新たな脅威アクターの手法が研究ブログ、インテリジェンス フィード、最新ニュースなどから出現すると、すべての脅威ハンターは本能的に仮説モードに移行します。私の環境でもこのようなことが起きているのでしょうか?初期のシグナルはノイズの中に隠れているのでしょうか?
最近の TOLLBOOTH 研究を例に挙げてみましょう。Elastic Security Labs が攻撃チェーンを公開した瞬間から、アナリストは説明されている具体的な手法に基づいて次のような仮説を立て始めるかもしれません。
- 過去に凍結またはアーカイブされた IIS サーバー ログを完全なテレメトリで再検査したときに、異常が見られましたか?
- IIS サーバー上で資格情報のダンプや権限昇格の試みの兆候はありますか?
これが仮説主導のハンティングの本質です。つまり、発生しつつある脅威から始めて、すぐに的を絞った質問をするのです。これは、新たな攻撃に先手を打つ最も効果的な方法の 1 つですが、幅広い可視性と、好奇心に対応できるツールが必要です。
しかし、多くの SOC チームにとって現実は不十分です。データのサイロ化、検索機能の制限、手動による相関関係の把握の疲労といった問題に直面しています。
Elastic Security は、仮説に基づく脅威ハンティングを迅速かつ大規模に実行できるようにすることで、これらの障壁を取り除くように設計されています。セキュリティ テレメトリを統合し、クラスター全体で分析を可能にすることで、脅威ハンターはすべてのデータに対して複雑な質問をしたり、シグナルを相関させたり、手動でデータをつなぎ合わせたりすることなく仮説を迅速に検証したりできるようになります。
この機能は、連携して動作する一連の基礎となる構成要素を通じて提供されます。
-
エージェントワークフローはアラートをトリアージし、知識ベースの AI アシスタントは検証済みの ES|QL クエリを生成し、修復を促進し、次のステップを推奨します。
-
Elastic Security Labs は、継続的に更新される脅威の調査と敵対者の洞察を検出と調査に直接取り入れます。
-
現実世界の攻撃手法やハンティング シナリオに合わせた、すぐに使用できるカバレッジを提供する検出ルール。
-
エンティティ分析により、ユーザー、ホスト、およびサービスを相関させ、リスク スコアを割り当て、異常を明らかにして、あらゆる調査を充実させます。
-
機械学習と異常検出により、通常の動作からの逸脱を明らかにし、未知の脅威や新たな脅威を明らかにします。
-
ES|QL、視覚化、およびクラスター間検索により、分散環境全体で盲点のない高速で表現力豊かなクエリ、直感的な分析、シームレスなハンティングが可能になります。
これらの構成要素を組み合わせることで、セキュリティチームは、事後対応型の調査から、自信に満ちたプロアクティブな脅威ハンティングへと移行するために必要なスピード、規模、分析の深さを獲得し、単一の統合された Elastic Security プラットフォーム内ですべてのデータにわたって仮説をテストできるようになります。
森の中へ:現実世界でのLOLBins探しの旅
このセクションでは、LOLBin (Living Off the Land Binaries) に焦点を当てた現実世界のシナリオを通じて、空の検索バーから確認され封じ込められた脅威に至るまで、脅威ハンティングが実際にどのように行われるかを示します。
RAG搭載のAIアシスタントで仮説を構築
単一のクエリを記述する前でも調査を開始できます。Elasticの検索拡張生成(RAG)を搭載したAIアシスタントを使用すると、Elastic Security Labsの研究などの信頼できる知識ソースを取り込み、仮説の基盤を構築できます。信頼できるソースを知識として追加して、アシスタントが信頼できるデータを反映するようにすることができます。
まだ具体的な目標がない場合は、アシスタントに尋ねてみましょう。
「現在の傾向に基づいて、今日のハンティングはどのような仮説から始めるべきでしょうか?」アシスタントは構成されたナレッジ ベースをスキャンして、関連するコンテキストを提供し、それを裏付ける理由と証拠とともに主要な仮説を直接生成します。このシナリオでは、コンテキストを提供するために、Elastic Security Labs コンテンツがナレッジベースに追加されています。
AIアシスタントがあなたに合わせた脅威ハンティングクエリを作成するのを待ちます
LOLBin 仮説を受け入れると、AI アシスタントが環境に合わせてカスタマイズされた正確な ES|QL 脅威ハンティング クエリを生成します。複雑な構文を最初から記述する代わりに、特定の疑わしい動作を明らかにするように設計されたターゲット検索が提供されます。
