2019年3月18日に発行されたガートナーの調査レポート「Applying Network-Centric Approaches for Threat Detection and Response 」(ID:G00373460)では、Augusto Barros、Anton Chuvakin、Anna Belakの3人が、セキュリティ・オペレーション・センター(SOC_ Visibility Triad)のコンセプトを紹介している。
同調査は、具体的に「視認性の核の三重奏」を示す以下の図を示している:
1.セキュリティイベント情報管理 (SIEM) /ユーザーエンティティ行動分析 (UEBA)
セキュリティイベント情報管理 (SIEM) /ユーザー・エンティティ行動分析 (UEBA) は、ITインフラ、アプリケーション、その他のセキュリティツールによって生成されたログを収集・分析する機能を提供します。
2.エンドポイントの検知とレスポンス (EDR)
エンドポイントの検知とレスポンス (EDR) は、エンドポイントからの実行、ローカル接続、システム変更、メモリ・アクティビティ、その他の操作をキャプチャする機能を提供する。
3.ネットワーク中心の検知とレスポンス (NDR、NTA、NFT、IDPS)
ネットワーク中心の検知とレスポンス (NDR、NTA、NFT、IDPS)は、この研究でカバーされているように、ネットワーク・トラフィックのキャプチャおよび/または分析に焦点を当てたツールによって提供される。"
SOCの三位一体は、攻撃者が目的を達成するのに十分な時間、ネットワーク上で活動する可能性を大幅に減らすことを目指す。研究の中で著者は、「EDRは、エンドポイント上の悪意のある活動を詳細に追跡することができる。しかし、攻撃者はEDRからツールを隠すことができるかもしれない。しかし、攻撃者の活動は、ネットワークを通じて他のシステムと相互作用した時点で、ネットワーク・ツールによって可視化される。
ログは、より高いレイヤーに必要な可視性を提供することができる。例えば、ユーザーがアプリケーション層で何をしているかを可視化することができる。EDRとログは、暗号化されたネットワーク接続に関連する問題を軽減することもできます。
セキュリティ・オペレーション・チームは、レスポンス やスレット・ハンティングの活動中に、Vectra とよく似た質問をしている:このアセットやアカウントは、アラートの前に何をしていたのか?この資産やアカウントはアラートの前に何をしていたか?事態が悪化し始めたのはいつか?
脅威の履歴は一般的に、ネットワーク検知とレスポンス (NDR)、EDR、SIEMの3つの場所で利用できる。EDR は、ホスト上で実行されているプロセスとその間の相互作用の詳細な地上レベルのビューを提供します。NDRは、EDRが実行されているかどうかに関係なく、ネットワーク上のすべてのデバイス間の相互作用の空中ビューを提供します。
セキュリティチームは、他のシステムからイベントログ情報を収集するためにSIEMを構成します。NDR、EDR、SIEMの三位一体を導入したセキュリティチームは、インシデントへの対応や脅威の探索の際に、より幅広い質問に答えることができるようになります。例えば、以下のようなことが可能になります:
- 危険にさらされた可能性のあるアセットと通信した後、別のアセットが奇妙な行動を取り始めたか?
- どのようなサービスとプロトコルを使用しましたか?
- 他にどのような資産や口座が関係している可能性があるか?
- 他のアセットが同じ外部コマンド&コントロールIPアドレスにコンタクトしていないか?
- そのユーザーアカウントは、他のデバイスで予期せぬ方法で使用されていませんか?
NDRとEDRはこの点に関する視点を提供することができるが、NDRはEDRではできない視点を提供するため、より重要である。例えば、デバイスのBIOSレベルで動作するエクスプロイトは、EDRを欺くことができる。このようなエクスプロイトの例としては、ハッキンググループShadow Brokersが Equation Groupから盗んだとされるエクスプロイトがあります。EDRは、ホストが通信したデバイスのリストを要求されると、デバイスB、C、Eを報告することがある。
Vectra 、CrowdStrike、Carbon Black、Splunkなど、業界をリードするテクノロジーパートナーと重要な統合機能を持つ理由も、最新のセキュリティ・オペレーション・センターに対するこのアプローチにある。
詳細については、 Vectra までお問い合わせください。また、ガートナー社のリサーチ・ノートの著者であるバロス、チュヴァキン、ベラックに、インフラ全体の可視化についてご相談いただくことも可能です。
SOC Visibility Triadの詳細については、ソリューション概要「究極のSOC可視化」をご覧ください。