【本ブログは自動翻訳です】
ほとんどのSOCでは、すでに中核となる要素が整っています。
- ログを一元管理するSIEM。
- ワークフローを自動化するSOAR。
- 両方にデータを送り込むツールがいくつかある。
こうしたツールがすべて揃っているにもかかわらず、セキュリティ調査には依然として問題が残っています。この問題は、実際に調査の過程でその一連のツールを使おうとしたときに顕在化します。
アラートを受信し、プレイブックを実行します。場合によっては、いくつかの照会操作を行って情報を補完することもあるでしょう。しかし、実際に何が起きたのかを解明しようとする段階になると、その作業に必要な調査用テレメトリデータは依然として各システムに散在したままです。これはツールに問題があるからではなく、その基盤となるデータが連携されておらず、多くの場合、意思決定の根拠として十分に活用できる状態になっていないためです。
Vectra AIは、まさにそのギャップを埋めるために開発されました。
Vectra AIの活用シーン
Vectra AIは、お客様のSIEMやSOARに取って代わろうとしているわけではありません。むしろ、お客様がすでにそれらを導入しており、チームが作業時間の大部分をそこに費やすことを前提としています。
Vectra AIが提供するのは、従来のシステムには通常備わっていないものです。それは、 ID、ネットワーク、クラウド、SaaSの各領域間で既に相関付けられた 、高精度で行動ベースのシグナルです。
個別のアラートをSIEMに送信し、事後的に攻撃の経緯を再構築することを期待するのではなく、Vectra AIは、攻撃者が環境内をどのように移動しているかをすでに反映したシグナルを提供します。それだけでも、手作業による相関分析の負担を大幅に軽減できます。
しかし、シグナルはあくまで一部に過ぎません。いずれにせよ、目にした情報を検証する必要があります。
「よく壊れる部分:調査」
整備された環境であっても、調査はいつも同じところで行き詰まりがちです。アラートは届きます。そして、ある程度の背景情報も得られます。しかし、実際のセキュリティ上の証拠は依然として散在したままです。
そこで、ログデータや別のツール、あるいは別のデータセットへと切り替えることになる。そこで時間が取られてしまうのだ。分析そのものではなく、分析に必要なデータを揃えようとする過程で、時間が費やされてしまうのである。
セキュリティ担当者が業務プロセスで直面する障壁を徹底的に調査(この言葉遊びは意図的です)し、SOCにとって真に有効なソリューションを構築したVectra AIは、当社のinvestigate APIを通じてデータ統合における課題を解決します。
Vectra AIのInvestigate APIが実際に何をするのか
Investigate API により、チームは Vectra AI がすでに活用している基盤となるテレメトリデータ(ネットワークアクティビティ、ID イベント、DNS、クラウドログなど、検知の背景にあるあらゆる情報)に直接アクセスできます。そして、そのデータを、どこからでも呼び出せるクエリインターフェースを通じて提供します。
つまり、ワークフローを中断してデータを探し回る必要はなく、ワークフロー内に直接データを呼び込むことができます。例えば、SOARプレイブックでは次のようなことが可能です:
- Vectra AIによる検出を行う
- その背後にある具体的な活動を確認する
- そして、単なるアラートのメタデータだけでなく、実際の証拠に基づいて判断を下す
これにより、証拠収集の段階が手作業ではなくなったため、APIを活用した調査の進め方が根本的に変わります。
Vectra AIの調査APIは現在、5つのデータソースにわたる28のテーブルを表示しています:
実際の運用例:3つの調査シナリオ
1. ネットワーク上の証拠を用いた検知結果の検証
あるホストでコマンド&コントロール(C&C)通信が検出されました。通常であれば、SIEMに切り替えて時間軸を再構築し、一致するセッションを探します。
investigate API を使用すると、任意の API クライアントに JSON ボディを直接コピー&ペーストするだけで、そのホストと時間枠に対して直接クエリを実行し、IP アドレス、ポート、転送量、接続状態を含むすべてのセッションデータを取得できます。詳細はこちらおよびこちらをご覧ください。
