ネット管理者

2022 年のベスト脅威ハンティング ツール 7 選

最高の脅威ハンティング ツール



用語 ' 脅威ハンティング 」とは、IT システムを通じて悪意のあるアクティビティを検索することを意味します。これらのアクティビティは現在行われているか、すでに行われている可能性があります

脅威ハンティング システムがスタンドアロン パッケージとして販売されることはほとんどありません。代わりに、これは次の一部として使用されるテクニックです。 サイバーセキュリティサービス



以下に、7 つの最高の脅威ハンティング ツールのリストを示します。

  1. SolarWinds セキュリティ イベント マネージャー 編集者の選択 幅広いログ管理機能を備えた、市場で最も競争力のある SIEM ツールの 1 つ。 30 日間の無料トライアルを入手してください。
  2. VMWare カーボン ブラック エンドポイント クラウドをベースとする EDR ですが、監視対象デバイスにインストールされたデータ コレクターが含まれます。
  3. クラウドストライク ファルコン オーバーウォッチ サブスクリプションベースで提供される完全なセキュリティ オペレーション センターには、Falcon Insight と呼ばれる SaaS EDR システムに加え、手動の脅威ハンティングのためのソフトウェアとセキュリティ分析を実行する技術者が含まれます。
  4. トレンドマイクロが管理する XDR ソフトウェアベースと人間による脅威ハンティングの両方を提供するサブスクリプション サービスで、攻撃をシャットダウンするための対応を自動的に実行します。
  5. サイネット360 革新的なクラウドベースのサイバー防御システム。デセプション モジュールを通じて侵入者を貴重な資産から遠ざけ、悪意のあるアクティビティを精査と分析の対象にします。
  6. エクサビームフュージョン SIEM および XDR 形式で提供され、どちらのオプションも同じ脅威ハンティング ルーチンを使用します。これはクラウドプラットフォームです。
  7. Rapid7 InsightIDR 脅威インテリジェンス フィードなど、同じクラウド プラットフォームから他のサービスに追加できる SIEM および XDR サービス。

スレット ハンターは、アクティビティ データを徹底的に調べて、望ましくない動作の兆候を探す検索ツールです。



脅威ハンティングが組み込まれたシステムの種類は次のとおりです。

  • ウイルス対策(オフ)
  • エンドポイントの検出と応答 (EDR)
  • 拡張検出および応答 (XDR)
  • セキュリティ情報およびイベント管理 (SIEM)
  • 侵入検知システム (IDS)
  • 侵入防御システム (IPS)
  • サイバー脅威インテリジェンス (CTI)

ファイアウォールがリストに含まれていないことがわかります。ファイアウォールはトラフィックをスキャンしますが、そのアクティビティは通常、脅威ハンティングとして分類されません。ファイアウォールはトラフィックをフィルタリングします。

脅威ハンティング戦略

脅威ハンティング システムはシステム データを調べて、 攻撃の兆候 または異常な行動。そのデータのソースは通常、キャプチャされたパフォーマンス データとログ メッセージです。脅威ハンティングはデバイス上で実行できますが、ネットワーク上のすべてのデバイスからのすべてのアクティビティ データが収集されると、より効果的です。 パーティー 中心的な 1 つの場所にあります。これにより、脅威ハンターはデバイス間を移動する悪意のあるアクティビティを探すことができるため、サイバーセキュリティ システムは拡大する攻撃を発見してブロックできます。

脅威は次の形式で実装される可能性があります。 ソフトウェア または 手作業による活動 個人による。ほとんどすべての場合、悪意のあるアクティビティは承認されたユーザー アカウント内で実行されます。

部外者が有効なアカウントを使用している場合、その原因は次のとおりです。 アカウント乗っ取り 。これは、解読可能なパスワードという形式のセキュリティが弱いために発生する可能性があります。ハッカーは、ユーザーを騙してアカウントの認証情報を入手することもできます。

