Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
ネットワークトラフィック分析とは、NDRプラットフォームがハイブリッドな企業ネットワーク全体のトラフィックを収集、処理、分析し、攻撃者の行動をリアルタイムで検知する仕組みを指します。 効果的なネットワークトラフィック分析には、オンプレミス、クラウド、およびリモート環境からトラフィックをどのように収集するか、それをセキュリティに関連するメタデータにどのように変換するか、復号化を必要とせずに暗号化されたセッションをどのように解析するか、ネットワークプロトコルからどのように識別情報を導出するか、そして分析コンポーネントをどのように展開・拡張するかが含まれます。このページでは、NDRの評価や導入を検討しているセキュリティチーム向けに、各レイヤーについて解説します。
NDRにおけるネットワークトラフィック分析は、トラフィックのキャプチャ、振る舞い 、および対応統合という、相互に依存する3つの層で構成されています。ネットワークセグメント全体に展開されたセンサーが生のトラフィックをキャプチャし、メタデータを処理コンポーネント(一般に「Brainアプライアンス」と呼ばれる)に転送します。このコンポーネントは、振る舞い を用いてそのメタデータを分析します。検知結果は管理インターフェースに表示され、SIEMやSOARなどの下流システムに送信されます。
エンドポイント中心のツールとは異なり、NDRはネットワークレベルで動作します。つまり、セキュリティエージェントがインストールされているかどうかにかかわらず、管理対象、非管理対象、クラウドホスト型、IoT/OTを問わず、環境全体で通信を行うすべてのデバイスを把握します。これにより、セキュリティチームは、 エンドポイントツールでは観測できない横方向の移動、イースト・ウエスト・トラフィック、 およびIDベースのアクティビティを可視化できます。
このアーキテクチャは、トラフィックの収集ポイントにおいてエージェントレスとなるよう設計されています。センサーは、SPANポート、TAP、またはクラウドネイティブのミラーリングを通じてネットワークトラフィックのコピーを受信するため、インライン配置やトラフィックの傍受を必要としません。これにより、導入の複雑さが最小限に抑えられ、本番環境のトラフィックフローに遅延が生じるのを防ぐことができます。
ネットワークトラフィックの監視は、主に2つのトラフィックの方向を対象としており、それぞれが異なる種類の攻撃者の行動を明らかにします。ノース・サウス・トラフィックは内部システムと外部の宛先の間を移動するもので、ここでコマンド&コントロール通信、データの持ち出し、ボットネットの活動が確認されます。イースト・ウエスト・トラフィックは内部システム間で横方向に移動するもので、攻撃者がすでに足場を築いた後に、偵察、権限昇格、および横方向の移動が展開されるのがここです。
ほとんどの境界セキュリティツールは、ネットワークエッジにおける南北方向のトラフィックに重点を置いています。そのため、東西方向の可視性はほとんどカバーされていません。攻撃者が有効な認証情報を使用してサーバー、ワークロード、またはIDシステム間を移動する場合、その活動は東西方向に流れるため、入出力トラフィックのみを検査するツールではアラートがトリガーされません。
NDRは、境界線だけでなく、内部ネットワークセグメント、データセンター内、クラウド環境全体、およびキャンパス間の拠点間におけるトラフィックを捕捉することで、この監視の死角を解消します。これにより、攻撃が標的に到達する前に、横方向の移動が発生したその瞬間に、振る舞い 把握することが可能になります。 エンドポイント以外の監視の死角を攻撃者がどのように悪用しているかをより深く分析する上で、こうした死角から生じる攻撃経路こそが、ネットワークレベルの分析が最も差別化された価値を提供する領域です。
以下の表は、各通信方向と、それによって明らかになる攻撃の挙動を対応付けしたものです。セキュリティチームは、機密システムが稼働するすべてのネットワークセグメントにおける双方向の通信フローをカバーするように、センサーの配置を確実に行う必要があります。
効果的なネットワークトラフィック分析では、セキュリティ上の価値を持たないノイズとなる大容量のトラフィックを除外しつつ、振る舞い 、認証イベント、サービス間通信、およびセッションレベルのアクティビティを明らかにするプロトコルを捕捉します。プロトコルの選択は、検知精度とアプライアンスのパフォーマンスに直接影響します。
