Why not login to Qiita and try out its useful features?

We'll deliver articles that match you.

You can read useful information later.

2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Google Security Operationsを売るためのインプット

Posted at

営業活動を行う中でGoogle Security Operationsという単語を聞くことがありました。どうやらGoogle Cloud(以下、GC)などのインフラ環境のセキュリティを一元的に管理できるツールのようです。元々はGoogle社が買収したChronicle社の名前を取ってChronicle Security Operationsという名前だったようです。
私自身セキュリティ製品に知見がないためどのようなサービスであるかを把握し、お客さんに説明できるようになるためにGoogle Security Operationsのドキュメントの記事を元にまとめようと思いました。

こういったツールを導入を想定される相手はセキュリティチームやインフラチームになるかと思いますので、セキュリティ対策や運用労力の削減を観点に記事をまとめて見ました。
具体的には以下3つの機能に焦点を当てて紹介します。

  • データ収集
  • 検索
  • 生成AI

Google Security Operationsの名前しか聞いたことがないヒト向けの記事です。

2024年1月13日時点の情報をもとに記事を作成しています。

Google Security Operationsの概要

Google SecOps プラットフォームでは、セキュリティ アナリストがライフサイクル全体でセキュリティ脅威を分析、軽減するために次の機能を使用できます。
・収集: データは、フォワーダー、パーサー、コネクタ、Webhook を使用してプラットフォームに取り込まれます。
・検出: このデータは、ユニバーサル データモデル(UDM)を使用して集計、正規化され、検出と脅威インテリジェンスにリンクされます。
・調査: 脅威は、ケース管理、検索、コラボレーション、コンテキストアウェア分析を通じて調査されます。
・対応: セキュリティ アナリストは、自動化ハンドブックとインシデント管理を使用して迅速に対応し、解決策を提供できます。

リスクのあるアクティビティが発生した際に情報の収集から調査、対応の可否の判断については時間と労力がかかり、セキュリティの専門家の知識が必要な部分となるのでその部分を軽減できる点は非常に優れている点だと思いました。またこちらのドキュメントに記載の通りGeminiを使って検索、検索の要約、ルール生成、分析といったことが可能で、セキュリティの専門家の負荷を下げることができそうです。

またデータ収集の点ではハードウェアやソフトウェアを追加することなくGoogle Security Operationsのプラットフォームに直接送信できたり、Office365やAzure ADといったソースなどのログを取り込むことができるようです。他のGCのサービスもそうですが、マルチクラウド想定の機能があることはGCの特徴ですね。

データ収集

Google Security Operations Forwarder

サーバーなどのネットワーク上のマシンまたはデバイスで実行されるソフトウェアコンポーネントで、ログデータとネットワークインターフェースパケットを収集し、そのデータをGoogle Security Operations SIEM インスタンスに転送することができる。
インストール可能なフォワーダーは以下

Windows用のフォワーダーの実行可能ファイルは非推奨となり、Windows環境のDocker上でのフォワーダーの使用が推奨となります。

フィード管理

GC環境だけはなく、さまざまなソースからセキュリティテレメトリーを収集し、Security Operationsに取り組むための仕組みです。具体的には以下のソースタイプからテレメトリーを収集可能です。

  • Amazon Data Firehose
  • Amazon S3
  • Amazon SQS
  • Google Cloud Pub/Sub
  • Google Cloud Storage
  • HTTP(S) ファイル(API 以外)
  • Microsoft Azure Blob Storage
  • サードパーティ API
  • Webhook

Clour Run functionsにデプロイされた取り込みスクリプト

Google Security Operations には、Cloud Run functions としてデプロイすることを目的とした、Python で記述された一連の取り込みスクリプトが用意されています。これらのスクリプトを使用すると、名前とログタイプで一覧表示された次のログソースからデータを取り込むことができます。

  • Armis Google Security Operations Integration
  • Aruba Central (ARUBA_CENTRAL)
  • Azure Event Hub (configurable log type)
  • Box (BOX)
  • Citrix Cloud audit logs (CITRIX_MONITOR)
  • Citrix session metadata (CITRIX_SESSION_METADATA)
  • Cloud Storage (configurable log type)
  • Duo Activity (DUO_ACTIVITY)
  • Duo Admin (DUO_ADMIN)
  • MISP (MISP_IOC)
  • OneLogin (ONELOGIN_SSO)
  • OneLogin user context (ONELOGIN_USER_CONTEXT)
  • Proofpoint (configurable log type)
  • Pub/Sub (configurable log type)
  • Slack audit logs (SLACK_AUDIT)
  • STIX/TAXII threat intelligence (STIX)
  • Tenable.io (TENABLE_IO)
  • Trend Micro Cloud App Security (configurable log type)
  • Trend Micro Vision One audit logs (TREND_MICRO_VISION_AUDIT)

Chronicle Ingestion APIを使用する

Chronicle Ingestion API を使用すると、ログを Chronicle インスタンスに直接転送できるため、環境にハードウェアやソフトウェア(フォワーダーなど)を追加する必要がなくなります。
以下の Chronicle Ingestion API エンドポイント タイプのいずれかを使用して、データを Chronicle に転送できます。
・統合データモデル(UDM)イベント ※
・非構造化ログ

未加工のログの場合にはUDMに変換したり、非構造化ログとしてChronicleに転送することができます。
※ UDMとはGoogle Security Operations の標準データ構造です。

特定のソースからログを取り込む

GC以外について以下のソースから取り込みが可能です。

Google検索

Googleの1丁目1番地である「Google検索」を利用して脅威の検出や調査を行うことができます。
具体的には以下のような機能があります。

  • ペタバイト規模のテレメトリーを関連付け、1 秒未満の「Google検索」で実用的な脅威情報を取得
  • ペタバイト規模のデータを瞬時に「Google検索」可能

Web検索をするような手軽さと利便さで脅威の検出や調査が可能となります。

生成AIとの統合

Geminiとの統合により以下のような機能があります。

  • AI 搭載チャットを使用して検出を作成
    • パラメータを指定するだけでルールの作成が可能なだけではなく、作成したものを反復し、リスクスコアを適用して、結果をさらに洗練させることが可能
  • 自然言語を使用してデータの検索、反復処理、ドリルダウンが実行可能
  • Gemini は基盤となるクエリを生成し、完全にマッピングされた構文を提示
  • パラメータから検知を生成
  • AIが生成したケースの状況の要約と、対応方法に関する推奨事項を提示することで、より効率的に調査が可能

まとめ

Google Security Operationsにはマルチクラウドを想定したGC、Google検索そしてGeminiとGoogleが得意とする機能を盛り込まれているサービスだと理解しました。またオンプレミスや様々なクラウド環境のセキュリティログを1つのサービスで完結できる点や、Google検索や生成AIを使ってセキュリティの運用の敷居を下げ、運用の労力も下げることができるところも優れている機能だと感じました。

2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?