ケースのトリアージと対応

このガイドは、セキュリティ アナリストが緊急の対応が必要なケースやセキュリティ アラートを効率的に特定し、優先順位を付けるのに役立ちます。パーソナライズされたビュー、自動化、AI 搭載のトリアージ、ハンドブックなど、Google Security Operations の機能の使用方法について説明します。この方法に従うことで、アナリストはノイズを減らし、応答時間を短縮し、最もリスクの高い真陽性にアナリストの労力を集中させることができます。正常に完了することで、重大な脅威をタイムリーに軽減できます。

一般的なユースケース

• 目標: 自動化と AI を使用して、大量のセキュリティ データの中からリスクの高いアラートとケースを効率的に特定します。
• 価値: 重大な脅威に迅速に対応し、潜在的な影響を最小限に抑えます。

始める前に

• 権限: Google SecOps 内で、ケース、ワークデスクにアクセスし、プレイブックを実行するために必要な権限があることを確認します。次のような特定の IAM ロールが必要になることがあります。

  • Chronicle API Admin
  • Chronicle API 編集者
  • Chronicle API 閲覧者
  • Chronicle API 制限付き閲覧者

直ちに注意を払う必要があるケースとアラートを特定する

このセクションでは、緊急度を判断するための順次的な手順について説明します。

パーソナライズされたキューをモニタリングし、厳格なフィルタを適用する

次のアプローチにより、特に注意が必要な項目と、リスクの高いインシデントの全体的なプールを把握し、最も影響の大きいイベントをすぐに確認できます。

1. Google SecOps プラットフォームで、[Your Workdesk] > [My Cases] を選択します。このビューには、自分またはアナリストのロールに直接割り当てられたケースが表示されます。
2. メインの [Cases] ページを開き、[Cases Filter] をクリックします。
3. 優先度が「重大」と「高」の検出結果をフィルタします。これらのフィルタは、後で簡単に戻れるように保存しておいてください。

トリアージに AI と自動化を活用する

アラートには、決定論的で事前定義されたハンドブックと、Gemini Triage and Investigation Agent などの動的 AI エージェントを組み合わせたエージェント自動化を使用します。このエージェントは、初期の詳細な分析を自動化します。通常、15 ～ 20 分かかる手作業を大幅に短縮できます。

主な特長:

• 自動化シーケンス: Gemini トリアージ エージェントと調査エージェントの出力に基づいて修復ハンドブック（ホストの分離やアカウントの強制停止など）が自動的に開始され、重要なケースにすぐに対応できるように、ハンドブックを構成します。
• 適応型レスポンス: AI 生成の出力（リスクスコアや True Positive などの判定など）をハンドブック内の条件として使用し、さまざまな自動レスポンス パスをトリガーします。たとえば、判定が Malicious の場合はホストを自動的に隔離し、Suspicious の場合は審査対象としてのみマークします。判定またはリスクスコアを使用して、優先度を上げたり、ケースをエスカレーションしたりできます。たとえば、上位 Tier にエスカレーションしたり、割り当て先にメッセージを送信したりします。
• プロセスツリーの再構築: トリアージ エージェントは、システム アクティビティのタイムラインを視覚的に生成できます。これにより、アナリストは攻撃チェーン、親子プロセス関係、ラテラル ムーブメントを瞬時に把握できます。

ハンドブックを使用して迅速なトリアージと一貫した対応を行う

[ケース] ページで、事前構築済みのカスタム ハンドブックを使用します。プレイブックは、標準運用手順（SOP）を自動化されたワークフローにコード化し、手作業を最小限に抑え、一貫性を確保します。

プレイブックの主な機能:

• 自動拡充: 多くのハンドブックでは、VirusTotal、CrowdStrike、内部脅威フィードなどのソースから得られた脅威インテリジェンスでアラートが自動的に拡充され、ハッシュ、IP アドレス、ドメインなどのセキュリティ侵害インジケーター（IoC）に関するコンテキストが即座に提供されます。
• ガイド付きの意思決定ポイント: ハンドブックは一時停止して、アナリストに「はい」または「いいえ」の質問、複数選択式の質問、条件付きプロンプト（"Is this activity expected for this user role?"... if "No", then "Escalate to Tier 3", if "Yes", then "Mark as False Positive", or "Continue monitoring" など）を表示できます。
• 制御された手動介入: デリケートなアクションの場合、ハンドブックに手動承認ステップを含めることができます。これにより、アナリストは実行前に提案されたアクション（ホストの隔離、サンドボックスでのファイルの実行、IP アドレスのブロックなど）を確認できます。
• ケース管理の自動化: ハンドブックを使用すると、調査結果に基づいてケースを専門チームに自動的に転送し、無害または情報提供と確認されたアラートを自動的に閉じることができます。これにより、アクティブなキューは対応可能な脅威に集中できます。

