営業活動を行う中でGoogle Security Operationsという単語を聞くことがありました。どうやらGoogle Cloud(以下、GC)などのインフラ環境のセキュリティを一元的に管理できるツールのようです。元々はGoogle社が買収したChronicle社の名前を取ってChronicle Security Operationsという名前だったようです。
私自身セキュリティ製品に知見がないためどのようなサービスであるかを把握し、お客さんに説明できるようになるためにGoogle Security Operationsのドキュメントの記事を元にまとめようと思いました。
こういったツールを導入を想定される相手はセキュリティチームやインフラチームになるかと思いますので、セキュリティ対策や運用労力の削減を観点に記事をまとめて見ました。
具体的には以下3つの機能に焦点を当てて紹介します。
- データ収集
- 検索
- 生成AI
Google Security Operationsの名前しか聞いたことがないヒト向けの記事です。
2024年1月13日時点の情報をもとに記事を作成しています。
Google Security Operationsの概要
Google SecOps プラットフォームでは、セキュリティ アナリストがライフサイクル全体でセキュリティ脅威を分析、軽減するために次の機能を使用できます。
・収集: データは、フォワーダー、パーサー、コネクタ、Webhook を使用してプラットフォームに取り込まれます。
・検出: このデータは、ユニバーサル データモデル(UDM)を使用して集計、正規化され、検出と脅威インテリジェンスにリンクされます。
・調査: 脅威は、ケース管理、検索、コラボレーション、コンテキストアウェア分析を通じて調査されます。
・対応: セキュリティ アナリストは、自動化ハンドブックとインシデント管理を使用して迅速に対応し、解決策を提供できます。
リスクのあるアクティビティが発生した際に情報の収集から調査、対応の可否の判断については時間と労力がかかり、セキュリティの専門家の知識が必要な部分となるのでその部分を軽減できる点は非常に優れている点だと思いました。またこちらのドキュメントに記載の通りGeminiを使って検索、検索の要約、ルール生成、分析といったことが可能で、セキュリティの専門家の負荷を下げることができそうです。
またデータ収集の点ではハードウェアやソフトウェアを追加することなくGoogle Security Operationsのプラットフォームに直接送信できたり、Office365やAzure ADといったソースなどのログを取り込むことができるようです。他のGCのサービスもそうですが、マルチクラウド想定の機能があることはGCの特徴ですね。
データ収集
Google Security Operations Forwarder
サーバーなどのネットワーク上のマシンまたはデバイスで実行されるソフトウェアコンポーネントで、ログデータとネットワークインターフェースパケットを収集し、そのデータをGoogle Security Operations SIEM インスタンスに転送することができる。
インストール可能なフォワーダーは以下
Windows用のフォワーダーの実行可能ファイルは非推奨となり、Windows環境のDocker上でのフォワーダーの使用が推奨となります。
フィード管理
GC環境だけはなく、さまざまなソースからセキュリティテレメトリーを収集し、Security Operationsに取り組むための仕組みです。具体的には以下のソースタイプからテレメトリーを収集可能です。
- Amazon Data Firehose
- Amazon S3
- Amazon SQS
- Google Cloud Pub/Sub
- Google Cloud Storage
- HTTP(S) ファイル(API 以外)
- Microsoft Azure Blob Storage
- サードパーティ API
- Webhook
Clour Run functionsにデプロイされた取り込みスクリプト
Google Security Operations には、Cloud Run functions としてデプロイすることを目的とした、Python で記述された一連の取り込みスクリプトが用意されています。これらのスクリプトを使用すると、名前とログタイプで一覧表示された次のログソースからデータを取り込むことができます。
- Armis Google Security Operations Integration
- Aruba Central (ARUBA_CENTRAL)
- Azure Event Hub (configurable log type)
- Box (BOX)
- Citrix Cloud audit logs (CITRIX_MONITOR)
- Citrix session metadata (CITRIX_SESSION_METADATA)
- Cloud Storage (configurable log type)
- Duo Activity (DUO_ACTIVITY)
- Duo Admin (DUO_ADMIN)
- MISP (MISP_IOC)
- OneLogin (ONELOGIN_SSO)
- OneLogin user context (ONELOGIN_USER_CONTEXT)
- Proofpoint (configurable log type)
- Pub/Sub (configurable log type)
- Slack audit logs (SLACK_AUDIT)
- STIX/TAXII threat intelligence (STIX)
- Tenable.io (TENABLE_IO)
- Trend Micro Cloud App Security (configurable log type)
- Trend Micro Vision One audit logs (TREND_MICRO_VISION_AUDIT)
Chronicle Ingestion APIを使用する
Chronicle Ingestion API を使用すると、ログを Chronicle インスタンスに直接転送できるため、環境にハードウェアやソフトウェア(フォワーダーなど)を追加する必要がなくなります。
以下の Chronicle Ingestion API エンドポイント タイプのいずれかを使用して、データを Chronicle に転送できます。
・統合データモデル(UDM)イベント ※
・非構造化ログ
未加工のログの場合にはUDMに変換したり、非構造化ログとしてChronicleに転送することができます。
※ UDMとはGoogle Security Operations の標準データ構造です。
特定のソースからログを取り込む
GC以外について以下のソースから取り込みが可能です。
- AWS
- Azureアクティビティログ
- Carbon Black
- Cisco ASAファイアウォールログ
- Corelight Sensorログ
- Jamfログ
- Linux監査とUnixシステムログ
- Microsoft365
- osqueryログ
- OSSECログ
- PalpAltp Netwaorksファイアウォールログ
- SentinelOne Cloudファネルログ
- Splunk CIMログ
- Zeek(Bro)ログ
Google検索
Googleの1丁目1番地である「Google検索」を利用して脅威の検出や調査を行うことができます。
具体的には以下のような機能があります。
- ペタバイト規模のテレメトリーを関連付け、1 秒未満の「Google検索」で実用的な脅威情報を取得
- ペタバイト規模のデータを瞬時に「Google検索」可能
Web検索をするような手軽さと利便さで脅威の検出や調査が可能となります。
生成AIとの統合
Geminiとの統合により以下のような機能があります。
- AI 搭載チャットを使用して検出を作成
- パラメータを指定するだけでルールの作成が可能なだけではなく、作成したものを反復し、リスクスコアを適用して、結果をさらに洗練させることが可能
- 自然言語を使用してデータの検索、反復処理、ドリルダウンが実行可能
- Gemini は基盤となるクエリを生成し、完全にマッピングされた構文を提示
- パラメータから検知を生成
- AIが生成したケースの状況の要約と、対応方法に関する推奨事項を提示することで、より効率的に調査が可能
まとめ
Google Security Operationsにはマルチクラウドを想定したGC、Google検索そしてGeminiとGoogleが得意とする機能を盛り込まれているサービスだと理解しました。またオンプレミスや様々なクラウド環境のセキュリティログを1つのサービスで完結できる点や、Google検索や生成AIを使ってセキュリティの運用の敷居を下げ、運用の労力も下げることができるところも優れている機能だと感じました。