最近のブログ記事で、「認知負荷理論(Cognitive Load Theory)」がサイバーセキュリティにどのように適用されるかについて議論しました。この議論からの主要なポイントは、Vectra AI がユーザーインターフェースとワークフローを設計する際、認知負荷を最小限に抑え、情報処理を最適化することを目指しているということです。Vectra AIプラットフォーム上でそれがどのように実現されているかは、Hunt ページや Respond モジュールで確認できます。
そして今回、Vectra AIプラットフォームに新たにリリースされた機能は、認知負荷理論に基づくだけでなく、現代のセキュリティアナリストにとって攻撃や脅威の調査を最適化し、効率化し、迅速化します。Vectra の「Attack Graph」は、現代のネットワークを保護するうえで不可欠な要素であり、複雑化する現代の攻撃に対する Vectra AI の解答です。
Attack Graphsの紹介
Vectra AI の Attack Graph は、Vectra AIプラットフォームにおける機能の一つであり、優先度の高いエンティティまたは複数のエンティティに関連する検知を、モダンネットワーク全体にわたりタイムライン形式で可視化するものです。
Vectra の Attack Graph は、複数のアタックサーフェス(すなわち複数のエンティティ)にわたる悪意ある活動を示す疑わしい行動をまとめ上げ、最新の攻撃の全体像を示すビジュアライゼーションへと集約します。これにより、アナリストは以下のような脅威調査における根本的な問いに答えることができます。
- この攻撃はどこから来たのか?
- この影響は?
- イベントの順序は?
Vectra の Attack Graph は、Vectra AI のネットワーク、クラウド、アイデンティティ技術によって収集された検知および情報を、ツリーまたはハブ形式に統合することで、これら3つの問いに答えます。各ノード(ドメイン、アカウント、サーバー、ホスト、その他のアイテムを表す)をつなぐ線は、現代の攻撃者がどのようにモダンネットワーク内の各構成要素を用いて、不審な活動を巧妙に、そして深層で行うかを示します。
Vectra AI プラットフォームは、ツリービュー、タイムラインビュー、そして「攻撃グラフ」と呼ばれるネットワークビューの3種類の可視化形式を提供します。これらのビューにより、可視化されたデータの分析があらゆるアナリストのワークフローにシームレスに適合します。
Attack Graphsを使えば、次のことが可能になります。
- 攻撃の幅とAIの優先順位付けへの影響を評価する。
- ネットワーク、ID、クラウドにまたがる攻撃の進行を可視化。
- より迅速なレスポンスために、脅威を元の俳優にさかのぼる。
- 優先順位付けされた脅威に関するすべての重要な情報を、一つのパネルに集約する。
こうした情報を、認知負荷を最小限に抑えた上でタイムリーに収集することは、現代型脅威に迅速かつ効果的に対応・調査する上で不可欠です。
VectraのAttack Graphsで調査を加速。マルチドメイン攻撃
この例では、「marketing-collab」サーバー上で、優先度の高いアラートがツリービューで可視化されています。Vectra の緊急度スコアに基づき「赤」で表示されたアイテムに自動的にフォーカスしています。
最初の問いは「どこから来たのか?」です。この場合、優先エンティティが “minutemen.vault-tech.org” という外部ドメインを使った隠された HPS トンネルによって標的にされています。これにより、これが「感染源」、すなわち最初の攻撃元である可能性が示唆されます。
次に尋ねたいのは、「他に何が起こったのか?」という疑問です。それを調べるために、ツリービューの枝をたどり、攻撃の詳細を詳しく調査します。攻撃者がRPC偵察、Kerberoastingによる標的型脆弱暗号、ドメインコントローラー「10.232.100.32」への疑わしいLDAPクエリ、そして疑わしいリモート実行を実行したことがわかります。このリモート実行は、別のアカウント「jump-station5」へのラテラルムーブを試みており、Vectra Urgency Scoreで「中」と優先度付けされています。
次に行うのは、別の視点から検知情報を確認することです。「Attack Graph ビュー」に切り替えることで、より現代ネットワークに近い視点で攻撃を可視化できます。
このビューでは、アイテムを自由に動かして、複数の対象がどのように互いに影響し合っているかを明確に把握することができます。
ここでは、RPC ReconやLDAPクエリなど、ドメインコントローラーまたは「jump-station5」アカウントを標的とした複数の検出があることがわかります。調査の次の段階は、攻撃の進行を時系列で把握することです。「どのような順序でイベントが発生したのか?」「この攻撃はどのように展開したのか?」という疑問に答えたいのですが、攻撃グラフの再生ボタンを押すだけですぐに答えが見つかります。グラフには、各検出がいつどこで発生したか、そして攻撃が環境内でどのくらいの速さで進行したかが明確に表示されます。
Vectra の Attack Graph は、1 つのシンプルなビューにおいて徹底的な調査に必要な重要情報を提示し、セキュリティアナリストが「環境内で何が起きたのか」を正確に把握できるよう支援します。これにより、アラート調査にかかる時間を 50% 削減できます(出典:2025 IDC Business Value of Vectra AI Report)。この例では、攻撃の全体像を数分以内に完全に把握し、脅威の優先順位への影響を即座に理解することができました。Vectra の Attack Graph は、アナリストがどのような対応を取るべきかを明確にする手助けをします。
VectraのAttack Graphsの詳細については、ポッドキャストをご覧ください。
また、VectraのAttack Graphs を実際にご覧になりたい方は、デモをご予約ください。