IBMの「2025 Cost of Data Breach Report」によると、平均的なサイバー攻撃は181日間発見されないままである。この間、攻撃者はネットワークを横方向に移動し、機密データを盗み、組織に壊滅的な打撃を与える永続的な足場を築く。従来のセキュリティ・ツールは既知の脅威を検知しますが、巧妙な攻撃者は自動検知を回避するために意図的に攻撃を仕組んでいます。この検知のギャップは、防御者がアラートを待つのではなく、積極的に脅威を探し出すという、根本的に異なるアプローチを要求しています。
スレット・ハンティングは、このリアクティブなセキュリティ・モデルをプロアクティブな分野に変えます。自動化された脅威検知システムだけに頼るのではなく、熟練したアナリストが仮説に基づいた調査と振る舞い 分析によって、隠れた敵を積極的に探し出します。成熟した脅威ハンティング・プログラムを導入している企業では、検知 平均時間が数カ月から数時間に短縮され、重大な被害が発生する前に致命的な侵害を防いでいます。SANS 2024の調査によると、現在51%の組織がアクティブなハンティング・プログラムを維持しており、このプロアクティブなアプローチは、高度な機能から不可欠なセキュリティ機能へと進化しています。
脅威ハンティングとは、既存のセキュリティ・ソリューションを回避する高度な脅威を検知 隔離するために、ネットワーク、エンドポイント、データ・セットを探索するプロアクティブな手法である。既知のシグネチャや事前に定義されたルールに依存する自動化されたセキュリティ・ツールとは異なり、脅威ハンティングでは、敵対者がすでに環境に存在していることを前提とし、その活動の証拠を積極的に探します。この人間主導のプロセスでは、技術的専門知識、脅威インテリジェンス、振る舞い 分析が組み合わされ、従来のセキュリティ・コントロールが見逃していた高度な攻撃を発見します。
脅威ハンティングの台頭は、セキュリティ哲学の根本的な変化を反映している。より高い壁を築いて攻撃者が侵入してこないことを願うのではなく、組織は現在、「侵入を想定する」という考え方の下で活動している。このアプローチは、決意の固い敵(特に高度な持続的脅威)が最終的に境界防御を突破することを認めるものである。問題は、攻撃が成功するかどうかではなく、すでに侵入した脅威を防御側がどれだけ迅速に発見し、排除できるかどうかである。
重要な専門用語がこの分野を定義している。仮説に基づくハンティングは、潜在的な攻撃者の行動に関する経験則に基づく仮定から始まり、その理論を証明または反証するためにデータを調査する。TTPベースのハンティングは、以下のようなフレームワークで文書化された戦術、技術、手順に焦点を当てる。 MITRE ATT&CK.振る舞い分析では、malware 存在しない場合でも、悪意のある活動を示すパターンや異常を調査します。これらの方法論は、自動化システムが見逃している脅威を明らかにするために連携します。
プロアクティブ・ハンティングの効果は測定可能であり、大きなものである。成熟したプログラムを導入している組織では、業界平均の181日ではなく、数時間から数日で侵害を検知 います。このような滞留時間の劇的な短縮は、データ暴露を制限し、横の動きを防ぎ、復旧コストを最小限に抑えます。攻撃が高度化し、侵入の81%がmalware介さずに発生するようになった現在、シグネチャではなく行動に基づいてハントする能力は、最新のセキュリティ運用にとって不可欠なものとなっています。
脅威ハンティングと脅威検知はどちらもセキュリティ・インシデントを特定することを目的としていますが、両者は基本的に異なるメカニズムと哲学によって動作します。脅威検知は、自動化されたシステム、事前に定義されたルール、および既知の侵害の指標に依存し、疑わしい活動が確立されたパターンに一致した場合にアラートを生成します。このようなリアクティブ・システムは、既知の脅威を捕捉することには優れていますが、新奇な攻撃、zero-day 、通常業務に紛れ込んだ生き馬の目を抜くような手法には苦戦します。
逆に、脅威ハンティングは、アラートを待つことなく脅威を探索する、プロアクティブな人間主導の活動である。Hunters 潜在的な攻撃者の行動について仮説を立て、データを調査して侵害の証拠を発見する。このアプローチは、未知の脅威を発見し、検知範囲のギャップを特定し、自動化システムが見逃す攻撃パターンを明らかにする。検知は "何か悪いことが起こったのか?"を問うのに対し、ハンティングは "環境について何がわかっていないのか?"を問う。
これらのアプローチの相補的な性質は、全体的なセキュリティ態勢を強化する。検知システムは既知の脅威の量を処理するため、ハンターは高度な敵対者に集中することができます。ハンティングで発見された脅威は検知ルールにフィードバックされ、自動化された機能を継続的に向上させます。これらを組み合わせることで、既知の脅威と未知の脅威の両方に対処する「深層防御」が実現します。
効果的な脅威ハンティングは、生のセキュリティデータを実用的な脅威インテリジェンスに変換する構造化された方法論に従って行われます。このプロセスは、新しい攻撃手法、異常な行動パターン、環境リスクに基づく仮説形成などの脅威インテリジェンスをトリガーとして始まります。その後、Hunters 、潜在的な侵害に関する理論を証明または反証するために、さまざまなデータソースと分析技術を使用して体系的な調査に着手します。
3段階のハンティング・サイクルにより、セキュリティ態勢を継続的に改善します。トリガー・フェーズでは、新たな脅威情報への対応、異常の調査、防御の前提条件のテストなど、ハンティングの焦点を定めます。調査段階では、ハンターは侵害や攻撃の兆候を特定するために、専門的なツールやテクニックを使用して膨大なデータセットを分析します。解決フェーズでは、発見された脅威を確認して修復するか、あるいは否定的な発見を文書化して今後のハントを改良します。
データ収集は、成功するハンティング・オペレーションの基盤を形成する。組織は、エンドポイント、ネットワーク、クラウド・サービス、アイデンティティ・システムからのログを集約し、包括的な可視性を提供する必要がある。このデータは、ハンターが複雑なクエリーを実行できる一元化されたプラットフォームに保存される前に、正規化とエンリッチメントが行われます。必要とされるデータの量と種類は、従来のSIEMの能力を超えることが多く、データレイクや特化したハンティング・プラットフォームの採用を促進しています。
MITRE ATT&CK フレームワークは、ハンティング活動に極めて重要な構造を提供します。敵の行動を特定のテクニックや戦術にマッピングすることで、ハンターは各攻撃ステージの証拠を体系的に検索することができます。特定のmalware シグネチャを探すのではなく、PowerShellの異常な使用、異常なネットワーク接続、不審なプロセス作成チェーンのような振る舞い パターンを探します。このTTPベースのアプローチは、敵が使用する特定のツールに関係なく攻撃を捕捉します。
