに対する繰り返しのアラートを抑制します。

  • ネットワーク スキャン: 悪意のあるポート スキャナからの繰り返しアラートを、最初の検出から 6 時間抑制します。

ノイズの多いルールをモニタリングする

ノイズの多いルールを特定するには、次の操作を行います。

  1. Google SecOps にログインします。

  2. [メニュー] をクリックし、[検出] > [ルールと検出] を選択します。

  3. [ルール エディタ] タブでルールを選択し、[テスト] をクリックします。

  4. 期間セレクタを調整して、過去 7 日間のデータを分析します。ルールで 1 日に 100 件を超える検出結果が生成される場合は、ルールが広すぎる可能性があります。

  5. メニュー アイコンをクリックし、[ルール検出を表示] をクリックします。検出の詳細ページが表示されます。

  6. [手続き型フィルタリング] パネルで、寄与する UDM フィールドを特定します。

  7. match セクションまたは $suppressi_key を変更して、検出の量を減らします。

例: 場所別に一意のログインを特定する

アラートの疲労を防ぎながら、場所ごとに一意のログインを特定するには、同じ状態からの検出を抑制します。UDM フィールド event.principal.location.state を探して、状態ごとの検出数を確認します。

特定の状態のカウントが異常に高い場合は、そのフィールドを suppression キーまたは match キーに追加します。これにより、システムは一意のログイン場所ごとに 1 回だけ検出を行います。

検出のスロットリングを構成する

スロットリングは、最初のアラートがトリガーされた後、指定された期間、検出を抑制します。重複する検出を制限するには、ルールの options セクションに suppression_window を追加します。次のガイドラインが適用されます。

  • 単一イベント ルール: outcome セクションで $suppression_key 変数を定義して、重複除去キーとして機能させます。

  • マルチイベント ルール: match セクションの変数を重複除去キーとして使用します。

  • ウィンドウの期間: suppression_windowmatch ウィンドウ サイズ以上であることを確認します。同じ期間に設定すると、抑制が適用されていないかのようにルールが動作します。

  • 上限: 抑制期間に上限はありません。

  • 互換性: スロットリングは、単一イベント ルールとマルチイベント ルール、カスタムルールとキュレート ルールの両方に適用されます。

例: Windows ファイル共有アクティビティをモニタリングする

次のルールは、Windows ファイル共有アクティビティをモニタリングします。60 分(1hr)のウィンドウ内で一意のユーザーとホスト名ごとに 1 つの検出を作成し、同じ組み合わせの重複する一致を 24 時間(24h)抑制します。


rule rule_noisy_winshares {

  meta:
   author = "Google Cloud Security"

  events:
    $e.metadata.event_type = "NETWORK_CONNECTION"
    $e.target.resource.name = /(C|ADMIN|IPC)\$/ nocase
    $user = $e.principal.user.userid
    $hostname = $e.target.hostname

  match:
    $hostname, $user over 1h

  outcome:
    $sharename = array_distinct($e.target.resource.name)

  condition:
    $e

  options:
    suppression_window = 24h
}

この構成により、アナリストは抑制期間中に同じユーザーとホストの重複するアラートを処理することなく、最初のアクティビティを調査できます。

ルール除外を使用してアラートを抑制する

除外は、アラートをトリガーする前に一致をフィルタすることで、特定の検出を防ぎます。一致が除外ロジックを満たす場合、システムは検出を抑制します。ルールロジックを満たしているが、除外条件を満たしていないイベントは、引き続き通常どおり検出をトリガーします。除外を適用すると、手動で無効にするまで有効なままになります。

除外の完全なリストと関連するメタデータは、[ルールと検出] ページの [除外] タブで表示、管理、監査できます。また、テスト除外機能を使用して、特定のフィルタを適用する前に、検出量に与える影響を評価することもできます。

API を使用して除外を作成するには、API を使用してルールの除外を管理するをご覧ください。

ユースケース

  • 承認された IT ツールによる正当な PowerShell の実行を抑制します。

  • 大量のポートスキャンを実行する内部脆弱性スキャナを除外します。

ルールの除外を作成する

ノイズの多いルールの除外を作成する手順は次のとおりです。

  1. Google SecOps にログインします。

  2. メニュー > [検出] > [ルールと検出] に移動します。

  3. [ルール ダッシュボード] タブで、検出数の多いルールを探します。

  4. [ルール名] をクリックして、[検出] ページを開きます。

  5. [ルールのオプション] > [除外] をクリックします。

  6. 除外フィルタを追加するには、次の詳細を指定します。

    • 除外名

    • 適用するルールまたはルールセット

    • 指定された条件が満たされたときに検出を抑制するための除外条件。複数の条件を追加する際は、次のガイドラインに沿って対応してください。

      1. 論理 OR 関係を作成するには、Enter キーを使用して 1 つの行に複数の値を入力します。

        例: principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2

      2. [+ 条件ステートメント] をクリックして、前のステートメントと論理 AND 関係を持つ新しいステートメントを追加します。

        例: (principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2) AND (principal.user.userid CONTAINS sensitive)

  7. 省略可: [除外をテスト] をクリックして、過去 30 日間の検出数の減少をフィルタがどのように測定するかを確認します。結果に基づいて条件を調整します。

  8. [作成] をクリックして、除外を有効にします。

ルールの除外を管理する

除外を管理する手順は次のとおりです。

  1. Google SecOps にログインします。

  2. メニュー > [検出] > [ルールと検出] に移動します。

  3. [除外] タブに移動して、除外リストを表示します。次の操作を行うことができます。

    • 除外を有効または無効にするには、[有効] 切り替えボタンを切り替えます。

    • 除外をフィルタするには、 [フィルタ] をクリックします。

    • 除外を編集するには、 [メニュー] > [編集] をクリックします。

    • 除外設定をアーカイブするには、 [メニュー] > [アーカイブ] をクリックします。

    • 除外を復元するには、 [メニュー] > [アーカイブ解除] をクリックします。

API を使用してルールの除外を作成および管理するには、API を使用してルールの除外を管理するをご覧ください。

制限事項

除外を構成する際は、コンソールと API の機能的な違いに注意してください。

  • ルールのスコープ: コンソールでは、複数のキュレートされたルールに同時に除外を適用できますが、一度に適用できるカスタムルールは 1 つだけです。

  • 結果変数: 結果変数に基づくロジックを使用する除外を作成するには、API を使用する必要があります。

SOAR ハンドブックを使用してアラートを抑制する

SOAR ハンドブックは、特定のルックアップ条件に基づいて重複するアラートを特定して抑制するのに役立ちます。プレイブックは、事前定義された有効期限までアラートを抑制し、その後、アラートをテーブルから自動的に削除します。アナリストは、この方法を使用して、特定のエンティティ(IP アドレスやホスト名など)のアラートを一定期間抑制します。

他の方法とは異なり、このメカニズムは履歴データを追跡し、ケースの詳細内で抑制アクションの明示的な監査証跡を提供します。

ユースケース

最初の通知の後に、疑わしい IP アドレスからの受信接続リクエストに対する後続の通知を抑制し、抑制の監査証跡を維持します。

SOAR でアラートをグループ化する

アラートのグループ化では、定義した条件に基づいて、24 時間以内に生成された類似のアラートが自動的にクラスタ化されます。システムは、グループ化されたアラートを 1 つのケースに統合して調査します。

詳細については、アラートのグループ化メカニズムをご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。