みなさんもおそらくご存じの映画の1シーンを想像してみてください。敵対者がRad-XIncorporatedという業界最大手の競合企業から最新のテクノロジーを盗もうとしている間、バックグラウンドミュージックがサスペンスビートを駆り立てているでしょう。それは業界を永遠に変える企業秘密であり、もし悪役がその使命を達成した場合、彼女は彼女の手のひらの上で航空の未来を握るでしょう。彼女はレーザーモーションディテクターをバイパスし、床に置かれたプレッシャープレートを避けるために天井から振り回し、ビデオ監視メカニズムをすり抜けるためにいくつかの非常に激しいアクロバットを実行しました。それから、サスペンスのクライマックスで、音楽がクレッシェンドに上昇する間、彼女は、その素晴らしさを誇示するためだけに設計されているかのように、部屋の中央の台座に置かれたマイクロチップをつかむために手を伸ばします。彼女の指が回路にそっと寄り添うと…音楽が止まり、アラームが鳴り、彼女は完全にそして全く邪魔されずに出て行きます!
このシーンのすべてのコンポーネントは、アクティビティが発生したときに記録および検出することを目的としていました。しかし、私たちがそれを必要としたとき、それが意味することのほとんどすべては、ノイズの多い検出機能です。悪意のある攻撃者が何かをするのを実際に「防ぐ」ことはありませんでした。代わりに、システムは、期待外れなことに、起こったことをみんなに知らせるだけであり、率直に言ってあまり役に立ちません。
目次
SIEMの分解、ログごとのログ
SIEMテクノロジーは、いくつかの理由で15年以上にわたってセキュリティ運用に使用されてきました。まず、SOCは、インシデント対応調査を実行しながらストーリーを伝えることができなければなりません。また、時間を効果的に遡るために、イベントが一元的に保存され、適切な期間保存されている場合、これらのアクティビティのログに記録されたイベントに簡単にアクセスすることが可能です。したがって、警察が現れたとき、被害者は加害者に正確に名前を付けることができます。次に、データソースが非常に異なるため、SIEMを使用して、通常は無関係なフィード間でアクティビティを相関させることができます。たとえば、フロアプレートがトリガーされた場合、モーションセンサーが互いに15秒以内に発火し、それらの集合的な重大度により、より多くのアラームが発生する可能性があります。そして第3に、集合データを一元的にレポートすることで、企業は制御テクノロジーに効果的に投資している場所を特定できます。この拡張された例では、被害者は、マイクロチップ圧力センサーが今月5回トリガーされたのに対し、他のセンサーは1回または2回しかトリガーされなかったことを示すレポートを毎月実行できます。確かに、これらすべての機能は、2005年と同様、今日も重要です。
しかし、明白なギャップが1つあります。それは、インシデント発生後に是正措置を講じるより良い方法がないのはなぜですか。Extended Detection and Response(XDR)機能は、2021年に期待されるものと同様の結果をもたらしますが、応答コンポーネントが追加されています…そしてMcAfeeの場合、多くの応答コンポーネントがあります。一部の機能はSIEMと重複しています。これは、各ユースケースに基づいて自然なことですが、どちらも最新のセキュリティ運用プログラムに不可欠です。
図1:SIEMとXDRの機能
何かを確認したらアクションを
SIEMテクノロジーは、ほとんどの場合、管理者がAPIを介して他のテクノロジーと統合できるようにしますが、利用可能なアクションは本質的に制限されていることが多く、ランドスケープ全体でシームレスで一貫した応答オプションを提供できません。しかし、XDRはまさにそれを行います。プラットフォームは、操作しているシステムがエンドポイント、ネットワークコンポーネント、またはクラウドサービスのいずれであっても、セキュリティ運用担当者がそのセキュリティ制御デバイスで親密なレベルのネイティブ制御を享受できるように設計されています。それ以上のアクセスの制限、追加情報の取得、コンソール機能の取得などのアクションの実行は、ボタンをクリックするのと同じくらい簡単である必要があります。XDRを使用すると、アラームが鳴ったときに、Rad-Xはボタンをクリックするだけで、アーチ型の部屋をロックし、加害者を捕らえることができたはずです。
また、これはXDRプラットフォームとSIEMプラットフォームの差別化要因であるため、XDRプロバイダーを比較する際に応答機能が重要な要素となるのは当然のことです。マカフィーは、影響を受ける資産の検疫など、箱から出してすぐに使用できる最も堅牢な応答機能のいくつかを提供すると同時に、Windows、MacOS、またはLinux用に独自の機能を作成する機能も提供します。
データのある場所に移動–ソースで
