このページは Cloud Translation API によって翻訳されました。

トリアージエージェントを使用してアラートを調査する

以下でサポートされています。

Google SecOps

トリアージエージェントは、Google Security Operations に組み込まれた AI を活用した調査アシスタントです。アラートが真陽性か偽陽性かを判断し、評価の概要を説明します。

トリアージエージェントは、Mandiant の原則と業界のベストプラクティスを使用して、Google SecOps のアラートを分析します。受信したアラートを評価し、調査計画を実行して、調査結果と推論の両方を含む構造化された分析を提供します。

Triage Agent の使用に必要な IAM 権限の一覧については、Triage Agent をご覧ください。

調査ツール

エージェントは、次の組み込みツールを使用して分析を完了します。

動的検索クエリ: SecOps で検索を実行して絞り込み、アラートの追加のコンテキストを収集します。
GTI 拡充: ドメイン、URL、ハッシュなどの Google Threat Intelligence（GTI）データで IoC を拡充します。
コマンドライン分析: コマンドラインを分析して、アクションを自然言語で説明します。
プロセスツリーの再構築: アラート内のプロセスを分析して、関連するシステムアクティビティの完全なシーケンスを表示します。

トリアージエージェントをトリガーする

トリアージエージェントは自動または手動でトリガーできます。各テナントは、1 時間あたり最大 10 件の調査（手動 5 件、自動 5 件）を実行できます。各調査は通常 3 ～ 5 分で完了し、最大 20 分間実行されます。調査キューはありません。トリアージエージェントは、上限を超えて生成されたアラートを自動的に分析しません。

自動調査

エージェントは、関連する metadata.log_type 値を含むイベントを含むアラートを自動的に調査します。

次の表に、サポートされている metadata.log_type 値とそのソースを示します。

ソース	`metadata.log_type` 値
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`, `ELASTIC_EDR`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
その他	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREwall`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.

手動調査

調査を手動で実行するには:

Google SecOps で、[アラートと IoC] ページに移動します。
アラートを選択して [調査を実行] をクリックします。

ケース内のアラートに移動して、アラートの調査を実行することもできます。プロセスが完了すると、バナーが [調査を表示] に更新されます。このバナーをクリックすると、調査の詳細が表示されます。

調査に移動する

過去の調査や進行中の調査には、Google SecOps のどこからでもアクセスできます。

Google SecOps のインターフェースでをクリックします。
ナビゲーションパネルでをクリックします。
調査リストの横にある keyboard_arrow_down をクリックして、パネルを開きます。
リストでアイテムを選択して、調査結果を開きます。

各調査エントリには、アラート名、完了時間、Gemini 調査の概要が含まれます。同じアラートが複数回調査された場合、各調査は調査リストに個別のエントリとして表示されます。

調査を確認する

各調査は、Gemini の分析、推論、使用したサポートデータをまとめた詳細ビューで開きます。

このビューには次のコンポーネントがあります。

概要
調査のタイムライン
アラートを表示する、調査を再実行する
推奨される次のステップ
Feedback

概要

パネルの上部にある [Gemini による概要] セクションには、アラートと調査結果の簡単な説明が表示されます。

概要には次の情報が表示されます。

Disposition: Gemini がアラートを真陽性または偽陽性と判断したかどうかを示します。
信頼度: Gemini が評価にどの程度の確信を持っているかを示します。この評価は、アラートと利用可能な調査データに基づいています。
概要の説明: アラートと、Gemini が結論に至った経緯を説明します。

調査のタイムライン

概要の後に、調査のタイムラインにカードが表示されます。各カードは、エージェントが実行する分析ステップを表しています。

各カードには次の情報が表示されます。

分析アクティビティを説明するタイトル
Gemini の検索結果と分析を要約した本文
Gemini がステップで使用したデータへのソースリンク（GTI の結果や検索クエリなど）

アラートを表示する、または調査を再実行する

調査パネルでは、次の操作を行うことができます。

アラートを表示: Google SecOps SIEM ビューでアラートの詳細を開きます。
調査を再実行: 同じアラートの分析を再実行します。

推奨される次のステップ

すべての調査で、Gemini は調査の次のステップを提案します。これらの手順では、アナリストが調査するための追加のアクションやデータソースが推奨されます。

エージェントが更新されると、これらの提案が拡大され、修復ガイダンスが含まれるようになります。

フィードバック

各調査には、フィードバックを収集するための thumb_up（高く評価）アイコンと thumb_down（低く評価）アイコンが含まれています。フィードバックは重大度の判定に重点を置いてください。これは、Gemini の脅威分類の精度を高めるのに役立ちます。

Cloud Audit Logging

Triage Agent の監査ロギングを有効にするには:

Google Google Cloud コンソールで、[IAM] > [監査ロギング] に移動します。
Chronicle API を検索します。
[Chronicle API] パネルの [権限タイプ] タブで、[管理読み取り] チェックボックスをオンにします。

監査ログの表示

監査ログを表示するには:

Google Google Cloud コンソールで、[モニタリング] > [ログエクスプローラ] に移動します。
表示するログを検索します。
- すべての Google SecOps 監査ログを表示するには、protoPayload.serviceName: "chronicle.googleapis.com" を検索します。
- トリアージエージェントのログのみを表示するには、関連するメソッドを検索します。
  
  たとえば、protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" や protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation" です。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。