ネット管理者

脅威ハンティングとは何ですか?

脅威ハンティングとは



ソフトウェアベースであろうと人間によるものであろうと、悪意のある脅威はその存在を宣言しません。サイバーセキュリティ ツールは、マルウェア、侵入者、悪意のある内部関係者を検索する必要があり、この目的のために使用できるさまざまな技術があります。

各セキュリティ ソフトウェア プロバイダーには好まれる技術があり、それが機能するため、それを使い続けています。いくつか違うものがありますが、 脅威ハンティング 戦略に関しては、順位表はありません。一般に他の戦略よりも優れているとみなされる戦略はありません。脅威検出の主な方法を取り上げ、それらがどのように機能するかを説明します。



脅威ハンティングの用語

他の IT 分野と同様、サイバーセキュリティと脅威ハンティングには独自の用語があります。脅威ハンティングを学ぶ際に知っておくべき重要な用語をいくつか紹介します。

  • EDR – エンドポイントの検出と対応エンドポイント (デスクトップ、サーバー、モバイル デバイス、IoT ガジェット) を監視して脅威を検出し、検出時に自動応答を実装します。
  • XDR – 拡張された検出と応答脅威の検出と自動応答を提供するために組み合わされたセキュリティ ツールのパッケージ。主要な要素は SaaS によって提供される必要があります。
  • IDS – 侵入検知システムこれは、ホストベースの IDS (HIDS) の場合はログ ファイルに対して機能し、ネットワーク ベースの IDS (NIDS) の場合にはライブ アクティビティ監視データに対して機能する脅威ハンティング パッケージです。
  • IPS – 侵入防止システム自動応答ルールを備えた IDS。
  • SIEM – セキュリティ情報とイベント管理ログ ファイルとネットワーク監視データを検索し、脅威の検出時にアラートを生成します。これは、HIDS であるセキュリティ情報管理 (SIM) と NIDS であるセキュリティ イベント管理 (SEM) を組み合わせたものです。
  • SOAR – セキュリティのオーケストレーションと対応脅威情報または対応指示を発行するセキュリティ ソフトウェア間のデータ交換。
  • SOC – セキュリティ オペレーション センターセキュリティ ソフトウェアの監視と管理を提供し、専門家による分析を追加するデータ センター。
  • C TI – サイバー脅威インテリジェンス他の場所で発生した攻撃とその進行状況に関するデータ。また、国、分野、企業、または個人に対する差し迫った攻撃の可能性を示す、データ漏洩やハッカー サイトでの雑談に関する警告である場合もあります。
  • IoA – 攻撃の指標攻撃が進行中の兆候。これは、フィッシングメールや感染したメールの添付ファイルの発見などです。 RDP 接続の試行やアカウントへのログイン試行の過剰な失敗も、攻撃が進行中であることを示す兆候です。
  • IoC – 侵害の兆候最近の攻撃の残骸。これらは、一連の要因、マルウェアのシグネチャ、悪意のあるアドレスとして定式化できます。これらは脅威インテリジェンスとして伝達されます。ただし、方法のわずかな違いが検出を妨げる可能性があります。
  • TTP – 戦術、テクニック、手順脅威インテリジェンス フィードで警告として伝達される脅威戦略。これらは、グループ名や調査方法、侵入など、最近検出されたハッカー グループの活動を詳しく説明します。
  • UBA – ユーザー行動分析通常の行動のパターンを確立する、乳房アカウントごとのアクティビティの追跡。これにより、ユーザー アカウントの標準的な動作からの逸脱を検出する異常検出のベースラインが提供されます。
  • UEBA – ユーザーとエンティティの行動分析UBA と同じですが、デバイス (通常はエンドポイント) 上の標準アクティビティの記録が含まれます。

脅威ハンティングのデータソース

脅威ハンティングは 2 つのレベルで実行できます。 企業 または 世界的に 。グローバル検索は、企業からアップロードされたデータに依存しています。



このようなシステムに含まれる大量のデータは、インストールすることで大幅に削減できます。 前処理 各貢献システム上のモジュール。この戦略では、ローカル分析エンジンが潜在的な指標として識別しない一部の情報を除外できます。したがって、このソース データの品質は、脅威インテリジェンス グループが使用するアルゴリズムに大きく依存します。中央ハンティングユニットのデータ検索速度と容量も、データの量に影響します。 フィルタリング データコレクターに必要です。

企業の脅威ハンティングは、次の 3 つの主要な入力データ ソースに依存します。

  • ログメッセージ
  • システム監視
  • 可観測性

攻撃の全体像を把握するには、システムのすべてのコンポーネント (ハードウェアとソフトウェアの両方) から 3 種類のデータすべてを収集する必要があります。

ログメッセージ

脅威ハンティングの主なデータ ソースはログ メッセージです。すべてのオペレーティング システムとほぼすべてのアプリケーションはログ メッセージを生成し、これらを収集することでシステム アクティビティに関する豊富な情報ソースが提供されます。

