インテグレーション/
Google Security Command Center

Google Security Command Center

GCP プロジェクト、リソース、ユーザーのコンテキストを活用した、より迅速かつ高精度な SCC トリアージと、アクティビティを検証し適切な対応へ導く Exabot 駆動のワークフローを提供します。

デモをリクエストする
Google Security Command Center

ステータス

利用可能
近日公開

カテゴリー

IaaS

ユースケース

Triage
Investigation

Go to

Text Link

概要

エクサフォースは Google Security Command Center に接続し、検出結果を取り込んで、GCP 環境全体のコンテキストを付加した調査対応可能な情報として整理します。プラットフォームは、アクティビティの主体となるプリンシパル、API イベントの完全なトレース、Cloud Storage バケットなどの影響を受けたリソース、さらに同一ユーザー、サービスアカウント、またはプロジェクトに関連するアクティビティを分析します。

SCC の検出結果は、何が起こったのか、なぜ重要なのか、次に何をすべきかを説明するナラティブ形式の評価として提示され、アナリストはアラートから意思決定までを数時間ではなく数分で行えるようになります。

仕組み

エクサフォースは、Google SCC の検出結果に加え、接続された GCP プロジェクトの Cloud Audit Logs および構成データを取り込み、各調査の起点として SCC の検出ストリームを活用します。新しい検出結果が到着すると、Exabot Triage エージェントが ID 属性、セッション情報、発信元ロケーション、関連サービス、リソースメタデータを統合します。

その後、人間が理解しやすい評価を生成し、状況の要約、裏付けとなる証拠の提示、ならびに対応策の提案を行います。

エクサフォースでは、アナリストは拡張された検出結果を専用ビューで確認できます。検出結果を開くと Exabot Assessment ビューが起動し、構造化された要約、分析内容、および検出に至るまでのイベントタイムラインが表示されます。さらに、Command Center ビューでは、エージェントが実行したステップ、実行されたワークフロー、Slack や Microsoft Teams を通じて送信された通知や確認内容を確認できます。

継続的なトリアージと検証

SCC は GCP プロジェクト全体で継続的に実行され、エクサフォースはそのシグナルに対して継続的なトリアージを重ねることで、すべての検出結果を迅速に「真陽性」「偽陽性」「要調査」に分類します。

検出結果が取り込まれると、Exabot は即座に分析を行い、推奨分類を付与します。推奨が「要調査」の場合や、アナリストが潜在的な偽陽性を検証したい場合は、Investigate ビューで詳細なコンテキストを掘り下げることができます。

Investigate ビューでは、時間範囲を拡張して追加の不審なアクティビティを確認したり、ID チェーンやサービスアカウントのなりすましツリーを分析して正しいプリンシパルを特定したり、過去と現在の位置情報を比較して地理的シグナルの重要性を評価できます。さらに、Command Center の Q&A インターフェースを利用して、特定のバケットで実行された他の操作などの追加質問を行い、同一の証拠に基づく正確な回答を得ることが可能です。

履歴分析はクローズドループプロセスの一部として機能し、トリアージ精度を継続的に向上させるとともに、平均対応時間の短縮に寄与します。

コア機能

エクサフォースは Google Security Command Center を不審な GCP アクティビティのシグナルとして活用し、追加のコンテキストと分析を付加することで調査と対応を効率化します。

各 SCC 検出結果は Exabot により自動トリアージされ、ID、サービスアカウント、なりすましチェーン、位置情報、VPN 利用状況、API 呼び出しのシーケンスが分析されます。これらは過去の挙動と比較され、正常・異常・悪意の可能性が評価されます。

調査は SOC アナリストのワークフローに沿って構成されており、Q&A 形式のインターフェースにより、カスタムクエリなしでユーザー・リソース・アクティビティ間のコンテキストを迅速に横断できます。視覚的なタイムラインとイベント単位の証拠により、何がいつ発生したかを明確に把握でき、検証用に生の JSON データにもアクセス可能です。

さらに、エクサフォースはアイデンティティおよびリソース中心の分析、Slack や Microsoft Teams による組み込みコラボレーション、柔軟な対応オプションを提供します。自動化機能により、人間の関与を伴う対応と完全自動化された対応の両方を実現し、SOAR ワークフローとの統合にも対応します。

メリット

エクサフォースは、各アラートにナラティブなコンテキスト、裏付けとなる証拠、推奨アクションを付与することで、SCC トリアージの品質を向上させ、手動ログ分析の負担を軽減します。

ユーザー履歴、VPN 利用状況、リソースの挙動、ユーザーおよび管理者からの確認情報を総合的に評価することで、誤検知を大幅に削減し、アナリストが実際の脅威に集中できるようにします。

構造化された調査、自動化、コラボレーション統合により、SOC チームやシフト全体で再現可能かつスケーラブルなワークフローを実現します。

夢のSOCチーム。
24時間年中無休で働いています。

お客様の環境を一元的にリアルタイムに表示する4つのExabotsが、検出、トリアージ、調査、対応に対応します。プラットフォームを自分で運用することも、Exaforce に実行してもらうこともできます。
デモをリクエスト
MDR エキスパートに問い合わせる