Google Security Operations SOAR を使ってみる

以下でサポートされています。

Google SecOps SOAR プラットフォームを使い始めるには、まずドキュメントの基盤となるコアコンセプトを理解する必要があります。

コネクタ

コネクタは、Google SecOps SOAR へのアラート のデータ取り込みポイントです。主な目標は、サードパーティ製ツールの未加工のセキュリティ データを正規化された Google SecOps SOAR データに変換することです。コネクタは、サードパーティ ツールからアラート(または同等のデータ)を取得し、データ処理レイヤに転送します。

ケース、アラート、イベント

  • ケース: コネクタを使用してさまざまなソースから取り込まれた 1 つ以上のアラートで構成される最上位のコンテナ。
  • アラート: 1 つ以上のセキュリティ イベントを含むセキュリティ通知。
  • エンティティ: 取り込み後、プラットフォームはこれらのイベントを分析し、インジケーター(IOC、宛先、アーティファクト)を抽出して、エンティティと呼ばれる動的オブジェクトに変換します。

エンティティとオントロジー

エンティティは、アラートから抽出された関心のあるポイント(侵害の指標 [IoC]、ユーザー アカウント、IP アドレス)を表す動的オブジェクトです。

エンティティは、次のことを可能にするため重要です。

  • 履歴の自動追跡。
  • 手動介入なしで関連するアラートをグループ化します。
  • 関係性に基づいて悪意のあるアクティビティをハンティングする。

エンティティの作成(マッピングとモデリング)

プラットフォームでエンティティとその接続を視覚的に示すために、マッピングとモデリングを含むオントロジーの構成プロセスがあります。このプロセスでは、アラートの視覚的な表現と、抽出するエンティティを選択します。

Google SecOps SOAR では、よく使われる多くの SIEM プロダクトがすぐに利用できる、基本的なオントロジー ルールが用意されています。詳しくは、オントロジーの概要をご覧ください。

Google SecOps SOAR でエンティティを作成する

マッピングとモデリングのプロセスでは、ケース(オントロジー)内でエンティティがどのように作成され、視覚的に接続されるかを定義します。このプロセスは、新しいアラートタイプが最初に取り込まれるときに 1 回実行されます。

  • アラートの視覚的な表現と、抽出するエンティティを定義します。
  • エンティティが内部か外部か(構成に基づく)や、悪意があるか(ハンドブックの結果に基づく)などのエンティティ プロパティを設定します。

Google SecOps SOAR では、よく使われる多くの SIEM プロダクトがすぐに利用できる、基本的なオントロジー ルールが用意されています。

マッピングとモデリングの詳細については、エンティティを作成する(マッピングとモデリング)をご覧ください。

マッピングとモデリングを使用して、エンティティのプロパティ(内部か外部か、悪意があるかどうかなど)を定義できます。エンティティの内部ステータスまたは外部ステータスは、プラットフォームの設定によって決まります。悪意のあるステータスは、ハンドブック内で実行されているプロダクトによって決定されます。マッピングとモデリングの目的は、データのソースタイムスタンプタイプなどの重要な詳細を指定することです。

マッピングとモデリングは、データが最初に取り込まれたときに 1 回行われます。その後、システムは関連するルールを新しい受信ケースに適用します。デプロイします 

ハンドブック

ハンドブックは、事前定義された条件によってトリガーできる自動化プロセスです。たとえば、プロダクト名「Mail」を含む各アラートのハンドブックをトリガーできます。トリガーされると、このプロダクトから Google SecOps SOAR に取り込まれた各アラートにハンドブックが関連付けられます。

また、定義された条件ツリー(フロー)に基づいて一連のアクションを実行します。

  • アクションは、アラートのエンティティのスコープで手動または自動で実行するように構成されます。
  • アクションは、トリガーしたアラートの最終的な解決策に達するまで、定義された順序で実行されます。

たとえば、URL エンティティなどの特定のエンティティ タイプでのみ自動的に実行されるように VirusTotal - スキャン URL アクションを構成できます。

環境

環境は、データの分離を実現するために使用される論理コンテナです。

  • 管理者は、さまざまな環境を定義し、プラットフォーム ユーザーを 1 つ以上の環境に割り当てることができます。
  • ユーザーは、割り当てられている環境のケースと関連情報のみを表示できます。
  • 一部のユーザーロールはすべての環境にアクセスできるため、プラットフォーム内の現在および将来のすべてのデータへの完全アクセス権が付与されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。