インテリジェンス主導型と仮説主導型のアプローチは、相補的なハンティング戦略を提供する。インテリジェンス主導型のハンティングは、まず特定の脅威行為者のプロファイルやキャンペーン指標から始め、既知の敵の存在を示す証拠を探します。仮説駆動型のハンティングは、環境の脆弱性や王冠資産に基づく「もしも」のシナリオから開始し、攻撃者がこれらの弱点を悪用するかどうかを調査します。どちらの方法論も、侵害を示す微妙な逸脱を特定するためには、通常業務を深く理解する必要がある。
体系的なハンティング・プロセスにより、業務効率を維持しながら徹底的な調査を行うことができる。この構造化されたアプローチは、チームの枠を超え、文書化された手順と測定可能な結果を通じて継続的な改善を可能にします。
この反復プロセスにより、組織的な知識が構築され、時間の経過とともに検知能力が向上する。各ハンティングは、その成否にかかわらず、環境の可視性、検知のギャップ、敵のテクニックに関する貴重な洞察を提供します。通常、組織では、構造化されたハンティング・プログラムの最初の1年で、検知率が30~40%向上します。
現代の脅威ハンティングは、複雑なIT環境における隠れた脅威を発見するために、多様な手法を採用しています。これらの手法は、静的な指標ではなく、敵の行動に焦点を当てながら、さまざまなデータタイプ、攻撃パターン、組織の状況に適応します。
ベースライン分析では、ユーザー、システム、アプリケーションの通常の行動パターンを確立し、侵害を示唆する逸脱を特定します。Hunters 、典型的なログイン時間、データ転送量、プロセス実行をプロファイリングし、時間外のアクセスや異常なデータ移動などの異常を発見します。この技術は、攻撃者が合法的な活動に紛れ込もうとする内部脅威や漏洩した認証情報の検出に優れています。
頻度分析では、特定のイベントの発生率を調査し、攻撃に関連する異常値や稀な動作を特定します。プロセスの作成頻度、ネットワーク接続パターン、認証の試行などを分析することで、ハンターは、通常業務に比べて発生頻度が高すぎる(自動化された攻撃)、または発生頻度が低すぎる(ステルス型の永続化メカニズム)悪意のある活動を発見します。
スタック・カウンティングでは、プロセスの関係と実行チェーンを分析し、疑わしい親子関係を特定する。正当なプログラムは予測可能な実行パターンに従いますが、攻撃者は防御回避のために通常とは異なるプロセスツリーを使用することがよくあります。Hunters プロセスの系譜を調査し、Microsoft WordがPowerShellをスポーンしたり、予期しない親を持つシステム・プロセスをスポーンしたりするような異常を見つけます。
クラスタリングと機械学習技術は、類似した行動をグループ化し、潜在的な脅威を示す異常値を識別します。教師なし学習アルゴリズムは、確立されたクラスタに一致しない活動を特定することで、これまで知られていなかった攻撃パターンを検知 します。これらの高度な技術は、膨大なデータセットに対応し、人間の分析者が見逃してしまうような微妙な攻撃指標を発見します。
タイムライン分析では、イベントのシーケンスを再構築し、攻撃の進行と範囲を理解します。ハンターは、複数のシステムやデータソースのアクティビティを関連付けることで、最初の侵害からデータ流出までの完全な攻撃シナリオを作成します。この手法により、横方向の動きのパターンが明らかになり、攻撃の影響と起因の特定に役立ちます。
PEAKフレームワーク(Prepare、Execute、Act、Knowledge)は、ハント活動にさらなる構造を提供する。この方法論は、脅威モデリングによる準備、定義された手順による体系的な実行、発見事項に対する迅速な対応、そして今後のハンティングを改善するための知識管理に重点を置いています。PEAKを導入している組織では、脅威の発見が45%速くなり、チームメンバー間のハント品質がより一貫していることが報告されています。
現代の脅威ランドスケープでは、多様な攻撃カテゴリにまたがるハンティングが要求され、それぞれに特化したテクニックや重点分野が必要とされています。CrowdStrikeの報告によると、侵入の81%はmalware。この進化により、ハンターは従来のファイルベースのインジケータではなく、振る舞い パターンに焦点を当てることを余儀なくされています。
クラウド環境は、2025年中にクラウドへの侵入が136%増加するというユニークなハンティングの課題を提示している。攻撃者は、誤った設定のストレージバケットを悪用し、コマンド&コントロールのために正規のクラウドサービスを悪用し、永続性のためにAPIキーを活用する。Hunters 、リソースのハイジャック、サーバーレス関数の悪用、コンテナのエスケープなど、クラウドネイティブの攻撃手法を理解する必要がある。クラウドリソースは刹那的であるため、継続的な監視と、自動スケーリングインフラストラクチャに適応した特殊な技術が必要となる。
インサイダーの脅威とクレデンシャルの不正使用は、振る舞い ハンティング・アプローチを必要とする永続的なリスクである。悪意のあるインサイダーの脅威は正当なアクセスを活用するため、従来の手段による検知はほぼ不可能です。Hunters 、ユーザーの行動パターン、データ・アクセスの異常、特権昇格の試みを分析し、潜在的な内部者の活動を特定します。侵害された認証情報により、外部の攻撃者は正当なユーザーになりすますことができるため、認証パターン、不可能な移動シナリオ、公開されたシステムへの異常なアクセスパターンの相関関係が必要となります。
何千もの組織に影響を与えた有名な侵害事件を受けて、サプライチェーンの侵害は、重要なハンティングの焦点として浮上している。攻撃者は、ソフトウェア・ベンダー、マネージド・サービス・プロバイダー、テクノロジー・サプライヤーを標的とし、複数の被害者に同時にアクセスできるようにします。Hunters 、サードパーティの接続を検査し、ソフトウェアの完全性を検証し、上流の侵害の指標を監視する必要があります。Trellix Intelligence Reportでは、2025年4月から9月までの間に540,974件のAPTが検知されたことが報告されており、サプライチェーンを狙った攻撃の割合が増加しています。
AIが生み出す脅威が新たな狩猟の課題をもたらす。 フィッシングおよび適応型malware機械学習を導入している。XenWareのような例は、シグネチャの検出を回避するポリモーフィックなコードを生成するAIの能力を実証しています。Hunters 、AIが生成したコンテンツを識別し、自動化された攻撃パターンを検知 し、機械が生成したソーシャル・エンジニアリングの試みを認識するための新たな技 術を開発する必要があります。AI能力の急速な進化には、ハンティング手法の継続的な適応が必要である。