悪意のある攻撃者がスタッフの場合、関係するユーザーはだまされたり、脅迫されたりして、部外者に代わって行動する可能性があります。あ 不満を持った従業員 機密データを盗んだり開示したり、金銭的利益を得るためにデータを販売したりして、ビジネスに損害を与えようとする可能性があります。

通常、ソフトウェアは悪意のあるイベントに関与しますが、必ずしもマルウェアやハッカーによってインストールされた無許可のシステムであるとは限りません。の 認可されたアプリケーション 会社員が使用するためにインストールしたものは、データの処理と移動が可能であり、悪意のある内部関係者や侵入者にも機能する可能性があります。

自動および手動の脅威ハンティング

脅威ハンティング プロセスはサイバーセキュリティ ソフトウェアに組み込まれています。ただし、脅威ハンティングは次のような可能性があります。 人間の活動 同じように。検索および並べ替え機能を備えたデータ ビューアを使用すると、サイバーセキュリティの専門家がデータを分析し、データの悪用の可能性を調査できます。

システム管理者はユーザー アカウントのアクティビティに何か奇妙な点があることに気づき、さらに調査したいと考えるかもしれませんが、脅威ハンティングは通常、専任の専門家によって実行されるアクティビティです。資格を維持できるほどの規模の企業は多くありません。 サイバーセキュリティスペシャリスト したがって、これらの専門家はコンサルティング会社で働いていることに遭遇する可能性が高く、整理のために呼び出されたときに顧客企業のデータに関与する可能性が高くなります。 緊急事態

企業は、 管理されたセキュリティ パッケージ これには、保護ソフトウェアと、ソフトウェアで分類できない異常が発生した場合にデータを分析するサイバーセキュリティ専門家のサービスの両方が含まれます。

最高の脅威ハンティングツール

脅威ハンティングの分野ではさまざまな構成が提供されており、オンプレミスのソフトウェア パッケージ、SaaS プラットフォーム、マネージド サービスが含まれます。良い例を探すときは、 脅威ハンティングシステム 推奨するには、企業の規模や種類が異なればニーズも異なることを認識する必要があります。したがって、利用可能な最良のオプションとして簡単に特定できる単一のパッケージを推奨することは不可能です。

脅威ハンティング ツールで何を確認する必要がありますか?

私たちは、脅威ハンティング プロセスを組み込んだサイバーセキュリティ システムの市場を調査し、次の基準に基づいて利用可能なオプションを分析しました。

  • イベント情報を脅威ハンターにフィードするデータ収集サービス
  • イベントレコードのフォーマットを標準化するためのデータ集約
  • 手動分析のオプション
  • 自動応答設定
  • セキュリティ政策による政府の脅威検知
  • 支払い前にシステムを評価するための無料トライアルまたはデモ システム
  • 包括的なセキュリティ保護を適切な価格で提供する、コストパフォーマンス

これらの基準を念頭に置き、優れた脅威ハンティング手順を備えた信頼できるサイバーセキュリティ ツールを特定しました。オンプレミス、SaaS、およびマネージド サービスのオプションを必ず含めるようにしました。

1. SolarWinds セキュリティ イベント マネージャー (無料トライアル)

SolarWinds セキュリティ イベント マネージャー

SolarWinds セキュリティ イベント マネージャー すべてを社内に保管したいシステム管理者にとっては、最適なオプションです。パッケージはサーバー上で実行され、ネットワーク上の他のすべてのエンドポイントを探索します。このシステムは、次のようなソースから抽出されたライブ ネットワーク パフォーマンス データに基づいて動作します。 シンプルなネットワーク管理プロトコル (SNMP) およびログ メッセージ。

主な特徴:

  • ログファイルコレクター
  • オンプレミス
  • 機密データ管理者
  • コンプライアンス監査
  • シグネチャベースの脅威ハンティング

パッケージには以下が含まれます コネクタ アプリケーションに接続し、イベント データを抽出します。このシステムには、 ファイル整合性モニター ファイルへのアクセスとその内容に加えられた変更を記録します。これは 機密データ管理者 指定されたファイルとフォルダーを監視します。

