Triage and Investigation Agent(TIN)を使用してアラートを調査する
トリアージと調査エージェント(TIN)は、Google Security Operations に組み込まれた AI 搭載の調査アシスタントです。アラートが真陽性か偽陽性かを判断し、その評価の要約を説明します。
TIN は、Mandiant の原則と業界のベスト プラクティスを使用して、Google SecOps のアラートを分析します。受信したアラートを評価し、調査計画を実行して、調査結果と推論の両方を含む構造化された分析を提供します。
エージェントの使用に必要な IAM 権限のリストについては、トリアージと調査エージェント(TIN)をご覧ください。
調査ツール
エージェントは、次の組み込みツールを使用して分析を完了します。
動的検索クエリ: SecOps で検索を実行して絞り込み、アラートの追加のコンテキストを収集します。
GTI 拡充: ドメイン、URL、ハッシュなどの Google Threat Intelligence(GTI)データで IoC を拡充します。
コマンドライン分析: コマンドラインを分析し、アクションを自然言語で説明します。
プロセス ツリーの再構築: アラート内のプロセスを分析して、関連するシステム アクティビティの完全なシーケンスを表示します。
トリガー TIN
TIN は自動または手動でトリガーできます。各テナントは、1 時間あたり最大 10 件の調査(手動 5 件、自動 5 件)を実行できます。各調査は通常、平均 60 秒で完了し、最大 20 分間実行されます。調査キューはありません。エージェントは、上限を超えて生成されたアラートを自動的に分析しません。
自動調査
エージェントは、関連する metadata.log_type 値を含むイベントを含むアラートを自動的に調査します。
次の表に、サポートされている metadata.log_type 値とそのソースを示します。
| ソース | metadata.log_type 値 |
|---|---|
| Amazon |
|
| Cisco |
|
| CrowdStrike |
|
| Fortinet |
|
|
|
| Microsoft |
|
| Okta |
|
| その他 |
|
手動調査
調査を手動で実行するには:
Google SecOps で、[アラートと IoC] ページに移動します。
アラートを選択して [調査を実行] をクリックします。
ケース内のアラートに移動して、アラートの調査を実行することもできます。プロセスが完了すると、バナーが [調査を表示] に更新されます。このバナーをクリックすると、調査の詳細が表示されます。
調査に移動する
過去の調査や進行中の調査には、Google SecOps のどこからでもアクセスできます。
Google SecOps インターフェースで
をクリックします。ナビゲーション パネルで
をクリックします。調査リストの横にある keyboard_arrow_down をクリックして、パネルを開きます。
リストでアイテムを選択して、調査結果を開きます。
各調査エントリには、アラート名、完了時間、Gemini 調査の概要が含まれます。同じアラートが複数回調査された場合、各調査は調査リストに個別のエントリとして表示されます。
調査結果の確認
各調査は、Gemini の分析、推論、使用したサポートデータをまとめた詳細ビューで開きます。
このビューには次のコンポーネントがあります。
概要
パネルの上部にある [Gemini による概要] セクションには、アラートと調査結果の簡単な説明が表示されます。
概要には次の情報が表示されます。
- Disposition: Gemini がアラートを真陽性または偽陽性と判断したかどうかを示します。
- 信頼度: Gemini が評価にどの程度の確信を持っているかを示します。この評価は、アラートと利用可能な調査データに基づいています。
- 概要の説明: アラートと Gemini が結論に至った経緯について説明します。
調査のタイムライン
TIN 調査は、未加工のアラートを実行可能なインテリジェンスに変換するように設計された、構造化されたマルチステージのタイムラインに沿って行われます。これらの中間ステップは、主にエージェントがコンテキストを構築して分析を絞り込むために使用されますが、ウェブ インターフェースの [調査タイムライン] にも表示されるため、セキュリティ アナリストはエージェントの調査の進捗状況を明確に把握できます。
初期評価とリスクの優先順位付け
調査は、アラートの即時評価から始まり、ベースライン コンテキストを確立します。このステージでは、エージェントはアラートの詳細とメタデータを自動的に分析し、信頼性の高い正常なアクティビティを特定します。アラートが低リスクに分類された場合、エージェントは調査を終了します。
コンテキストの補完と証拠の収集
エージェントは、内部および外部のインテリジェンスを活用して、不審なアクティビティの包括的な全体像を把握するために、複数の並列分析ステップを実行します。
Google Threat Intelligence(GTI)エンリッチメント: Google Threat Intelligence と VirusTotal に対してファイル ハッシュ、IP アドレス、ドメインなどの侵害の指標(IoC)を特定して評価し、既知の悪意のあるエンティティを特定します。
エンティティ コンテキスト グラフ(ECG)分析: エンティティが最初または最後に確認された時期などの普及率データを取得して、より詳細な環境コンテキストを提供し、エンティティ間の関係を分析します。
ネットワーク コンテキストの収集: ネットワーク トラフィックに関連する追加のコンテキストを抽出します。ターゲット検索を実行して、不審なパターンを特定します。
ケース メタデータの統合: アラートが属するケースからより広範なコンテキストを取得し、タグや優先度などのメタデータを調査に組み込みます。
プロセスツリーの構築: システム プロセスの実行階層を構築し、アナリストが不審なアクションがどのように開始され、どのような後続のアクションが実行されたかを正確に把握できるようにします。
適応型調査
エージェントは、前の調査ステップの結果に基づいて、次の対応を動的に決定します。
検出結果を評価する: 前の手順で収集した情報を評価して、潜在的なギャップや新しい調査方法を特定します。
詳細な調査を実行する: 新しいプランを繰り返し生成し、GTI 拡張、ECG 分析、高度なコマンドライン分析、ターゲット検索などの専用ツールを実行して、隠れた脅威を検出します。
アラートを表示する、または調査を再実行する
調査パネルでは、次の操作を行うことができます。
- アラートを表示: Google SecOps SIEM ビューでアラートの詳細を開きます。
- 調査を再実行: 同じアラートの分析を再実行します。
推奨される次のステップ
すべての調査で、Gemini は調査の次のステップを提案します。これらの手順では、アナリストが調査するための追加のアクションやデータソースが推奨されます。
エージェントが更新されると、これらの提案が拡大され、修復ガイダンスが含まれるようになります。
フィードバック
各調査には、フィードバックを収集するための thumb_up 高評価アイコンと thumb_down 低評価アイコンが含まれています。フィードバックは重大度の判定に焦点を当ててください。これは、Gemini の脅威分類の改善に役立ちます。
Cloud Audit Logging
TIN の監査ロギングを有効にするには:
- Google Google Cloud コンソールで、[IAM] > [監査ロギング] に移動します。
- Chronicle API を検索します。
- [Chronicle API] パネルの [権限タイプ] タブで、[管理読み取り] チェックボックスをオンにします。
監査ログの表示
監査ログを表示するには:
Google Google Cloud コンソールで、[モニタリング] > [ログ エクスプローラ] に移動します。
表示するログを検索します。
すべての Google SecOps 監査ログを表示するには、
protoPayload.serviceName: "chronicle.googleapis.com"を検索します。TIN ログのみを表示するには、関連するメソッドを検索します。
たとえば、
protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation"やprotoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation"です。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。