Vectra 調査:あらゆる脅威の背後にある全容を明らかにする
今日のハイブリッドネットワーク環境では、検知だけでは不十分です。セキュリティチームは、あらゆるインシデントの背後にある全体像を把握する必要があります。状況は変化しており、現代の攻撃は単一のベクトルやエンドポイントに留まりません。攻撃は方向転換し、権限を昇格させ、正当な行動に紛れ込み、ますます複雑化するインフラストラクチャ全体にわたって、ネットワーク、アイデンティティ、クラウドシステムを悪用します。
しかし、迅速かつ実用的な洞察は依然として容易ではありません。データはサイロ化、断片化、複雑なツールの背後に埋もれ、あるいはそもそも入手できない状態にあることが多く、アナリストは「攻撃はどこから始まったのか?」「他に何が影響を受けたのか?」「攻撃はどれくらいの期間続いているのか?」といった基本的な質問に答えるためだけに、システム間の情報を手作業でつなぎ合わせざるを得ません。
ここはVectra 調査が入ります。 Vectra AI プラットフォーム、およびGartner Magic Quadrant for Network Detection andレスポンス(NDR) におけるリーダーとしての地位に裏付けられており、 Vectra Investigate は AI 検出を補完し、迅速かつ詳細な調査と脅威ハンティングをサポートするために、豊富で統合された、簡単にアクセスできるメタデータを提供します。
Vectra Investigateは、25以上のソースと300以上のフィールドから収集された豊富なメタデータを活用し、最新のネットワーク全体で最大30日間の履歴を可視化します。 AI主導 脅威テレメトリにコンテキストを追加するVectra Investigate は、セキュリティ チームがリスクを軽減し、脅威を解決し、調査を加速し、プロアクティブな脅威ハンティングを可能にすることを支援します。これらはすべて同じコンソールから実行できます。
クエリレス調査、エキスパートハンティング、そしてSQL検索と保存された検索機能を通じて直感的にインサイトにアクセスすることで、セキュリティチームはアラートにとどまらず、重要な質問に迅速に回答できます。IDCの「Vectra AIのビジネス価値」によると、 Vectra AIを使用している組織は、 Vectra Investigateは、セキュリティアラートの調査に費やす時間を50%削減し、意思決定の迅速化と効率化を実現しました。レスポンス。
顧客が頼りにしているのはVectra 調査対象:
- 管理されていないシャドーITツール(DeepSeekなど)や弱い暗号などのレガシーエクスポージャーなどの新たなリスクに対する継続的な可視性を維持します。
- NDRとEDRの両方の信号を相関させる完全なインシデント調査を実施し、警告だけでなく、その範囲と影響の全体を明らかにする
- 横方向の移動に対する脅威ハンティング、地域や役割をまたいだコンプライアンス検証、パフォーマンス異常に対するネットワーク トラブルシューティングを強化します。
- より迅速な意思決定、より深い理解、より効果的な結果につながる、影響力の大きい質問に答えます
SQL 検索と保存された検索により、より速く、より詳細な調査が可能になります
SQL Searchの一般提供開始に伴い、 Vectra AI Platform を活用することで、クラウド、アイデンティティ、ネットワーク環境全体のメタデータから深い洞察を引き出すことができます。データ流出の追跡、稀なログインの発見、あるいはステルス性の高いビーコン活動の発見など、SQL Search はアナリストに脅威のシグナルを柔軟に探る力を提供します。しかし、スピードとアクセス性も同様に重要であることも認識しています。そのため、あらかじめ構築されたクエリのライブラリを用意しました。保存済み検索(すぐに使える検索)は、 Vectra AIセキュリティアナリストが、ワンクリックで調査を加速します。このライブラリは、最新の脅威研究と攻撃者の手法に基づいて定期的に更新されるため、チームは新たな脅威に常に先手を打つことができます。
これがチームにとってなぜ重要なのか
- 高度な調査を簡素化:複雑な複数条件のクエリを実行して、攻撃者の微妙な行動を見つけます。
- 専門知識に即座にアクセス可能:保存された検索により、ジュニア アナリストもシニア アナリストも SQL を 1 行も書かずに詳細な調査を開始できます。
- 将来への準備: これはほんの始まりに過ぎません。自然言語検索と製品内脅威ハンティング ガイドがまもなく登場します。
以下は、「保存した検索」タブから今日から使える 6 つの実用的な検索例です。
1. ネットワーク: 安全でないHTTP経由のファイルのダウンロード
理由:攻撃者は多くの場合、HTTP を使用して内部でペイロードを配信します。
検出内容: HTTP 経由で潜在的に悪意のあるファイル タイプを取得するデバイス。
SELECT timestamp, orig_hostname, id.orig_h, id.resp_h, host, uri, user_agent,レスポンスFROM network.http WHERE method != 'HEAD' AND (uri LIKE '%.ps1' OR uri LIKE '%.exe' OR uri LIKE '%.bat' OR uri LIKE '%.msi' OR uri LIKE '%.vb' OR uri LIKE '%.vbs' OR uri LIKE '%.dll' OR uri LIKE '%.reg' OR uri LIKE '%.rgs' OR uri LIKE '%.bin' OR uri LIKE '%.cmd' OR uri LIKE '%.hta' ) AND timestamp BETWEEN date_add( 'day' , - 7 , now()) AND now() LIMIT 100 2. ネットワーク: 外部に最も多くのデータを送信するホスト