ほんの数秒で、そのホストが検出期間中に何を行っていたのかが正確に把握できます。
2. DNSを利用した情報流出の検知
DNSトンネリングの有無を確認する必要があります。既成の検知ルールだけに頼るのではなく、TXTレコードや長いクエリ文字列を調査し、長さや頻度で並べ替えることができます。これに、異常なDNSパターン、不審なドメイン、通常とは異なる動作をするホストといった生の行動パターンを組み合わせれば、単なるアラートへの対応にとどまらず、真の脅威ハンティングを行うことができます。
3. アイデンティティ脅威の検知に向けた、システム横断的な不正利用されたIDの調査
あるユーザーアカウントでアラートが発生しました。そこで、アラートが発生する前の状況や、どのID管理システムやSaaSシステムで何が起きていたのかを確認したいとします。Vectra AIのinvestigate APIを使用すれば、Entraのサインイン活動(失敗、リスクのあるセッション)やM365の活動(メールルール、アクセス権限の変更)といったクエリを並行して実行できます。
これらを総合すると、何が起きたのかという明確な経緯が浮かび上がります:ログイン失敗 → 新しい受信トレイのルール → アカウント侵害の可能性。
そこにたどり着くために、3つのツールを切り替えて使ったわけではありません。Vectra AIのinvestigate APIを通じて直接クエリを実行したのです。
これは、単に別のUIに移行させることではありません
ここで当然の疑問が浮かびます。APIを通じて調査できるのであれば、そもそもなぜVectra AI Platformを使う必要があるのでしょうか?
正直なところ、おそらく使い方は人それぞれでしょう。
セキュリティ担当者はすでに、SIEMやSOARの環境内で作業することを好んでいます。この傾向は変わりません。「investigate API」は、ユーザーをその環境から引き離そうとするものではありません。むしろその逆です。このAPIにより、Vectra AIがユーザーの普段の作業環境に直接組み込まれるようになります。
調査のためにVectra AI Platformに切り替える必要はなく、現在のワークフローのままVectra AIのデータを呼び出すことができます。これにより、セキュリティスタックおよびセキュリティプログラムにおけるVectra AIの役割が拡大します。これで、あらゆる調査においてVectra AIのデータを活用し、セキュリティ調査のためのより的確な手がかりを得ることが可能になります。
結論
SIEMやSOARはワークフローの管理には優れていますが、連携した高品質なセキュリティシグナルを独自に生成・検証することに関しては、必ずしも得意とは言えません。Vectra AIはこの課題を認識しており、まず実際の攻撃者の行動を反映したシグナルを提供し、さらに、チームがすでに活用しているセキュリティ運用ワークフロー内で、その裏付けとなる証拠にアクセスできるようにする技術を提供することで、この課題を解決することを目指しています。
これは、単なる調査業務の変化にとどまりません。セキュリティチームが、より詳細で行動ベースのシグナルや直接的な証拠にアクセスできるようになれば、より迅速かつ確信を持って意思決定を行えるようになります。テレメトリの相関分析が、サイロ化されたツール間でアナリストが手動でコンテキストを再構築することに依存しなくなるため、調査期間は短縮され、精度も向上します。また、セキュリティ上の脆弱性も特定しやすくなり、優先順位付けも容易になります。さらに、ワークフローが断片的なアラートではなく、検証済みのデータに基づいて実行されるため、自動化の信頼性も高まります。
その結果、より効率的で強靭なSOCが実現されます。具体的には、運用コストの削減、攻撃者の潜伏時間の短縮、ハイブリッド環境全体にわたる可視性の向上、そして仮定ではなく証拠に基づいたより優れたセキュリティ成果が得られます。
既存のシステムはそのまま活用できます。Vectra AIを使えば、システムを本来あるべき姿で機能させることができるのです。