TOPサービス一覧セキュリティ対策SIEMソリューション「Google SecOps」概要

SIEMソリューション AI を搭載したインテリジェンス主導のセキュリティ オペレーション プラットフォーム Google SecOps

概要

このようなセキュリティ運用のお悩みありませんか?

データが増えすぎて
保管コストや検索速度に問題

セキュリティビッグデータを
扱える強力なインフラが欲しい

サイバー攻撃が
巧妙化して対応しきれない

効率的に攻撃に対処する
ための仕組みが欲しい

人手とスキルが足りない

外部からの高度な知見、
運用支援でリソースを補いたい
高度なサイバー攻撃の検知、対応を支援します

Google SecOps を活用したサイバー攻撃検知対応支援ソリューション

Google SecOps は、膨大なイベントやセキュリティ・アラートを一元化した上で、
セキュリティ侵害・痕跡情報(IoC:Indicator of Compromise)を用いて超高速に検索・解析する事により、
セキュリティインシデントの早期発見や侵入経路、影響範囲の調査や対処方法検討を限定的な運用負荷で実現できるサイバー攻撃の検知・対応を支援するクラウドサービスです。

Google SecOps を活用したサイバー攻撃検知対応支援ソリューション

Threat Intelligence

Google Cloud Threat Intelligence(GCTI)や VirusTotal などの研究機関で収集・解析されたセキュリティ侵害情報をSIEM、SOARと連携し、調査・分析を支援。

SIEM(Security Information and Event Management)

IDaaS、SASEなどのイベントやEDR、IPSなどのアラートを正規化した上で保管し、アラートの検知や高速検索により、サイバー攻撃調査を支援。

SOAR(Security Orchestration, Automation, and Response)

セキュリティ・アラートを集約し、インシデント対応プロセスを自動化することでセキュリティ担当者の運用負荷や人的ミスを軽減し、迅速な初動対応を支援。
※出典:「 https://chronicle.security/suite/ 」から転記

機能

イベント収集 検知 調査・分析 自動化

EDR、SASEなどのセキュリティ製品アラートやIDaaS、DaaS、クラウド等のアクセス・操作履歴を取り込み正規化したうえで、デフォルトで1年間保持。

収集したイベントを検知ルールやIoCとリンクさせ、サイバー攻撃の可能性がある不審なイベントをアラートとして検知。

超高速検索技術、複雑な条件での検索が可能なUDM検索、可視性に優れたダッシュボードを用いて影響範囲・侵入経路を調査。

ユースケース、プレイブック、オーケストレーション、自動レスポンス等の機能により迅速な対応を支援します。

イベント収集から調査・分析までのセキュリティ運用を支援

Google SecOps で解決できること

これまでのSIEMの課題

検索結果の表示に時間がかかる…
セキュリティインシデント発生時、確認すべき
ログが多岐に渡り調査に時間がかかる…
リスクシナリオを検討できるセキュリティ専門家が不在…
デフォルトで搭載されるアラート検知ルールだと自社に合わせたアラート検知が難しい…
ログ量の肥大化に伴いコストも増加…

Google SecOps で解決

膨大なログから必要な情報を超高速かつ的確にサーチ
可視性に優れた画面設計で不審な挙動にかかる
イベントをタイムライン形式で表示
GCTI のマネージドルールを通じて専門家の知見を活用可能
マルウェア解析・検知に強みを持つYARA-L言語を用いて、柔軟なルール作成が可能
保存するイベント(ログ)量に依存しない価格
モデルの利用が可能

Google SecOps 概要まとめ

Google SecOps は、Google が持つ強靭なクラウド基盤上で、膨大なイベントやアラートを超高速に、そして的確に分析するクラウド型次世代SIEMです。

  • クラウドサービスで提供
    直ぐに提供、どこからでもアクセス、運用が容易
  • 大容量を高速に検索可能
    ペタバイト級のデータを数秒で検索
  • 利用環境に応じた柔軟な課金体系
    大量なログ保存でのコストパフォーマンスが高い