理由:データの抽出は必ずしも騒々しいとは限らず、量が重要です。
検出される結果:過去 7 日間の送信データが最も多いホスト。
SELECT orig_hostname, id.orig_h, sum(orig_ip_bytes) AS "bytes_sent" , resp_domain FROM network.isession WHERE local_resp = FALSE AND resp_domain NOT LIKE '%microsoft.com' AND resp_domain NOT LIKE '%office.com' AND timestamp BETWEEN date_add( 'day' , - 7 , now()) AND now() GROUP BY orig_hostname, id.orig_h, resp_domain HAVING sum(orig_ip_bytes) > 100000000
ORDER BY "bytes_sent" DESC LIMIT 100 3. ネットワーク:珍しい目的地へのビーコン
理由:標的型インプラントは、多くの場合、1 つのホストに固有のインフラストラクチャと通信します。
検出対象:単一のデバイスからのみ繰り返し通信が行われる宛先。
SELECT resp_domains, COUNT(DISTINCT id.orig_h) AS "unique_hosts" , SUM(session_count) AS "total_sessions" FROM network.beacon WHERE timestamp BETWEEN date_add( 'day' , - 7 , now()) AND now() GROUP BY resp_domains HAVING COUNT(DISTINCT id.orig_h) = 1 AND SUM(session_count) > 20
ORDER BY "total_sessions" DESC LIMIT 100 4. 「DeepSeek」を含むDNSクエリ
なぜ:検知 可能malware または、DeepSeek などの AI ベースのツールが環境で使用されている場合。
検出内容: 「deepseek」への参照を含む DNS クエリ。
SELECT * FROM network.dnsrecordinfo WHERE query LIKE '%deepseek%' 5. Entra ID: 珍しいサインイン場所
理由:異常なログイン パターンは、資格情報の侵害やアクセスの不正使用を警告する可能性があります。
検出される内容:ご使用の環境でほとんどまたはまったく見られない国からのサインイン。
location.country_or_region を次のように選択します "location" 、count(*) AS "signins"
FROM o365.signins._all WHERE timestamp BETWEEN date_add( 'day' , - 7 , now()) AND now() GROUP BY location.country_or_region ORDER BY "signins" ASC LIMIT 100 6. AWS: 不正なAPI呼び出しまたは失敗したAPI呼び出しが繰り返される
理由:ブルートフォース攻撃や誤って構成された自動化により、API の失敗の痕跡が残ることがよくあります。
検出される内容:完全なエラーコンテキストを含む、AWS API 呼び出しを繰り返し失敗しているエンティティ。
SELECT vectra.entity.resolved_identity.canonical_name、event_name、error_code、 COUNT(*) as "failureCount" 、 MIN(タイムスタンプ)として "firstSeen" 、 MAX(タイムスタンプ)として 「最後に見た」
aws.cloudtrail._all から COALESCE(error_code, '' ) != ''
GROUP BY vectra.entity.resolved_identity.canonical_name、event_name、error_code HAVING count(*) > 10
ORDER BY "failureCount" DESC LIMIT 100 今すぐ始めましょう
とVectra 調査することで、チームはより迅速に行動し、よりスマートに捜索し、より効果的に知識を共有し、疑わしい活動が見逃されないようにします。
これらの検索は、保存した検索ライブラリから今すぐ使用できます。 Vectra 詳細については、AI Platform にアクセスするか、このデモをご覧ください。
Vectra AIが「2025年ガートナーのNDRのマジック・クアドラン」に選ばれた理由について、製品担当副社長であるMark Wojtasiakの見解をお読みください。