コンテンツへスキップ

Exabeam 2025年Gartner ®Magic Quadrant™のSIEM部門でリーダーに選出。続きを読む

デモを見る

グーグル セキュリティ オペレーションズ(旧グーグル クロニクル)とは?

  • 4 minutes to read

目次

    Google Security Operationsはクラウドベースのプラットフォームで、企業が大量のセキュリティとネットワークのテレメトリを管理・分析するのを支援することを目的としている。Googleのインフラ上に構築され、大規模なセキュリティデータの保持、検索、分析を行うためのツールを提供する。

    このプラットフォームは、ワークフローやインシデント対応ツールとの事前統合により、組織が脅威を検知・調査し、その範囲と原因を理解し、改善策を講じることを可能にすることを意図している。

    Google Security Operationsは、データを正規化しインデックス化することで、不審なアクティビティに関する分析とコンテキストに基づく洞察を提供します。企業データ全体の検索をサポートし、ドメイン、資産、IPアドレスレベルでの侵害を特定できる可能性があります。セキュリティ・チームは、これを使用して長期間にわたって脅威を監視することができる。

    これは、グーグル・クラウド・セキュリティに関する一連の記事の一部である。

    グーグル セキュリティ オペレーションの主な特徴

    1.データ収集

    Google Security Operationsは、様々なタイプのセキュリティテレメトリーデータをインジェストする:

    • フォワーダー:syslog、パケットキャプチャ、既存のSIEMシステムとの統合のために顧客のネットワークに導入されるソフトウェア。
    • インジェストAPI:プラットフォームにログを直接送信するためのAPI。
    • サードパーティとの統合:Office 365やAzure ADなどのクラウドサービス用のコネクタがあらかじめ組み込まれています。

    2.検知と脅威分析

    このプラットフォームは、ユニバーサル・データ・モデル(UDM)を使用してデータを正規化および相関化し、検出および脅威インテリジェンスにリンクします。アナリストは、生のログスキャンまたは正規表現を含むUDMベースの検索を使用して、潜在的な脅威を特定し、その原因を分析することができます。

    3.調査とケース管理

    アナリストは、関連するアラートをケースにグループ化し、それらを割り当てて優先順位を付け、共同で調査を行うことができます。手続き的なフィルタリングや調査ビュー(アセット、IPアドレス、ハッシュ、ドメイン、ユーザービューなど)のような機能は、影響を受けるエンティティに関する深いコンテキストを提供します。Graph Investigatorは、攻撃のタイムラインとスコープを視覚化し、チームが脅威ハンティングの機会を特定し、対策を講じるのを支援することを意図しています。

    4.対応の自動化

    このプラットフォームには、自動化されたワークフローをドラッグ・アンド・ドロップで作成できるようにすることを目的としたPlaybook Designerが含まれている。アナリストは、統合開発環境(IDE)を使用して新しいプレイブックを修正および構築できる。

    5.ダッシュボードとレポート

    セキュリティチームは、組み込みのダッシュボードを活用して、SOCのパフォーマンスや主要業績評価指標(KPI)などの指標を監視することができます。これらのダッシュボードは、運用の有効性を測定し、カスタマイズされたビューを構築することを目的としています。

    6.検出エンジン

    Detection Engineは、既知の脅威や潜在的な脅威を受信データ全体から検索するルールを設定することで、セキュリティ監視を自動化します。検出された問題に対する通知を提供し、迅速な対応と緩和を可能にします。

    Google SecOpsプラットフォームの概要

    Google SecOpsプラットフォームが提供する主な機能を確認してみよう。

    SIEMとSOARの機能

    SIEMの検索とダッシュボード
    SIEMツールセキュリティ・テレメトリの処理と分析に重点を置き、次のような機能を備えている:

    • UDM検索:Unified Data Model (UDM)に正規化されたイベントやアラートの検索を支援します。ユーザーは、SOARコネクターから取り込まれたデータを含む、関連するUDMイベントと一緒に生のログを表示できます。
    • ダッシュボード:遠隔測定メトリクス、検出、アラート、IOCに関する洞察を提供することを目的とする。

    SOARの検索とダッシュボード
    SOARツールは、ケース管理と対応の自動化のためのものです:

    • SOAR検索:セキュリティ・インシデントに関連するケースやエンティティの検索を支援します。ケースをマージしたり、エンティティ固有の詳細を調べたりする一括操作が可能。
    • ダッシュボード:ケースのステータス、プレイブック、SOCアナリストのメトリクスを表示できます。カスタムダッシュボードを作成し、チーム全体で共有できます。

    データ・インジェスト機能

    Google SecOpsは、内蔵のSIEMだけでなく、サードパーティのSIEMからのデータ取り込みもサポートしている:

    • 内蔵SIEM:フォワーダーやデータフィードを使用して生のログを直接取り込むように設計されており、プラットフォームとの統合を提供します。
    • サードパーティのSIEM:ログやアラートはSOARコネクタやウェブフックを通して取り込むことができます。これらのアラートはUDM検索で見ることができるが、内蔵のSIEMの検知ルールは適用されない。

