マイクロソフト環境をアイデンティティベースの攻撃から守る。
アイデンティティ・エクスポージャー・ギャップ分析を今すぐご予約ください。
事件レスポンス

スポット、ストップ、ロックVectra

2021年3月30日
ニール・エリティ
MXDRセキュリティ・アナリスト
スポット、ストップ、ロックVectra

今回はロックダウン・シリーズの第2回で、セキュリティイベントを効果的に封じ込めるために使用できる方法と、Vectra 。第 第1回をご覧ください。なぜ侵害の検知と修復にはスピードと正確さが重要なのかについて説明しています。 

ニード・フォー・スピード 

Vectra のロックダウンに関する前回の記事で述べたように、封じ込めを成功させるにはスピードが重要な要素となる。別のプラットフォームにピボットして、適用したいホスト、アカウント、ポリシーを探すことを余儀なくされると、攻撃が行われているときにはない貴重な時間を失うことになります。  

このパートでは、Vectra を使用して、セキュリティチームがVectra プラットフォームから直接イベントを自動的に封じ込め、アナリストが単一のペインから封じ込め設定を簡単に確認および管理できる方法について詳しく説明します。また、例として、当社の豊富なネイティブ・パートナー・エコシステムから2つの統合パートナーを使ってこれを実現する方法を紹介します:Microsoftと Amazon Web Services (AWS)です。 

ディフェンダーのロックダウン 

Vectra は、一般的なエンドポイント検知および対応(EDR)ソリューションである Microsoft Defender for Endpoint と密接に統合しています。この統合により、Defender for Endpoint の「デバイスの分離」機能を活用することができます。これによりアナリストは、Vectra からピボットすることなく、Defender の完全な分離機能を利用することができます。  

Vectra Lockdown for Endpoint では、アナリストはホストを手動または自動で隔離することができ、Account Lockdown について説明した前回のブログと同様に、Lockdown for Hosts にも細かなオプションがあります。1つ目は、ロックダウンの期間を評価することで、1時間から24時間の間で設定できます。また、ホストの最小の脅威スコアと確実性スコア、およびホストの最小の観測特権を選択することもできます。これらの閾値が設定されると、Vectra 、観測された挙動が基準に一致する場合、自動的にホストが封じ込められる。 

AWSのロックダウン 

顧客によっては、Cognito Platformの機能セットを拡張して、クラウドワークロードをカバーする必要があります。ありがたいことに、当社の豊富なAPIにより、迅速かつ簡単に統合することができます。私たちのGithubで、AWSとの統合のそのような例を見つけることができます。  

READMEに書かれていることを繰り返すことなく、AWSセキュリティハブを活用して、CloudWatchがAWS Lambda関数を起動することでアクションを起こすイベントを作成することができる。このフローは完全に自動化されており、手動によるオペレーターの介入は必要ない。この統合は当社のネイティブAPIを使用しているので、ホスト上の特定のタグを検索し、セキュリティオーケストレーション自動化およびレスポンス (SOAR)のようなミドルウェアコンポーネントによってアクションを実行できるように簡単に変換することもできる。  

ここで重要なのは、すでにプラットフォームに組み込まれているものに限定されないということであり、多くの成功したカスタム統合がすでに存在しているということだ。 

迷ったら、その場所を調べる 

Vectra Cognitoプラットフォームは強力かつ柔軟であるため、組織のニーズに応じて封じ込めアーキテクチャを構成することができます。Vectra を実践する際には、以下のチェックリストが導入時の検討に役立ちます: 

  1. どのようなセキュリティインシデントを防ぎたいのか?アクティブな攻撃者?ランサムウェア?データ流出? 
  2. 絶対に入れたくないホストは?アクティブ・ディレクトリ?メールサーバー?プロダクションサーバー? 
  3. エンドポイントソリューションは封じ込めをサポートしていますか?サポートしている場合、どのオペレーティングシステム(OS)のバージョンをサポートしていますか? 
  4. エージェントのないホストはどのように扱いますか? 
  5. 口座封じ込めを含めるか?もしそうなら、どのような勘定科目が対象で、どのような勘定科目が対象外なのか? 
  6. 封じ込めを承認する最終的な権限は誰にあるのか?利害関係者に知らせるべきか? 

これらの質問に答えることで、何が封じ込めの対象で、何が対象外なのかを、組織として明確に把握することができる。標準が確立されれば、フローチャートを作成し、アナリストが取るべきステップを示すことができる。  

Cognitoプラットフォームの機能を最大限に活用するために、Vectra のプロフェッショナルサービスチームがお手伝いします。Sidekick Servicesは、当社の専門家がお客様のチームと共に、お客様独自のプレイブックに従ってロックダウン機能を開発し、統合するサービスです。 

組織では、完全な調査が完了する前に修復に着手するのが一般的です。ロックダウンを使用すれば、時間を稼ぎ、証拠を保全し、インシデントの範囲を広げてから対策を講じることができます。  

しかし、封じ込めは有用ではあるが、短期的な解決策であり、強固で健全なセキュリティ運用の適切な代替策ではないことを忘れないでほしい。ホストのロックダウンとアカウントのロックダウンは、恒久的なソリューションとして設計されたものではなく、調査が進行している間に利用する一時的なソリューションです。 

Vectra Cognitoの詳細については、お気軽にお問い合わせいただくか、デモをご予約ください。