Google Cloudは最近、コミュニティセキュリティ分析(CSA)をリリースした。これは、一般的なクラウドベースの脅威の検出に役立てられるように設計されたセキュリティ分析用のオープンソースクエリとルールの集合である。
CSAは、検出エンジニア、脅威ハンター、データガバナンスアナリストを支援するために作成されたものである。クラウドネイティブツールとサードパーティツールを使って、クラウド監査ログ、VPCフローログ、DNSログなどのGoogle Cloudログを分析するための事前に構築されたクエリとルールである。
当クラウドプロバイダーによると、新しいリリースでは、セキュリティ運用チームによる継続的検出と継続的応答(CD/CR)のワークフローの採用が簡素化される。ソリューションアーキテクトのRoy Arsan氏とセキュリティソリューションマネージャーのIman Ghanizada氏は、次のように説明している。
CSAクエリは、戦術、技術、手順(TTP)のMITRE ATT&CKフレームワークにマッピングされています。これは、あなたの環境におけるCSAクエリの適用性を評価し、CSAクエリを脅威モデルの対象範囲に含めるための助けになります。これらのクエリは、クラウドネイティブまたはサードパーティの分析ツールを使って実行できます。最初のCSAリリースでは、Chronicle向けのYARA-Lルール、およびBigQueryのSQLクエリの形式で検出できました。そして、コミュニティのフィードバックに基づいてサポートする形式が増えています。
ルールは現在6つのカテゴリに分けられており、40以上のユースケースをカバーしている。そのユースケースは、組織がログデータに対して尋ねる必要のある最も重要な質問を反映したものである。それは、ログインとアクセスのパターン、IAM、クラウドプロビジョニングアクティビティ、クラウドでの処理の使用状況、データの使用状況、ネットワークアクティビティといったものである。
出典: https://cloud.google.com/blog/products/identity-security/introducing-community-security-analytics
クラウドでの最も一般的な脅威をカバーするために、CSAはオープンソース(Apache-2.0ライセンス)プロジェクトであり、セキュリティ分析をクラウドソーシングし、各組織が独自に開発することはない。Arsan氏とGhanizada氏は、いくつかの制限について強調している。
CSAによって提供される検出クエリは自己管理され、アラートノイズを最小限に抑えるように調整する必要がある場合があることに注意してください(..)CSAは、脅威検出のための包括的で管理された集合というわけではなく、コミュニティが提供する分析のサンプルコレクションです。これはクラウド技術をベースとした重要な発見的コントロールの例を提供するためのものです(...)コストの見積もりやパフォーマンスの保証はありません。
ForterのCISOのGunnar Peterson氏は、次のようにコメントしている。
「次のステップ」では、ログインの失敗だけでなく、広く使用されているIDプロトコルの分析に段階的な進むことを提案します。ブルートフォースは開始するのに適した場所ですが、リダイレクト、なりすまし、改ざんなどもあります。
このプロジェクトは、Google、MITRE EngenuityのCenter for Threat-Informed Defense、およびGoogleの顧客との間のコラボレーションである。当クラウドプロバイダーは最近、自律型のセキュリティ運用のための新しいリソースとイニシアチブをカバーする記事を公開した。