通信部門は特にプレッシャーに直面しており、73.4%の組織が2025年の標的型攻撃を報告している。医療機関は、医療機器の脆弱性を悪用し、患者データを標的にしたランサムウェアキャンペーンに直面している。金融サービスは、人工IDやAIを駆使したソーシャル・エンジニアリングを利用した高度な詐欺スキームに立ち向かっている。各業界では、業界特有の脅威やコンプライアンス要件に対応した、カスタマイズされたハンティング・アプローチが必要とされている。
malware攻撃が蔓延しているにもかかわらず malware洗練された攻撃者は、特定の目的に特化したカスタムツールを導入するため、マルウェア・ハンティングは依然として重要です。現代のmalware ハンティングは、シグネチャ・ベースの検出を超越し、難読化技術に関係なく悪意のあるコードを明らかにする、振る舞い インジケータ、ネットワーク・パターン、およびシステムの異常に焦点を当てています。
malware 、完全にメモリ内で動作するため、シグネチャベースの検出のための従来のアーティファクトを残しません。Hunters 、プロセス・メモリ、レジストリの変更、Windows Management Instrumentation (WMI) アクティビティを調査し、これらの脅威を特定します。PowerShellロギング、コマンドライン監査、スクリプトブロック分析により、ディスクに触れることなく実行される悪意のあるスクリプトを特定します。高度な永続メモリ分析により、注入されたコード、リフレクティブ DLL インジェクション、プロセス空洞化テクニックを発見します。
ランサムウェアの検出には、攻撃が成功した場合の壊滅的な影響を考えると、多層的なハンティング・アプローチが必要です。Hunters 、暗号化イベントに先行するネットワーク・スキャン、アカウントの列挙、権限の昇格などの前兆活動を監視します。ファイルシステム分析では、ファイルの大量変更、暗号化を示すエントロピーの変更、シャドウコピーの削除を特定します。ネットワーク・トラフィック解析により、コマンド・アンド・コントロール通信やデータ・ステージングを特定します。ALPHV/BlackCatランサムウェアファミリーは、Linuxをターゲットとする亜種やクラウドを意識した亜種へと進化しており、ハンティング範囲の拡大が必要であることを示しています。
ポリモーフィックおよびメタモーフィックなmalware 、絶え間ない変異によって従来の検知に挑戦します。Hunters 、ファジーハッシュ、振る舞い クラスタリング、コード類似性分析を使用して亜種を特定します。malware ファミリーに訓練された機械学習モデルは、静的なシグネチャではなく、振る舞い パターンに基づいて新しい亜種を検知 します。疑わしいファイルをサンドボックス化し、実行トレースを分析することで、難読化レイヤーの下に隠された真の機能を明らかにします。
ネットワークベースのmalware ハンティングでは、コマンド・アンド・コントロールの指標となる通信パターンを調査します。定期的なビーコン送信、DNSトンネリング、疑わしい宛先への暗号化されたチャネルは、感染の可能性を示します。Hunters 、異常なデータ転送のネットフローデータを分析し、証明書の異常を調べ、既知の悪意のあるインフラストラクチャを監視します。暗号化トラフィックへの移行には、SSL/TLS 検査機能と暗号化振る舞い 分析が必要です。
脅威ハンティングのテクノロジー・スタックは、現代の攻撃の高度化と規模の要件に対応するために劇的に進化している。企業は現在、ハイブリッド環境全体で包括的な可視性を提供するために、エンドポイント検出と対応(EDR)、ネットワーク検出と対応、クラウド・セキュリティ機能を組み合わせた統合プラットフォームを導入している。SANS 2024の調査によると、脅威の複雑化に対応するため、47%の組織がAIと機械学習の導入を計画しており、適切なツールの選択が攻撃の有効性に大きく影響します。
SIEMプラットフォームは、ログの集約、相関、検索機能を通じて、脅威ハンティングの基盤となる機能を提供する。Microsoft Sentinelのような最新のSIEMソリューションには、異常検知と自動脅威ハンティングのための機械学習が組み込まれている。これらのプラットフォームは、クロスドメインの可視化とコンプライアンスレポートを得意としますが、高度なハンティングに必要なデータ量と専門的な分析に苦戦する可能性があります。組織は通常、より深い調査機能を実現するために専門のハンティングツールでSIEMを補強し、検出精度を向上させるためにSIEMの最適化戦略を実施することが多い。
EDRプラットフォームは、プロセスの実行、ファイルシステムの変更、ホストレベルでのネットワーク接続を詳細に可視化することで、エンドポイントベースのハンティングに革命をもたらしました。CrowdStrike Falcon や Microsoft Defender for Endpoint のようなソリューションは、ハンターが過去のエンドポイントデータを照会し、疑わしい行動を調査し、リモートで脅威に対応することを可能にします。EDR 脅威ハンティングは、詳細な遠隔測定データを活用して、プロセスインジェクション、横移動、永続化メカニズムなどの攻撃者のテクニックを明らかにします。これらのプラットフォームが提供する詳細なデータにより、攻撃のタイムラインを正確に再構築することができます。
XDR(Extended Detection and Response)プラットフォームは、エンドポイント、ネットワーク、クラウドワークロード、メールシステムにまたがるセキュリティ遠隔測定を統合します。この全体的なアプローチにより、ハンターはツールを切り替えることなく、複数のドメインのアクティビティを相関させることができます。XDRソリューションは、最初の調査ステップを自動化し、AI主導 分析によって優先順位の高い調査を浮上させ、統合されたレスポンス機能を提供します。この統合により、ツールの乱立が減り、一元化されたワークフローによってハント業務が加速します。
ネットワーク検知・対応プラットフォームは、ネットワーク・トラフィックを分析し、エンドポイント・ツールが見逃す脅威を特定します。東西トラフィック、暗号化通信、プロトコルの異常を調査することで、NDR ソリューションは横の動き、データ流出、コマンド&コントロール活動を検知 します。高度なNDRプラットフォームは、機械学習を採用して、振る舞い ベースラインを確立し、侵害を示す逸脱を特定します。ネットワーク・メタデータを大規模に分析する能力により、パフォーマンスに影響を与えることなく、大企業全体で調査を行うことができます。
