Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
プロアクティブな脅威ハンティングは、セキュリティチームが高度な脅威を11日早く 検知 し、1インシデントあたり平均130万ドルを節約するのに役立つ(Gartner,Prioritize Threat Hunting for Early Detection of Stealthy Attacks, Oct 2025)。
この包括的なガイドでは、Vectra AI ハンティングの実践方法をご紹介します。AI強化メタデータ、AI支援検索、事前構築済みクエリ、再現可能なワークフローを活用し、攻撃者の隠れた行動がエスカレートする前に発見します。
このガイドでは以下の内容を学びます:
現代のセキュリティチームは、アラートだけに頼ることはできません。攻撃者は、検知ツールがその活動を捕捉するまで、数日から数週間にわたって環境内に潜伏し続けます。さらに、最も高度な脅威は、自動化されたルールをトリガーしないよう特別に設計されています。体系的な脅威ハンティングの手法は、このギャップを埋めるものです。つまり、何かがすでに異常である可能性を前提として、受動的なアラート対応から能動的な調査へと転換し、体系的に証拠を探し出すのです。
本ガイドでは、脅威ハンティングの手法とは何か、主要なセキュリティチームがどのようにハンティングプログラムを構築しているか、そしてネットワーク、ID、クラウド、SaaSインフラストラクチャにまたがるハイブリッド環境において、Vectra AI を活用してそれらのフレームワークを適用する方法について解説します。
本書は、予防的な脅威ハンティングの取り組みを構築または成熟させているSOCアナリスト、検知エンジニア、およびセキュリティアーキテクトを対象としています。
脅威ハンティングの手法とは、自動アラートをまだトリガーしていない脅威を、能動的に探すための体系的なアプローチです。ハンターは、検知ルールが作動するのを待つのではなく、すでに何か異常が起きている可能性があるという前提に立ち、振る舞い を探します。彼らは、脅威インテリジェンス、攻撃者の戦術に関する知識、および自組織の環境への理解を組み合わせることで、想定されるパターンと一致しない活動を洗い出します。
包括的な脅威ハンティングの手法では、次の3つの要素が定義されます。すなわち、何を追跡するか(仮説)、どのように追跡するか(手法)、そして何かが見つかった場合にどう対応するか(対応ワークフロー)です。
最も広く採用されている脅威ハンティングの手法は、以下の3つです:
脅威ハンティングのフレームワークは、ハンティングの計画、実行、および反復を導くための構造的な基盤を提供します。最も広く利用されているフレームワークでは、攻撃者の手法のMITRE ATT&CK 参照しており、戦術(攻撃者が達成しようとしている目的)と手法(それを達成する方法)に基づいてハンティングを体系化しています。
運用上の脅威ハンティング・フレームワークの中核となる要素は以下の通りです:
再現性のあるフレームワークがなければ、脅威ハンティングは依然としてその場しのぎの対応にとどまり、結果も一貫性を欠くことになります。フレームワークがあれば、脅威ハンティングは測定可能なプログラムとなり、検知範囲を継続的に強化していくことができます。
以下のベストプラクティスは、成熟したSOCプログラムから導き出されたものであり、実践の運用に苦労しているチームと、高い成果を上げているハンティングチームとの違いを反映しています。
まず、確信度の高い仮説から始めましょう。最も効果的な調査は、一般的な検索ではなく、具体的な攻撃者の手法に基づいています。クエリを1つでも作成する前に、脅威インテリジェンス、最近のインシデントレポート、MITRE ATT&CK を活用して、自社の業界やインフラに関連する手法MITRE ATT&CK 。
ネットワークメタデータを優先的に活用しましょう。ネットワークメタデータは、システムが通信を行ったという事実だけでなく、その通信の仕組みそのものを明らかにします。エンドポイントのログは、単一のマシン上で発生した孤立した事象を記述するに過ぎません。一方、ネットワークデータは、環境全体でアクティビティがどのように関連し合っているかを明らかにします。主にエンドポイントのテレメトリデータに基づいて脅威を検知しようとするチームは、横方向の移動、コマンド&コントロール、およびデータ流出を示す重要な兆候を見逃してしまうことになります。
3つの手法タイプすべてを対象に調査を行う。TTPベース、コンプライアンスベース、IOCベースの調査は、それぞれ異なる脅威のカテゴリーを浮き彫りにする。1つのタイプのみを継続的に実行するプログラムでは、他の2つのタイプが検出するように設計されている脅威を見逃してしまうことになる。
再現性のあるクエリライブラリを構築しましょう。効果的なクエリを保存し、各クエリが何を検索対象としているか、過去にどのような結果が得られたか、どのような条件下で誤検知が発生するかを文書化してください。クエリライブラリの充実度は、プログラムの成熟度を直接示す指標となります。
調査結果を検知エンジニアリングに組み込む。確認された脅威ハンティングの結果のうち、検知ルールに変換されないものはすべて、セキュリティ強化の機会を逃していることになる。ハンティングと検知チューニングの間のループこそが、プログラムを長期的に自己改善させる原動力となる。
異常の検知を行う前に、振る舞い 確立してください。正常な状態がどのようなものかを理解しなければ、何が異常であるかを確実に特定することはできません。異常検知による調査で信頼性の高いシグナルが得られることを期待する前に、基準の文書化に十分な時間を割いてください。
