Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

トリアージエージェントと調査エージェントを使用してアラートを調査する

以下でサポートされています。

Google SecOps

トリアージエージェントと調査エージェント（TIN）は、Google Security Operations に組み込まれた AI 搭載の調査アシスタントです。アラートが真陽性か偽陽性かを判断し、評価の概要を説明します。

TIN は、Mandiant の原則と業界のベストプラクティスを使用して、Google SecOps のアラートを分析します。受信したアラートを評価し、調査計画を実行して、調査結果と推論の両方を含む構造化された分析を提供します。

エージェントの使用に必要な IAM 権限の一覧については、トリアージエージェントと調査エージェント（TIN）をご覧ください。

調査ツール

エージェントは、次の組み込みツールを使用して分析を完了します。

動的検索クエリ: SecOps で検索を実行して絞り込み、アラートの追加コンテキストを収集します。
GTI エンリッチメント: ドメイン、URL、ハッシュなどの Google Threat Intelligence（GTI）データで IoC を拡充します。
コマンドライン分析: コマンドラインを分析して、アクションを自然言語で説明します。
プロセスツリーの再構築: アラート内のプロセスを分析して、関連するシステムアクティビティの完全なシーケンスを表示します。

TIN をトリガーする

TIN は自動または手動でトリガーできます。通常、各調査は平均 60 秒で完了し、最長 20 分間実行されます。調査キューはありません。エージェントは、上限を超えて生成されたアラートを自動的に分析しません。

試用版の使用量上限

Google SecOps Enterprise、Enterprise Plus、Google Unified Security のすべてのお客様は、2026 年 4 月 1 日から 2026 年 6 月 30 日まで TIN の無料トライアルをご利用いただけます。

試用期間中の組織の使用量には、次の上限が適用されます。

お客様の組織の分類	1 時間あたりの合計上限	上限の内訳
Enterprise	10 件の調査	1 時間あたり最大 5 件の自動調査と 5 件の手動調査。自動調査が無効になっている場合は、1 時間あたり最大 5 件の手動調査を実行できます。
Enterprise Plus または Google Unified Security	20 件の調査	1 時間あたり最大 10 件の自動調査と 10 件の手動調査。自動調査が無効になっている場合は、1 時間あたり最大 10 件の手動調査を実行できます。

未使用の自動調査容量は、手動調査に転送されません。組織が 1 時間あたりの上限に達した場合は、割り当てがリセットされるまで次の時間まで待つ必要があります。

ほとんどの調査は 60 秒ほどで完了し、最長 20 分間実行できます。TIN は調査をキューに入れません。1 時間あたりの割り当てに達すると、エージェントは調査を開始しません。

無料トライアルの詳細については、 Agentic SOC のトライアルの詳細をご覧ください。

上限を超える容量が必要な場合は、Google SecOps カスタマーエンジニアに連絡して割り当ての引き上げについてご相談ください。

自動調査の設定

必要な管理者権限があり、エージェントをオプトインしている場合、自動調査はデフォルトで有効になっています。この設定を確認または変更するには、[設定] >[SIEM 設定] >[Gemini 調査] に移動します。

有効にすると、エージェントはデフォルト設定を使用して、デフォルトでサポートされているすべてのログタイプを調査します。調査のタイミングとフィルタ条件をカスタマイズして、調査するアラートを制御できます。

調査のタイミング

アラートが生成された後に調査を開始するタイミングを構成できます。デフォルトでは、アラートが生成されてから 5 分後に調査が開始されます。これは、まだ到着しておらず、相関関係が必要なイベントを考慮するためです。

この遅延は、設定パネルのリストから最大 20 分に変更できます。

調査基準

カスタム条件を定義して、特定のアラートに対してのみ自動調査をトリガーできます。カスタム条件が定義されていない場合、エージェントはデフォルトでサポートされているログタイプに記載されているサポート対象のログタイプに一致するすべてのアラートを調査します。

カスタム自動調査設定を作成するには:

[add] をクリックします。
リストから UDM フィールドを選択します。サポートされているフィールドは次のとおりです。
- detection.rule_id
- detection.rule_name
- udm.metadata.event_type
- udm.metadata.log_type
- udm.metadata.product_event_type
- udm.metadata.product_name
- udm.metadata.vendor_name
- udm.about.entity_metadata.product_name
- udm.principal.user.userid
フィールドを評価する演算子（= または !=）を選択します。
フィールドの値を入力または選択します。リストの値は、環境で確認された値に基づいています。
論理演算子（AND または OR）を使用して、複数の条件を組み合わせます。
[保存] をクリックして設定を適用します。

デフォルトでサポートされているログタイプ

エージェントは、次の metadata.log_type 値を持つイベントを含むアラートの自動調査をサポートしています。

ソース	`metadata.log_type` の値
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
その他	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `ELASTIC_EDR`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREWALL`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.
SentinelOne	`SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`

手動調査

調査を手動で実行するには:

Google SecOps で、[アラートと IOC] ページに移動します。
アラートを選択して [調査を実行] をクリックします。

調査結果をケース内で直接確認することもできます。テナントで TIN が有効になっている場合、調査が完了すると、結果が [ケースの概要] コンテンツに統合されます。
調査の実行中は、バナーに進行状況が表示されます。完了すると、バナーに判定結果の概要が表示されます。バナーの [**調査を表示**] をクリックして分析を確認します。

調査に移動する

Google SecOps の任意の場所から、過去の調査または進行中の調査にアクセスできます。

Google SecOps インターフェースでをクリックします。
ナビゲーションパネルでをクリックします。
調査リストの横にある keyboard_arrow_down をクリックして、パネルを開きます。
リストで項目を選択して、調査結果を開きます。