クラウドネイティブ・ハンティングには、エフェメラルなインフラやAPI駆動環境に適応した専用ツールが必要だ。クラウド・セキュリティ・ポスチャ管理(CSPM)ツールは、攻撃者が悪用する誤設定やコンプライアンス違反を特定する。クラウド・ワークロード・プロテクション・プラットフォーム(CWPP)は、コンテナやサーバーレス機能のランタイム・セキュリティと振る舞い 監視を提供する。AWS GuardDutyやAzure Sentinelのようなネイティブのクラウドプロバイダーツールは、クラウド固有のテレメトリを活用した統合的な脅威検知を提供する。クラウドインフラストラクチャは分散型であるため、拡張性が高く、複数のクラウドプロバイダにまたがる統合的な可視性を提供するツールが必要です。
適切な脅威ハンティング・ソリューションを選択するには、組織のニーズ、脅威の状況、運用の成熟度に照らして機能を評価する必要がある。以下のフレームワークは、組織が重要な次元でハンティング・プラットフォームを評価・比較するのに役立つ。
プラットフォームの評価基準は、データカバレッジ、クエリー機能、統合オプションを優先すべきである。効果的なソリューションは、包括的な遠隔測定収集、仮説検証のための直感的なクエリー言語、自動化のための堅牢な API を提供する。データ量が指数関数的に増加するにつれて、スケーラビリティが重要になる。性能ベンチマークには、過去のデータに対するクエリー速度、リアルタイムのストリーミング分析機能、同時ユーザーサポートなどが含まれる。
統合機能は、既存のセキュリティ・アーキテクチャにおけるプラットフォームの有効性を決定します。脅威インテリジェンスフィードとのネイティブな統合により、新たな指標に基づくプロアクティブなハンティングが可能になります。SOARプラットフォームとの連携により、発見されたハンティング情報に基づく対応アクションを自動化します。ケース管理の統合により、ハンターとインシデント対応者のスムーズなハンドオフを実現します。Vectra AIプラットフォームは、ネットワーク、エンドポイント、アイデンティティの検知とAI主導 優先順位付けを組み合わせた統合型アプローチの一例です。
コストの検討は、ライセンス供与にとどまらず、インフラ、トレーニング、運用上のオーバーヘッドにまで及ぶ。HELKのようなオープンソースのソリューションは、有能なハンティング・プラットフォームを提供するが、かなりの専門知識とメンテナンスを必要とする。商用プラットフォームは、マネージドサービスとサポートを提供しますが、割高です。組織は、差し迫ったニーズと長期的なスケーラビリティ要件の両方を考慮し、総所有コストと能力のバランスを取る必要がある。
EDRプラットフォームは、攻撃サーフェスの大部分を占めるエンドポイントのアクティビティに前例のない可視性を提供し、脅威ハンティングに不可欠なものとなっています。これらのソリューションは、すべてのプロセス実行、ファイル変更、レジストリ変更、ネットワーク接続に関する詳細なテレメトリを取得し、ハンティングのための豊富なデータセットを作成します。きめ細かなデータにより、ハンターはプロセスインジェクション、権限昇格、リビングオフザランド攻撃など、従来のアンチウイルスが見逃していた高度なテクニックを検知 ことができます。
最新のEDRハンティング機能は、履歴データ全体の複雑な調査を可能にする柔軟なクエリ言語が中心となっています。Hunters 、外部ソースからコンテンツをダウンロードするPowerShellスクリプトや、悪用を示す異常な親子プロセス関係など、特定の攻撃パターンを特定するためのクエリを構築します。高度なプラットフォームは、脅威インテリジェンスの統合をサポートし、管理対象のすべてのエンドポイントにおける指標を自動的に探し出します。リアルタイムのストリーミング分析により、不審な挙動が発生した時点で特定するため、攻撃者が目的を達成する前に直ちに調査することが可能です。
EDRプラットフォーム内の振る舞い分析エンジンは、正常なエンドポイント・アクティビティのベースラインを確立し、侵害を示唆する逸脱を検知 します。機械学習モデルは、シグネチャではなく、実行特性に基づいて未知のmalware 識別します。現在、攻撃の81%が正規のツールやmalwareテクニックを使用していることを考えると、これらの機能は不可欠です。EDRプラットフォームはまた、攻撃の連鎖を可視化し、最初の侵害から横の動きやデータ・アクセスに至るまで、イベントの完全なシーケンスを表示します。
EDRハンティングと統合されたレスポンス機能は、脅威の軽減を加速します。脅威を発見すると、ハンターは直ちに影響を受けたエンドポイントを隔離し、悪意のあるプロセスを終了させ、永続化メカニズムを削除することができます。リモート調査機能により、エンドポイントに物理的にアクセスすることなく詳細なフォレンジックを行うことができます。一部のプラットフォームでは、脅威の発見に基づいて事前に定義されたアクションを実行する自動レスポンス・プレイブックを提供しており、レスポンスに要する平均時間を数時間から数分に短縮できます。
クラウド・ワークロード・プロテクションは、仮想マシン、コンテナ、サーバーレス環境にEDRハンティングを拡張します。これらの特殊なEDRは、コンテナのドリフト、自動スケーリング、エフェメラルなインフラストラクチャなど、クラウド特有の課題に対応します。クラウドプロバイダーのAPIと統合することで、クラウド特有のサービスや権限を悪用する攻撃を特定し、クラウドのコントロールプレーン全体でハンティングが可能になります。企業がハイブリッド・アーキテクチャを採用するにつれ、オンプレミスとクラウドのエンドポイントを統合したEDRの適用範囲は、包括的な脅威ハンティングに不可欠となっています。
IBMの2025年調査によると、プロアクティブな脅威ハンティングにより、侵害のライフサイクルは現在の平均241日から、成熟したプログラムを持つ組織では24時間以内に劇的に短縮される。この高速化により、攻撃者はデータの流出、ランサムウェアの展開、持続的アクセスの確立といった目的を達成することができなくなる。重要なのは、明らかな指標を待つのではなく、侵害を想定した継続的な仮説検証にある。
脅威インテリジェンスを使用した仮説形成は、抽象的な脅威データを実行可能なハンティング・ミッションに変換します。Hunters 、脅威行為者のプロファイル、キャンペーン指標、攻撃テクニックを分析し、潜在的な侵害行為に関する具体的な仮説を立てます。例えば、特定のPowerShellテクニックを使用して電気通信業界を標的とする脅威行為者に関するインテリジェンスは、そのような正確な行動に対するハンティングを推進します。このようなインテリジェンス主導のアプローチにより、組織が直面する可能性が最も高く、かつ影響力の大きい脅威に焦点を当てたハンティングを実施します。
