Uncoder AIの意思決定ツリーを使ったGoogle SecOpsにおける機密ファイルの発見の可視化

metadata.event_type = “PROCESS_LAUNCH” and principal.process.file.full_path = /.*\\explorer\.exe$/ nocase and target.process.file.full_path = /.*\\notepad\.exe$/ nocase and (target.process.command_line = /.*password*\.txt$/ nocase or target.process.command_line = /.*password*\.csv$/ nocase or target.process.command_line = /.*password*\.doc$/ nocase or target.process.command_line = /.*password*\.xls$/ nocase)

この Google SecOps クエリ の条件部分は、次のような決定木（ディシジョンツリー）として分解できます：

ルートノード：metadata.event_type = “PROCESS_LAUNCH”
　- 最初のフィルターであり、プロセスの起動に関連するイベントのみを対象とします。

第1分岐ノード：principal.process.file.full_path = /.*\explorer.exe$/ nocase
　- 起動されたプロセスの中から、起動元のプロセス（principal）が explorer.exe であるものをさらに絞り込みます。
　- nocase フラグにより、大文字・小文字を区別しないマッチングが行われます。

第2分岐ノード：target.process.file.full_path = /.*\notepad.exe$/ nocase
　- 次に、ターゲットとなるプロセス（起動される側）が notepad.exe であるイベントのみに絞り込みます。
　- 同様に nocase により、大文字・小文字を無視します。

第3分岐ノード（複合条件）：
　- (target.process.command_line = /.*password*.txt$/ nocase or target.process.command_line = /.*password*.csv$/ nocase or target.process.command_line = /.*password*.doc$/ nocase or target.process.command_line = /.*password*.xls$/ nocase)
　  – この条件は、notepad.exe プロセスのコマンドラインにおいて、「password」という文字列と .txt、.csv、.doc、.xls のいずれかの拡張子を含むファイルが指定されているかどうかをチェックします（大文字・小文字の区別なし）。
　  – OR条件の構成：
　    – target.process.command_line = /.*password*.txt$/ nocase
　    – target.process.command_line = /.*password*.csv$/ nocase
　    – target.process.command_line = /.*password*.doc$/ nocase
　    – target.process.command_line = /.*password*.xls$/ nocase
　  – この部分は論理 OR による判定であり、いずれか1つでも条件を満たせば全体の条件を満たすと判断されます。

決定木のロジック
すべてのプロセス起動イベントから開始

起動元が explorer.exe のものに絞り込み

次に、起動対象が notepad.exe のものに絞り込み

最後に、notepad.exe のコマンドラインに “password” を含む .txt / .csv / .doc / .xls ファイルが指定されているかを確認

想定される検出結果
このクエリは、explorer.exe から起動された notepad.exe によって、パスワードに関連する機密ファイル が開かれている可能性を検出します。これは、不正アクセスやパスワード情報の不適切な取り扱いを示す兆候となる可能性があります。