各調査エントリには、アラート名、完了時刻、Gemini 調査の概要が含まれます。同じアラートが複数回調査された場合、各調査は調査リストに個別のエントリとして表示されます。

調査結果の確認

各調査は詳細ビューで開きます。このビューには、Gemini の分析、推論、使用されたサポートデータがまとめられています。

このビューには次のコンポーネントがあります。

概要
調査のタイムライン
アラートを表示する、または調査を再実行する
推奨される次のステップ
フィードバック

概要

パネルの上部にある [Gemini による概要] セクションには、アラートと調査結果の簡単な説明が表示されます。

概要には次の情報が表示されます。

判定: Gemini がアラートを真陽性か偽陽性かを判断したかどうかを示します。
信頼度: Gemini の評価の信頼度を示します。この評価は、アラートと利用可能な調査データに基づいています。
概要の説明: アラートと Gemini が結論に至った経緯を説明します。

調査のタイムライン

TIN 調査は、未加工のアラートを実行可能なインテリジェンスに変換するように設計された、構造化された多段階のタイムラインに従います。これらのステップは主にエージェントがコンテキストを構築して分析を絞り込むために使用されますが、ウェブインターフェースの [調査のタイムライン] にも表示されるため、セキュリティアナリストはエージェントの調査の進捗状況を明確に把握できます。

初期評価とリスクの優先順位付け

調査は、アラートの即時評価から始まり、ベースラインコンテキストを確立します。この段階で、エージェントはアラートの詳細とメタデータを自動的に分析して、信頼度の高い正常なアクティビティを特定します。アラートが低リスクに分類された場合、エージェントは調査を終了します。

コンテキストの拡充と証拠の収集

エージェントは、内部インテリジェンスと外部インテリジェンスを活用して、不審なアクティビティの包括的な状況を把握するために、複数の並列分析ステップを実行します。

Google Threat Intelligence（GTI）の拡充: Google Threat Intelligence と VirusTotal に対して、ファイルのハッシュ、IP アドレス、ドメインなどの侵害の指標（IoC）を特定して評価し、既知の悪意のあるエンティティを特定します。
エンティティコンテキストグラフ（ECG）分析: エンティティが最初または最後に確認された日時などの普及データを取得して、環境コンテキストを深め、エンティティ間の関係を分析します。
ネットワークコンテキストの収集: ターゲット検索を実行して不審なパターンを特定し、ネットワークトラフィックに関連する追加のコンテキストを抽出します。
ケースメタデータの統合: アラートが属するケースからより広範なコンテキストを取得し、タグや優先度などのメタデータを調査に組み込みます。
プロセスツリーの構築: システムプロセスの実行階層を構築して、不審なアクションがどのように開始され、どのようなアクションが実行されたかをアナリストが正確に把握できるようにします。

適応型調査

エージェントは、前の調査ステップの結果に基づいて、次のアクションを動的に決定します。

調査結果の評価: 前のステップで収集した情報を評価して、潜在的なギャップや新しい調査方法を特定します。
詳細な調査の実施: 新しい計画を反復的に生成し、 GTI エンリッチメント、ECG 分析、高度なコマンドライン分析、ターゲット検索などの特殊なツールを実行して、隠れた脅威を検出します。

アラートを表示する、または調査を再実行する

調査パネルでは、次の操作を行うことができます。

アラートを表示: Google SecOps SIEM ビューでアラートの詳細を開きます。
調査を再実行: 同じアラートの分析を再実行します。

推奨される次のステップ

すべての調査で、Gemini はさらなる調査ステップを提供します。これらのステップでは、アナリストが調査する追加のアクションまたはデータソースが推奨されます。

エージェントが更新されると、これらの推奨事項が拡大して修復ガイダンスが含まれる可能性があります。

フィードバック

各調査には、フィードバックを収集するための thumb_up [**高く評価**]アイコンと thumb_down [**低く評価**]アイコンが含まれています。Gemini の脅威分類を絞り込むために、フィードバックは深刻度の判定に重点を置いてください。

ダッシュボードの TIN 指標

Google SecOps は、TIN の運用データをダッシュボードに統合します。これにより、調査量、エージェントのパフォーマンス、ユーザーフィードバックをモニタリングできます。これらの指標を使用すると、課金目的でセキュリティトークンの使用量を明確にモニタリングし、エージェントが提供する価値を評価できます。

詳細については、ダッシュボードでトリアージエージェントと調査エージェント（TIN）のパフォーマンスをモニタリングするをご覧ください。

Cloud Audit Logging

TIN の監査ロギングを有効にするには:

Google Google Cloud [コンソール]で、[IAM] > [監査ロギング] に移動します。
Chronicle API を検索します。
[Chronicle API] パネルの [権限タイプ] タブで、[管理者読み取り] チェックボックスをオンにします。

監査ログの表示

監査ログを表示するには:

Google Google Cloud [コンソール]で、[モニタリング] > [ログエクスプローラ] に移動します。
表示するログを検索します。
- すべての Google SecOps 監査ログを表示するには、protoPayload.serviceName: "chronicle.googleapis.com" を検索します。
- TIN ログのみを表示するには、関連するメソッドを検索します。
  - 特定のメソッドを検索するには、protoPayload.methodName="google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" OR protoPayload.methodName="google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation" を使用します。
  - すべての TIN メソッドを検索するには、protoPayload.methodName:"google.cloud.chronicle.v1alpha.InvestigationService". を使用します。さらにサポートが必要ですか？コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。