パフォーマンスの読み取り値とログ メッセージは、「」と呼ばれる共通形式に変換されます。 統合 ”。このツールは、分析のためにこれらの記録を脅威ハンティング モジュールに提示します。

悪意のある行為は、 脅威ハンター 検出をすぐに停止できます。この脅威ハンターは、攻撃の兆候を探すシグネチャベースのサービスです。システムには、と呼ばれる応答のリストが含まれています。 相関ルール 。これらは、脅威が検出された場合に実行するアクションを指定します。これらのアクションには、特定の IP アドレスとの間のトラフィックのブロック、ユーザー アカウントの一時停止、プロセスのシャットダウン、ファイルの削除などが含まれます。

長所:

  • SIEMとして機能する
  • ログファイルを管理します
  • 自動応答を実装します
  • 不審なアクティビティに対するアラート
  • ログだけでなくライブネットワークデータも使用します

短所:

  • クラウド版はありません

SolarWinds Security Event Manager のインストール場所 Windowsサーバー 利用可能です30日間の無料トライアル

編集者の選択

SolarWinds セキュリティ イベント マネージャーIT サービスを完全に制御できるため、脅威ハンティング パッケージとして最もおすすめします。多くの IT システム管理者は、クラウド ベースのシステムの普及に依然として満足していません。クラウド ベースの戦略では制御が低下し、侵入者に余分な侵入手段が与えられ、ビジネスに関する詳細の一部を外部サーバーに保持する必要があるからです。

ダウンロード:30 日間の無料トライアルを利用する

オフィシャルサイト:https://www.solarwinds.com/security-event-manager/registration

あなた:Windowsサーバー

2. VMWare カーボン ブラック エンドポイント

VMWare カーボン ブラック エンドポイント

VMware カーボン ブラック エンドポイント 複数のエンドポイントを保護します。登録された各エンドポイントにはエージェントがインストールされており、そのユニットはクラウドベースの Carbon Black データ プロセッサと通信します。

主な特徴:

  • 脅威インテリジェンス フィード
  • 異常検知
  • 舞い上がる
  • 迅速な脅威ハンティング

ネットワーク エージェントは、と呼ばれる技術の一部としてサードパーティのセキュリティ ツールとも通信します。 セキュリティのオーケストレーション、自動化、および対応 (ソア)。 SOAR システムは、ファイアウォールなどのサードパーティのセキュリティ ツールから情報を収集し、これをクラウドで収集される情報のプールに追加します。

脅威ハンティング Carbon Black パッケージ内のモジュールは次のように呼ばれます。 予測型クラウドセキュリティ 、大規模なデータのコレクションを非常に迅速に検索できることで注目に値します。脅威の検出がトリガーとなる 対応指示 これらはデバイス エージェントに送信されるだけでなく、SOAR システムに登録されているサードパーティ ツールにも送信されます。

長所:

  • クライアント間の相互脅威交換
  • システム強化に関するアドバイス
  • 自動応答
  • 複数のサイトを保護する

短所:

  • ログマネージャーは含まれていません

SaaSパッケージ クライアントごとに脅威ハンティングを実装し、検出されたすべてのデータをプールして、すべてのクライアントを一元的に検索します。この集中的な脅威ハンティングにより、 脅威インテリジェンス ハッカーのキャンペーンについて説明し、攻撃に先立ってクライアントに警告します。リクエストできます a demo VMWare Carbon Black エンドポイント システムの。

3. クラウドストライク ファルコン オーバーウォッチ

クラウドストライク ファルコン オーバーウォッチ

クラウドストライク ファルコン と呼ばれる EDR を含むセキュリティ ツールのクラウド プラットフォームです。 洞察力 、 と XDR 。 EDR は CrowdStrike オンデバイス システムと連携し、XDR は SOAR に追加されます。

