Vectra AI プラットフォームに新しいXDR機能が追加

2024年3月14日
Mark Wojtasiak
製品研究・戦略担当副社長
Vectra AI プラットフォームに新しいXDR機能が追加

*本記事は自動翻訳です。

6 か月前、当社はお客様に XDR を駆動する統合シグナルを提供することを約束して、Vectra AI プラットフォーム立ち上げました。 XDR (Extended Detection and Response) プラットフォームの取り組みを開始してから 6 か月が経ち、革新的な方法を提供するよう求め続けているお客様の支援により、驚くべき進歩を遂げてきました...

  • 日々進化し、巧妙化するハイブリッド攻撃に対するレジリエンスを構築する。
  • 完全にやり直すことなく、AIとMLでセキュリティ業務を最新化する。  
  • 攻撃者のスピードと規模に合わせて動き、攻撃の進行を早い段階で止める。  

XDRプラットフォームの核心:カバレッジ、明確性、制御

データセンターとクラウドネットワーク (NDR)、アイデンティティ (ITDR)、パブリック クラウドSaaS (CDR) のネイティブ AI 主導の検知の両方を活用して、ハイブリッドアタックサーフェス全体にわたる攻撃シグナルを統合することを対象としています。 2024 年には、エンドポイント (EDR)、電子メール、脅威インテリジェンス、シグネチャ (Suricata) に対するサードパーティの検知機能を追加します。  

明瞭さは、AI 主導のAI主導のAttack Signal IntelligenceTMから生まれます。 Attack Signal Intelligence は、クラウドベースの AI 優先順位付けエンジンを利用して、2 つの単純な質問に答えます。これは本物なのか? 気にする必要があるのか? 攻撃プロファイル (これは本物ですか) とエンティティの重要度 (気にするか) の組み合わせにより、攻撃緊急度スコアと呼ばれるものが得られます。 緊急度スコアが高いほど、SOC アナリストによるフォローアップの重要性が高くなります。  

制御とは、セキュリティ アナリストが可能な限り早期かつ迅速に攻撃を調査し、対応できるようにすることです。 これは、ハイブリッド攻撃に必要なすべてのコンテキストを 1 つのコンソールでアナリストに提供し、攻撃の進行のどの段階でも手動または自動で実行できる柔軟な対応アクションを可能にすることです。

当社の顧客と当社のプラットフォームの柱に忠実であり続けるために、当社の製品チームとエンジニアリング チームは、過去 6 か月間、プラットフォームの強化と新機能を市場に投入することに忙しくしてきました。 以下にその概要を示します。

主な発表

  • Vectra AIハイブリッド攻撃を防御するために構築された業界初のグローバルで24時間365日のオープンなMXDRサービスを開始。Vectra MXDRを利用することで、企業は拡張脅威検知とレスポンス のあらゆる側面を1つの統合サービスに集約することができ、複数のプロバイダーを利用する必要がなくなります。CrowdStrike、SentinelOne、Microsoft Defenderなど、業界をリードするEDRプラットフォームとの統合により、Vectra AIのMXDRアナリストは、セキュリティシステム全体の健全性を監視し、シグナルがどこで発生したかに関係なく、直接アクションを取ることができます。さらに詳しく
  •  Vectra AI Gigamon は、ハイブリッド クラウド環境全体でインテリジェントな拡張検知およびレスポンス (XDR) を提供するための新しい OEM パートナーシップを発表しました。 Vectra AI は、AI 主導の攻撃シグナルインテリジェンスの能力と Gigamon GigaVUE Cloud Suite の深い可観測性機能を組み合わせて、クラウド ネットワーク由来のインテリジェンスと洞察を使用して、これまで目に見えなかった脅威を効果的に検知し、対応します。 詳細はこちら

検知範囲とシグナルの明瞭度

私たちの中心的な信念は、ハイブリッドアタックサーフェス全体にわたる包括的な検知カバレッジを構築および統合し、最も正確なハイブリッド攻撃シグナルを高速かつ大規模に配信することです。 以下は、XDR シグナルをさらに強化するために、過去 6 か月間に追加および強化された新しい検知範囲のまとめです。  