以下の表は、Vectra NDRの導入仕様から直接導き出された運用ガイドラインを示しています。これらを総合的にご確認ください。収集対象は検知範囲を決定し、除外対象はモデルの精度とアプライアンスの効率を決定し、HostIDの精度を高める要素は、プラットフォームがアクティビティを特定のホスト名やIDにどの程度確実に紐付けるかを決定します。
左の列には、振る舞い (認証、サービス呼び出し、セッションデータなど)を伝送するプロトコルが記載されています。右の列には、検知精度を向上させることなく帯域幅を消費するトラフィックのカテゴリが記載されています。除外対象外のトラフィックをキャプチャすると、アプライアンスの負荷が増大し、AIモデルの精度を低下させるノイズが発生します。
ホスト識別精度は、デバイスやIDの命名信号を伝送するプロトコルを監視するプラットフォームに依存します。以下の入力(プロトコルベースおよび統合ベースの両方)により、IPアドレスが変更された場合でも、プラットフォームがネットワークアクティビティを特定の命名済みホストやIDに確実に紐付ける精度が向上します。
Vectra NDR Sensorsは、以下のネットワークカプセル化形式に対応しており、最新のデータセンター、キャンパス、およびクラウドネットワークアーキテクチャ全体での互換性を確保しています。
ネットワークトラフィックは、以下のキャプチャ方式を通じてVectra Sensorsに送信されます。適切な送信元は、ネットワークアーキテクチャ、環境の種類、および導入環境がオンプレミス、クラウド、あるいはハイブリッドインフラストラクチャのいずれにまたがるかによって異なります。
設置に関するガイドライン:発信元ホストを正確に特定するため、センサーはプロキシまたはNATデバイスの南側に配置する必要があります。複数のホストからのトラフィックがプロキシの背後で単一のIPアドレスに集約される場合、検出精度を維持するために、NDRプラットフォームでそのプロキシを認識するように設定する必要があります。 小規模な遠隔支社には、通常、専用のセンサーは必要ありません。これらのサイトからのトラフィックは、一般的に、すでにセンサーが展開されている中央拠点で可視化されています。スループット階層ごとの物理および仮想アプライアンスのサイジングに関するガイダンスについては、 アプライアンスおよびセンサーの仕様を参照してください。
NDRによる検知の大部分は、トラフィックの復号化を必要としません。振る舞い 、暗号化されたセッションから得られるメタデータ、パケットのタイミング、セッションサイズ、接続パターン、証明書属性、およびプロトコルの挙動を分析し、ペイロードの内容を検査することなく悪意のある活動を特定します。これにより、ネットワークトラフィック分析は、 攻撃者が暗号化されたトラフィック内にコマンド&コントロール(C&C)を隠蔽する手法に対して有効に機能します。これは、企業環境において最も頻繁に見逃されがちな攻撃行動の一つです。
これは、アーキテクチャ上の極めて重要な違いです。インライン復号化には、遅延、プライバシー上の懸念、規制上の複雑さ、そして多大なインフラコストが伴います。NDRは、平文のペイロードではなくメタデータに対して処理を行うことで、こうしたトレードオフを回避します。これは、 現代のアーキテクチャにおいて、有意義な振る舞い 範囲を確保するために インライン復号化がもはや必要とされない理由からも裏付けられています。
復号化されたトラフィックのメタデータへのアクセスが、さらなる価値をもたらすケースは限られています:
復号が必要な場合:並列パイプライン方式
暗号化トラフィックと復号化トラフィックの両方の分析が必要な場合、これらは並列処理パイプラインを通じて処理する必要があります。両方のトラフィックタイプを同じセンサーに送信してはなりません。両方のストリームを単一のセンサーに送信すると、重複排除ロジックによって一方のストリームが破棄されてしまいます(通常は復号化されたバージョンが破棄されます。これは、復号化処理によるオーバーヘッドにより、復号化されたトラフィックの方が到着が遅れるためです)。正しいアプローチは、復号化されたトラフィックストリーム用に、別のBrainアプライアンスとペアになった専用のセンサーを導入することです。 この目的のため、仮想センサーおよびBrainアプライアンスは追加のライセンス費用なしでサポートされています。