システム監視

ログ メッセージが IT システム内で絶えず循環しているのと同様に、監視データも循環しています。繰り返しますが、それは収集する必要があるだけです。この情報には、 簡易ネットワーク監視プロトコル (SNMP)。ほんの少しの努力ですぐに入手できる他の情報源には、 タスクマネージャー Windows または ps Linux、Unix、macOS のユーティリティ。

可観測性

サーバーレス システムとファイルレス アクティビティは追跡が難しく、アクティブなデータ収集が必要です。 分散トレーシング 遠隔測定システム。実行中のプロセスのトレースから得られる情報は、次のように補足できます。 コードプロファイリング ここでアクティビティはプレーンテキストコーディング言語によって実装されます。メモリ ダンプと文字列スキャンにより、メモリやレジスタを操作するユーティリティなど、悪意のある攻撃で使用されることが知られている DLL 関数の存在による攻撃の兆候が明らかになる場合もあります。

脅威ハンティングのためのデータ フロー

主にエンドポイント保護のために利用可能な分散型脅威ハンティング システムがいくつかありますが、これらのサービスは通常集中型です。あ 次世代AV はデバイス上で脅威ハンティングを使用しますが、IDS、EDR、XDR、SIEM ツールを含む他のすべてのシステムは、システム上の複数のデバイスから一元化されたプールにデータを収集します。

サービスとしてのソフトウェア 脅威ハンターは、ホストされているすべてのクライアントに使用されるデータ レイクをサービス全体の脅威検出パッケージに統合できます。クラウド コレクションへのデータの流れは、次の目的で使用される主な情報源でもあります。 脅威インテリジェンス 餌を与える。

いずれの場合も、データはログ ファイルやシステム監視レコードなどのさまざまな種類のソースから収集され、次の形式に変換されます。 一般的なフォーマット これにより、これらの異なるレコード レイアウトを、同じ場所にある同じデータ フィールドを含む統一されたリストに収集できます。脅威ハンティングは、データのフィルタリングとグループ化とともに一連の検索として実装されます。

ソースデータ 中央プールに向かう脅威ハンティング フロー用。 脅威インテリジェンス 脅威の検出を通知する情報は、中央の場所から個々の企業アカウントに送信され、さらにデバイスベースの AV などのローカル データ プロセッサに送信されます。 対応指示 また、中央システムからローカル デバイスに送信されます。

脅威ハンティング戦略

すべての脅威ハンティング システムは、次の 2 つの戦略カテゴリに分類されます。 署名ベースの そして 異常ベースの 検索します。

シグネチャベースの脅威ハンティング

シグネチャベースの検出方法 はサイバーセキュリティ製品に使用されている最も古い戦略です。オリジナルのウイルス対策システムはこのアプローチを使用しており、システムをスキャンして特定のファイルの存在を調べました。通常、ファイルは名前ではなくハッシュ署名によって識別されます。

シグネチャベースの脅威ハンティングは古い戦略ですが、時代遅れではありません。これが、脅威インテリジェンス フィードと連携するシステムの動作方法です。の CTI フィードは、検索するプロセス、ファイル、またはアドレス (TTP) のリストを提供し、脅威ハンターはそのデータ レイクをスキャンしてそれらの存在を確認します。

脅威インテリジェンスに基づく脅威ハンティングは、仮説主導の調査とも呼ばれます。シグネチャベースの脅威ハンティングは次の場所で行われます。 リアルタイム 、分散コレクターから到着したデータをスキャンし、 遡及的に 、イベント記録のストアを調べます。新しいものを作成するたびに、遡及検索が必要になります。 TTP が配信されます。これは、以前の洞察にはこれらの攻撃戦略が含まれておらず、侵入検出システムは、新たに発見された方法を使用して、システムがハッカーによってすでに侵害されているかどうかを確認する必要があるためです。

ジョシュ そして IoC 、脅威ハンティング システム プロバイダーによって提供される、シグネチャ ベースの検出も実装されています。これらの情報ソースは、ライブ データと履歴データを検索するために使用されます。

異常ベースの脅威ハンティング

異常ベースの脅威ハンティングでは、何かの存在を探すのではなく、異常を特定します。具体的には、次のものを探します 変化 システム内のアクティビティのパターンで。このタイプの検出は、アカウント乗っ取りや内部関係者による脅威を防ぐために特に重要です。