  • 新しい検知範囲 - Kerberoasting:Targeted Weak Cipherレスポンス: Weak Cipher DowngradeとSPN Sweepの2つの既存のKerberoasting検知に加えて、Vectra AI 、攻撃者が高特権サービスに対して1回のWeak Cipher試行で静かなKerberoasting攻撃を実行しようとする場合のための新しいKerberoasting検知を導入しました。さらに、この検知のためのトリアージルールを構成する機能も追加されました。
  • 新しい検知範囲 - 情報:Single Weak Cipherレスポンス:これは、新しいKerberoasting Targeted Weak Cipherレスポンス検知と似ていますが、Kerberoastingターゲットが特権を持たない場合に検知 、環境によっては良性の活動である可能性があるため、アナリストによる追加のレビューを考慮する必要があるように設計されています。さらに、この検知のためのトリアージルールを構成する機能も追加されました。
  • AWSリレーショナルデータベース(RDS)の新しい検知範囲:この機能強化により、Vectra AI は、機密情報が格納されている AWS のリレーショナル データベースの悪用に関する範囲を追加します。 AWS Suspect Public RDS Change 検知は、RDS に関する一連の検知の最初のものであり、攻撃者が RDS データベースのバックアップ (スナップショット) を漏洩するために使用する可能性のある方法をカバーしています。 この動作を迅速に検知すると、漏洩を抑制し、AWS クラウド攻撃の段階に影響を与えることができます。
  • 悪意のあるAWSトラフィックミラーリングを特定するための新しい検知カバレッジ: Vectra AI は、トラフィック ミラーを設定して資格情報などの機密情報を傍受するという悪意のある行為を表面化するためのカバレッジを追加しました。 新しい AWS Suspect Traffic Mirror Creation 検知は、攻撃者がミラーリングされたトラフィックのターゲットとして EC2 インスタンスを作成するために利用する可能性のある方法を対象としています。 トラフィックが通常暗号化されていない VPC 内のトラフィックのミラーリングに関する動作を表面化することで、SecOps は攻撃者が影響を与える目的に向かって進むのを阻止できます。
  • Amazon Machine Images(AMI)の新しいカバレッジ: この機能強化により、Vectra AI は Amazon Machine Image (AMI) の悪意のある漏洩を阻止するためのカバレッジを追加します。 これらのイメージは貴重な情報を保持するテンプレートであり、EC2 インスタンスを起動して機密データを抽出するために使用できます。 新しい AWS Suspect Public AMI Change 検知は、攻撃者がこれらの AMI を漏洩するために使用する可能性のある方法をカバーします。 この動作を迅速に検知すると、漏洩を抑制し、AWS クラウド攻撃の段階に影響を与えることができます。
  • AWS Organizationsの新しい検知範囲: AWS Organizations は、組織内のすべてのメンバー アカウントのガードレールと集中管理を可能にするコンプライアンス サービスです。 攻撃者が利用する一般的な戦術は、侵害されたアカウントを関連する組織から削除して、これらのコンプライアンス ガードレールをバイパスすることです。 新しい AWS の疑わしい組織の退出検知により、この動作が明らかになり、SecOps が防御を回避する試みを阻止できるようになります。
  • アカウントグループによるトリアージ機能の強化 :お客様が検知ワークロードを効果的に管理できるよう、AI 主導のトリアージ機能にアカウント グループ別のトリアージのサポートを追加しました。 現在、顧客はアカウント グループを指定し、それらのグループのメンバーに対する検知を自動的に優先順位付けできるため、アナリストのエクスペリエンスが合理化されます。 たとえば、IT 管理者用のアカウント グループを作成し、期待される管理者の動作を指定すると、これらのアカウント グループを通じて新しい IT 管理者の追加を簡単に管理できます。
  • 検知範囲の強化 - M365:M365 セキュリティ ツールの無効化と M365 の危険な交換操作の検知が強化され、より広範囲の攻撃者の活動をカバーできるようになりました。 これらの機能強化には、ライセンスのダウングレード、PowerShell アクセス、電子メール転送ルール、ユーザーのなりすましの検知などの技術が含まれます。
  • 特権の昇格テクニックに対する検知カバレッジの強化:特権昇格の新しい方法のカバーが追加されました。 具体的には、AWS Suspect Privilege Escalation 検知の対象となる手法が拡張され、攻撃者がポリシーを使用して権限を昇格させるために使用する方法だけでなく、EC2 インスタンスなどの AWS サービスも含まれるようになりました。 これらの機能強化により、CloudGoat などの攻撃ツールに含まれる手法を検知できるようになります。
  • ロギング防御回避テクニックに対する検知範囲の強化:ロギングの侵害を伴う攻撃者の手法の対象範囲が拡大されました。 AWS CloudTrail Logging Disabled の検知が強化され、イベント セレクターまたは S3 ライフサイクル ルールを使用してロギングを妨害する攻撃者を識別できるようになりました。 これは、Stratus レッド チームなどの人気のある攻撃ツールで使用される手法であり、攻撃者が影響の状態に向かうときに検知を回避できるようになります。
  • 管理者の永続性に関する検知範囲の強化:Microsoft Azure AD テナントに管理永続性を追加する攻撃者の対象範囲が拡大されました。 具体的には、Microsoft Azure AD 管理者アカウントの作成、Azure AD 新しく作成された管理者アカウント、および Azure AD 冗長アクセスが強化され、追加の種類の管理者アクセス許可を使用して作成されたアカウント、または追加の管理者アクセス許可が付与されたアカウントについて警告するようになりました。
  • Microsoft Azure AD の検知範囲の強化:攻撃者による Microsoft Azure AD アカウントへの初回アクセスに関連するリアルタイム Microsoft Azure AD アラートの検知時間がさらに短縮されました。 具体的には、Azure AD の不審なサインオン、Azure AD の不審なサインオン MFA の失敗、および Azure AD の侵害されたアクセスの検知に対するアルゴリズムの強化により、カバレッジに影響を与えることなく脅威をより迅速にレポートできるようになりました。

