最近のブログで、認知的負荷理論がサイバーセキュリティにどのように適用されるかについて議論しました。その議論から得た重要なポイントは、Vectra AIは認知的負荷を最小化し、情報処理を最適化するために、ユーザーインターフェースとワークフローを設計することを目指しているということです。Vectra AIプラットフォームで実施してきた例は、HuntページやRespondモジュールで見ることができます。
そしてこの度、Cognitive Load Theory(認知的負荷理論)に言及するだけでなく、現代のセキュリティアナリストのために攻撃や脅威の調査を最適化、合理化、高速化するVectra AIプラットフォームの新機能を発表しました。VectraのAttack Graphs は、現代のネットワークを保護するために不可欠な要素であり、現代の攻撃の複雑さに対するVectra AIの回答です。
Attack Graphsの紹介
Vectra AIのAttack Graphsは、Vectra AIプラットフォームの機能で、優先順位付けされたエンティティまたは現代のネットワーク全体にまたがるエンティティに関連する検知を、タイムラインにマッピングして可視化します。
VectraAttack Graphsは、複数のアタックサーフェス(つまり複数のエンティティ)にまたがる悪意のある活動を示す疑わしい振る舞いを取り上げ、最新の攻撃の全体像を伝える可視化に集中させます。これにより、アナリストは脅威を調査するための基本的な質問に答えることができます。
- この攻撃はどこから来たのか?
- この影響は?
- イベントの順序は?
VectraのAttack Graphsは、Vectra AIネットワーク、クラウド、アイデンティティテクノロジーが収集した検知と情報をツリーまたはハブビューに集約することで、これら3つの疑問に答えます。ドメイン、アカウント、サーバー、ホスト、アイテムを表す各ノードを結ぶ線は、現代の攻撃者がどのように現代のネットワークの各部分を利用し、現代のネットワークの奥深くで巧妙に不審な活動を行うかを描き出します。
Vectra AIプラットフォームは、ツリービュー、タイムラインビュー、そして当社が「アタックグラフ」と呼ぶネットワークのようなビューの3種類の可視化を提供します。これらのビューにより、分析者のワークフローにシームレスに組み込むことができます。
Attack Graphsを使えば、次のことが可能になります。
- 攻撃の幅とAIの優先順位付けへの影響を評価する。
- ネットワーク、ID、クラウドにまたがる攻撃の進行を可視化。
- より迅速なレスポンスために、脅威を元の俳優にさかのぼる。
- 優先順位付けされた脅威に関するすべての重要な情報を、1枚のシンプルなパネルにあつめる。
現代の脅威を迅速かつ効果的に調査し、対応するためには、認知負荷を最適化したタイムリーな方法で上記の情報を収集することが不可欠である。
VectraのAttack Graphsで調査を加速。マルチドメイン攻撃
この例では、"marketing-collab "サーバーに優先順位付けされた各アラートがアタックグラフのツリービュー上に可視化されています。Vectra緊急度スコアリングに従って、優先順位が「高」にランク付けされた「赤」のアイテムに自動的に焦点を当てます。
まず最初に問うべきは、「攻撃者はどこから来たのか?」です。今回のケースでは、優先対象エンティティは「minutemen.vault-tech.org」という外部ドメインから隠されたHPSトンネルを介して攻撃を受けています。これにより、これが最初の感染源、あるいは攻撃の発信源である可能性があることがすぐに分かります。
次に尋ねたいのは、「他に何が起こったのか?」という疑問です。それを調べるために、ツリービューの枝をたどり、攻撃の詳細を詳しく調査します。攻撃者がRPC偵察、Kerberoastingによる標的型脆弱暗号、ドメインコントローラー「10.232.100.32」への疑わしいLDAPクエリ、そして疑わしいリモート実行を実行したことがわかります。このリモート実行は、別のアカウント「jump-station5」へのラテラルムーブメントを試みており、Vectra Urgency Scoreで「中」と優先度付けされています。
調査の次のステップは、検知結果を別の角度から見ることです。「アタックグラフビュー」を選択すると、攻撃のより現代的なネットワークビューを取得できます。
このビューにより、特にアイテムを移動したり、複数のアイテムが互いにターゲットになっていることを確認したりできるため、より明確になります。
ここでは、RPC ReconやLDAPクエリなど、ドメインコントローラーまたは「jump-station5」アカウントを標的とした複数の検出があることがわかります。調査の次の段階は、攻撃の進行を時系列で把握することです。「どのような順序でイベントが発生したのか?」「この攻撃はどのように展開したのか?」という疑問に答えたいのです。攻撃グラフの再生ボタンを押すだけで、これらの疑問にすぐに答えることができます。グラフには、各検知がいつどこで発生したか、そして攻撃が環境内でどのくらいの速さで進行したかが明確に表示されます。
VectraのAttack Graphsは、徹底的な調査のための重要な情報を1つのシンプルなビューで表示し、環境で何が起きているかを正確に描写することでセキュリティアナリストのプロセスを合理化し、アラートの調査に費やす時間を50%削減します。(出典:2025 IDC Business Value ofVectra AI Report)。この例では、数分以内に攻撃の広がりを完全に理解し、脅威の優先順位付けへの影響を即座に理解することができました。VectraのAttack Graphsは、アナリストがどのようなレスポンス 実行する必要があるかを明確にします。
VectraのAttack Graphsの詳細については、ポッドキャストをご覧ください。
また、VectraのAttack Graphs を実際にご覧になりたい方は、デモをご予約ください。