データレイクに入るデータや大量のデータ収集が定期的に変化していることは痛いほど明らかですが、データ型はほぼ同じ頻度で変化しています。コレクター、解析、エンリッチメント、オントロジーなどに大きく基づいているSIEMテクノロジーは、データソース上のデータ型の進行中の変更に対処できないことがよくあります。これは、コレクターを頻繁に更新する必要があることを意味します。ただし、データが最初にトリアージされ、ソースで分析され、結果が収集ポイントと相関ポイントに配信された場合はどうなりますか?これは、データ型の課題の大部分に対処すると同時に、データがそのソースで存続し続けるという考えを期待し、受け入れます。確かに、履歴検索やハンティングのために生データを大容量ストレージに送信する必要がある場合もありますが、それらは少数派です。
当社のMVISION XDRなどのXDRプラットフォームで検索を実行する場合、検索は大容量ストレージに対して実行することも、リアルタイムで実行することもできます。リアルタイム検索を使用すると、データソースはイベントの生の発信元に対してクエリを実行できます。また、両方の機能を利用できるため、データソースの状態間のデルタの比較を簡単に行うことができます。Rad-XがXDRを使用している場合、攻撃中に悪役が利用していた廊下、カメラ、および侵入方法について質問することができます。代わりに、彼らは、事件が過去のものであったことを警告されるのに十分に重要な出来事を待つことを余儀なくされました。
図2:XDR論理アーキテクチャ
図3:従来のSIEMアーキテクチャ
上の図からわかるように、XDRは、従来のSIEMと比較して、セキュリティチームにシンプルなクラウドネイティブサービスアーキテクチャモデルを提供します。SIEM展開の大部分では、すべてのネイティブインフラストラクチャをオンプレミスのソフトウェアまたはアプライアンスとして、あるいはIaaSに展開する必要があります。XDRを使用すると、セキュリティ構成の複雑さと、それを運用するために必要な専門家のリソースを減らすことができます。
脅威を見つけるためのプロアクティブなアプローチ
Rad-XのCEOは答えを求めています。彼は回答を得るための追及をするでしょう。どうしてそうなったのか?私たちはこの犯罪者たちがやっていたかもしれないことについて認識していたのか?私たちだけがターゲットなのか?いったい何が起こったのかを調査するための最善の行動方針は?
MVISION XDRは、これらの質問に正確に答えるように設計されています。
MVISION XDRは、エンドポイント検出と応答(EDR)、ネットワーク検出と応答(NDR)、およびクラウド検出と応答機能の統合を超えて、MVISION Insightsの脅威インテリジェンスと分析姿勢評価を活用して、予測、処方、組織で最も重要なものに優先順位を付けるのに役立ちます。MVISION Insightsは、脅威アクターからの保留中の脅威について防御側に通知することにより、Rad-Xが影響の瞬間から焦点を左にシフトするのに役立ちます。犯罪者が航空イノベーターをターゲットにしていて、Rad-Xが狙われていることが事前にわかれば助けになったでしょう。しかしそれはまた、犯罪者の技術と手順に基づいた防衛能力のギャップも指摘するでしょう。
さらに、インシデントがまだ発生している場合でも、MVISION XDRは、侵入者の行動、床に残された遺物の種類、そしてそこに「あるべき」環境から何が欠けている可能性があるかを調べることによって、人工知能データ分析を利用できます。これは、仮想のシャーロックホームズがエンドポイント、ネットワーク、クラウド環境全体の各XDRインシデントを分析するようなものです。
ミッション達成:MVISION XDRで限界を超えて
Rad-Xは不幸な出来事に見舞われましたが、信じられないほど貴重な教訓を学びました。SIEMはいくつかの重要な機能を満たすため重要ですが、XDRは、アクション主導の調査、脅威分析、迅速な対応などを実行するのに適しています。したがって、Rad-Xのような立場にあり、環境におけるXDRの価値と利点に興味がある場合は、Rad-Xのプレイブックからページを取り出し、MVISION XDRを検討して、脅威の予測、処方、および優先順位付けを左にシフトしてください。MVISION XDRを検討し、クラウドベースのAIプレイブックでインシデント分析機能を強化してください。デバイスからクラウドへの広範な検出および対応機能を提供するMVISION XDRを検討してください。
MVISION XDRで何ができるか、マカフィーのXDRがどのように進化しているかについて詳しく知りたい方は、2021年5月25日のライブテクニカルトークに参加してください。XDRプロダクトマネージャーのRandy Kerseyが参加します。マカフィー、セキュリティ運用チームがMVISION XDRの最新リリースで広範なセキュリティテレメトリを利用することにより、インシデントに対してより効果的に対応する方法について説明します。必ずLinkedIn経由でご登録をお願いします。みなさんにお会いできるのを楽しみにしています!
※本ページの内容は2021年5月18日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Mission Possible: Hunting Down and Stopping Stealthy Attackers with MVISION XDR
著者:Jesse Netz