ネットワークID検出は、エージェントから報告されるテレメトリやログの取り込みのみに依存するのではなく、ネットワークプロトコルから直接IDコンテキストを導き出します。 ネットワークを流れる認証トラフィック、Kerberosチケット、LDAPクエリ、NTLM交換、DCE/RPC呼び出しを分析することで、本プラットフォームは、どのIDがアクティブであるか、どのリソースにアクセスしているか、そしてその挙動が確立されたベースラインとどのように異なるかについて、継続的な全体像を構築します。これにより、このアプローチは、侵害されたアカウントが想定されるアクセス範囲内で動作しているものの、認証パターンにおいて異常な挙動を示す、 特権ベースのID攻撃の検出に特に有効となります。
さらに、システム間で認証を行うサービスアカウント、API呼び出しを行うワークロード、インフラストラクチャ内を移動するAIエージェントは、たとえそれらのシステム上にエンドポイントエージェントが存在しない場合でも、すべてIDが特定可能なネットワークトラフィックを生成します。
以下の表は、各ID関連プロトコルと、それが明らかにする攻撃者の行動、および運用上の重要性を対応付けています。
ネットワークIDの検出は、ホスト識別精度の向上にも寄与します。DNS、リバースDNS、マルチキャストDNS、Kerberos、DHCP、およびNetBIOSは、ネットワーク上のアクティビティを特定のホスト名やIDと関連付けるために使用される主要なシグナルであり、IPアドレスが変更されても一貫した帰属判定を可能にします。
NDRアーキテクチャの中核を成すのは、「Brain」と「Sensor」という2つの主要なアプライアンスです。それぞれが異なる機能を担っており、これら2つの連携によって、生のネットワークトラフィック分析が優先順位付けされたセキュリティ検知へと変換されます。
センサーアプライアンスは、指定されたキャプチャポイント、データセンター、キャンパス環境、クラウド環境、および遠隔地において、生のネットワークトラフィックをキャプチャします。センサーは、メタデータをBrainに転送する前にトラフィックの重複排除を行います。また、ローリングキャプチャバッファを維持しており、調査が必要な際にパケットレベルのデータ(PCAP)を取得できるようにしています。vSensorは仮想版であり、ハイパーバイザーやIaaSクラウド環境に展開可能です。
Brainアプライアンスは、1つ以上のペアリングされたセンサーからメタデータを受信し、振る舞い を使用してローカルで処理し、検知結果を生成します。 メタデータ駆動型の検知が脅威の可視性をどのように向上させるかを理解することは、イースト・ウエスト・トラフィックの監視やIDベースの攻撃シナリオにおいて、このアーキテクチャがログ中心のアプローチよりも優れたパフォーマンスを発揮する理由を評価する上で極めて重要です。 クラウド提供型(Respond UX)の展開では、Brainは検知データとメタデータをVectraクラウドに送信し、管理インターフェースに表示します。オンプレミス型(Quadrant UX)の展開では、Brainが管理UIをローカルでホストします。
混合モードのアプライアンスは、Brain機能とSensor機能を1台のユニットに統合しており、小規模な導入や、2台のアプライアンス構成が不要な環境に適しています。
通信とペアリング:
導入に関する推奨事項:BrainおよびSensorアプライアンスは、パブリックインターネットから直接アクセスできないネットワーク上の場所に配置してください。プライベート接続、またはVectraアプライアンスの外側で終端するVPNトンネルを利用することが推奨されます。NDRによる検知は、内部から内部への通信および内部から外部への通信に重点を置いています。DMZ内のエッジファイアウォールの外側でトラフィックをキャプチャすることは推奨されません。
NDRの導入規模は、単一拠点の環境から、大規模で分散したグローバル企業まで多岐にわたります。エンタープライズ規模での導入を計画するチームにとって、アプライアンスの容量とマルチインスタンスアーキテクチャを理解することは不可欠です。