タイムボックス方式の探索。明確な目標を掲げ、時間制限を設けた構造化された探索は、目的を定めない調査よりも優れた成果をもたらします。経験豊富な探索者の多くは、5~30分の構造化されたセッションを行い、その結果を精査した上で、調査を拡大するか方向転換するかを判断しています。
Vectra AI 、大規模な高度な脅威の調査およびハンティングを目的に特別に設計されています。アナリストは、AIで強化されたメタデータを横断的に分析することで、攻撃者の行動を解明し、時間の経過に伴う活動を追跡し、ID、クラウド、ネットワークの各レイヤーにわたるシグナルを相関分析することができます。これらすべてを単一のインターフェースから実行可能です。
TTP(戦術・技術・手順)に基づく脅威検知は、静的な指標に依存するのではなく、攻撃者の行動パターンを特定することに重点を置いています。実際の侵入攻撃で用いられる特定の戦術、技術、手順を標的とすることで、セキュリティチームは、シグネチャベースのツールでは検知されにくい脅威を検知することができます。
TTPベースのハンティングで特定することを目的としているのは、以下の点です:
以下の9つのTTPベースのハンティングは、既知の攻撃手法に対応しており、Vectra AI 上で直接実行可能です。
TTP(戦術・技術・手順)に基づく脅威検知は、静的な指標に依存するのではなく、攻撃者の行動パターンを特定することに重点を置いています。実際の侵入攻撃で用いられる特定の戦術、技術、手順を標的とすることで、セキュリティチームは、シグネチャベースのツールでは検知されにくい脅威を検知することができます。
TTPベースのハンティングで特定することを目的としているのは、以下の点です:
以下の9つのTTPベースのハンティングは、既知の攻撃手法に対応しており、Vectra AI 上で直接実行可能です。
このクエリで抽出される内容:
検索ロジック: 過去14日間のネットワークDCE/RPCログを調査し、システムがLSARPCエンドポイントを使用してドメインコントローラーに接続し、以下の操作を実行したイベントを検出します。 lsarretrieveprivatedata 操作。
セキュリティ上の影響:DPAPIバックアップキーが盗まれると、攻撃者は以下の行為が可能になります:
SELECT
timestamp,
orig_hostname,
id.orig_h AS "id_orig_h",
id.resp_h AS "id_resp_h",
resp_hostname,
domain,
username,
endpoint,
ホスト名,
操作,
sensor_uid
FROM
network.dce_rpc
WHERE
id.orig_h = '10.254.50.142'
AND LOWER(endpoint) = 'lsarpc'
AND LOWER(operation) = 'lsarretrieveprivatedata'
かつ timestamp > date_add('day', -14, now())
ORDER BY
timestamp DESC
LIMIT 100このクエリで抽出される内容:
certutil.exe 外部のウェブサイトからファイルをダウンロードするために使用されるMicrosoft-CryptoAPI/10.0 ユーザーエージェント検索ロジック: 過去14日間のHTTPトラフィックをスキャンし、指定されたユーザーエージェントを含むリクエストを抽出します Microsoft-CryptoAPI/10.0これは、certutilが外部ソースからファイルをダウンロードする際に生成されるものです。
セキュリティ上の影響:Certutilの悪用により、攻撃者は以下のことが可能になります:
SELECT ホスト, COUNT(*) AS request_count
FROM network.http
WHERE user_agent = 'Microsoft-CryptoAPI/10.0' AND timestamp > date_add('day', -14, now())
GROUP BY ホスト
ORDER BY request_count DESC
LIMIT 50このクエリで抽出される内容:
検出ロジック:過去14日間のNTLMトラフィックをスキャンし、送信元IPアドレスがドメインコントローラーであるリクエストを検出します。
セキュリティ上の影響:アウトバウンドのNTLM認証を開始するドメインコントローラーは、以下のことを強く示唆しています:
SELECT id.orig_h, orig_hostname.name AS ホスト名, COUNT(*) AS ntlm_request_count
FROM network.ntlm
WHERE (LOWER(orig_hostname.name) LIKE '%dc%' OR TRY_CAST(id.orig_h AS
IPADDRESS) BETWEEN IPADDRESS '10.254.100.0' AND IPアドレス '10.254.100.255')
AND timestamp > date_add('day', -14, now())
GROUP BY id.orig_h, orig_hostname.name
ORDER BY ntlm_request_count DESC
LIMIT 100
このクエリで抽出される内容:
検出ロジック:RPCトラフィックのメタデータを分析し、既知の強制手法に対応する特定の操作番号を使用している、脆弱性のあるWindowsプロトコルへの呼び出しを特定します。
セキュリティ上の影響:強制認証が成功すると、攻撃者は以下のことが可能になります:
SELECT timestamp, orig_hostname, id.orig_h, id.resp_h, resp_hostname, domain,