    管理および設定

    SIEMとSOARの管理タスクは独立して管理される:

    • SIEMの設定:SIEM関連機能の取り込み、解析、ルール設定を制御します。
    • SOARの設定:自動化、プレイブック、ユーザーグループ設定を含むプラットフォームの権限を管理するように設計されている。IDPグループマッピングのようなプラットフォーム全体の設定はここで管理される。

    アイデンティティ・アクセス管理(IAM)で設定されたパーミッションは即座に適用され、SOAR設定で管理されたパーミッションは次回ログイン時に有効になる。

    グーグル・セキュリティ・オペレーションの制限

    Google Security Operationsは、脅威の検知と対応のための機能を提供していますが、ユーザビリティ、パフォーマンス、サポート体験に影響を与える可能性のあるいくつかの制限事項がユーザから指摘されています。これらの制限は、G2プラットフォームのユーザーから報告されたものです:

    • 適切なサポートの欠如:バグや問題に対するサポートの遅れが報告されている。
    • 価格上昇とパートナーシップの低下:グーグルによるプラットフォーム買収後、価格は上昇し、シンプリファイとのような緊密なパートナーシップは弱体化した。
    • プレイブックの複雑さ:プレイブック機能は、新規ユーザーにとっては複雑すぎる可能性があり、効果的に使用するためには急な学習曲線が必要となる。
    • パフォーマンスの低下:このプラットフォームは強力なインターネット接続を必要とするため、弱いネットワーク条件下では動作が遅くなったり、応答しなくなったりすることがある。
    • 検索フィルターの不一致:検索バーのフィルターオプションが、検索フィールドに指定されたデータを取得できないことがある。
    • レポーティングの課題:Tableauで構築されたレポート機能は再開発中。
    • アラートマッピングの制限:アラートIDのマッピングはプレビュータブでは利用できないため、迅速な識別と分析が制限されます。

    Exabeam:究極のGoogle SecOps代替ツール

    セキュリティ情報・イベント管理(SIEM)ソリューションのリーディング・プロバイダーであるExabeamは、UEBA、SIEM、SOAR、TDIRを組み合わせ、セキュリティ・オペレーションを加速します。同社のセキュリティ・オペレーション・プラットフォームは、セキュリティ・チームが脅威を迅速に検知、調査、対応し、運用効率を高めることを可能にします。

    主な特徴

    • スケーラブルなログ収集と管理:オープンプラットフォームは、ログのオンボーディングを70%高速化し、高度なエンジニアリングスキルを不要にすると同時に、ハイブリッド環境全体でシームレスなログ集約を実現します。
    • 行動分析:高度な分析により、正常な行動と異常な行動を比較し、内部脅威、横の動き、シグネチャベースのシステムで見落とされた高度な攻撃を検知します。Exabeamは、他のベンダーが攻撃を検知する前に90%の攻撃を検知し、対応することができると顧客から報告されています。
    • 脅威対応の自動化:インシデントのタイムラインを自動化し、手作業を30%削減し、調査時間を80%短縮することで、セキュリティ運用を簡素化します。
    • 状況に応じたインシデント調査:Exabeamはタイムラインの作成を自動化し、雑務に費やす時間を削減するため、脅威の検知と対応にかかる時間を50%以上短縮します。事前に構築された相関ルール、異常検知モデル、ベンダー統合により、アラートを60%削減し、誤検知を最小限に抑えます。
    • SaaSおよびクラウドネイティブオプション:柔軟な導入オプションにより、クラウドファーストおよびハイブリッド環境に対応するスケーラビリティを提供し、お客様の価値実現までの時間を短縮します。SIEMをクラウドに移行できない、または移行したくない企業向けに、Exabeamは市場をリードするフル機能のセルフホスト型SIEMを提供します。
    • NetMonによるネットワークの可視化:ファイアウォールやIDS/IPSを超える深い洞察力を提供し、データ盗難やボットネットの活動などの脅威を検出すると同時に、柔軟な検索により調査を容易にします。また、Deep Packet Analytics (DPA)は、NetMon Deep Packet Inspection (DPI)エンジンを基盤としており、重要な侵害指標(IOC)を解釈します。

    エクサビームの顧客は、AIを活用したリアルタイムの可視化、自動化、生産性向上ツールによって、セキュリティ人材のレベルアップを図り、コスト削減と業界トップクラスのサポートを維持しながら、負担の大きいアナリストを積極的な防御者に変えていることを常に強調しています。

    エクサビームについてもっと知るNew-Scale SIEM

    その他のGoogleセキュリティ・オペレーションについての説明

    Google Cloudのセキュリティ:8つの主要コンポーネントと重要なベストプラクティス

    Exabeamについてもっと知る

    ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。

    • 機能概要

      Exabeamそして未来の記録

      今すぐ読む
    • ウェビナー

      SIEMの未来

      今すぐ登録
    • ホワイトペーパー

      セキュリティ・オペレーションにおけるAIの力を解き放つ:入門編

      今すぐ読む
    • ブログ

      見えないものを見る:Exabeam & GoogleによるAIエージェントの活動の可視化と保護

      今すぐ読む
    • もっと見る