トップレベルのSOC機能を構築する上での課題
最上位のセキュリティ運用機能を構築するのは困難であり、継続的な微調整が必要です。 昨日まで機能していたプロセスと対応ランブックが、今日は不必要な摩擦やインシデント対応 (IR) の遅延を引き起こす可能性があります。 アタックサーフェスは日々変化するため、水面上に留まっているだけでも大変なことになるかもしれません。 ほとんどの場合、時間をかけて積極的に運用と検知を微調整することは、「やるべきこと」の長いリストの中の 1 つの優先事項に過ぎず、通常、警戒を伴う消火活動には後回しになります。
SOC チームは回復力があり、これらすべてのハードルや無数のアラートに直面しても、自らの機能を向上させ、優れたセキュリティ運用を推進する責任を負っています。 チームが差し迫った脅威に迅速に対応し、プロアクティブな基盤を構築できるよう、Vectra AI は最近リリースされた製品機能の一部を紹介します。
Vectra AIプラットフォーム製品の強化
干し草の山の中に隠された針を見つけることに重点を置いた脅威検知に多面的なアプローチを採用することで、最新の検知バッチは、高い有効性とコンテキストで可視性の死角と攻撃者の脅威を表面化するのに役立ちます。 いくつかの例を以下に示します。詳細については、リリース ノート (8.1 および 8.2)を参照してください。
- Entra ID/Azure AD 永続化を追加する攻撃者の新しい検知範囲: ID 侵害後の攻撃者の振る舞いがデバイスの登録または異常な場所からの認証を試みた場合にアナリストに警告します。これは、不審なサインオンイベントとともに、アナリストレビューのために迅速に優先順位が付けられます。
- AWSでの権限昇格技術のカバレッジの強化:これには、ポリシーだけでなく、EC2 インスタンスなどのネイティブ AWS サービスを通じて権限を昇格するために使用される攻撃者の戦術を組み込んだ新しいロジックが含まれます。これらの機能強化により、 CloudGoat などの攻撃ツールで一般的に使用される検知方法が可能になります。
Vectra AI Active Directory (AD) の自動ロックダウン
896 / 5,000 翻訳結果 翻訳の結果 既存の運用手順やプレイブックに対応機能を自動的に組み込む機能により、アナリストと対応者は脅威にできるだけ早く対応できます。Active Directory (AD) の自動ロックダウンを使用すると、チームはアラートの緊急度スコアとエンティティの重要度に基づいてアカウントをプロアクティブにロックダウンできるようになります。 この二重構成アプローチにより、エンティティが事前定義されたしきい値を超えると、アカウントは自動的にロックダウン状態になります (ユーザーが構成した設定期間中)。 このロックダウン期間により、対応者は徹底的に調査を実施し、適切に対応する時間が与えられます。 カスタマイズ オプションには、構成可能な緊急度スコアとエンティティ重要度のしきい値、およびロックダウン期間が含まれます。 このユーザー定義の自動化により、チームは攻撃者が侵入する機会を大幅に減らすことができます。
Respond UXにおけるユーザー管理の最適化
Vectra AI Platformのシステム管理者は、システムに設定されたユーザーと割り当てられたロールを簡単に確認、アクセスできるようになり、ユーザーのプロビジョニングとシステム・アクセスの監査が、すべて同じUIで正確に行えるようになりました。これらの機能には以下が含まれます。
- ユーザー管理:新規ユーザーの追加、ユーザーのロールアクセスの管理、ユーザーの削除、ユーザー名と関連付けられたロールのリスト、最新のログインのタイムスタンプを確認できます。
- ロールの管理:ロールの名前の変更、権限の追加と削除、各ロールに関連付けられているユーザーの数を確認します。
これだけではありません!
Vectra AI は、RUX v3 API を介してユーザーをプログラムで一覧表示、作成、変更、削除する機能を間もなくリリースします。 これは、多数の新規ユーザーのリストをオンボーディングし、人員配置の変更に適応し、新しい展開を迅速に運用する上で極めて重要です。 新しい v3.4 API ガイド、パブリック Postman ライブラリ、および新しいエンドポイントの詳細に関する最新情報をお待ちください。
これらの機能は、お客様の優れたセキュリティ運用をサポートする機能を継続的に提供するという当社チームの取り組みの概要です。リリースノートをご覧になり、製品を改善する方法についてのアイデアをお寄せいただくことをお勧めします。
実際に体験されたい方は、Vectra AI プラットフォーム、デモにサインアップして、実際の攻撃を数分で阻止する方法をご覧ください。