Google Cloud の概要

Google Cloud

cloud.google.com

機能・特長

Google SecOps

柔軟なログ収集方式柔軟なログ収集方式
超高速検索超高速検索
要件に合わせ柔軟な対応が可能なアラート検知ルール要件に合わせ柔軟な対応が可能なアラート検知ルール
可視性に優れたダッシュボード可視性に優れたダッシュボード
高度な Threat Intelligence高度な Threat Intelligence

柔軟なログ収集方式

複数の連携方式でクラウド、オンプレ問わず様々な機器、サービスのログを標準で取り込み可能です。

柔軟なログ収集方式
Forwarder は Google SecOps へログを転送する中継サーバです。
オンプレ環境機器等のログを収集する場合は、Forwarder を構築する必要があります。(LinuxもしくはWindows Server)
使用できる連携方式については、ログを収集する機器毎に異なります。
ポイント
  • Google Cloud、AWS、Azure等の主要クラウドサービスからオンプレミス機器に至るまで 700種類以上のデータセットに対するログ取り込みをサポート
  • CSV、JSON、SYSLOG、Key-Value、LEEF、CEFなど各種ログ形式の取込みに標準対応

超高速検索

独自の統合データモデル(UDM)スキーマを利用する事で、
ベンダー独特なフォーマットをセクション毎に構造化、
並列に検索する事で、超高速な検索能力を提供します。

ポイント
  • 統合データモデル(UDM)スキーマに割当て高速検索を実現
  • メタデータセクションには、製品、バージョン、タイムスタンプ等が保存、
    プリンシパルセクションには、送信元やターゲットの情報が保管

Google SecOps の正規化処理により、
ベンダー独特のログやアラートフォーマットを構造化

それぞれのセクション毎に並列に検索が行われ、結果に反映

要件に合わせ柔軟な対応が可能なアラート検知ルール

Google SecOps のアラート検知ルールには Google Cloud Threat Intelligence(GCTI)チームが
Google 内部の脅威検出インフラストラクチャと調査から入手した情報に基づき、
アラートを生成するプリセットの「GCTI マネージド・ルール」と
ユーザが独自のリスクシナリオに基づき自由に条件を定義できる「YARA-Lルール」があります。

GCTI マネージド・ルール

Google Cloud、Windows、Linux環境への
脅威に対応したルールセット
ポイント
Google のセキュリティ研究機関である Google Cloud Threat Intelligence(GCTI)チームが作成、管理するプリセットルールであり、継続的に GCTI が最新の脅威シナリオに応じて作成、チューニングを実施するため、ユーザーがルール作成せずに、新しい脅威を検知する事が可能

YARA-Lルール

YARA-L言語で定義可能であれば、
対象に制約無し
ポイント
YARA言語を拡張したYARA-L言語にて作成が可能な検索ルールセットであり、自社の環境やシステム利用に独特なリスクシナリオに対応するルールセットを作成可能

可視性に優れたダッシュボード

最新のビジネスインテリジェンス、組み込み型分析、データアプリケーションプラットフォームである Looker と、
ペタバイト級の分析が可能なデータウェアハウス BigQuery を統合したダッシュボード利用により、
インシデント調査を支援します。

ポイント
  • Google SecOps のダッシュボードは、自由にカスタマイズ可能であり、組織にとって最も 重要なセキュリティ情報にアクセスが可能
  • Looker を利用した柔軟なダッシュボードフレームワークにより、デフォルトとカスタムの両方 でダッシュボードの編集、保存、共有が可能
  • 各テナントには、BigQuery データレイクが含まれており、アナリストは複雑で膨大なセキュリティデータセットを活用して、より迅速かつ簡単に問題を発見することが可能

高度なThreat Intelligence

Google と Mandiant の最前線からの脅威インテリジェンスとMITRE ATT&CKフレームワークとのマッピングにより、
インシデント調査にかかる負荷と時間を節約します。

Google Cloud Threat Intelligence
Google Cloud Threat Intelligence(GCTI)チームによって厳選、構築、維持されている、高品質な脅威検出コンテンツを提供
MANDIANT® NOW PART OF Google Cloud
攻撃者追跡による最前線からの洞察をまとめた攻撃者目線の脅威インテリジェンスを提供
VIRUSTOTAL
世界最大の脅威観測機関である VirusTotal で収集したIoCに基づいたアラート検知が可能
ポイント
検出範囲を MITRE ATT&CK フレームワーク(※)にマッピングする事で、攻撃者の戦術と
テクニックを容易に把握しインシデントのステージ、深刻度を把握