振る舞い分析は、既知のシグネチャに依存することなく異常を特定することで、脅威検知に革命をもたらします。機械学習アルゴリズムは、ユーザー行動、システム操作、ネットワーク・トラフィック・パターンのベースラインを確立します。これらのベースラインからの逸脱(異常なログイン時間、異常なデータアクセスパターン、非典型的なネットワーク接続など)は、調査のトリガーとなります。このアプローチは、シグネチャベースのツールが見逃してしまう内部脅威、漏洩した認証情報、zero-day 捕捉します。高度なプラットフォームは、複数のドメインにまたがる行動を相関させることで、誤検知を減らし、信頼性の高い脅威を浮上させます。
自動化されたレスポンスと封じ込め機能は、ハンティングによる発見の価値を高めます。脅威が確認されると、自動化されたワークフローは直ちに影響を受けたシステムを隔離し、侵害されたアカウントを無効にし、悪意のあるインフラをブロックします。この迅速な対応により、横の動きを防ぎ、侵害の影響を限定することができます。ハンティング・プラットフォームとセキュリティ・オーケストレーション・ツールの統合により、自動化された証拠収集、関係者への通知、修復の検証といった複雑な対応シナリオが可能になります。企業は、ハンティングをトリガーとした自動化により、インシデント対応時間を78%短縮できたと報告しています。
脅威ハンティングによる予防の成果は、直接的な脅威の緩和だけにとどまりません。ハンティングを実施するたびに、検知のギャップを特定し、セキュリティ対策を検証し、対応手順を改善することで、全体的なセキュリティ態勢が向上します。ハンティングによって発見された教訓は、継続的な改善サイクルに反映され、同様の攻撃に対する防御が強化されます。成熟したハンティング・プログラムを導入している組織では、事後対応のみのアプローチと比較して、侵入の成功件数が60%減少し、侵入コストが85%削減されたと報告されています。
実際の事例が、ハンティングの効果を証明している。数百万人の患者に影響を与えたChange Healthcareの情報漏えいは、数週間発見されなかった最初の侵害指標をプロアクティブにハンティングすることで防げた可能性がある。国家による標的型攻撃に直面している通信プロバイダーは、重要なインフラが危険にさらされる前に脅威を特定し、排除するために継続的なハンティングを行っている。金融機関は、詐欺のスキームを検知 し、数百万ドルの損失を防ぐために、24時間365日のハンティング・オペレーションを採用している。
効果的なプロアクティブ・ハンティングを実施するには、体系化された方法論、熟練した人材、そして結果に基づく継続的な改良が必要である。これらのベストプラクティスは、各業界で成功したプログラムから導き出されたもので、業務効率を維持しながらハンティングの効果を最大化します。
これらの実践により、一貫した価値を提供する持続可能なハンティングプログラムが構築されます。構造化されたアプローチを導入している組織では、その場限りのハンティングに比べ、脅威の発見率が3倍高く、調査が50%迅速であることが報告されています。
効果的な脅威ハンティング能力を構築するためには、定義された成熟度レベルを通じて構造的な進歩を遂げることが必要であり、それぞれが洗練された価値を高めていく。Sqrrlが独自に開発し、現在コミュニティによって維持されている脅威ハンティング成熟度モデル(HMM)は、現在の能力を評価し、進歩を計画するためのフレームワークを提供する。組織は通常、HMM0(ハンティングなし)からHMM4(最先端の能力)までの5つのレベルを経て進歩する。
HMMレベル0(初期)は、プロアクティブ・ハンティングを行わず、完全に自動化されたアラートに依存している組織を表す。セキュリティチームは、インシデントを検知した後に対応するが、隠れた脅威を積極的に探索することはない。このような反応的な態勢では、自動検知を回避する巧妙な攻撃に対して脆弱なままとなる。ほとんどの組織は、アラートのトリアージとインシデント対応に重点を置いたセキュリティ運用を、ここから始めています。
HMMレベル1(最小)では、脅威インテリジェンス指標を使用した基本的なハンティングを導入している。アナリストは脅威のフィードから特定のIOCを検索するが、包括的なデータ収集には欠ける。ハンティングは主に反応的なものにとどまり、内部の仮説よりも外部のインテリジェンスがトリガーとなる。このレベルの組織は通常、標的を絞ったIOC検索によって脅威検知率を20~30%向上させることができる。
HMMレベル2(手順型)は、構造化された調査手順を確立し、データ収集を拡大する。チームは文書化されたプレイブックに従い、調査のためにSIEMまたはEDRプラットフォームを活用する。仮説の作成が開始されますが、依然として既知の攻撃パターンに大きく依存しています。このレベルは最低限実行可能なハンティング機能であり、自動化だけよりも40~50%多く脅威を検出できる。
HMMレベル3(イノベーティブ)では、経験豊富なハンターが新たな検知テクニックやカスタム分析を開発します。チームは環境理解や脅威状況の分析に基づき、積極的に仮説を立てます。高度なプラットフォームにより、多様なデータソースにまたがる複雑な調査が可能になります。企業は平均検知時間を60~70%改善し、深刻な被害が発生する前に高度な脅威を検知します。
HMMレベル4(リーディング)は、継続的なオペレーションと高度な自動化を備えた世界トップクラスのハンティングプログラムです。機械学習が人間の専門知識を補強し、大規模なハンティングを可能にします。チームは脅威インテリジェンス・コミュニティに貢献し、新しい検知手法を開発しています。これらの組織は、ほぼリアルタイムの脅威検知と防御を実現し、業界のモデルとなっています。
ハンティングへの投資を正当化し、その価値を実証するためには、ROIの測定が不可欠となる。主要なパフォーマンス指標には、ハントごとに発見された脅威、滞留時間の短縮、潜在的な侵害の防止などが含まれます。財務指標では、インシデントの防止、調査時間の短縮、セキュリティ態勢の改善によるコスト回避を計算します。SANS 2024 Threat Hunting Surveyによると、現在、64%の組織がハンティングの効果を測定しており、成熟したプログラムでは、侵害の防止とインシデントコストの削減によって10:1のROIを実証しています。