データ盗難などのイベントが発生した場合、ハッカーは新しいソフトウェアをインストールする必要はありません。承認されたユーザーがすでに利用できる機能は、データ盗難者が貴重な情報を抽出するのに十分役立ちます。 ユーザー行動分析 (UBA) と ユーザーとエンティティの行動分析 (UEBA) は、許可されたアプリケーションの不正使用と戦うことを目的としています。

異常ベースの検出では、逸脱を特定する前に、まず正常な動作が何であるかを解明する必要があります。したがって、UBA および UEBA システムでは、 機械学習 各ユーザーまたはデバイスの定期的なアクティビティのベースラインを登録します。機械学習は次の分野です 人工知能 (AI)。

自動検出と手動の脅威分析

脅威ハンティングは継続的なプロセスであり、以下を検索する必要があります。 大量のデータ 。これはコンピュータが非常に適したタスクです。小規模な企業を除くすべての企業にとって、脅威を手動で検索するという考えは、まったくの始まりではありません。

手動分析 大量のデータは、継続的な自動検出を補足するものとして、脅威ハンティングにおいて役割を果たします。コンピューターによる分析と人間による分析の最適な組み合わせは、自動システムでデータを分類し、境界線のケースにフラグを立てて人間による評価を行うことです。

ルールベースの脅威検出システムには次のような大きな問題があります。 自動応答 それは、通常の動作を誤って認識し、正当なユーザーを締め出す可能性があるということです。 UBA と UEBA は、これを削減するために脅威ハンティングに適用されました。 誤検知レポート 。検出システムがどれほど細かく調整されていても、ユーザーが通常の作業ルーチンの一部であるアクションを突然実行する可能性は常にあります。

許容される異常とは、ユーザーが実行することが期待されている頻度が低いタスクですが、機械学習システムが十分な時間実行されていないためにこれまで認識されていなかったタスクである可能性があります。

脅威ハンティング システムへの手動介入の種類は企業によって異なります。 セキュリティポリシー 。たとえば、異常でめったに発生しないイベントは、唯一の対応としてアラートを発行することによって人間と呼ばれることがあります。あるいは、IPS の設定により、異常な動作に関与するアカウントをブロックし、その後アクティビティの評価を残し、可能性のあるセキュリティを優先する戦略を義務付けることもできます。 逆転 管理者への応答アクションの説明。

の役割 セキュリティアナリスト サポート チームの技術者にランダムに割り当てられる仕事ではありません。これは高度に専門化されたスキルであり、資格のあるアナリストを見つけるのは困難です。見つかると非常に高価になります。これが、自動サイバーセキュリティ ツールを購入する価値がある理由の 1 つです。

サイバーセキュリティにおける人間の専門知識の必要性に対する解決策は、 管理された脅威ハンティング サービス。これには、セキュリティ ソフトウェアの SaaS ベースのパッケージとそれを実行するサーバーが含まれており、コンピュータ システムが分類できない異常な異常を分析するためのセキュリティ専門家のチームが追加されます。

サイバーセキュリティツールでの脅威ハンティング

脅威ハンティングのためのシステムに関する推奨事項については、 最高の脅威ハンティング ツール 。さまざまなツールが個別に、または一連のサービスの一部としてどのように脅威ハンティングを実行できるかを示すために、以下で提供されるパッケージを見てみましょう。 クラウドストライク

CrowdStrike のサイバーセキュリティ ツールは、SaaS プラットフォームの缶詰 Falcon から提供されます。同社のサービスの 1 つは次世代ウイルス対策サービスで、これは Falcon クラウド プラットフォームではなくエンドポイントで実行される Falcon スイートの 1 つのアプリケーションです。

ツールがどのように連携するかは次のとおりです。

  • CrowdStrike Falcon Prevent – オンプレミス脅威ハンティングをローカルで実行し、クラウドベースの Falcon システムのデータ収集エージェントとしても機能します。
  • クラウドストライク ファルコン インサイト – クラウドベースビジネスのすべての Falcon Prevent インスタンスのアクティビティを調整し、SIEM の方法でアップロードされたデータを検索する EDR。
  • クラウドストライク ファルコン XDR – クラウドベースFalcon Insight と同じ方法で動作しますが、サードパーティ ツールからアクティビティ データも取得し、自動応答を Falcon Discover またはその他のオンプレミス セキュリティ システムに伝達できます。
  • クラウドストライク ファルコン インテリジェンス – クラウドベースクライアント向けに動作するすべての EDR および XDR システムとサードパーティのアプリケーション エクスペリエンスから CrowdStrike によってコンパイルされた脅威インテリジェンス。
  • クラウドストライク ファルコン オーバーウォッチ – クラウドベースFalcon Insight システムと、システムを実行してデータの手動評価を行うための技術者およびアナリストを提供するマネージド サービス。
^