アナリストがこのジャーニーでハンドブックを使用する方法:

• 標準化されたレスポンス: 特定のタイプ（フィッシング、ランサムウェアなど）のアラートがすべて、組織の確立された SOP に従って処理されるようにします。
• ノイズ リダクション: 事前定義されたロジックに基づいて、低忠実度のアラートを自動的にフィルタリングまたは解決します。
• トイルの削減: データ収集、ログの関連付け、エンティティの拡充などの時間のかかるタスクを自動化します。
• エージェントによる自動化の動作: AI エージェントの分析速度と決定論的ハンドブックの信頼性を組み合わせます。
• エージェント ステップ: プレイブックは Vertex AI 統合を活用して、Gemini を活用したキュレートされたワークストリームを構築し、調査を支援できます。

メリット: トリアージ プロセスを効率化し、一貫した対応を適用し、反復作業を削減し、アナリストがより複雑な脅威に効果的に対応できるようにします。

緊急対応が必要なシナリオの例

このセクションでは、早急な対応が必要なシナリオの例を示します。

自動修復の開始

Suspicious PowerShell Execution の [Cases] ページに、優先度 [Critical] のアラートが表示されます。

リンクされたハンドブックには、Gemini トリアージ エージェントが実行され、信頼度の高い True Positive 判定が返されたため、ハンドブックが ホストの分離アクションを自動的にトリガーし、現在承認待ちまたは完了したことが示されています。

この場合、エージェントの検出結果と隔離状態を直ちに確認する必要があります。

AI 支援による手動での決定

[Cases] キューを [Priority: Critical] でフィルタします。

ケースを開くと、プレイブックが「ケースをエスカレーションするか、クローズするか」という質問で一時停止しています。

Gemini Triage and Investigation Agent の概要を確認します。概要には、特定の悪意のある指標を引用した詳細な根拠とともに「Highly Likely True Positive」と記載されています。

[Tier 2 にエスカレーション] を選択します。

トラブルシューティング

レイテンシ、サービス割り当て、上限

• トリアージ エージェントの割り当て: Gemini トリアージ エージェントと調査エージェントには割り当てが適用されます。通常、テナントあたり 1 時間あたり約 10 件の調査（手動トリガー 5 件、自動トリガー 5 件など）です。この上限を超えるアラートには、手動でのトリアージが必要です。

エラーの修復

エラーコード	問題の説明	修正
なし	[My Cases] または [Cases] キューに、緊急のアイテムが表示されない。	関連する検出でルール Alerting がオンになっていることを確認します。ケースがユーザーまたはロールに正しく割り当てられていることを確認し、制限の厳しいフィルタがキューに誤って適用されていないことを確認します。
なし	Gemini の概要がありません。	ケースウォールで Gemini Investigations のステータスを確認します。割り当てに達した場合は、エージェントをトリガーできなかったことを示すメッセージが表示されます。

検証とテスト

プロセスが機能していることを確認するには、次のことを確認します。

• フィルタに基づいて、高と重大のアラートが想定どおりに表示される。
• ハンドブックは新しいアラートでトリガーされます。
• Gemini Triage and Investigation Agent の概要が想定どおりに表示される。
• ケースは、ハンドブックのロジックとアナリストの判断に基づいてエスカレーションまたはクローズされます。

症状	解決策
[My Cases] または [Cases] キューに、緊急のアイテムが表示されない。	関連する検出でルール Alerting がオンになっていることを確認します。ケースがユーザーまたはロールに正しく割り当てられていることを確認し、制限の厳しいフィルタがキューに誤って適用されていないことを確認します。
Gemini の概要がありません。	ケースウォールで Gemini Investigations のステータスを確認します。割り当てに達した場合は、エージェントをトリガーできなかったことを示すメッセージが表示されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。