PEAKフレームワークは、戦術的な実施ガイダンスを提供することで、成熟度モデルを補完する。構造化されたフレームワークを採用している組織では、成熟度の進展がより速く、ハンティングの成果がより一貫していることが報告されている。進歩の鍵は漸進的な改善にあり、高度な技術を試みる前に基礎的な能力を構築する。ほとんどの組織では、HMM0からHMM2への進歩に18~24ヶ月を要し、継続的な進歩は、継続的な投資とリーダーシップの支援にかかっている。
企業がAIを活用したソリューション、マネージドサービス、クラウドネイティブなアーキテクチャを採用し、進化する脅威に大規模に対応することで、脅威を発見する状況は急速に変化している。SANS 2024の調査によると、組織の47%がAIと機械学習の導入を計画しており、機械学習は人間の専門知識を補強し、手作業では分析に圧倒されるような膨大なデータセットから継続的かつ自動化された脅威の発見を可能にします。
AIを活用した継続的なハンティングは、脅威検知能力における最も重要な進歩である。機械学習モデルは何十億ものイベントをリアルタイムで分析し、侵害を示す微妙なパターンや異常を特定します。これらのシステムは調査のたびに学習し、検知精度を継続的に向上させ、誤検知を減らします。自然言語処理により、ハンターは会話型インターフェイスを使用してデータを照会できるため、セキュリティ・チーム全体でハンティング機能を民主化できます。振る舞いAIは、環境の変化に適応する動的なベースラインを確立し、インフラが進化しても検知の有効性を維持します。
マネージド脅威ハンティングサービスは、多くの組織が直面する専門知識のギャップに対処する。CrowdStrike OverWatchやMandiantのようなプロバイダーは、高度なプラットフォームとグローバルな脅威インテリジェンスを使用して、専門アナリストによる24時間365日のハンティングを提供しています。これらのサービスは、社内チームを構築するためのオーバーヘッドなしに、エンタープライズグレードのハンティング機能を提供します。マネージド・デテクション&レスポンス・サービスは、ハンティングとインシデント・レスポンスを組み合わせることで、包括的なセキュリティ成果を提供します。企業では、社内に同等の機能を構築する場合と比較して、脅威の検知が70%高速化し、コストが50%削減されたと報告しています。
クラウドネイティブ・ハンティング・プラットフォームは、サーバーレス・アーキテクチャとコンテナ化されたマイクロサービスを活用し、弾力的なスケーラビリティとグローバルなリーチを提供します。これらのソリューションは、マルチクラウド環境におけるトラフィックの急増や分散攻撃に対応するために自動的に拡張されます。API駆動型アーキテクチャにより、クラウドプロバイダのサービスやサードパーティ製ツールとのシームレスな統合が可能です。AWS GuardDutyやAzure Sentinelのようなネイティブのクラウドハンティングツールは、クラウド固有の攻撃パターンを深く可視化する。クラウドネイティブアーキテクチャへの移行は、ハイブリッド環境におけるハンティングのカバレッジを向上させながら、インフラのオーバーヘッドを削減します。
自動化とオーケストレーションは、ハンティングを定期的な活動から継続的なオペレーションに変えます。自動化された仮説検証は、何千ものハンティングを同時に実行し、優先順位の高い発見を人間による調査のために浮上させます。オーケストレーション・プラットフォームは、複数のツールにまたがるハンティングのワークフローを調整することで、手作業によるハンドオフをなくし、調査を迅速化します。機械学習モデルは、成功したハンティングを自動的に検出ルールに変換し、自動化されたカバレッジを継続的に向上させます。ハンティングの自動化を導入した組織では、ハンティングの頻度が5倍増加し、調査時間が60%短縮されたと報告されています。
今後のトレンドは、人間の直感と機械知能を組み合わせた自律型ハンティングシステムである。ジェネレーティブAIは、自然言語によるハント作成とレポートの自動生成を可能にする。量子コンピューティングは、パターン認識と暗号攻撃検知に革命をもたらす。拡張現実インターフェースは、没入型の脅威可視化と調査機能を提供する。攻撃がより巧妙になるにつれ、人間の専門知識と人工知能の融合は、防衛上の優位性を維持するために不可欠となる。
Vectra AIは、静的なシグネチャや既知の指標ではなく、攻撃者の行動やテクニックに焦点を当て、Attack Signal Intelligence™のレンズを通して脅威ハンティングにアプローチします。この方法論は、洗練された敵はツールや戦術を常に進化させているが、その根底にある行動や目的は一貫していることを認識しています。攻撃者の存在を明らかにするシグナルとパターンを分析することで、このプラットフォームは、ハイブリッド環境全体でスケールする継続的な自動ハンティングを可能にします。
Vectra AIプラットフォームは人工知能を採用し、ネットワーク、エンドポイント、アイデンティティ、クラウドの各領域で24時間365日、自動的に脅威を探索します。アナリストが手作業で仮説を立て、検証するのではなく、このプラットフォームは、攻撃者の行動の兆候がないか、すべてのトラフィックとアクティビティを継続的に分析します。このアプローチにより、シグネチャベースのツールでは見逃してしまう未知の脅威やzero-day 攻撃を発見し、効果的なハンティングに必要な専門知識と時間を劇的に削減します。
実世界の攻撃データに基づいてトレーニングされた振る舞いモデルは、あらかじめ決められたルールに依存することなく、横移動、権限の昇格、データのステージングなどのテクニックを特定します。このプラットフォームは、複数のドメインにわたる一見良性に見える活動を相関させ、巧妙な攻撃キャンペーンを明らかにします。例えば、異常な認証パターンと異常なデータアクセスやネットワーク通信を組み合わせることで、個々の指標では明らかにできない内部脅威を明らかにします。この総合的なアプローチにより、調査時間を数時間から数分に短縮し、優先度の高い脅威のみを浮き彫りにします。
このプラットフォームの優先順位付けされた攻撃シグナルは、セキュリティチームを最も重要な脅威に集中させ、アラートによる疲労をなくし、効率的なリソース割り当てを可能にします。キルチェーンを通じて攻撃者の進行状況を完全に把握することで、チームは被害を防ぐために最適なポイントで介入することができます。統合されたレスポンス機能により、即座の封じ込めと修復が可能になり、ハンティングによる発見を決定的な行動に変えることができます。この方法論は業界を問わず有効であることが証明されており、これまで数カ月間気付かれなかった高度な攻撃も、24時間以内に検知できるようになりました。
