データはどこにでもありますが、何を保存して使用するのでしょうか? ほぼ完全なデータの時代では、セキュリティ オペレーション センター (SOC) チームとアナリストは膨大な量に圧倒される可能性があります。 それは、データの取り込みとストレージのコストが発生する前です。 このブログでは、ネットワーク メタデータの価値と、このレベルの可視性が他では得られない理由を探っていきます。
ネットワーク・メタデータの定義
ネットワークメタデータは、ネットワーク内で発生するすべての通信の包括的な記録であり、これらの相互作用に関する重要な詳細をキャプチャします。メタデータは、ネットワーク通信の「何を」「いつ」「どこで」「誰が」を具体的に記録し、ネットワーク活動の全体像を提供します。このメタデータは、ネットワーク・キャプチャ(pcaps)とは異なり、接続とペイロードの両方の情報をキャプチャする完全忠実なデータ・ストリームです。pcapsは詳細な説明を提供しますが、サイズが大きいため、煩雑で広範囲に使用するには実用的でなく、多くの場合、高度にターゲット化されたシナリオに制限されます。
対照的に、ネットワーク・メタデータは、pcapsと同レベルの可視性を提供する一方で、著しくスケーラブルである。このスケーラビリティは、特定のエリアやインスタンスに限定して監視するのではなく、ネットワーク全体の監視を容易にするため、非常に重要です。データ・パケットの実際のコンテンツを保存することなく、主要な通信の詳細に焦点を当てることで、ネットワーク・メタデータは効率的な分析とリアルタイムのモニタリングを可能にします。これにより、ネットワーク・メタデータはサイバーセキュリティにおいて非常に貴重なツールとなり、企業はネットワーク・リソースを効率的に管理しながら、検知 、ネットワークの挙動を追跡し、潜在的な脅威に迅速に対応することができます。
ネットワーク・メタデータの利点
ネットワーク・セキュリティにおけるファイアウォール・アプローチへの挑戦
ネットワーク・セキュリティはファイアウォールのログで十分だという通説は誤解である。ファイアウォールは重要ではあるが、主に境界防御メカニズムとして機能する。その範囲は、ファイアウォールを直接通過するトラフィックの監視に限定される。このアプローチには大きな盲点があります。トラフィックがファイアウォールを越えてしまうと、可視性が失われてしまうのです。さらに、ファイアウォールは、包括的なネットワーク・セキュリティの重要な側面である内部ネットワーク・トラフィックを監視する機能を備えていない。
ネットワーク全体のメタデータを統合してモニタリングを強化
こうした制限に対処するため、ネットワーク全体のメタデータ・ソリューションがますます重要になっている。これらのソリューションは、ネットワーク TAP(テスト・アクセス・ポイント)または SPAN(スイッチド・ポート・アナライザー)を利用して、ネットワーク内のトラフィックをキャプチャし、分析します。この方法により、ネットワーク・アクティビティをより詳細に観察し、外部ソースからのトラフィックだけでなく、アウトバウンド、インバウンド、またはラテラル(ネットワーク内)トラフィックにかかわらず、内部ネットワーク内でのトラフィックの動きを追跡することができます。
メタデータ・ソリューションによる包括的なネットワーク可視化の実現
この包括的なアプローチにより、発信元を問わず、すべてのトラフィックがネットワークを通過する際に可視化されます。そうすることで、ネットワーク・メタデータ・ソリューションは、ファイアウォールだけでは達成できないレベルの可視性を提供します。従来の境界防御を迂回するような高度なサイバー脅威を検知するために不可欠な、ネットワーク・アクティビティのより微妙で完全な全体像を提供します。ネットワーク全体のメタデータにより、企業はサイバーセキュリティのポスチャを強化する強力なツールを得ることができ、潜在的なセキュリティ・インシデントをより効果的に特定して対応し、堅牢なネットワークの健全性を維持することができます。
エンドポイント検出を超える:ネットワークメタデータの役割
Endpoint Detection and Response (EDR) システムとイベント・ログは、サイバーセキュリティの武器として非常に貴重なツールですが、内部ネットワーク・トラフィックを完全に可視化するには不十分です。EDR システムは、管理対象デバイスの脅威を監視して対応することに長けており、イベント・ログはシステム・アクティビティに関する洞察に満ちたデータを提供します。しかし、この範囲は、アクティブに管理され、EDRシステムに統合されているデバイスに限定されています。このため、ネットワークの可視性には大きなギャップが残ります。
