振る舞い ：現代のセキュリティにおける脅威検知

現代のセキュリティ環境では、ユーザー、ホスト、サーバーが時間経過とともにどのように行動し相互作用するかを分析することで、悪意のある活動を特定する。静的な指標や既知のシグネチャに依存するのではなく、この手法は攻撃者の行動パターンと一致する移動、通信、進行のパターンを評価する。

この変化が重要なのは、活動の見方を変えるからだ。チームはアラートを孤立した事象として扱うのではなく、行動がどのように変化するか、どの程度の速さで進行するか、そしてそれが組織にとってどのレベルのリスクを示すかを評価する。

振る舞い 検知が実際に意味すること

実際には、悪意のある活動は単発の事象ではなくパターンを通じて特定される。個々の行動は単独では無害に見えるかもしれないが、時間をかけて結びつけられると、明確な攻撃の経緯が明らかになる。

このコンテキストにより、チームは通常の活動と、進行中の侵入行為（調査や対応が必要なケース）を区別できます。その判断を行うため、アナリストは多段階攻撃で頻繁に確認される反復的な行動パターンを監視します。具体的には以下の通りです：

• コマンド・アンド・コントロール活動 攻撃者のアクセスを確立または維持する
• 偵察行動 システム、サービス、または特権を発見するために使用される
• 横方向の移動 初期アクセス後の内部システム間における
• データ漏洩活動 試行または進行中のデータ窃取を示唆するもの

脅威の規模と攻撃速度の評価方法

脅威は、環境内で行動が時間とともにどのように進展するかに基づいて評価される。個々のアラートに焦点を当てるのではなく、行動がどのように集積し、加速し、攻撃の複数の段階にまたがるかを評価する。

この評価では、緊急性と組織的リスクを決定づける複数の側面を考慮する。これらの側面が相まって、単に何が起きているかだけでなく、それがどれほどの 速さと 広さで展開しているかを説明する：

• 攻撃速度：偵察、指揮統制、横方向移動、情報漏洩といった各段階において、行動がどの程度の速さで現れるか
  
• 検出間隔：観測された時間軸内で検出がどれほど密接に発生するか
  
• 脅威の規模：進行速度と時間的クラスタリングから導出される総合評価

イベントベースの検知が攻撃の進行を見逃すのはなぜですか？

従来の検知手法は、悪意のある活動が既知の指標として現れるか、通常の動作からの明らかな逸脱として現れると想定している。この想定は、攻撃者が活動を分散させたり、低ボリュームで動作したり、意図的に予想されるトラフィックに溶け込ませたりする場合に破綻する。

行動ベース分析が存在する理由はここにある：エンティティと時間軸を跨いだ活動を相関させるためだ。この相関がなければ、初期段階の侵害は見過ごされ、孤立した異常現象に注意が向けられる可能性がある。一般的な失敗パターンには以下が含まれる：

• 既知の指標と一致しない、微妙な指揮統制活動
  
• 初期アクセスポイントが不明な多段階侵入
  
• 単独では無害に見える複数のプロトコルに分散した脅威活動
  
• 初期段階が相互に関連付けられていなかったため、情報漏洩の検知が遅れた
  

攻撃者がネットワーク、ID、クラウドを横断して移動する様子を可視化します。攻撃グラフは時間軸とエンティティを横断した行動を相関分析し、アナリストが攻撃の起源を追跡し、影響範囲を把握し、確信を持って迅速に対応できるようにします。

攻撃グラフが攻撃者の行動を単一の調査ビューに統合する仕組みをご覧ください →

攻撃のタイムラインにおける主要な振る舞い

行動は、アナリストが観測された活動をタイムライン上に配置できる場合に初めて対応可能なものとなる。これにより、侵入がどのように展開したか、また現在も進行中であるかどうかが明確になる。

SOCチームは通常、攻撃者の進行段階を反映したいくつかの広範な段階にわたる行動を評価します。これらの段階はチェックリストではなく、文脈の中で活動を解釈するための参照モデルです：

1. システム、サービス、またはアイデンティティをマッピングするための初期偵察
   
2. 支配を確立または維持する持続的な外部コミュニケーション
   
3. 追加のシステムやアカウントへのアクセスを拡大する横方向の移動
   
4. データ窃取または侵害の影響を示す情報漏洩活動
   

SOCにおける運用への影響

振る舞い 、活動が時間軸に沿って展開する様子を示すことで、調査と対応時の不確実性を低減します。長い活動ウィンドウを手作業でつなぎ合わせる代わりに、チームは作業の優先順位をより明確に設定し、より確信を持って行動できます。

実際には、チームはこのコンテキストを活用して、インシデント対応中の重要な意思決定を支援します：

• 緊急性と進行度に基づいて調査の優先順位を決定し、アラートの量に基づくものではない
  
• 活動が単独のものか、より広範な侵入の一部であるかの検証
  
• 対応措置実施前に範囲、タイムライン、影響を受けるエンティティを確認する
  
• 長期間にわたるテレメトリーデータのレビュー時の認知負荷の軽減
  

限界と誤解が生む盲点

攻撃者の進行状況をより明確に把握できることは、調査やアナリストの判断に取って代わるものではない。振る舞い 最終的な答えとして依存することは、新たな盲点を生み出す可能性がある。

チームは、これらのよくある誤解を積極的に避ける必要があります：

• 振る舞い 疑わしいパターンを示すのではなく、侵害を確認したと仮定する
  
• 緊急度や重要度のスコアを意思決定支援ではなく、意思決定そのものとして扱うこと
  
• あるデータストリームに異常が検出されないことは、侵害の不在を意味する
  
• 代替通信経路や追加の影響を受けるエンティティの軽視
  

Vectra 攻撃者の行動を時間軸とエンティティ間で相関させる方法

振る舞い における中核的な課題の一つは、単発の事象を評価するだけでなく、脅威が時間とともにどのように進化するかを理解することである。活動が複数のプロトコル、ツール、サービスに分散し、しばしば一見無害な行動に偽装されている場合、緊急性と影響範囲を正確に解釈するには相関分析が不可欠となる。

Vectra 、エンティティ間における攻撃者の相関行動と進行を重視することでこの課題に対処します。焦点は、脅威がどのように進展するか、どのエンティティが関与するか、そして対応決定が正当化される場所を反映した攻撃プロファイルの構築にあります。

このアプローチは、チームが以下の複数の領域で明確性を得るのに役立ちます：

どのチームがより明確に見ることができるか

• 偵察、指揮統制、横方向移動、および脱出が単一の攻撃シナリオにどう結びつくかどのエンティティが最も緊急性の高い進行パターンを示すか
  
• 活動が単一であるか、複数のシステムやチャネルにまたがるか
  

何が決めやすくなるのか

• 振る舞い に基づいて調査努力を集中すべき箇所
  
• 対応措置が相関する証拠によって正当化される場合
  
• 影響を受けるエンティティの範囲を特定し、正確なタイムラインを確立する方法
  

どのようなリスクが軽減されるのか

• 単一データソースへの依存による妥協の機会を逃した
  
• 緊急性の誤った解釈による封じ込めの遅れ
  
• 不完全なスコープ設定により、追加の影響を受けるエンティティが発見されない状態

偵察から対応までの攻撃の全容を明らかにし、チームが確信と緊急性を持って行動できるようにする。

Vectra 攻撃者の行動をVectra 方法を詳しく見る →