username, endpoint, hostname, operation, sensor_uid
FROM network.dce_rpc
WHERE (
(エンドポイント = 'unknown-c681d488-d850-11d0-8c52-00c04fd90f7e' かつ 操作
IN ('unknown-0', 'unknown-4', 'unknown-5', 'unknown-6', 'unknown-7', 'unknown-12',
'unknown-13', 'unknown-15')) または
(endpoint = 'spoolss' かつ 操作 IN
('RpcRemoteFindFirstPrinterChangeNotificationEx')) OR
(エンドポイント = 'unknown-a8e0653c-2744-4389-a61d-7373df8b2292' かつ 操作
IN ('unknown-8', 'unknown-9')) OR
(endpoint = 'netdfs' かつ 操作 IN ('NetrDfsAddStdRoot', 'NetrDfsRemoveStdRoot'))
) AND timestamp > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100このクエリで抽出される内容:
検出ロジック:iSessionのメタデータを解析し、ポート22以外で発生しているSSHプロトコルを使用した送信TCP接続を特定します。
セキュリティ上の影響:標準以外のポートでのSSH送信は、以下の問題に関連しています:
SELECT timestamp, uid, id.orig_h, orig_hostname, id.resp_h, resp_hostname,
id.resp_p, proto_name, orig_ip_bytes, resp_ip_bytes, duration, conn_state, sensor_uid, service
FROM network.isession
WHERE LOWER(service) = 'ssh' AND id.resp_p != 22 かつid.resp_p≠22 local_resp != true かつ
timestamp > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100このクエリで抽出される内容:
検索ロジック:過去24時間以内にユーザーが正常にログインした回数をすべて集計し、ユーザーごとの国別ユニーク数をカウントした上で、複数の国でログインが確認されたユーザーを特定します。
セキュリティ上の影響:24時間以内に複数の国からログインが行われている場合、認証情報の漏洩が疑われます。ほとんどのユーザーにとって、短期間での国際的な移動は物理的に不可能です。このパターンは、企業のIDを標的とした「クレデンシャルスタッフィング」や「アカウント乗っ取り」攻撃に特徴的なものです。
SELECT DISTINCT(vectra.identity_principal), COUNT(DISTINCT location.country_or_region) AS CountryCount,
MIN(timestamp) AS FirstLogin, MAX(timestamp) AS 最終ログイン
FROM entra.signins._all
WHERE location.country_or_region IS NOT NULL
AND timestamp > date_add('day', -1, now())
GROUP BY vectra.identity_principal
HAVING COUNT(DISTINCT location.country_or_region) > 1
ORDER BY 国数
LIMIT 100このクエリで抽出される内容:
検出ロジック:過去6時間以内に発生したログイン失敗の試みをIPアドレスごとに集計し、自動攻撃ツールの使用を示唆する失敗件数の多いIPアドレスを特定します。
セキュリティ上の影響:
SELECT ip_address, COUNT(*) AS FailedAttempts,
COUNT(DISTINCT vectra.identity_principal) AS UniqueUsers,
MIN(timestamp) AS FirstFailure,
MAX(timestamp) AS LastFailure
FROM entra.signins."Demolab-AD"
WHERE ip_address IS NOT NULL
かつ timestamp > date_add(時間, -6, now())
AND status.error_code != 0
GROUP GROUP ip_address
HAVING COUNT(*) >= 20
ORDER BY 失敗回数
LIMIT 100このクエリで抽出される内容:
検出ロジック:過去6時間分のAzureアクティビティログを分析し、ストレージアカウントの読み取り操作について、読み取り回数がバルクアクセス閾値以上であるソースを特定します。
セキュリティ上の影響:一括読み取り操作は、以下のことを示しています:
SELECT vectra.identity,
resourceid,
COUNT(*) AS AccessCount,
COUNT(DISTINCT ResourceId) AS 一意のストレージアカウント,
MIN(timestamp) AS FirstAccess,
MAX(timestamp) AS 最終アクセス日時
