インテグレーション/
Google SecOps

Google SecOps

検出をID、エンドポイント、クラウド、ネットワークのコンテキストと相関させることで、Google SecOps アラートを高精度でトリアージして強化し、誤検出を減らして調査を迅速化します。

デモをリクエストする
Google SecOps

ステータス

利用可能
近日公開

カテゴリー

SIEM

ユースケース

Response

移動

Text Link

概要

エクサフォースは以下と統合されます Google SecOps (旧クロニクル) SIEMアラートを一元化し、クロスプラットフォームのテレメトリで強化します。Exaforce は、Google SecOps の検出ルール結果を ID イベント、エンドポイントアクティビティ、クラウド API ログ、ネットワークトラフィックと関連付けることで、セキュリティチームがアラートの意図を検証し、ノイズをフィルタリングし、断片化されたシグナルから完全な攻撃ストーリーを構築できるようにします。Exaforceには、未処理のアラートを実用的なセキュリティインテリジェンスに変換する、インテリジェントなトリアージ、コンテキストに応じた強化、統合調査という重要なレイヤーが追加されています。

仕組み

Exaforceは、検出ルール、YARA-Lルール、行動分析、および脅威インテリジェンスマッチによって生成されたアラートを取り込みます。取り込まれると、アラートはExaforceの統一スキーマに正規化され、すでにExaforceに流入しているIDプロバイダー、クラウド・プラットフォーム、エンドポイント・エージェント、ネットワーク・ソースからのテレメトリと自動的に関連付けられます。

Exaforceは、マルチモデルAIを活用して、各アラートを過去のベースライン、ユーザーの行動パターン、ビジネスコンテキストルールと照らし合わせて評価し、そのアクティビティが本当にポジティブなのか、無害な運用なのか、それともより深い調査を必要とするエッジケースなのかを判断します。

コア機能

自動アラートトリアージと検証

SecOps検出ルールによってフラグが立てられたアラートは、他のシステムからの相関イベントと相互参照され、マルチモデルAIによって分析され、根底にある動作が正当な操作と一致しているのか、それとも本物の悪意のある活動なのかを検証します。この自動検証により、手動での確認が必要なアラートの量が減り、ルールの重要度だけでなく実際のリスクに基づいて検出結果の優先順位が付けられます。

システム間の相関関係による攻撃チェーン全体

Google SecOps アラートは、多くの場合、疑わしいプロセスの実行、異常なネットワーク接続、異常な認証パターンなど、個別のシグナルをキャプチャします。Exaforce は、これらのアラートを ID システム、クラウドコントロールプレーン、SaaS アプリケーション、エンドポイントにわたるアップストリームおよびダウンストリームのアクティビティにリンクすることで、攻撃シーケンスを完全に再構築します。アナリストは、SecOpsの検出を最初のアクセスベクトルまでさかのぼって追跡し、相関関係のあるネットワークとクラウドのイベントによる水平方向の動きを追跡し、接続されているすべてのシステムにまたがる単一の統一タイムラインでデータの流出や権限昇格を特定できます。

ID と組織データによる充実したアラートコンテキスト

Exaforceに取り込まれた各Google SecOpsアラートには、ユーザーID属性、デバイスの詳細、観測されたIP、ドメイン、ネットワークインフラストラクチャに関する脅威情報、共通の指標や影響を受けるエンティティを共有する他のソースからの関連検出など、包括的なメタデータが自動的に追加されます。このコンテキストは調査インターフェースに直接表示されるため、手動での検索が不要になり、アナリストは誰が関与しているのか、その役割は何か、なぜ活動が重要なのかを即座に把握できます。

ピボットと自然言語クエリによる詳細な調査

Exaforceを使用すると、アナリストはツールを切り替えることなく、Google SecOpsアラートから複数のデータソースにわたる基礎となる生データや関連イベントにピボットできます。イベント、クラウドログ、ID の詳細などを、すべて統一されたインターフェイスから調査できます。アナリストは自然言語を使用してクエリを実行して関連するアクティビティを調査し、SecOpsと接続システムからの相関テレメトリに基づいた構造化された結果を受け取ることができます。

マルチソース相関の統一タイムライン

Google SecOpsは数十のソースからデータを取り込みますが、SecOps内でこれらのソース全体を調査するには、複雑なクエリと手動による関連付けが必要です。Exaforceは、SecOpsアラートと、SecOpsに直接フィードされない可能性のあるシステムからの豊富なコンテキストを組み合わせた統一タイムラインを自動的に構築し、アナリストがUDMクエリの専門家でなくてもユーザー、デバイス、およびリソースのアクティビティの全体像を提供します。

メリット

Exaforceは、システム間の検証、行動ベースライン、組織コンテキストを通じて誤検知や無害な結果を除外することで、Google SecOpsのアラート量を減らします。これにより、ノイズの多いアラートに費やす時間が短縮され、アナリストは影響の大きい脅威に集中できるようになります。ID、クラウド、エンドポイント、ネットワークのイベントとともに SecOps アラートを一元的に表示できるため、調査の速度と精度が向上します。これにより、コンテキストの切り替え、手動による UDM クエリの作成、面倒な相関作業が不要になります。このプラットフォームは、SecOpsの検出を自動化されたワークフローとガイド付きの修復アクションに直接結び付け、検出から封じ込めまでの平均時間を短縮することで、対応を迅速化します。

Exaforce は Google SecOps とどのようにつながるのですか?
Exaforce では、Google SecOps アラートによる誤検出をどのように減らしているのでしょうか。
ExaforceはどのようにしてSecOpsアラートをより深いコンテキストで補強するのでしょうか?

理想のSOCチーム。
24時間365日、お客様とともに稼働します。

お客様の環境を一元的かつリアルタイムに把握する4つのエクサボットが、検出、トリアージ、調査、対応をカバーします。プラットフォームを自社で運用することも、エクサフォースに運用を任せることもできます。
デモをリクエスト
MDRの専門家に相談