主な特徴:

  • 異常ベース
  • ローカルの脅威ハンティング
  • 統合されたクラウドベースの脅威ハンティング

エンドポイント上で実行される CrowdStrike の製品の 1 つは、次の世代のウイルス対策パッケージです。 ファルコン・プリベント 。これは独自のパフォーマンスを発揮します 脅威ハンティング そして防御反応を実行します。 Falcon Prevent の購入者がいずれかのクラウドベース システムにも加入している場合、AV は次のように機能します。 エージェント それに。

Falcon Insight と Falcon XDR は両方ともパフォーマンスを発揮します 脅威ハンティング プランに登録されているすべてのエンドポイントからアップロードされたデータのプール上のクラウドにあります。この脅威ハンティング プロセスは、と呼ばれる脅威インテリジェンス フィードを使用して強化できます。 ファルコン・インテリジェンス

セキュリティ専門家を常駐させたくない企業は、次のようなメリットを逃すことになります。 手動による脅威ハンティング 専門家によるセキュリティ分析。 CrowdStrike は、このニーズに応えます。 オーバーウォッチ パッケージ。これは、サブスクライブしているクライアントに対してシステム全体の脅威の検出と対応管理を提供する完全なセキュリティ オペレーション センターです。これは、セキュリティ アナリストが追加された Falcon XDR SaaS パッケージです。

長所:

  • マネージドサービスのオプション
  • 脅威インテリジェンス フィード
  • 舞い上がる

短所:

  • 多くのオプションは評価に時間がかかる場合があります

Overwatch プランには、すべてのエンドポイントへの Falcon Prevent のインストールが含まれています。得られる 15日間の無料トライアル CrowdStrike Falcon Prevent の。

4.トレンドマイクロマネージドXDR

トレンドマイクロが管理するXDR

トレンドマイクロが管理する XDR SOC のレンタル プランにセキュリティ専門家のサービスを追加するプランです。 トレンドマイクロ ビジョン ワン システムセキュリティパッケージ。 Vision One は、オンデバイス エージェントと SOAR を備えた SaaS XDR であり、サードパーティのセキュリティ ツールに対応します。

主な特徴:

  • マルチレベルの脅威ハンティング
  • セキュリティアナリスト
  • 舞い上がる

Vision One サービスは、ローカルで独自の脅威ハンティングを実行する、デバイス上のトレンドマイクロ エンドポイント常駐 AV のクラウド コーディネーターです。これらのユニットは、アクティビティ データをトレンドマイクロ サーバーにアップロードします。 企業全体の脅威ハンティング 。トレンドマイクロの脅威検出システムは次のように呼ばれます。 ゼロトラストのリスク洞察 。アプリケーションへの異常なアクセスを探し、内部関係者の脅威や侵入を特定します。

マネージド サービスには、自動化システムと専門アナリストが含まれます。 手動による脅威ハンティング まれに発生する正当なタスクが自動化された EDR プロセスによってブロックされるという不便さを軽減します。分析により、システム強化のための推奨事項を生成することもできます。

長所:

  • 給与計算にセキュリティ専門家がいない企業に最適
  • 複数のサイトのセキュリティを管理できる
  • コンプライアンス報告

短所:

  • 自己管理型オプションよりも高価

と呼ばれるデモ システムにアクセスできます。 ビジョンワンの試乗

5. Cynet 360 AutoXDR プラットフォーム

Cynet 360 AutoXDR プラットフォーム

Cynet 360 AutoXDR プラットフォーム サードパーティのオンサイト ツールから悪意のあるアクティビティに関する情報を収集する脅威ハンティング レイヤーが含まれています。このプラットフォームは クラウドの常駐者 また、オンサイトの自動システムによる脅威の検出を支援するいくつかのユーティリティも提供します。

主な特徴:

