Vectra 顧客とセキュリティリサーチャーは、世界で最も重大な脅威のいくつかに対応しています。そして、どのような攻撃シナリオを調査する際にも、一貫して答えなければならない質問があると言います。Cognito Detectや他のセキュリティツールからのアラート、あるいは直感から始めて、アナリストは何が起きているのかについて仮説を立てます。
データを調査してビーコンを探す
そして、データを調査することによって仮説を検証し、自分たちが見ている場所や考えている方向が正しいかどうかを判断する。適切なデータや洞察にアクセスできるかどうかで、調査結果はもちろん、結果を得るまでのスピードも大きく変わってくる。
次のシナリオを考えてみましょう。あなたのチームは、Google Chromeの偽のアップデートを使用して、ターゲットシステム上でコマンド&コントロール(C&C)の足掛かりを得るバンキング型トロイの木馬について知りました。
スピアフィッシングやドライブバイダウンロードによる最初の侵害の後、悪用されたホストは、C&Cチャネルを確立する前に、Chromeのアップデートを装ってペイロードを完全にダウンロードし、さらに偵察とネットワーク深部への横移動を可能にする。
この場合、インプラントは攻撃者の C&C インフラに定期的にコールバックすることになり、ビーコン動作として観測される。ビーコニングは、C&Cチャネルの基盤として機能する潜在的な悪意のある活動の弱いインジケータ、またはmalware をフェッチするためのコールバックである可能性があります。
しかし、ほとんどの場合、ビーコンは、スマートTVや電話会議デバイスがホームハブに到達するような、無害な動作の一部である。株価ティッカーやスポーツのスコア更新も、ビーコンで悪名高い。
悪意のある可能性のある通信をどのように発見し、特定するのか?
そして、そのコミュニケーションが悪意あるものだとわかったら、どう対応するのか?
これがまさに、Vectra 、AIエンジンを使用してセキュリティインサイトを抽出し、当社のメタデータに埋め込んでから、顧客に直接消費されたり、当社の検知モデルに供給されたりする理由です。例えば、上記の脅威ハンティング/調査の例では、次のような質問に答えられるようにしたい:
- 私のネットワークでビーコンが観測された例はありますか?
- どのような外部目的地にビーコンを送っているのか?
- IPアドレスだけでなく、どのホストが感染の可能性があるのか?
- ビーコン・ケイデンスは、異常なリクエスト/レスポンス 。
- ペイロードサイズは通常見られるものですか?
- そのビーコンはJA3ハッシュが珍しいですか?
- トラフィックの行き先は通常とは異なる外部ですか?
- ビーコンを鳴らしているホストの特権レベルは?
- ビーコン・セッションは、単一の長いコネクション内で難読化されているのか?
- 接続に通常とは異なるサービスやプロトコルが使用されていないか。
Cognito のおかげでmalware のビーコンを発見
最初のステップは、これらの質問に答えるために必要な属性が、セキュリ ティ・アナリストが容易に利用できるようにすることである。
Streamこれは、データレイクとセキュリティ情報イベント管理 (SIEM) に、これらのセキュリティインサイトで強化されたZeekフォーマットのネットワークメタデータを直接入力するものです。
Vectra お客様は、このセキュリティ強化されたネットワークメタデータを使用して、既存のカスタムツールを活用したり、ポリシーや脅威検知のユースケースなど、組織固有のモデルで分析したりすることができます。
以下は、CognitoStream でエンリッチされたメタデータとして利用できるユニークなメタデータ属性の例です。
これは始まりに過ぎません。当社にはセキュリティリサーチャーとデータサイエンティストのチームがあり、CognitoStream のネットワーク・メタデータの価値をエンリッチメントによって継続的に高めることを使命としています。
今後のブログでは、クライアントやサーバーのJA3人気、ウェブクラスター、ドメイン人気など、その他のエンリッチメントについての詳細をお伝えします。