以下の表は、現在のアプライアンスのパフォーマンス階層を示しています。実際のパフォーマンスはトラフィックの構成によって異なります。お客様の環境に適した物理アプライアンスと仮想アプライアンスの組み合わせについては、アカウントチームにご相談ください。
注:Vectraは、最新のスループット要件、ハイパーバイザー、およびクラウドプロバイダーに対応するため、定期的に新しいアプライアンス構成をリリースしています。導入規模を決定する前には、必ず アプライアンスおよびセンサーの仕様書を参照し、最新のガイドラインを確認してください。
複数の拠点や事業部門を擁する組織は、 分散型SOC環境向けに「Global View」を導入することで、個別のNDRインスタンス間で統一された検知状況を維持できます。Global Viewは、子Respond UXインスタンスから優先順位付けされたエンティティデータを集約してアンカーインスタンスに送信し、保存データを一元化することなく、単一の管理ビューを提供します。
ネットワークトラフィック分析は、正しく導入されれば測定可能な成果をもたらしますが、その成果はアーキテクチャ上の決定事項、すなわちセンサーの配置場所、キャプチャするトラフィックの種類、プロトコルから識別情報をどのように導出するか、そして環境全体で検知結果をどのように優先順位付けするか、に直接左右されます。以下の事例は、さまざまなネットワーク環境における本番環境での導入において、そのアーキテクチャがどのような結果をもたらすかを示しています。
グッドウッド・エステート — 東西方向の可視性を20%から95%へ(2024年)NDRを導入する前、グッドウッド・エステートでは、分散型インフラの約20%しか東西方向のトラフィック監視が行われていませんでした。キャンパス全体、IoT、およびオペレーショナルテクノロジー(OT)環境に存在する死角により、重要な横方向の移動経路が監視対象外となっていました。 境界だけでなく内部ネットワークセグメントにもセンサーを導入した結果、東西方向の可視性は95%に達し、従来の境界防御型ツールでは設計上対応できない監視の死角を解消しました。
シェーファー・カルク — EDRを回避したランサムウェア攻撃を阻止(2023年)シェーファー・カルクのエンドポイント制御は、ネットワーク内を横方向に移動する活発なランサムウェア攻撃を検知できなかった。EDRでは監視できないイースト・ウエストのトラフィックを分析した結果、横方向の移動が検出され、本番システムに到達する前に攻撃を封じ込めることができた。
Globe Telecom — アラートのノイズを99%削減、対応時間を75%短縮(2024年)Globe Telecomはインシデント対応時間を16時間から3.5時間に短縮しました。 アラートのノイズは99%減少し、エスカレーションは96%減少したため、アナリストは数十万件もの価値の低いアラートではなく、6件の真のインシデントに集中できるようになった。その背景にある要因は、個々のアラートに対するシグネチャ照合ではなく、ネットワーク、ID、クラウドのメタデータ全体で動作する振る舞い に基づいたリスクベースの優先順位付けである。
世界的な医療組織 — SIEMが見逃した認証情報の悪用を検知(2024年)導入から数日以内に、ネットワークトラフィック分析により、同組織のSIEMでは検出できなかった、盗まれた認証情報の使用、クラウドへの偵察活動、権限昇格の試み、およびAWSへの潜伏活動が検知された。 Kerberos、LDAP、DCE/RPCといったネットワークプロトコルからのID検知により、ログベースのシステムでは再現できなかった兆候が明らかになった。SOCは、データや業務に影響が出る前に介入した。
重要なポイント:結果は、東西方向のセグメントをカバーするセンサーの配置、認証トラフィックを含むプロトコルのキャプチャ、そして個々のエンドポイントでの孤立したアラートではなく、ネットワーク全体におけるアイデンティティの移動を分析する振る舞い 依存する。
Vectra AIネットワークトラフィック分析は、4つのエンジニアリング層を基盤として構築されており、これらが連携して、生のネットワークおよびIDテレメトリデータを、優先順位付けされた実用的な検知情報へと変換します。これらは一般的なNDR機能ではなく、ハイブリッド環境、マルチクラウド環境、およびID主導型環境において、プラットフォームが本番環境でどのように機能するかを決定づける具体的なアーキテクチャ上の設計思想を表しています。