  • クラウドベース
  • ローカルデータコレクター
  • 欺瞞の手法

Cynet 360 の脅威識別サービスには以下が含まれます。 サンドボックス化 そして ハニーポット ハッカーに偽のティーザーを提供し、分析ユニットに引き付けるシステム。

独自の研究室構造と同様に、 自律的な侵害防御 Cynet 360 のシステムは、と呼ばれるネットワーク内のエージェントを通じてローカル情報を収集します。 センサーフュージョン 。脅威ハンティング プロセスが展開されます。 ユーザーとエンティティの行動分析 (UEBA) を使用して、ネットワーク上の通常のビジネス トラフィックの意図を評価し、SOAR を通じて悪意のあるアクティビティをブロックします。

長所:

  • UEBA によるベースライン化による異常ベースの脅威ハンティング
  • 舞い上がる
  • メモリフォレンジック

短所:

  • ログマネージャーが無い

サイネットのオファー 14日間の無料トライアル AutoXDR プラットフォームの。

6. エクサビームフュージョン

エクサビーム分析

エクサビームフュージョン を実装するオンサイトエージェントを備えたクラウドプラットフォームです。 脅威の検出、調査、対応 (TDIR)。パッケージは、XDR または SIEM として動作できます。このツールは、オンサイト エージェントからソース データを取得して、 脅威の検出 クラウド上で動作するモジュールです。

主な特徴:

  • 異常ベースの脅威ハンティング
  • UEBA
  • コンプライアンス報告

Exabeam Fusion 脅威ハンティング サービスは、以下に基づいて構築された異常検出を使用します。 UEBA アクティビティのベースライニング用。このサービスは、特定のデータ保護標準要件に合わせて調整でき、コンプライアンス レポートも自動的に生成されます。

システムが依存しているのは、 ログ情報 ソース データ用であり、ライブラリを通じてソフトウェア パッケージのリストと直接インターフェイスできます。 コネクタ 。このサービスは、手動による脅威ハンティング分析とコンプライアンス監査のためにログを統合して保存します。

長所:

  • アプリケーションからアクティビティ データを収集します
  • オペレーティング システムのログ ファイルを検査します。
  • ログ管理

短所:

  • ネットワークから切断された場合、エンドポイントは保護されません

Exabeam Fusion を評価するには、 a demo

7. Rapid7 InsightIDR

Rapid7 InsightIDR

Rapid7 は、サイバーセキュリティ モジュールのクラウド プラットフォームです。オプションのメニューから必要なサービスを選択し、それらのパッケージを一緒にスロットに入れます。クラウドシステムといいます。 Rapid7 インサイト そのプラットフォーム上の XDR パッケージは次のように呼ばれます。 インサイトIDR – IDRは「」の略です インシデントの検出と対応 」に対応しており、次世代SIEMとしても利用可能です。

主な特徴:

  • シェムリアップ
  • 脅威インテリジェンス
  • 異常ベースとシグネチャベースの両方

InsightIDR サービスでは、保護されたエンドポイントにエージェントをインストールする必要があります。これらのエージェントによって収集されたアップロードされたログは、次のソース資料を提供します。 シェムリアップ 検索し、手動の脅威ハンティングとコンプライアンス監査のためにログ ファイルにも保存されます。

Rapid7 は、脅威ハンティング サービスに脅威インテリジェンス フィードを提供します。 攻撃行動分析 (ABA) モジュール。この ABA システムはシグネチャ ベースですが、異常ベースの UEBA 検索と相互作用して、混合された脅威ハンティング戦略を提供します。

長所:

  • 脅威インテリジェンスによるトリアージによる迅速な脅威ハンティング
  • UEBAを使用
  • 自動応答

短所:

  • SOARは追加料金がかかります

Insight プラットフォームで利用できる別のパッケージは次のとおりです。 インサイトコネクト を追加することで InsightIDR の機能を拡張します。 舞い上がる コネクタ。

Rapid7 InsightIDR を評価するには、 30日間の無料トライアル

^