エンティティの選択

このドキュメントでは、Google Security Operations が取り込んだアラートからエンティティを抽出して使用する方法について説明します。Google SecOps は、アラートを取り込むときに、基盤となるセキュリティ イベントも取り込みます。これらのイベントは分析され、IP アドレス、ユーザー名、ドメインなどの重要な指標が抽出されます。これらの指標は、エンティティと呼ばれるオブジェクトとしてモデル化されます。各エンティティには独自のプロパティ セットが含まれています。

エンティティのプロパティを表示する

1. [ケース] ページで、ケースを選択します。デフォルトのケースビューでは、エンティティは [ケースの概要] タブと [アラート] タブの [エンティティ ハイライト] セクションに表示されます。
2. [詳細を表示] をクリックして、選択したエンティティのすべてのプロパティを表示するサイドドロワーを開きます。
3. エンティティ名をクリックして、新しいタブで [エンティティ エクスプローラー] を開きます。[エンティティ エクスプローラ] には、選択したエンティティに関連付けられているすべてのケースが表示されます。

エンティティの選択アクション

アラートが取り込まれると、構成された条件に応じて、ハンドブックが自動的または半自動的にトリガーされます。Google SecOps は、これらのハンドブックを使用してアラートの処理方法を決定します。

ハンドブック内の各アクションは、特定のエンティティ グループに対して実行されます。[エンティティの選択] アクションを使用すると、エンティティのプロパティに基づいてこれらのグループを定義できます。たとえば、内部アセット用に調整されたアクションで使用する内部エンティティのみを含むグループを作成できます。

[エンティティの選択] アクションを使用して、適用するロジックに応じてさまざまなグループを作成します。このメソッドを使用すると、各アクションが関連するエンティティのみを操作するようになります。

新しいエンティティ グループを作成する

[エンティティの選択] アクションを使用してエンティティ グループを作成する手順は次のとおりです。

1. [ハンドブック] ページに移動し、[ステップの選択を開く] をクリックします。
2. [ステップの選択] タブで、[アクション > フロー] を選択します。
3. [エンティティの選択] を、[ステップをここにドラッグ] というラベルが付いた 2 番目のボックスにドラッグします。
4. [エンティティの選択] ボックスをダブルクリックして、エンティティの新しいグループを構成します。
5. 新しいエンティティ グループを選択するために必要な条件を追加します。たとえば、VirusTotal v3 によって拡充され、10 以上のエンジンによって悪意のあるものとフラグが設定された IP アドレス エンティティをすべて選択します。
6. 定義すると、新しいエンティティ グループがハンドブックの後続のすべてのアクションで使用できるようになります。