FROM azurecp.operations._all
WHERE timestamp > date_add(時間, -6, now())
AND UPPER(操作名) IN ('MICROSOFT.STORAGE/STORAGEACCOUNTS/BLOBSERVICES/CONTAINERS/BLOBS/READ',
'MICROSOFT.STORAGE/STORAGEACCOUNTS/FILESERVICES/SHARES/FILES/READ')
AND resulttype = 'Success'
GROUP GROUP vectra.identity, ResourceId
HAVING COUNT(*) >= 100
ORDER BY アクセス数
LIMIT 100このクエリで抽出される内容:
検出ロジック:過去24時間分のAzureアクティビティログを分析し、Key Vaultへのアクセス操作について、通常のアプリケーションアクセス量を超えているソースを特定します。
セキュリティ上の影響:Key Vaultへの過度なアクセスは、侵害されたIDを利用して以下を盗み出す「認証情報収集攻撃」と関連しています:
SELECT calleripaddress,
vectra.identity,
リソースID,
操作名,
COUNT(*) AS SecretAccessCount,
COUNT(DISTINCT resourceid) AS UniqueSecrets,
MIN(timestamp) AS FirstAccess,
MAX(timestamp) AS 最終アクセス日時
FROM azurecp.operations._all
WHERE timestamp > date_add('hour', -24, now())
AND 操作名 IN ('SecretGet', 'KeyGet', 'CertificateGet')
AND resulttype = 'Success'
AND calleripaddress IS NOT NULL
GROUP BY calleripaddress, vectra.identity, resourceid, operationname
HAVING COUNT(*) >= 20 または COUNT(DISTINCT resourceid) >= 10
ORDER BY SecretAccessCount
LIMIT 100
コンプライアンスベースのハンティングは、規制や社内基準によって定義されたセキュリティポリシー、アクセス制御、またはアーキテクチャ上の境界に対する違反を対象とします。このアプローチにより、必ずしも悪意のある行為ではないものの、設定ミス、内部者による脅威、または対策の不備を示唆するリスクの高い行動を明らかにします。多くの場合、これらは監査上の指摘事項や侵害の経路となる前に発見されます。
コンプライアンスに基づく調査で特定される対象:
このクエリで抽出される内容:
検出ロジック:過去14日間のネットワーク上のSMBアクティビティをスキャンし、SMBv1を使用している個別の送信元ホストを一覧表示します。
セキュリティ上の影響:SMBv1の使用は、以下の3つの側面においてリスクをもたらします:
SELECT DISTINCT id.orig_h, orig_hostname.name
FROM network.smb_mapping._all
WHERE version = 'SMBv1' AND timestamp > date_add('day', -14, now())このクエリで抽出される内容:
ハンティングロジック:HTTPログを検索し、標準のHTTPS(ポート443)を使用していないプロキシ経由のCONNECTメソッドを検出します。Vectra AIディープパケットインスペクション機能は、ポート番号に関係なくHTTPトラフィックを識別するため、このハンティングはポート回避手法に対しても有効です。
セキュリティ上の影響:通常使用されないポートでのHTTP CONNECTは、以下のことを示唆しています:
SELECT timestamp, id.orig_h, orig_hostname, user_agent, id.resp_h, resp_hostname,
id.resp_p, method, host, uri, status_code
FROM network.http
WHERE is_proxied = true AND LOWER(メソッド) = 'connect' AND uri NOT LIKE '%:443'
AND timestamp > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100
このクエリで抽出される内容:
検知ロジック:古いWebブラウザの使用を示唆するHTTPユーザーエージェント文字列を検出します。数日間にわたって継続的に使用されている場合は、パッチが適用されておらず、悪用されるリスクが高いシステムであることを示しています。
セキュリティ上の影響:古いブラウザは、一般的に以下の方法で悪用されます:
古いブラウザの使用が継続していることは、多くの場合、エンドポイントのセキュリティ対策に広範な不備があることを示しており、エンドポイントのセキュリティ強化ポリシーに対するコンプライアンス違反にあたる可能性があります。
SELECT id.orig_h, orig_hostname.name AS hostname, user_agent, COUNT(*) AS request_count
FROM network.http._all
WHERE timestamp BETWEEN date_add('day', -14, now()) AND now()