すべての検知は、統計的な異常ではなく、セキュリティ研究に基づいています。モデルは、ネットワーク、ID、クラウド、SaaSの各領域MITRE ATT&CK および手法に直接対応しています。
検知エンジニアとデータサイエンティストは、各攻撃手法について以下の3点を定義します:
モデルは、認証情報の悪用、横方向の移動、コマンド&コントロール、永続性といった問題に基づいて選択され、汎用的に適用されることはありません。これにより、検出結果の説明可能性、再現性、および防御可能性が確保され、攻撃者の手法と防御結果の間に明確な関連性が示されます。Vectra AIは、ネットワークおよびIDベースのATT&CK手法が、より広範なセキュリティコミュニティによってどのように理解され、マッピングされるかに貢献し、影響を与えてきました。
Jetstreamは、ネットワークおよびIDに関するテレメトリデータを事後ではなく、リアルタイムで処理します。
トラフィックを保存して後で分析するバッチ処理型でログ中心のシステムとは異なり、Jetstreamはハイブリッド環境全体でイベントが発生するたびに、テレメトリデータを継続的に取り込み、情報を付加し、相関付けを行います。これにより、攻撃が発生してから数分後や数時間後ではなく、攻撃が進行している最中に振る舞い 検知することが可能になります。
特に東西方向の交通監視においては、ストリーミング処理が重要となります。数分かけて展開される横方向の移動は、バッチ処理サイクルを基盤としたシステムでは確実に検知することができません。
Vectra AI 、パケットの完全なキャプチャや生のログの取り込みに頼るのではなく、ハイブリッドネットワーク全体からセキュリティに関連するメタデータをVectra AI 、正規化し、情報を充実させます。
出典は以下の通りです:
各メタデータレコードには、ID、アセットの役割、行動履歴、攻撃の段階、リスク態勢といったコンテキスト情報が継続的に追加され、検知、調査、対応の各ワークフローにまたがる共有インテリジェンス層が構築されます。これにより、アナリストは大規模なパケットキャプチャを管理する際のストレージやパフォーマンスの負荷を気にすることなく、詳細な可視性を得ることができます。
攻撃者がIDを悪用し、サービスを装い、横方向への移動を行うような環境においては、攻撃の帰属特定は、IPアドレスや単一の事象の相関分析にとどまるべきではありません。
Vectra AI多層アトリビューションVectra AI、ネットワークの挙動、IDコンテキスト、権限インテリジェンスを組み合わせることで、ユーザー、サービスアカウント、ワークロード、ホスト、インフラストラクチャにまたがるアクティビティを継続的に関連付けます。これを実現するために、以下の3つの機能が連携しています:
これらの層が連携することで、攻撃者が有効な認証情報を使用し、通常のトラフィックパターンに紛れ込んだ場合でも、プラットフォームは「誰が、どこで、何を行っているか、そしてどのレベルの権限を持っているか」を確実に把握することができます。
ネットワークの検知と対応は、単一の製品選定の問題ではありません。それは、セキュリティチームが横方向の移動を発生時に検知できるか、ネットワークプロトコルからアイデンティティのコンテキストを導き出せるか、復号化せずに暗号化されたトラフィックを分析できるか、そして保存データを一元化することなく分散環境全体で検知機能を拡張できるかを決定づける、相互に関連した一連の技術的選択なのです。
このページで解説する基本事項は、そのまま運用上の成果に直結します。東西方向のセンサー配置によって、横方向の移動が「観測されるか」それとも「推測されるか」が決まります。プロトコルのキャプチャに関する判断によって、IDを悪用した攻撃が「可視化されるか」それとも「不可視となるか」が決まります。並列パイプラインの設計によって、暗号化トラフィックの分析が検知精度を低下させるか否かが決まります。そして、グローバルビューアーキテクチャによって、分散型展開が「統一された可視性」をもたらすか、それとも「断片化されたカバレッジ」となるかが決まります。
Vectra AIプラットフォームが、境界防御ツールやエンドポイントエージェントが見逃しがちな、横方向の移動、IDの悪用、暗号化されたコマンド&コントロール通信を検知するネットワークトラフィック分析をどのように実現しているかをご覧ください。
_tNail.jpg)