エンティティとアラートを調査する
このドキュメントでは、Google Security Operations の [探索] ページを使用して、ケース関連のエンティティとアラートを調査する方法について説明します。[探索] ページには、エンティティの関係とアラート アクティビティが視覚的に表示され、不審なイベントのコンテキスト、シーケンス、影響を把握できます。このドキュメントでは、エンティティ タイプを解釈し、相関関係を調べ、視覚分析に基づいてフォローアップ アクションを実行する方法についても説明します。
[探索] ページを使用して、ケースに関連付けられているエンティティとアラートを調べることができます。ページの中央には、アラートとエンティティの関連性が視覚的に表現されたビジュアル ファミリーが表示されます。
このビューは、次のことに役立ちます。
- エンティティとアラートの因果関係を理解する
- イベントの時系列順を確認する
- 疑わしいアクティビティ イベント間の関連性を特定する
ビジュアル ファミリーの要素を特定する
ビジュアル ファミリーには、次の 2 種類のノードが含まれます。
- エンティティ: 六角形として表示されます
- アーティファクト: 円として表示されます
色は意味を伝えるために使用されます。
- 青い六角形: 内部エンティティ
- 緑色の円: 内部アーティファクト
- 赤: 疑わしいアイテムを示します
内部エンティティと外部エンティティを特定する
エンティティは次の 2 つのスタイルで表示できます。
- 色付きのシェイプは内部エンティティを表します
- アウトラインのみのシェイプは外部エンティティを表します
たとえば、既知の内部ネットワークに属する IP アドレスは、内部であることを示す色付きの六角形として表示されます。一方、ネットワーク外の IP は、外部を示すアウトラインの六角形として表示されます。
ビジュアル ファミリー内のエンティティ リレーションシップを理解する
[探索] ページには、エンティティとアーティファクトが視覚的なキューと接続を使用してどのように関連しているかが表示されます。さまざまなタイプのエンティティとアーティファクトを特定するには、ヘルプ ヘルプをクリックします。これにより、ビジュアルで使用されている各図形と色を定義する [エンティティの凡例] が開きます。
関係タイプ
エンティティとアーティファクトは、関係を表す線で結ばれることがあります。リレーションシップには次の 2 種類があります。
- アクション: 矢印で表示されます。直接的なアクション(メールの送信など)を示します。
- 接続: 点線で表示されます。一般的な関連付け(マシン ホスト名に関連付けられたユーザーなど)を示します。
次に例を示します。
- 一方のユーザーが他方のユーザーにメールを送信する場合、矢印で 2 つのユーザー エンティティを結ぶことができます。
- 点線は、ユーザー エンティティとアクセスしたホスト エンティティを結び付ける場合があります。
ビジュアル ファミリーとマッピング ルール
エンティティとアーティファクトはマッピング ルールから派生し、それらの関係(線で結ばれたもの)はビジュアル ファミリーによって定義されます。
ビジュアル ファミリーが構成されていない場合でも、エンティティとアーティファクトは中央のワークスペースに表示されます。ただし、それらの間に接続線は表示されません。
マッピングとビジュアル ファミリーを構成する
イベント構成ページでマッピング ルールを構成するか、ビジュアル ファミリーを割り当てるには、Google SecOps プラットフォームの次のいずれかの場所にある 設定 アイコン をクリックします。
マッピングを構成してビジュアル ファミリーを割り当てる方法の詳細については、マッピングを構成してビジュアル ファミリーを割り当てるをご覧ください。
[探索] ページを使用する
エンティティとアラートを視覚的に分析するには、ケースを開き、[ケース] ページで [探す] をクリックします。[データ探索] ページには、次のワークスペース要素が含まれています。
- 左側のペイン: 選択したケースに関連付けられているアラートと、対応するタイムスタンプが表示されます。
- 中央ペイン: 相互接続されたエンティティのグラフ、グラフィカルなアラート タイムライン、再生コントロールが表示されます。
-
サイド ドロワー: 選択したアラートまたはエンティティの詳細(未加工の拡充データを含む)を表示します(利用可能な場合)。アラートまたはイベントを選択すると、関連情報がサイド ドロワーに表示されます。
Google SecOps ユーザーの場合は、このドロワーの下部に [探索] ボタンが表示されます。クリックすると、専用のページでアラートの調査を続行できます。詳細については、調査ビューをご覧ください。 - ページの下部: イベントを再生するための動画コントロール ボタンと、視覚的な時間範囲が表示されます( 追加 追加と 削除 削除を使用してさらに操作できます)。[ play_arrow イベントを再生] をクリックすると、グラフ上のイベントが時系列順に表示されます。
左側のペインでアラートをクリックすると、中央のペインで関連するエンティティがハイライト表示されます。このアラートを示すノードは、グラフ上の他のノード(アラート)よりも大きく表示されます。ノードの上にポインタを置くと、それぞれのアラート名が表示されます。選択したアラートに関与していないエンティティは、グレー表示(使用不可)になります。
[探索] ページでは、次のオプションを使用できます。
| オプション | 説明 |
|---|---|
|
画面に合わせる: グラフが可視領域全体に収まるように自動調整します。 |
|
円形レイアウト: デフォルトのグラフ レイアウト。その他のオプションについては、[グラフのレイアウトを変更] をクリックします。 |
|
Play Event(イベントを再生): ケースのすべてのアラートを順番に再生します。各ステップに関連付けられているエンティティをハイライト表示します。グラフにはアラート フローが表示され、再生されたアラートは大きなノードでハイライト表示されます。 |
|
次のイベント: 次のアラートを順番に再生します。リストの先頭から開始します。 |
|
Previous Event: 前のアラートに戻ります。最初のアラートが再生されるまで無効になります。 |
|
早送りと早戻し: アラートをそれぞれ時系列順(昇順)または逆時系列順(降順)で 3 倍速で再生します。 |
|
期間スライダー: X 軸に表示される期間を拡大または縮小します。 |
|
エンティティの凡例が開きます。 |
調査後に手動で対応する
ビジュアル タイムラインを確認した後、さらに調査するために手動で操作を行うことができます。たとえば、IP アドレスをスキャンして既知の脅威を確認したり、データ漏洩などのダウンストリームの影響を調査したりできます。
一般的なフォローアップの対応は次のとおりです。
- パソコンを検疫する
- 感染したシステムをチェックしてスキャンする
- 不審なメールを調査する
- 欠落したデータまたは引き出されたデータを特定します。
Google SecOps でサポートされているエンティティ タイプ
このセクションでは、Google Security Operations プラットフォーム内でセキュリティの調査、分析、拡充に使用できるサポート対象エンティティ タイプの一覧を示します。
0: "SourceHostName"
1: "SourceAddress"
2: "SourceUserName"
3: "SourceProcessName"
4: "SourceMacAddress"
5: "DestinationHostName"
6: "DestinationAddress"
7: "DestinationUserName"
8: "DestinationProcessName"
9: "DestinationMacAddress"
10: "DestinationURL"
11: "Process"
12: "FileName"
13: "FileHash"
14: "EmailSubject"
15: "ThreatSignature"
16: "USB"
17: "Deployment"
18: "CreditCard"
19: "PhoneNumber"
20: "CVE"
21: "ThreatActor"
22: "ThreatCampaign"
23: "GenericEntity"
24: "ParentProcess"
25: "ParentHash"
26: "ChildProcess"
27: "ChildHash"
28: "SourceDomain"
29: "DestinationDomain"
30: "IPSET"
31: "Cluster"
32: "Application"
33: "Database"
34: "Pod"
35: "Container"
36: "Service"
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。