Google 社内のセキュリティツール群をベースに開発された Chronicle Backstory。Google のコアインフラストラクチャをバンクエンドに利用する最先端のセキュリティアナリティクスプラットフォームの概要をご紹介します。 ビデオはこちらよりご覧いただけます。 https://cloudonair.withgoogle.com/events/cloud_onair_q1_123/watch?talk=cloud_onair_q1_agenda_123 ※ ご視聴いただくには、ご登録が必要となります。

1. Cloud Onr
Cloud OnAir
Cloud OnAir
Chronicle Backstory のご紹介
2020 年 1 月 23 日 放送
もしセキュリティデータの分析にスピードと拡張性、
経済性を加えることができたなら

2. Agenda
Cloud OnAir
1
3
2
4
Chronicle 概要
Backstory 概要
デモンストレーション
実際の導入に関して

3. Cloud OnAir
Cloud OnAir
Chronicle 概要

4. Cloud OnAir
Chronicle の概要
Chronicle のミッションは、
Google の自社セキュリティ機能と
同タイプの機能をすべての企業に提供し
企業を保護することです。
2018 年に
Google X を卒業
2019 年に Google
Cloud Security の
一員に
大企業のサイバー
セキュリティに注力
基盤となる
Google の技術的
コンポーネントを
活用

5. Cloud OnAir
ビジョン：世界のセキュリティ テレメトリを分析
ペタバイトの世界を見据えた
初のグローバル セキュリティ
テレメトリ プラットフォームを構築
中核的な Google インフラストラクチャ上に構築
10 分の 1 のコストで 10 倍のデータ分析を実現
最初からインテリジェントに機能
キュレーションされた脅威シグナルを専用アプリに供給
プライベート クラウドで提供
プライベート層のデータに、最高レベルの拡張性、
アップタイム、管理性を提供

6. Cloud OnAir
製品：Chronicle は独自の組み合わせを提供
大規模な脅威
データベースからの
データ供給と
キュレーションされた
脅威シグナルにより
補強した
インテリジェントな
グローバル テレメトリ
プラットフォーム
世界最大の
マルウェア情報
データベース
コンテキスト化、探索、
検知を即座に実現する、
相関付けられた
エンタープライズおよび
外部テレメトリ

7. 専用の脅威ツール
(EDR、ネットワーク)
○ 大量のデータ
○ SIEM でない、相関付けなし
SIEM および UEBA
○ オンプレミス、規模の問題
○ コストと複雑さ
ログ管理
○ 汎用的なログの保存と検索
○ セキュリティ機能が限られる
脅威情報
○ 情報が多すぎる
○ 信頼性が低い、凡長
セキュリティ
サービス プロバイダ
○ MSSP 運用コスト
○ フォレンジックのコスト /作業量
今日のセキュリティ分析：高コストで複雑
Cloud OnAir
規模、コスト、作業量、効果のトレードオフ
現在のセキュリティ分析
市場には高コストな
オンプレミスの
複雑なテクノロジーが
複数存在している
Lancope
OpenDNS
ArcSight
McAfee
Splunk
LogRhythm
ANOMALI
IBM
FUJITSU
IBM
CROWDSTRIKE
DARKTRACE
IBM
exabeam
sumologic
elastic
paloalto
FireEye
STROZ FRIEDBERG
MANDIANT

8. Cloud OnAir
Cloud OnAir
Backstory 概要

9. Backstory：統一、シンプル、効果的
Cloud OnAir
セキュリティ テレメトリ プラットフォーム
○ セキュリティ情報カテゴリを統一
○ 中核的な Google の上に専用レイヤーを配置
○ 大量のテレメトリに対応するように設計
○ 大規模、シンプル、破壊的価格
○ 独自の組み込み脅威シグナル
専用の脅威ツール
（EDR、ネットワーク）
SIEM および UEBA
ログ管理
脅威情報
セキュリティ
サービス プロバイダ
市場を 1 つの
グローバルな
クラウド情報
プラットフォームに
統一するチャンス

10. Backstory プラットフォーム アーキテクチャ
お客様のデータ サードパーティのデータ キュレーションされたデータ
DNS
VT メタデータ
DHCP
エンドポイント
SIEM
アラート
プライベート コンテナ 独自のシグナル
DNS 解決
ファイルハッシュ
キュレーションされたインジケータ
テレメトリ集約
プラットフォーム
サードパーティの
判断 / IoC
インシデントの調査 脅威の探索 サードパーティ製アプ
リ
検知
企業のテレメトリ、サードパー
ティの脅威情報、
キュレーションされた
脅威シグナルを供給
保持、分析、自動処理
調査用の専用
アプリケーション
avast
proofpoint

11. 主なプラットフォーム機能
高度な検知
最大限広範なシグナル + すべてのテレメトリ +
無制限のコンピュートにより、最新の脅威を検知
継続的な IoC 再評価
すべての履歴アクティビティを即座に照合し、
潜在的な脅威を検知
自動管理
お客様によるチューニング、サイジング、
管理なしに無制限に拡張可能
専用アプリケーション
セキュリティ調査および探索に特化した
システムを利用することで、アナリストの生産性が向上
予測可能な価格
ライセンスにより、すべてのエンタープライズ
セキュリティ テレメトリの保持を促進

12. Cloud OnAir
Cloud OnAir
Backstory デモ

13. Cloud OnAir
Demo

14. Cloud OnAir
Backstory へのテレメトリの送信
SSO を介して
GUI にアクセス
SAML ベースの認証
(Okta、Ping、Duo
などをサポート)
Backstory 転送ツールをインストール
柔軟で、Splunk、Syslog、Packet
Capture などの既存
システムからテレメトリを
転送可能
テレメトリを
クラウドに安全に送信
テレメトリを
gRPC を介して送信
転送時および
保存時に暗号化

15. Cloud OnAir
Cloud OnAir
実際の導入に関して

16. Cloud OnAir
導入オプション
新規 置き換え 補強
SIEM ログ SIEM ログ 大量のテレメトリすべての
セキュリティ
テレメトリ
大量のテレメトリ
+

17. Cloud OnAir
Backstory を選択する理由
大量のデータに
対応するよう構築
将来のデータ増やスタッフ不足に
対応するように
プラットフォームを設計
大量のデータに
手頃な価格で対応
全データの保持を促進する、
定額で予測可能な価格
大量のデータを
活用
Google 検索の速度で
データ分析を実行可能
さらに、相関付けられた
独自のシグナルを
利用可能
規模とシンプルさ 予測可能な価格 可視性と検知
1 2 3