Emerging Threats Center の概要

以下でサポートされています。

Google Security Operations の Emerging Threats Center は、現在の脅威キャンペーンと新たな脅威キャンペーンが組織にどのような影響を与える可能性があるかを把握するのに役立つ、AI を活用した脅威インテリジェンスを提供します。Applied Threat Intelligence(ATI)を基盤とし、Google Threat Intelligence(GTI)と Gemini モデルを搭載しています。

Emerging Threats Center は、IoC、検出一致、影響を受けるエンティティなど、環境にリスクをもたらす GTI の最も重大なグローバルな脅威をキュレートして表示します。Gemini を使用して、大量の未加工のインテリジェンス フィードを行動につながる分析情報に変換し、調査ワークフローで脅威データを直接運用できるようにします。

[Emerging Threats] ページにアクセスするために必要な IAM 権限の詳細については、Emerging Threats: threatCollections と iocAssociations をご覧ください。

主な特典

Emerging Threats Center は、組織が進行中および開発中の脅威キャンペーンを可視化するのに役立ちます。
次のような特典があります。

  • 継続的な脅威の可視化: GTI キャンペーン データがワークスペースに継続的に 反映されるため、関連する脅威 キャンペーンの開発状況を常に把握できます。
  • 行動につながる分析情報: 脅威レポートを 手動で閲覧するのではなく、コンテキストが豊富な結果を受け取ることができます。
  • 検出の検証の迅速化: 自動化されたプロセスにより、 検出カバレッジの検証とキャンペーン データの確認を、手作業を減らして行うことができます。
  • 運用オーバーヘッドの削減: デフォルトの検出生成 により、検出の機会を得るために脅威レポートを解析する手作業が軽減されます。

Emerging Threats Center フィード

Google SecOps の Emerging Threats Center フィードには、Google Threat Intelligence(GTI)からの AI によるリアルタイムの脅威インテリジェンスが表示されます。組織に最も関連性の高い進行中および新たな脅威キャンペーンを公開することで、環境内の潜在的な侵害を特定するのに役立ちます。

このフィードには、キャンペーンとレポート、およびそれらに関連する攻撃者とマルウェア ファミリーがキュレートされて表示されます。脅威の関係を調べたり、脅威キャンペーンの詳細を調査したりできます。

フィードに表示されるレポートは、GTI によって生成されたものに限定され、GTI 自体に表示されるクラウドソーシング レポートは含まれません。

フィルタを適用してキャンペーンを表示する

Emerging Threats Center フィードをフィルタして、特定の条件に基づいてキャンペーンとレポートのリストを表示できます。

フィルタを適用する手順は次のとおりです。

  1. [Emerging Threats Center] フィードで、 filter_alt [フィルタ] をクリックします。
  2. [フィルタ] ダイアログで、論理演算子を選択します。
    • OR: 選択したフィルタのいずれかに一致します。
    • AND: 選択したすべてのフィルタに一致します。
  3. フィルタ カテゴリを選択します。
    • 関連するマルウェア: 脅威にリンクされている特定のマルウェア ファミリーでフィルタします。
    • 関連するツール: キャンペーンで使用されている特定のツールでフィルタします。
    • ソース リージョン: 脅威 が発生した地理的リージョンでフィルタします。
    • ターゲットとする業種: キャンペーンのターゲットとする業種でフィルタします。
    • ターゲットとする地域: ターゲットとする地理的リージョンでフィルタします。
    • 関連する攻撃者: キャンペーンに関連付けられている特定の攻撃者でフィルタします。
    • IoC の一致がある: 環境に一致する IoC を含むキャンペーンを表示します。
    • オブジェクト タイプ: 調査の焦点に応じて、キャンペーンまたはレポートを表示します。

選択したフィルタは、表の上にチップとして表示されます。

脅威カードについて

フィード内の各脅威は、次の情報を含むカードとして表示されます。

  • 脅威のタイトルと概要: 脅威アクティビティの簡単な説明。
  • 関連するメタデータ: ターゲットとする業種、ターゲットとする 地域、関連するマルウェア、攻撃者の概要。
  • バッジ: IoC の一致と関連するルールを表示するクイック インジケーター。
    • キャンペーンとレポートの場合、[IOCs] バッジは、レポートまたはキャンペーン内の IoC が環境内のデータと一致するかどうかを示します。
    • キャンペーンの場合、[Rules] バッジは、環境で有効になっている関連する検出ルールの数を示します。たとえば、1/2 rules というラベルのバッジは、そのキャンペーンで使用可能な 2 つのルールのうち 1 つだけが環境で有効になっていることを示します。

バッジにポインタを合わせると、広範なルールと正確なルールの数の内訳と、それらが有効か無効かが表示されます。

関連する攻撃者とマルウェアを表示する

関連する攻撃者とマルウェアを表示するには、脅威カードをクリックして、脅威に関する詳細なコンテキストを表示します。

  • 関連する攻撃者: [攻撃者の詳細] パネルが表示されます。このパネルには、 攻撃者の名前、概要、既知のソース国、最初と最後の確認日、 関連するキャンペーン、マルウェア、インジケーターのセクションが含まれています。

  • [関連するマルウェア]: [マルウェアの詳細] パネルが表示されます。このパネルには、 マルウェア ファミリー、概要、オペレーティング システム、報告されたエイリアス、関連する キャンペーン、攻撃者、インジケーターのセクションが含まれています。

各パネルで、セクション名の横にある keyboard_arrow_down をクリックして展開し、詳細を表示します。または、これらの詳細を GTI で直接開いて、詳細情報を確認することもできます。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。