管理されていないデバイス見過ごされてきたネットワーク侵入の入り口
モノのインターネット(IoT)ガジェット、ネットワークプリンター、IPカメラ、さらには接続されたサーモスタットなど、管理されていないデバイスは、EDRシステムやイベントロギングの範囲外で動作することが多い。これらのデバイスは見過ごされがちですが、ネットワーク侵入の媒介となることがよくあります。攻撃者は、これらの監視されていない、保護されていないデバイスを悪用して、ネットワークへの持続的なアクセスを獲得し、重要なシステムやデータを侵害するために横方向に移動することができます。
リアクティブ・セキュリティを超える:包括的なネットワーク監視の必要性
EDRと管理対象デバイスからのイベント・ログだけに依存すると、モグラたたきゲームに似た反応的なセキュリティポスチャになります。セキュリティ・チームは、脅威を特定し、無力化するための絶え間ない戦いに身を置くことになりますが、多くの場合、攻撃者の侵入経路やネットワーク内の動きを明確に理解することはできません。このような状況は、ネットワーク監視に対するより総合的なアプローチ、つまり管理されていないデバイスの監視を含み、ネットワーク全体をより広く統合的に把握するアプローチの必要性を強調している。このようなアプローチにより、ネットワーク内のすべての潜在的な侵入口や経路が監視下に置かれ、よりプロアクティブで効果的なセキュリティ対策が可能になります。
Vectra AI:ネットワーク・メタデータによるセキュリティ強化
すべてのデバイスを包括的に監視
Vectra 当社のネットワーク・メタデータは、フルネットワークの振る舞い検出を補完し、攻撃者を根絶するための完全な調査と決定的な行動を可能にします。
Zeekフォーマットのメタデータとのシームレスな統合
Vectra AIネットワークメタデータはZeekフォーマット(別名Bro)なので、既存のZeekワークロードを素早く簡単に移行できます。また、Vectra AIネットワークメタデータでゼロから始めることも、大規模なZeekコミュニティによって作成されたコンテンツを簡単に活用できるため、迅速かつ簡単です。
Vectra AIのネットワーク・メタデータにおけるAIとMLの強化
Vectra AIは、ホストなどの概念を追加することで、ネットワークのメタデータを大幅に強化しました。また、データをよりよく理解し、文脈化するために、AIやMLのエンリッチメントも取り入れています。Vectra 、世界トップクラスのセキュリティ研究者やデータサイエンスチームとともに、これらの機能強化に継続的に投資しています。
高度なネットワーク・メタデータ管理
Vectra Streamはデータパイプライン製品で、このデータをSIEM、データレイク、クラウドストレージに保存することができる。Vectra Recallは、データの可用性と操作性を保証し、データから付加価値を引き出すホスト型データプラットフォームです。Recall および/またはStream を活用することで、調査、ハント、分析、およびコンプライアンスと監査のシナリオを満たすことができます。
AIで強化されたネットワーク・メタデータによるプロアクティブ・サイバーセキュリティ
Vectra AIとMLによって強化された非常に強力なネットワークメタデータは、以下を可能にする:
- 攻撃者がネットワーク内を移動するのを追跡し、詳細かつ徹底的な調査を行う。
- 自分の経験やドメイン固有の知識を使って、ネットワーク内の攻撃者を探し出す。
- アタックサーフェスを監視し、非推奨プロトコル、脆弱な暗号、既知の不正な構成を検知することで、コンプライアンス要件を維持します。
- 監査やコンプライアンスの証拠となるよう、データ記録を保管する。
- 有効期限が間近に迫っている使用中の証明書を監視することで、お客様のビジネスがオンライン状態を維持できるようにします。
さらに、Vectra Recall :
- Vectra 、豊富なコンテンツを活用して、ネットワークのメタデータから気になるものを自動検知します。
- Vectra- ネットワークメタデータからインコンテキストの洞察をキュレーションし、あらゆるセキュリティ調査においてより迅速で優れた結果を得ることで、調査を加速します。
Vectraの高度なネットワーク・メタデータ・ソリューションでサイバーセキュリティ戦略を強化する準備はできましたか?デモビデオで 詳細をご覧いただき、比類のないネットワークの可視化と保護への第一歩を踏み出してください。