※ MITRE ATT&CK フレームワーク:米国の MITRE が開発した実際に観測された敵対的な戦術と技法に基づいてサイバー攻撃の振る舞いを分類したフレームワーク。

サービス

Google SecOps 導入サービス

様々なお客様のSIEM活用を支援したノウハウを活かし、
導入前フェーズから運用フェーズに至るまで Google SecOps 関連サービスの提供が可能です。

フェーズ サービス内容 詳細
検討 SIEM導入アセスメントサービス 現在導入済みのセキュリティ対応製品及び収集ログと、サイバーキルチェーンに基づいた攻撃を照らし合わせ、現状の脅威への対応レベルとSIEM導入後の効果を評価。
Google SecOps 要件定義支援
サービス		 ログ収集対象や検知ルール、運用体制の構築などSIEM導入に関わる各種要件定義を支援。
導入 Google SecOps PoC支援サービス Google SecOps 導入前の試験導入(PoC)を支援。
⇒操作感や運用イメージの理解促進
Google SecOps 導入サービス Google SecOps 導入に関わる設定を実施。
⇒ログ収集の設定動作確認、ルール、ダッシュボードなど
運用 Google SecOps 運用支援サービス システム運用問合せ支援、ログソース追加対応、ルールカスタマイズ、脅威情報提供など定常運用業務の支援。お客様環境に沿った支援内容とするため、初期運用支援と本運用支援の2段階に分けて提供。
インシデント対応支援サービス
(CSIRT支援)		 CSIRTの組織化と規定の整備、CSIRT要員の育成、インシデント実践演習、インシデント発生時の分析支援といった、CSIRTに必要な機能をワンストップで提供。

Google SecOps 運用支援サービス

Google SecOps 導入後、 1~2ヶ月程度を初期運用支援、それ以降を本運用支援とし、
2段階でお客様の運用に沿った支援を実施します。

Google SecOps 運用支援サービス

※本サービスは、SCSKセキュリティ拠点からのリモート支援が前提。
※本運用支援の内容は、初期運用支援の中で協議の上決定。
※初期運用支援は Google SecOps 導入とセットで提供。
※本運用支援はチケット制にて提供。(枚数、価格などは別途協議の上決定)

フルマネージドサービス for Google SecOps

お客様環境に導入したGoogle SecOps基盤に対して検知アラートの調査からインシデント対応に至るまでの運用サービスやインシデント対応に関するアドバイス迄のトータルな支援サービスを提供します。

インシデント対応支援サービス
(CSIRT支援)

Google SecOps とCSIRT(Computer Security Incident Response Team)支援サービスを組み合わせ、
CSIRTの組織化と規定の整備、CSIRT要員の育成、インシデント実践演習、インシデント発生時の分析支援といった、CSIRTに必要な機能をワンストップで提供します。

企画 運用
CSIRT構築支援
サービス
CSIRTの立ち上げ、運用、強化のステップにわたってサービスをご提供することが可能です。
詳しくはこちら
規定策定支援
サービス
世の中のセキュリティに関連するガイドラインや他社の実績等を参考に、貴社のセキュリティ対策状況や運用状況を考慮した文書の作成を行います。
詳しくはこちら
セキュリティ教育
サービス
システム担当者・管理者様向けに現場で役立つ実践的な知識・スキルを体系的・効率的に身につけることが可能です。役割や機能、習熟レベルに応じた研修コースをご用意しております。
詳しくはこちら
実践演習サービス
インシデント対応のプレイブックを使用した実践的な演習のコンテンツをご用意しています。
アドバイザリサービス
セキュリティ運用に関する各種課題について、
セキュリティアナリストがリモートで支援します。 詳しくはこちら

※ Google SecOps は Google LLC の商標です。

CONTACT

当サービスに関するお問い合わせは、こちらからお気軽にご相談ください。

当サービスに関するお問い合わせ
当サービスに関するお問い合わせ
SCSKセキュリティ株式会社

Copyright © SCSK Security Corporation