- What is Overiew
- 齿顿搁とは
-
- 齿顿搁セキュリティレイヤーとは
- 齿顿搁セキュリティアナリティクスとは
- 齿顿搁テレメトリとは
- 滨罢顿搁の概要
齿顿搁セキュリティレイヤー
齿顿搁セキュリティレイヤーとは
齿顿搁では、复数のセキュリティレイヤーにわたる広范なデータソースを使用して、検知、调査、対応を行うことができます。また、セキュリティサイロを解消し、単一のビューで完全な攻撃ストーリーを特定して明らかにすることができます。
XDR: 完全なストーリーを明らかに
胁威検知という点に関して言えば、セキュリティオペレーションセンター (SOC) のアナリストの仕事は、最初の侵入から横展开(ラテラルムーブメント)、データ窃取までのストーリーをまとめ、その影响と必要な対応処置を迅速に理解することです。このプロセスにより、影响や必要な対応処置について迅速に理解することが可能になります。
统合された単一の齿顿搁プラットフォームに投入するデータソースとセキュリティベクトルが多いほど、相関付けの机会が増え、より包括的な调査と対応を実现できます。
たとえば、アナリストが现在、管理対象エンドポイント上の不审なアクティビティを详细に可视化するのにEDRツールを使用していても、その后はサイロ化された别个のビューでネットワークセキュリティアラートとトラフィック分析を利用している场合があります。クラウドワークロードに関しては、不审なアクティビティを特定するための可视性が限られているケースもよくあります。
环境のあらゆる要素から、騒々しいアラートが生成され、それらは多くの场合、SIEMに送信されます。アナリストはアラートを确认することはできますが、アラート间に起きたすべてのアクティビティの记録を详细に确认することはできません。追加の関连付けがなければ、攻撃の重要な详细情报は、関连するイベントを结び付けるためのコンテキストや手段のないまま、アラートの中に埋もれてしまいます。?
齿顿搁は、これらのレイヤを1つにまとめます。したがってセキュリティアナリストは、より大局的に现状を把握し、これから会社で何が起こる可能性があるかをすばやく説明できます。たとえば、ユーザがどのように感染したか、最初の侵入ポイント、同じ攻撃にほかに何?谁が含まれているか等の情报です。
エンドポイント
脅威がどのように到達して変化し、エンドポイント間で拡散したかを分析するには、エンドポイントのアクティビティを効率的に記録する必要があります。XDRを使用すれば、侵害の痕跡 (IOC) を探し、攻撃の痕跡 (IOA) に基づいてハンティングを実行できます。
検知: 不審で危険なエンドポイントイベントの調査と特定
調査: エンドポイントで何が起きているか??イベントはどこから来たか? 他のエンドポイント間にどのように伝播したか?
対応: 隔離、プロセスの停止、ファイルの削除/復元
多くの組織では、EDRツールを使用してエンドポイントから調査を開始すると考えられます。これは第一歩としては適切ですが、攻撃ストーリーの最初と最後が欠落する可能性があります。攻撃がエンドポイントに到達する前に、何が起きたのでしょうか? メール経由で到達し、他のユーザも同じメールを受け取ったのでしょうか? 攻撃がエンドポイントに到達した後には、何が起きたのでしょうか?サーバやコンテナに横展開しましたか? 管理対象外デバイスに拡散しましたか?
メール
侵害の94%がメールを介して始まっていることを考えると[1]、侵害されたアカウントを特定して不正なメールの胁威を検知する机能は、组织の検知能力を拡大する上で重要な要素です。
検知: メールの脅威、侵害されたアカウント、攻撃されやすいユーザ、およびメール攻撃のパターン
調査: 誰が侵入を発生させ、ほかに誰が不正なメールを受信したか?
対応:? メールの隔離、メール送信者のブロック、アカウントのリセット
メールは最大の攻撃ベクトルであることから、クロスレイヤーの検知と対応を実现するための优先的な拡张ポイントにする必要があります。メールの胁威はほとんどの场合、ユーザがメールに埋め込まれた添付ファイルやリンクをクリックしない限り、エンドポイントに影响を及ぼしません。未実行の胁威が検知されないまま复数の受信ボックスに存在している可能性もあります。エンドポイント検知と発生源のメールを结び付けると、受信ボックスを自动的に検索して、ほかに谁が不正なメールを受信しているか、そして不正な添付ファイルや鲍搁尝が他のユーザのメールボックスにも存在しているかどうかを见つけることが可能になります。その后、メールを隔离して胁威を取り除き、さらなる拡散や被害を防ぐことができます。
ネットワーク
標的型攻撃を検知するのに適した方法はネットワーク分析です。この攻撃は、水平に拡散したり、コマンド&コントロール (C&C) サーバと通信したりするためです。ネットワーク分析により、イベントをフィルタリングしてノイズを除去できるほか、IoTデバイスや管理対象外デバイスなど盲点になる恐れがあるデバイスを確認できます。
検知: 脅威が拡散するときの異常な動作
調査:? 脅威はどのように通信するか? 組織内でどのように移動するか? ?
対応: ? 攻撃範囲の概要の説明
ネットワークログは、攻撃範囲の理解に役立つ包括的なデータソースを提供しますが、他のセキュリティアラートと相関付けなければ、何が関係していて重要かを評価するために必要なコンテキストを得るのは困難です。たとえば、ネットワークとエンドポイントは強力な組み合わせで、そのデータを相関付けることにより、エンドポイントレイヤー単独では無害に見えるものであっても (不審なPowerShellアクティビティなど)、それに関連するサーバとのコマンド&コントロール (C&C) 通信を併せて考慮すると、突如として優先度の高いセキュリティアラートになります。
サーバとクラウドのワークロード
エンドポイントと同様に、このためにはアクティビティを効率的に記録し、脅威がどのように到達し、サーバやクラウドワークロード間で拡散したかを分析する必要があります。侵害の痕跡 (IOC) を探し、攻撃の痕跡 (IOA) に基づいてハンティングを実行できます。
検知: 特にサーバ、クラウドワークロード、コンテナを標的とする脅威
調査: ワークロード内で何が起きたか? それはどのように伝播したか? ?
対応: ? サーバの分離、プロセスの停止
多くの担当者がサーバとクラウドワークロードにEDRツールを使用していると思われますが、ほとんどの場合、EDRは新しいクラウドモデルには適切に対応しておらず、必要な種類のデータや可視性は得られません。どのような攻撃ベクトルであっても、複数のサーバ環境からの情報を相関付けると、その情報を他のレイヤーからのアクティビティデータと紐付けて、不審なアクティビティ (以前に一度も通信したことのない国のIPアドレスと通信するサーバなど) が不正なものであることを確認できます。これは、エンドポイントであってもネットワークであっても同じです。
[1] Verizon 2019 Data Breach Investigations Report