AND ( user_agent LIKE '%MSIE%'
OR user_agent LIKE '%Firefox/[3-6]%'
または user_agent LIKE '%Chrome/[1-9]%'
または user_agent LIKE '%Chrome/[1-4][0-9]%'
または user_agent LIKE '%Version/(1[0-6](\.\d+)*)\s+Safari%' )
GROUP BY id.orig_h, orig_hostname.name, user_agent
ORDER BY request_count DESC
LIMIT 100このクエリで抽出される内容:
検出ロジック:DNSメタデータを検索し、既知の生成AIプラットフォームのドメインへのアウトバウンドクエリを特定し、ホスト、リクエスト量、および利用パターンを抽出します。
セキュリティ上の影響:承認されていないAIの導入は、以下の3つのリスクをもたらします:
SELECT クエリ、 COUNT(DISTINCT orig_hostname.name) as unique_host_count,
COUNT(*) as total_query_count
FROM network.dns
WHERE ( query LIKE '%openai.com'
OR クエリ LIKE '%chat.openai.com'
または クエリ LIKE '%anthropic.com'
または クエリ LIKE '%claude.ai'
または クエリ LIKE '%bard.google.com'
または クエリ LIKE '%bing.com'
または クエリ LIKE '%cohere.ai'
または クエリ LIKE '%huggingface.co'
または クエリ LIKE '%mistral.ai'
または クエリ LIKE '%deepseek.com%' )
AND timestamp BETWEEN date_add('day', -14, now()) AND now()
GROUP BY クエリ
ORDER BY 一意のホスト数 DESC, total_query_count DESC
LIMIT 100
IOC(脅威指標)に基づく脅威ハンティングは、潜在的な脆弱性を検証し、攻撃者によるインフラの再利用を明らかにし、初期の防御をすり抜けた可能性のある脅威を検知します。これは、脅威インテリジェンスに関するアドバイザリや、進行中のキャンペーンに関する公開情報への対応において特に有効です。
IOC(侵害指標)は、文脈の中で捉えることで攻撃者の活動を示唆する手がかりとなるものです。通常、これらが単独で検知を引き起こすことはなく、一致した結果が実際の侵害であるかどうかを確認するには、積極的な調査が必要です。
IOC(侵害指標)またはそのセットが特定されたら、調査のワークフローは以下の4つのステップに従います:
ヒント:IOCが古くなっていたり、一般的なものであったりしても、長期間潜伏している脅威を特定したり、インシデント発生後の封じ込めを確認したりするのに役立つ場合があります。
ワークフローの例:既知のAPTキャンペーンに関連するインジケーターを含むCISAのアドバイザリが公開されました。そこから2つのドメイン、1つのIPアドレス、およびPowerShellのハッシュ値を抽出します。Vectra AI 、HTTPメタデータ内にあるドメインの1つを検索したところ、3週間前のアクティビティが検出されました。宛先ホストは金融システムです。Investigateにピボットして確認すると、「異常なスクリプト活動」および「不審な横方向の移動」という関連する検知結果が表示されます。 これで、エスカレーションと封じ込めを行うための信頼性の高い証拠が得られました。
このクエリで抽出される内容:
検索ロジック:過去14日間のネットワークセッションのうち、宛先ドメインが既知の悪質ドメインのリストと一致するものを検索します。
セキュリティ上の影響:攻撃者が制御するドメインへの接続は、以下のことを示唆している可能性があります:
SELECT timestamp, uid, id.orig_h as "id_orig_h", orig_hostname, id.resp_h as "id_resp_h",
resp_hostname, id.resp_p として "id_resp_p", proto_name, orig_ip_bytes,
resp_ip_bytes, duration, conn_state, sensor_uid
FROM network.isession
WHERE (resp_domain = 'baddomain1.com' OR resp_domain = 'baddomain2.com')
AND timestamp > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100このクエリで抽出される内容:
検索ロジック:送信元または宛先として特定のIPアドレスを含むすべてのネットワークセッションを検索します。
セキュリティ上の影響:IPベースのIOCは、複数の脅威アクターによるキャンペーン間で頻繁に再利用されます。一致が見られた場合、以下の可能性が考えられます:
SELECT timestamp, uid, id.orig_h as "id_orig_h", orig_hostname, id.resp_h as "id_resp_h",
resp_hostname, id.resp_p として "id_resp_p", proto_name, orig_ip_bytes, resp_ip_bytes,
duration, conn_state, sensor_uid
