自社環境でのGoogle Chronicleルールの作成

ステップバイステップガイドライン

SOC Primeは継続的に進化しています Chronicleとのパートナーシップで Google Cloudのセキュリティ分析プラットフォームを活用するThreat Detection Marketplaceのユーザーに、Googleのスピードで脅威を追跡するためにカスタマイズされたYARA-L 2.0の検出を提供しています。現在、弊社のDetection as Codeプラットフォームでは、SOC Primeチームが作成した500以上のコミュニティYARA-Lルールを提供しています。また、Chronicleの顧客はこれらの無料の検出を Chronicle GitHubリポジトリ からChronicle Detectのルールエンジンによって利用できます。

既存の検出コンテンツを環境に展開し、ルール作成プロセスを合理化するために、無料で利用できるオンライン教育リソースのリストを拡大しています。 サイバーライブラリで紹介しています。この記事では、Chronicleルール作成プロセスの短い概要といくつかの有用なヒントを提供します。Chronicleルール作成ガイドの 完全版にアクセスするには、サイバーライブラリアカウントにログインして、 Google Chronicle を提案されたプラットフォームのリストから選択し、 ルール タブに移動します。

YARA-Lルールフォーマット

Google Chronicleはクラウドベースのセキュリティ分析プラットフォームで、YARA-L言語を使用します。この言語を使用して、企業の環境での脅威検出のためのルールを作成します。YARA-LとChronicleにおいて最も重要なのは、非常に大量のデータを通じて脅威を検索できることです。なお、YARA-LとYARAは異なるものであり、前者はChronicleで使用するために作成され、後者（Virus Totalによって作成された）はデータクエリや「マルウェア分類」のために設計されています。

Google Chronicleルール作成

はじめに

Google Chronicleのルールを作成し始めるには、Chronicleインスタンスにログインする必要があります。ログイン後、以下の画面が表示されます。

次に、画面の右上隅に移動して、 ルールを見る をアクションメニューから選択します。

次に、 ルールエディタ タブを選択します。

タブに切り替えた後、 ルールエディタ ボタンをクリックします。 New それで終わりです。これでGoogle Chronicleルールウィザードに入り、自分自身のルールを構築し始めることができます。

That’s it, you’re in the Google Chronicle rule wizard and can start building your own rule.

Google Chronicleルール作成のためのパラメータ

Google Chronicleの相関ルール（またはYARA-Lベースのルール）を作成するには、次のルールパラメータを基本の出発点として提供する必要があります。

1. ルール
2. メタデータ
3. イベント
4. マッチ（オプション）
5. 条件

ルール

The ルール セクションは将来の可能性があるルールとの最初の対話です。ここで、他の検出リスト全体の中でルールを見つけやすくするために説明的なルール名を提供する必要があります。

メタデータ

The メタデータ セクションにはルールの仕様が含まれています。ここでは以下のようなキーと対応する値のペアとして詳細を提供できます。

• ルールの作者
• ルール作成日
• 簡潔なルール説明
• 製品情報（例: Windows）

イベント

The イベント セクションには、ルールが検索している特定のGoogle Chronicleアラートについての情報が含まれています。具体的には、このセクションでこの特定のルールで検出したい論理を指定する必要があります。通常、このセクションには多くの異なる条件や変数が含まれています。たとえば、 ファイルの変更 の状況（例: 脅威に関連する悪意のあるファイル名や拡張子）を検索したい場合は、次のような論理を使用します。

イベント:

           $e1.metadata.event_type = “FILE_MODIFICATION”
           $e1.target.file.sha256 = “any hash”

この場合、 FILE_MODIFICATION 値はこのルールが探している特定のアクションに関連しています。たとえば、脅威アクターによって変更された合法的なファイル:

マッチ

The マッチ セクションは関連するマッチが見つかったときに値を返します。このセクションは特定の期間のイベントを検索したい場合に便利です。たとえば:

$value1, $value2 over 2m

まず第一に、 $value1 and $value2 は最初に イベント セクションで宣言する必要があります。次に、これらの変数に選択した期間中に発生する値を持たせる必要があり、ルールが他のイベントを除外できるようにします。言い換えれば、 マッチ セクションはイベントを整理し、より具体的にするのに役立ちます。

条件

また、 条件 セクションでは、イベントと イベント セクションで定義した変数に対してマッチ条件を指定できます。ここでは、全ての述語を「and」/「or」演算子を使用して結合できます。たとえば:

$e1 and $value1

ルール

結果として、Chronicle Detectのルールエンジンを使用して、対応するパラメータで作成された次のルールが得られます。

推奨事項

YARA-L言語とGoogle Chronicleルール作成プロセスをさらに深く理解するには、 Chronicle Detectルールエンジンの関連ドキュメントを参照してください。検出スキルを磨くために、いくつかのルールを使用して、その構造をChronicleのGitHubリポにあるソースコードと比較してみてください。 また、SOC Primeチームが開発した500以上のYARA-Lルールを. Also, you can find 500+ YARA-L rules developed by the SOC Prime Team in Threat Detection Marketplace. 

で見つけることができます。

• また、SOC Primeチームが開発した500以上のYARA-Lルールを 
• YARA-L概要ホワイトペーパー 
• SOC Prime検出ルールでGoogle Chronicleプラットフォームを強化する 
• Chronicleで新しいSOC Primeの検出ルールが利用可能 
• Google CloudからChronicle Detectを紹介

探る Threat Detection Marketplace にアクセスすると、広範なSIEMとEDRアルゴリズムのコレクションに到達します。 環境に合わせたアルゴリズムを導入し、組織の脅威プロファイルに合わせた500以上のYARA-L 2.0の検出をChronicleインスタンス用に利用できます。 脅威ハンティングスキルを磨くことを目指していますか？当社の サイバーライブラリ に参加して、各種SIEM、EDR、NTDRソリューションの洞察に満ちた手引書やオンラインウェビナーにアクセスしてください。

プラットフォームに移動する サイバーライブラリ