調査およびレスポンス コントロール

  • Vectra Match Suricata SignaturesのSIEM/SOAR統合を強化: Vectra Match アラートに対して「Include Enhanced Details」が設定されている場合、SIEM/SOAR に送信される Vectra Match アラートにVectra AI 独自の追加情報が含まれるようになりました。これらのフィールドには、貴重な HostID フィールドおよびセンサー情報が含まれます。これらの情報は、従来のVectra AI 検知およびメタデータに含まれ、調査ワークフローをより簡単に実行するのに役立ちます。このエンリッチメントをオフにしたい場合は、各送信先のSyslog設定で「Included Enhanced Detail」オプションを無効にすることで可能です。
  • ハイブリッド攻撃のインスタント調査の強化:この機能強化により、ネットワークアカウントのRPCコール、SMBアクセス、およびサービスアクティビティのメタデータが追加され、ハイブリッド攻撃のより包括的できめ細かなビューが提供されます。同じ脅威アクターがMicrosoft Azure ADとMicrosoft 365の両方のアカウントを持っている場合、これらのアカウントをリンクし、ドメインをまたがるアクティビティのメタデータを提供します。
  • 高度な調査のための拡張メタデータ保持:この機能拡張により、ユーザーはサブスクリプションプランに応じて、最大14日間または30日間の検索期間を柔軟に選択できるようになりました。この拡張メタデータ保持期間は、Network、Azure AD、M365など、テナント上で有効なすべてのデータソースに一律に適用されます。拡張されたメタデータ検索期間は、Advanced Investigationのみに適用され、Instant Investigationには適用されません。
  • マルチADサポートの追加複数のActive Directoryサーバーと統合し、ホストとアカウントのコンテキストを充実させ、アカウントをActive Directoryロックダウンするためのサポートを追加しました。ホストとアカウントの詳細が複数のADからのコンテキストを表示するようになり、アカウントをロックすると、複数のADにわたってそのアカウントが無効になります。
  • Active Directoryカスタム設定オプションを追加しました:UserAccountControl Active Directory属性がアカウントロックダウンを実行するために利用できない場合、Vectra AI管理者は、ネットワークアカウントをロックするためにAccountExpires属性を使用するオプションが追加されました。また、アカウントに対して Active Directory Lockdown を実行する際に、インシデント番号などの追加コンテキストを Active Directory に送信するために Info 属性を使用するオプションもあります。

Vectra AI Platformの詳細は、以下のリソースをご覧ください:

Vectra AIプラットフォームのウェブページ

Vectra AI プラットフォームツアー

よくあるご質問(FAQ)