FROM network.isession
WHERE (id.resp_h IN ('192.0.2.1', '192.0.2.2') OR id.orig_h IN ('192.0.2.1', '192.0.2.2'))
AND timestamp > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100このクエリで抽出される内容:
検出ロジック:過去14日間のSMBファイルのアクティビティをスキャンし、ベースファイル名が異常に長いファイルを抽出して一覧表示します。
セキュリティ上の影響:過度に長い、または難読化されたファイル名は、以下のことを示唆しています:
SELECT name, REGEXP_EXTRACT(name, '([^\\/]+)$') AS base_filename,
LENGTH(REGEXP_EXTRACT(name, '([^\\/]+)$')) AS base_length
FROM network.smb_files
WHERE LENGTH(REGEXP_EXTRACT(name, '([^\\/]+)$')) > 50 AND timestamp > date_add('day', -14, now())
ORDER BY base_length DESC
LIMIT 50このクエリで抽出される内容:
検索ロジック:過去14日間のSMBファイル操作履歴から、母音を含まない(子音または記号のみの)ファイル名を取り出します。
セキュリティ上の影響:母音を含まないファイル名は、プログラムによって生成されたことを示唆しており、これは マルウェア 作成者がシグネチャベースの検出を回避するために用いる一般的な回避手法です。検出されなければ、これらのペイロードは攻撃者の潜伏期間を延長し、攻撃の影響を拡大させます。
SELECT name, REGEXP_EXTRACT(name, r'([^\\/]+)$') AS base_filename
FROM network.smb_files
WHERE REGEXP_LIKE(REGEXP_EXTRACT(name, r'([^\\/]+)$'), '^[^aeiouAEIOU]+$') AND
timestamp > date_add('day', -14, now())
LIMIT 50このクエリで抽出される内容:
App/Data/Roaming/ 経路検索ロジック:過去14日間のSMBファイルアクティビティの中から、AppData/Roamingパス内のファイルにアクセスされたものを検索します。このクエリは、お客様の環境において監視が必要な任意のファイルパスに合わせて変更可能です。
セキュリティ上の影響:AppData/Roaming ディレクトリは、特に マルウェア マルウェアや攻撃者ツールがこれらを特に標的とする理由は以下の通りです:
SELECT timestamp, uid, id.orig_h as "id_orig_h", orig_hostname, id.resp_h as "id_resp_h",
resp_hostname, id.resp_p として "id_resp_p", version, path, action, name, sensor_uid
FROM network.smb_files
WHERE path LIKE '%/App/Data/Roaming/%' AND timestamp > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100このクエリで抽出される内容:
検索ロジック:過去14日間のSSL/TLSセッションログを取得し、TORクライアントと一致することが確認されている特定のJA3ハッシュでフィルタリングします。
セキュリティ上の影響:企業環境におけるTORの利用は、以下のことを示唆する可能性があります:
詳細については、JA3の方法論に関するドキュメント( https://github.com/salesforce/ja3)をご参照ください。コミュニティによって作成されたJA3フィンガープリントは、 https://ja3.zone/ から入手できます。
SELECT timestamp, uid, id.orig_h as "id_orig_h", orig_hostname, id.resp_h as "id_resp_h",
resp_hostname, id.resp_p として "id_resp_p", server_name, client_version,
next_protocol, cipher, ja3, established, sensor_uid
FROM network.ssl
WHERE ja3 = 'e7d705a3286e19ea42f587b344ee6865' AND timestamp > date_add('day', -14, now())
ORDER BY timestamp DESC
LIMIT 100
脅威ハンティングは、単なる事後対応的な単発の取り組みではなく、日常的な業務として定着させ、運用化することで最大の価値を発揮します。本ガイドに掲載されているクエリは、あくまで出発点に過ぎません。目標は、これらを自社の環境に合わせて調整し、最も効果的なバリエーションを保存し、体系的なハンティングのサイクルに組み込むことです。
Vectra AI を活用したハンティングの実践方法:
継続的なハンティングを通じて培われた熟知度は、インシデント対応における戦力の倍増要因となります。定期的にハンティングを行っているチームは、調査を迅速に行い、優先順位をより正確に判断し、脅威が拡大する前に封じ込めることができます。