自動化された防御を常に回避する高度な敵対者に組織が立ち向かう中、脅威ハンティングは高度な機能から不可欠なセキュリティ機能へと進化している。平均検出時間が181日という厳しい現実は、妥協を前提とし、隠れた脅威を積極的に探索するプロアクティブなアプローチを要求している。構造化された方法論、先進的なプラットフォーム、そしてAIを活用したソリューションにより、企業はセキュリティ体制をリアクティブからプロアクティブに転換し、数カ月ではなく数時間で攻撃を検知できるようになります。
脅威ハンティングを成功させるには、ツールやテクニックだけでなく、継続的な改善への組織のコミットメントと、人材、プロセス、テクノロジーへの投資が必要です。脅威がより巧妙になり、攻撃の自動化に人工知能が活用されるようになるにつれ、防御側も同様に、人間の専門知識と機械知能を組み合わせた高度なハンティング・ソリューションを導入する必要があります。このバランスに優れた組織は、脅威の検知、インシデント対応、および全体的なセキュリティ回復力を飛躍的に向上させることができます。
進むべき道は明確です。リスクプロファイルに適したハンティング能力を確立し、定義されたフレームワークを通じて徐々に成熟させ、進化する脅威の状況に継続的に適応することです。社内チーム、マネージド・サービス、またはハイブリッド・アプローチのいずれであっても、プロアクティブな脅威ハンティングは、持続的で高度な脅威の時代に重要な資産を保護し、事業継続性を維持するために必要な防御的優位性を提供します。
Vectra AIがAttack Signal Intelligence™を活用して、ビジネスにとって最も重要な脅威を自動的に発見し、優先順位を付ける方法をご紹介します。
脅威ハンティングの主な目的は、自動化されたセキュリティ制御を回避する高度な脅威をプロアクティブに発見し、重大な被害をもたらす前に排除することである。アラートを待つリアクティブなセキュリティ・アプローチとは異なり、脅威ハンティングは侵害の兆候を積極的に探索するため、平均検出時間は181日から数時間または数日に短縮されます。このプロアクティブな姿勢は、攻撃の初期段階で攻撃者を発見することで、データ漏洩、ランサムウェア攻撃、その他の壊滅的なインシデントを防ぎます。
脅威ハンティングには、全体的なセキュリティ態勢を強化する二次的な目的もある。チームはハンティング活動を通じて、検知範囲のギャップを特定し、セキュリティ管理の有効性を検証し、インシデント対応手順を改善する。ハンティングを実施するたびに環境に関するインテリジェンスが生成され、設定ミスやシャドーITなど、攻撃者が悪用する可能性のある脆弱性が明らかになります。成熟したハンティング・プログラムを導入している組織では、侵入成功件数の減少、インシデント対応コストの削減、セキュリティ・チームの能力向上が報告されている。
究極の目標は、個々の脅威を発見するだけでなく、侵害を想定し、防御の前提を継続的に検証する弾力的なセキュリティ運用を構築することにある。予防のみから検知と対応へのこのような考え方の転換は、決意の固い敵が最終的に防御を突破することを認めるものである。この現実を受け止め、それに従ってハンティングを行うことで、組織は巧妙な脅威行為者に対しても防御上の優位性を維持することができる。
脅威ハンティングの基本は、「侵入を想定する」という考え方、つまり、既存のセキュリティ管理にもかかわらず、敵対者がすでに自社の環境に存在している可能性が高いことを受け入れることにあります。この前提は、洗練された攻撃者、特に高度な持続的脅威や国家行為者は、境界防御を迂回し、自動検知システムを回避する能力を持っていることを認めるものです。ハンターは、セキュリティ・ツールがすべての脅威を検知していると考えるのではなく、検知されていない侵害が存在するという前提で活動し、その存在を示す証拠を積極的に探します。
この基本原則は、脅威ハンティング手法のあらゆる側面を推進する。この原則は、きれいなセキュリティ・ダッシュボードや緑色のステータス・インジケータから生じる自己満足を排除する。Hunters 、ある種の攻撃が存在しないと決めつけるのではなく、なぜそのような攻撃を見かけないのかを問う。攻撃者が正当な行動を模倣している兆候がないか、普通に見える行動を調査するのです。侵入を想定する考え方は、データ収集戦略にも影響を及ぼし、長期にわたる脅威の履歴調査をサポートするために、包括的な可視化と保存期間の延長を重視します。
IBMは平均181日の検知期間を報告し、CrowdStrikeはインシデント対応業務の62%でアクティブな侵入を発見している。これらの指標は、侵害は例外的な出来事ではなく、組織が積極的に対処しなければならない一般的な出来事であることを示しています。侵害を想定することで、組織は攻撃が成功しないことを願うことから、攻撃が必然的に成功した場合の迅速な検知と対応にシフトする。
脅威ハンティングとインシデントレスポンスは、トリガー、目的、方法論が異なる補完的なセキュリティ機能であるが、別個のセキュリティ機能である。脅威ハンティングは、アラートやインシデントの報告を待つことなく、隠れた脅威をプロアクティブに探索する。Hunters 仮説を立て、正常に見える活動を調査し、自動検知を回避する巧妙な攻撃の証拠を探します。このプロアクティブなアプローチは、脅威が被害をもたらす前に発見し、多くの場合、偵察や最初の侵害の段階で攻撃者を発見します。
インシデントレスポンスは、セキュリティインシデントが確認された後に実施され、既知の侵害の封じ込め、根絶、復旧に重点を置く。レスポンダーは、時間的なプレッシャーの中で、アクティブな攻撃による被害を最小限に抑え、確立された手順に従って証拠を保全し、ビジネスの継続性を維持し、正常なオペレーションを回復します。ハンターが可能性を探り、理論を検証するのに対し、レスポンダーは確実な脅威、即断的な行動を必要とする脅威に対処します。
これらの機能の関係は、強力な相乗効果を生み出します。ハンティングの発見は、しばしばインシデントレスポンスの引き金となり、侵害の影響を抑える早期発見をもたらします。インシデントレスポンスの発見は、攻撃手法や検知のギャップを明らかにすることで、今後のハンティングに反映されます。多くの組織では、ハンターとレスポンダーがツール、スキル、知識を共有することで、これらのチームを統合しています。この連携により、未知の脅威と活発な脅威の両方に対応する包括的なセキュリティ機能を構築しながら、検知から対応へのスムーズな移行を実現します。
セキュリティ・オペレーション・センター(SOC)では、脅威ハンティングは、自動化ツールや日常的な監視を超えた検知を行う高度な機能として機能しています。SOCのアナリストは主にアラートのトリアージ、インシデントの検証、初期対応を担当しますが、脅威ハンターはアラートを生成しない脅威をプロアクティブに探索します。この統合により、リアクティブなSOCは、被害が発生する前に高度な攻撃を発見できるプロアクティブなセキュリティ組織に生まれ変わります。
