GCTI アラートを調査する

以下でサポートされています。

Google Cloud Threat Intelligence(GCTI)アラートは、Google 内部の脅威検出インフラストラクチャと GCTI のセキュリティ アナリストによる調査の両方から生成されます。

Google Security Operations のお客様には、GCTI アラートが [アラートと IOC] ページに表示されます。[ソース] 列に表示されます。GCTI によって生成されたアラートには、[キュレーテッド検出] というラベルが付けられています。

GCTI アラートを表示する

GCTI アラートを表示する手順は次のとおりです。

  1. ナビゲーション バーで、[検出] > [アラートと IOC] をクリックします。
  2. [ソース] タブで、GCTI アラートには [キュレーテッド検出] というラベルが付けられています。 [ソース] をクリックすると、[キュレーテッド検出] タグが付いたすべてのアラートが上部に移動します。
  3. 調査するアラートの [名前] 列のリンクをクリックします。

[名前] のテキストをクリックすると、[概要]、[グラフ]、[アラート履歴] が開きます。[グラフ] は、検索を拡大できるインタラクティブなグラフです。[アラート履歴] には、アラートに関する重要な情報が表示されます。

]グラフ] と[アラート履歴] の使用方法については、アラートを調査するをご覧ください。

[キュレーテッド検出] ダッシュボードには、GCTI 関連のすべてのルールが配置されています。

[キュレーテッド検出] ダッシュボードを表示する手順は次のとおりです。

  1. ナビゲーション バーで、[検出] > [ルールと検出] をクリックします。
  2. [ルール ダッシュボード]、[ルールエディタ]、[キュレーテッド検出]、[除外] の 4 つのタブがあります。[キュレーテッド検出] をクリックします。[キュレーテッド検出] には、すべての GCTI ルールと、それらが生成するアラートが配置されます。

GCTI ルールを調査する

表の上には、[ルールセット] と [ダッシュボード] の 2 つのタブが表示されます。

[ルールセット] には、すべてのルールとルールセット(併用されるルールのグループ)が表示されます。このタブでは、次の操作を行うことができます。

  • さまざまなセクションを折りたたむ、展開する
  • [アラート] と [ステータス] を有効または無効にする
  • 表の左上にあるチェックボックスを使用して、1 つのルールセットまたはすべてのルールセットに変更を適用します。

キュレーテッド検出

[ダッシュボード] セクションには、カテゴリ別に分類されたルールが表示されます。

ルール ダッシュボード

[ダッシュボード] セクションでアラートをクリックすると、ページが開き、そのアラートに対する最近の検出のタイムラインが表示されます。

Precise ルールと Broad ルールの使用

[ルールセット] には、[Precise] と [Broad] の 2 種類のルールがあります。実行する検索の種類に応じて、正確なルールまたは幅広いルールを個別に有効または無効にできます。

  • Precise ルールは、悪意のある可能性が高く、調査が必要な悪意のある動作を検出します。セキュリティ チームが生成したセキュリティ イベントに対して直接修復アクションを実行することを想定している場合は、正確なルールを有効にします。

  • 広範なルールは、悪意のある動作や異常な動作である可能性のある動作を特定してラベル付けし、関連性の高いセキュリティ シグナルとして機能します。検出目的でコンテキスト データを収集する場合は、広範なルールを有効にします。これらのルールによる検出は、個々のアクションを目的としたものではありません。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。