振る舞い ：現代のセキュリティにおける脅威検知

現代のセキュリティ環境では、ユーザー、ホスト、サーバーが時間経過とともにどのように行動し相互作用するかを分析することで、悪意のある活動を特定する。静的な指標や既知のシグネチャに依存するのではなく、この手法は攻撃者の振る舞いパターンと一致する移動、通信、進行のパターンを評価する。

この変化が重要なのは、活動の見方を変えるからだ。チームはアラートを孤立した事象として扱うのではなく、振る舞いがどのように変化するか、どの程度の速さで進行するか、そしてそれが組織にとってどのレベルのリスクを示すかを評価する。

振る舞い 検知が実際に意味すること

実際には、悪意のある活動は単発の事象ではなくパターンを通じて特定される。個々の振る舞いは単独では無害に見えるかもしれないが、時間をかけて結びつけられると、明確な攻撃の経緯が明らかになる。

このコンテキストにより、チームは通常の活動と、進行中の侵入行為（調査や対応が必要なケース）を区別できます。その判断を行うため、アナリストは多段階攻撃で頻繁に確認される反復的な振る舞いパターンを監視します。具体的には以下の通りです。

• コマンド&コントロール活動 攻撃者のアクセスを確立または維持する
• 偵察の振る舞い システム、サービス、または特権を発見するために使用される
• 横方向の移動 初期アクセス後の内部システム間における
• データ漏洩活動 試行または進行中のデータ窃取を示唆するもの

脅威の規模と攻撃速度の評価方法

脅威は、環境内で振る舞いが時間とともにどのように進展するかに基づいて評価される。個々のアラートに焦点を当てるのではなく、行動がどのように集積し、加速し、攻撃の複数の段階にまたがるかを評価する。

この評価では、緊急性と組織的リスクを決定づける複数の側面を考慮する。これらの側面が相まって、単に何が起きているかだけでなく、それがどれほどの 速さと 広さで展開しているかを説明する：

• 攻撃速度：偵察、指揮統制、ラテラルムーブメント、情報漏洩といった各段階において、振る舞いがどの程度の速さで現れるか
  
• 検出間隔：観測された時間軸内で検知がどれほど密接に発生するか
  
• 脅威の規模：進行速度と時間的クラスタリングから導出される総合評価

イベントベースの検知が攻撃の進行を見逃すのはなぜですか？

従来の検知手法は、悪意のある活動が既知の指標として現れるか、通常の動作からの明らかな逸脱として現れると想定している。この想定は、攻撃者が活動を分散させたり、低ボリュームで動作したり、意図的に予想されるトラフィックに溶け込ませたりする場合に破綻する。

振る舞いベース分析が存在する理由はここにある：エンティティと時間軸を跨いだ活動を相関させるためだ。この相関がなければ、初期段階の侵害は見過ごされ、孤立した異常現象に注意が向けられる可能性がある。一般的な失敗パターンには以下が含まれる：

• 既知の指標と一致しない、微妙な指揮統制活動
  
• 初期アクセスポイントが不明な多段階侵入
  
• 単独では無害に見える複数のプロトコルに分散した脅威活動
  
• 初期段階が相互に関連付けられていなかったため、情報漏洩の検知が遅れた
  

攻撃者がネットワーク、ID、クラウドを横断して移動する様子を可視化します。攻撃グラフは時間軸とエンティティを横断した振る舞いを相関分析し、アナリストが攻撃の起源を追跡し、影響範囲を把握し、確信を持って迅速に対応できるようにします。

攻撃グラフが攻撃者の振る舞いを単一の調査ビューに統合する仕組みをご覧ください →

攻撃のタイムラインにおける主要な振る舞い

振る舞いは、アナリストが観測された活動をタイムライン上に配置できる場合に初めて対応可能なものとなる。これにより、侵入がどのように展開したか、また現在も進行中であるかどうかが明確になる。

SOCチームは通常、攻撃者の進行段階を反映したいくつかの広範な段階にわたる振る舞いを評価します。これらの段階はチェックリストではなく、文脈の中で活動を解釈するための参照モデルです：

1. システム、サービス、またはアイデンティティをマッピングするための初期偵察
   
2. 支配を確立または維持する持続的な外部コミュニケーション
   
3. 追加のシステムやアカウントへのアクセスを拡大する横方向の移動
   
4. データ窃取または侵害の影響を示す情報漏洩活動
   

SOCにおける運用への影響

振る舞いコンテキストは、活動が時間とともにどのように展開するかを示すことで、調査と対応における不確実性を軽減します。長い活動期間を手作業でつなぎ合わせる代わりに、チームは作業の優先順位をより明確に設定し、より自信を持って行動することができます。

実際には、チームはこのコンテキストを活用して、インシデント対応中の重要な意思決定を支援します：

• 緊急性と進行度に基づいて調査の優先順位を決定し、アラートの量に基づくものではない
  
• 活動が単独のものか、より広範な侵入の一部であるかの検証
  
• 対応措置実施前に範囲、タイムライン、影響を受けるエンティティを確認する
  
• 長期間にわたるテレメトリーデータのレビュー時の認知負荷の軽減
  

限界と誤解が生む盲点

攻撃者の進行状況をより明確に把握できることは、調査やアナリストの判断に取って代わるものではない。振る舞い 最終的な答えとして依存することは、新たな盲点を生み出す可能性がある。

チームは、これらのよくある誤解を積極的に避ける必要があります：

• 振る舞い 疑わしいパターンを示すのではなく、侵害を確認したと仮定する
  
• 緊急度や重要度のスコアを意思決定支援ではなく、意思決定そのものとして扱うこと
  
• あるデータストリームに異常が検知されないことは、侵害の不在を意味する
  
• 代替通信経路や追加の影響を受けるエンティティの軽視
  

Vectra 攻撃者の振る舞いを時間軸とエンティティ間で相関させる方法

振る舞い分析における主要な課題の一つは、脅威が時間の経過とともにどのように進化していくかを理解することです。イベントを個別に評価するだけでは不十分です。活動が複数のプロトコル、ツール、またはサービスにまたがり、一見無害に見える振る舞いに隠れている場合、緊急性と影響範囲を正確に解釈するには相関関係の分析が不可欠です。

Vectra 、エンティティ間における攻撃者の相関振る舞いと進行を重視することでこの課題に対処します。焦点は、脅威がどのように進展するか、どのエンティティが関与するか、そして対応決定が正当化される場所を反映した攻撃プロファイルの構築にあります。

このアプローチは、チームが以下の複数の領域で明確性を得るのに役立ちます：

どのチームがより明確に見ることができるか

• 偵察、指揮統制、横方向移動、および脱出が単一の攻撃シナリオにどう結びつくかどのエンティティが最も緊急性の高い進行パターンを示すか
  
• 活動が単一であるか、複数のシステムやチャネルにまたがるか
  

何が決めやすくなるのか

• 振る舞い に基づいて調査努力を集中すべき箇所
  
• 対応措置が相関する証拠によって正当化される場合
  
• 影響を受けるエンティティの範囲を特定し、正確なタイムラインを確立する方法
  

どのようなリスクが軽減されるのか

• 単一データソースへの依存による妥協の機会を逃した
  
• 緊急性の誤った解釈による封じ込めの遅れ
  
• 不完全なスコープ設定により、追加の影響を受けるエンティティが発見されない状態

偵察から対応までの攻撃の全容を明らかにし、チームが確信と緊急性を持って振る舞うことができるようにする。

Vectra 攻撃者の振る舞いをVectra 方法を詳しく見る →