SOCの運用における脅威ハンティングは通常、専任のハンターが複数のSOC機能をサポートするハブ・アンド・スポーク・モデルに従います。Hunters ティア1のアナリストと協力し、アラートのしきい値に満たない疑わしいパターンを調査します。また、複雑なインシデントを深く掘り下げ、関連する侵害を特定するために、ティア2/3のアナリストと連携します。ハンティングで発見された情報は、新しい検知ルール、プレイブックの更新、対応手順の改善を通じてSOCの運用にフィードバックされます。この継続的な改善サイクルは、SOC全体の有効性を強化します。
最近のSOCでは、ハンティング機能を独立した機能として扱うのではなく、日常業務に直接組み込むケースが増えている。アナリストはアラート処理の合間を縫って、仮説に基づいた調査に時間を割く。自動化されたハンティング・ツールはバックグラウンドで継続的に稼働し、興味深い発見を人間の目で確認できるようにします。この統合されたアプローチにより、ハンティングの洞察は、専門チームに隔離されることなく、運用セキュリティに即座に役立つようになる。SOCのワークフローにハンティングが適切に統合されると、全体的な脅威検知が40%向上することが報告されています。
リソースが限られている組織でも、段階的に機能を構築する高インパクトかつ低コストのアプローチに集中することで、効果的な脅威ハンティングを確立することができる。まず、既存のSIEMやログデータを使用して、最も重要な資産や攻撃ベクトルをターゲットとした仮説駆動型のハンティングから始めましょう。MITRE ATT&CK フレームワークのような無料のリソースは、構造化された方法論と検出のアイデアをライセンス費用なしで提供します。専門知識を構築し、価値を実証するまでは、1週間に1回、単一の手法または脅威に焦点を当てた専用のハントから始めます。
ハンティングの基礎を学びながら、初期投資を最小限に抑えるために、フリーでオープンソースのツールを活用しよう。HELK、Jupyter notebooks、Sigma rulesのようなプラットフォームは、商用ライセンスなしで有能なハンティング環境を提供します。OSINTフィード、業界共有グループ、政府勧告などのオープンソースからの脅威インテリジェンスを使用して、ハンティングの優先順位を通知する。クラウドプロバイダーは、既存のサブスクリプションの中でネイティブなハンティング機能を提供しており、ツールを追加することなくクラウドに特化したハンティングが可能です。
マネージド・スレット・ハンティング・サービスは、社内の能力を向上させるための橋渡し的な役割を果たすとお考えください。このようなサービスは、貴社のチームがスキルやプロセスを開発する間、即座にハンティングを行うことができる。多くのプロバイダーがハイブリッドモデルを提供しており、ハンターが貴社のスタッフをトレーニングし、手法を共有します。重要な脅威を特定するため、まずは四半期に一度のハンティング評価から始め、予算の許す限り頻度を増やす。マネージド・セキュリティ・サービス・プロバイダと提携し、SOC サービスに基本的なハンティングを含めることで、既存のセキュリティ支出でハンティングのメリットを享受できるようにする。
効果的な脅威ハンターは、技術的専門知識、分析的思考、創造的な問題解決能力を兼ね備えている。技術的スキルには、オペレーティングシステム、ネットワークプロトコル、攻撃手法に対する深い理解が含まれます。Hunters 、ログを解釈し、メモリダンプを分析し、malware 動作を理解する必要があります。KQL、SPL、SQLなどのクエリ言語に精通していると、効率的なデータ調査が可能になります。PythonやPowerShellのスクリプト能力は、反復タスクを自動化し、カスタム分析を可能にします。
優れたハンターと優れた技術者の違いは、分析力にある。Hunters 論理的な仮説を立て、理論を検証するための実験を計画し、不完全なデータから結論を導き出さなければならない。異なるデータセットのパターンを認識し、一見無関係に見える事象を関連付け、仮説が覆されるような調査でも客観性を保つ。クリティカルシンキングは確証バイアスを防ぎ、徹底的な調査を可能にする。統計的知識は、異常と正常な変動を区別するのに役立つ。
ハンティングを成功させるためには、ソフトスキルも同様に重要である。好奇心は、珍しい発見を探求し、受け入れられている真実に疑問を抱くハンターを駆り立てる。粘り強さは、最初の問い合わせでは何も得られなかった場合でも、調査を継続することを可能にする。コミュニケーション能力は、調査結果が適切な利害関係者にわかりやすく伝わるようにする。コラボレーション能力は、効果的なチームワークと知識の共有を可能にする。継続的な学習マインドにより、ハンターは常に進化する脅威や技術に対応できる。組織は、ハンティング・チームを編成する際、技術的スキルとともにこれらの特性を評価すべきである。
人工知能は、パターン認識の自動化、膨大なデータセットにわたる分析のスケーリング、振る舞い 分析による未知の脅威の発見により、プロアクティブな脅威ハンティングに革命をもたらします。機械学習モデルは、正常な動作の動的なベースラインを確立し、潜在的な侵害を示す逸脱を特定します。これらのシステムは1秒間に数百万件のイベントを処理し、人間のアナリストが手作業で調査しても見逃してしまうような微妙な攻撃指標を発見します。AIを活用したハンティングは継続的に実行され、人手を介さずに24時間365日脅威を発見します。
自然言語処理により、アナリストが複雑なクエリ構文ではなく平易な英語で脅威を記述することで、直感的なハント作成が可能になります。生成AIは、脅威インテリジェンスを分析し、環境リスクに基づいて関連するハントのアイデアを提案することで、仮説形成を支援します。機械学習モデルは、複数のデータソースにわたる活動を自動的に関連付け、ネットワーク、エンドポイント、クラウドインフラにまたがる攻撃キャンペーンを明らかにします。自動化された特徴抽出により、事前に設定されたルールやシグネチャなしに新たな攻撃パターンを特定します。
AIは、日常的な分析や表面的な調査を処理することで、人間のハンターに取って代わるのではなく、むしろ補強します。この自動化により、熟練ハンターは人間の直感と創造性を必要とする複雑な脅威に集中することができます。AIシステムは調査ごとに学習し、継続的に検出精度を向上させ、誤検出を減らします。AIを活用したハンティングを利用している組織では、調査時間を75%短縮し、脅威の発見率を3倍に高めたと報告しています。AIの能力が進歩するにつれて、人間の専門知識と機械知能の組み合わせは、同様に洗練されたAIを搭載した攻撃から防御するために不可欠になります。