このページは Cloud Translation API によって翻訳されました。

アラートのグループ化を構成する

以下でサポートされています。

Google SecOps SOAR

アラートのグループ化メカニズムは、アラートをケースにグループ化し、セキュリティアナリストが問題を効果的に解決するためのコンテキストを提供します。この目標は、セキュリティアラートに追加のコンテキストの重要性を強調し、アナリストが適切なコンテキストなしで同じインシデントを調査し、時間を無駄にしたり、インシデントを誤って処理したりする状況を回避することです。

アラートグループ化メカニズムは、[SOAR 設定] > [詳細] > [アラートグループ] で構成できます。

[全般] セクションには、クロスプラットフォーム設定が含まれています。

ケースにグループ化されるアラートの最大数: 1 つのケースにグループ化するアラートの最大数（30）を定義します。最大数に達すると、新しいケースが開始されます。
アラートをグループ化する時間（時間単位）: ケースのアラートをグループ化する時間を設定します（0.5 ～ 24 時間の範囲で 30 分単位）。これは、ソースグループ化 ID でグループ化されたルールには適用されません。
エンティティとソースグループ化 ID を同じケースにグループ化する: 有効にすると、グループ化ルールに従ってソースグループ化 ID でグループ化されるアラートは、まず同じソースグループ化 ID のアラートを探し、見つからない場合は、相互エンティティを含むシステム内のすべてのケースを探し、それに応じて（クロスプラットフォームの期間に従って）アラートをグループ化します。ソースグループ化 ID アラートのグループ化は、sourceGroupIdentifier と maxAlertsInCase のみに基づいています。期間は使用されません。

ルール

[ルール] セクションでは、さまざまなグループ化オプションをターゲットとする特定のルールを作成できます。

グループ化の例

アラートのグループ化メカニズムを使用すると、ケースにグループ化されるアラートの正確なタイプを制御するグループ化ルールを作成できます。グループ化の基本的な例として、宛先ホスト 10.1.1.13 のアラート C&C トラフィックが午前 10 時に マルウェアが検出されましたというケースに追加されます。

午前 11 時には、同じ宛先ホストの別の警告「ユーザーアカウントが変更されました」が表示されます。Google Security Operations は、両方の警告に関与している同じエンティティを特定し、構成された期間内に 2 番目の警告を「マルウェアが検出されました」ケースにグループ化します。

ルールの階層

ルールは階層システムで機能します。受信したアラートは、次の順序でルールと照合されます。

アラートの種類: フィッシングアラートなど。
プロダクト: Cybereason EDR など。
データソース: Arcsight SIEM など。
フォールバックルール: アラートタイプ、プロダクト、データソースのいずれにも一致するものが見つからない場合に使用されます。

ルールが一致すると、システムのチェックは停止します。アラートがルールに一致し、グループ化する既存のケースがない場合は、新しいケースに追加されます。同じ値に対して、同じ階層に 2 つのルールを作成することはできません。例: データソース - ArcSight には 1 つのルールのみを設定できます。

フォールバックルール

プラットフォームには、削除できない事前構築済みのルールがあります。このフォールバックルールは、アラートの一般的なキャッチオールを提供し、ケースで常にグループ化されるようにします。ただし、次のオプションは編集できます。

グループ条件: [エンティティ] または [ソースグループ化 ID]（元のシステムから既存のグループ ID が関連付けられているアラートの場合）を選択します。たとえば、QRadar アラートには offense という識別子があります。これは、QRadar でアラートが属するグループ ID です。
エンティティのグループ化（方向別）: エンティティにのみ関連します。

グループ化しないルール

[グループ化しない] ルールを使用すると、アラートを個別に処理できます（他のアラートとグループ化されてケースにまとめられることはありません）。これは、他のケースにリンクせずに特定のアラートを個別に調査する必要がある場合に便利です。

アラートのグループ化から特定のエンティティを除外する方法については、ブロックリストを作成してアラートからエンティティを除外するをご覧ください。

ルールでエンティティのグループ化を使用する場合、アラートをグループ化するために必要なのは、一致するエンティティが 1 つだけです。

たとえば、グループ化ルールで次のエンティティを指定します。

ソース IP
宛先 IP
ユーザー名

アラートがこれらのエンティティのいずれかに一致する場合、他のエンティティが一致しなくても、そのエンティティを含む既存のケースにグループ化されます。

次の 2 つのアラートについて考えてみましょう。

アラート 1:
送信元 IP アドレス: 192.168.1.10
宛先 IP アドレス: 10.0.0.5
ユーザー名: user123
アラート 2:
送信元 IP アドレス: 192.168.1.10
宛先 IP アドレス: 10.0.0.6
ユーザー名: user456

これらのアラートは両方とも同じ送信元 IP アドレス（192.168.1.10）であるため、宛先 IP アドレスとユーザー名が異なっていても、同じケースにグループ化されます。

特定のユースケースのルールを作成する

次のセクションでは、動的でコンテキスト認識型のアラートグループ化ルールを作成するユースケースについて説明します。

ユースケース: ソースとエンティティによるアラートのグループ化

2 つのコネクタ（Arcsight と Cybereason EDR）を使用している企業が、Arcsight アラートを送信元エンティティと宛先エンティティの両方でグループ化し、Cybereason EDR アラートを特定の条件でグループ化したいと考えています。

Arcsight アラート: 送信元エンティティと宛先エンティティでグループ化します。

Cybereason EDR フィッシングアラート: ソースエンティティのみでグループ化します。

Cybereason EDR のログイン失敗アラートをグループ化する: 宛先エンティティでのみグループ化します。

このユースケースをキャプチャするには、次のルールを構築します。Google SecOps は、最終的なルールをフォールバックルールとして提供します。

ルール 1:

カテゴリ = データソース
値 = Arcsight
グループ条件 = エンティティ
エンティティのグループ化 = 送信元と宛先

ルール 2:

カテゴリ = アラートの種類
値 = Phishing
グループ条件 = エンティティ
Grouping Entities = Source（SourceHostName、SourceAddress、SourceUserName）

ルール 3:

カテゴリ = アラートの種類
値 = ログイン失敗
グループ条件 = エンティティ
Grouping Entities = Destination（DestinationAddress、DestinationUserName）

ルール 4（フォールバック）:

Category = All
値 = すべてのアラート
Grouping Entities = All Entities

ユースケース: 適応型グループ化ロジック

MSSP には、QRadar コネクタを使用している顧客がいます。この顧客は、QRadar に表示されるのと同じ方法でアラートをグループ化したいと考えています。また、別の顧客が Arcsight を使用しており、この顧客のアラート（フィッシングアラートを除く）を共通エンティティでグループ化し、フィッシングアラートは宛先エンティティでグループ化したいと考えています。

このユースケースをキャプチャするには、次のルールを作成します。