クエリが実行可能であることを確認するために、Elastic AI Assistant はエージェントワークフローを使用して、人間が提供するユースケースからカスタマイズされた ES|QL クエリを生成します。Elastic クラスター データを活用して、正確ですぐに実行できる応答を作成し、最終クエリを返す前に自動検証を実行します。このバックグラウンド検証により、手動でのトラブルシューティングの必要がなくなり、AI アシスタントから調査タイムラインに直接取り込むことができる、検証済みのすぐに使用できるクエリが提供されます。
あるいは、Elastic の脅威ハンティング クエリの GitHub リポジトリをアシスタントのナレッジ ベースにリンクして、既存のクエリを次のステップのベースラインとして使用することもできます。
ES|QLで環境全体の脅威を検知
グローバル環境を管理していて、このアクティビティが他のクラスターでも発生しているかどうかを判断する必要がある場合は、AI アシスタントにクロスクラスター検索 (CCS) のクエリを適応させるように依頼することで、仮説を拡張できます。これにより、調査ワークフローを中断することなく、環境内の複数のクラスター(凍結データや長期データを含む)を検索できるようになります。
AI アシスタントからタイムライン ビューにシームレスに移行し、クエリを実行します。この対象を絞った検索により、重要な発見が明らかになりました。それは、ホスト名elastic-defend-endpointを持つ Windows サーバー上で、 gbadminユーザー アカウントで実行されているrundll32.exeのインスタンスです。
分析と視覚化でコンテキストを追加する
ヒットを見つけることは最初のステップに過ぎません。次に、これがメンテナンスを実行している管理者によるものか、実際の攻撃によるものかを判断する必要があります。アイデアを検証するには、ホストとユーザー全体にわたる詳細な分析が必要です。影響を受けるホストをドリルダウンすると、エンティティの詳細が表示されます。
ここでは、ホスト名だけが表示されているわけではありません。ホストのリスク スコア、そのスコアに寄与する特定のアラート、資産の重要度がすべて 1 か所にまとめて表示されます。Elastic のエンティティリスクスコアリングは、検出シグナル、動作の異常、資産の重要性を統合することで、アナリストが資産がなぜ危険なのか、脅威の緊急性はどの程度か、どこに最初に焦点を絞るべきかを迅速に理解するのに役立ちます。この統合されたコンテキストにより、調査時間が短縮され、推測作業が最小限に抑えられ、大規模な環境での確実な優先順位付けが可能になります。
機械学習で異常を確認する
リスク スコアを調べると、それを裏付ける証拠が横に表示されます。中程度の重大度のアラートと「異常な Windows パス アクティビティ」などの機械学習 (ML) アラートの組み合わせなど、リスク スコアの上昇に寄与している特定のアラートを確認できます。
ML は静的ルールでは見逃されがちな微妙な逸脱を検出するのに特に適しているため、リスク スコアに寄与する ML アラートを確認すると、このアクティビティが単なるノイズではなく、意味のある動作の異常を示していることが検証できます。
イベントの詳細により、プロセスの系統が即座に視覚化され、重要な証拠がパネル内に表示されます。これらの洞察により、仮説はもっともらしいものから証明可能なものへと変化します。
行動を起こす:洞察から対応へ
疑わしい活動を発見して仮説を検証したら、次のステップは対応です。Elastic Security を使用すると、対応者はプラットフォームを切り替えることなく、調査から直接行動できます。
侵害を受けたホストが確認されたら、ホストを隔離して横方向の移動を防止したり、 LOLBIN ハントで発見された悪意のあるプロセス ツリーを終了したりするなど、コンソールからアクションを実行できます。調査から対応へのシームレスな移行により、同じツールとコンテキストを使用して迅速な封じ込めが可能になります。
クエリを操作化し、ハンティングを自動化する
将来のハンティングを自動化し、繰り返し発生するパターンの手動検証を排除するために、クエリを運用上の検出ルールに直接インポートしたり、特定の動作、異常、または初めて出現する新しい用語値に関するルールを作成して、それを 1 回のクリックで完全に運用可能な検出ルールに変換したりすることができます。
エンタープライズ環境では、LOLBin ハントによって大量のアラートがすぐに生成される可能性があります。ここで、エージェントによるAttack Discovery が大きな違いを生み出します。その主な目的は、信号を自動的に相関させ、すぐに対応する必要があるアクティビティを強調表示することで、効率的にトリアージできるようにすることです。
また、ハンティング関連のアラートをグループ化してタグ付けし、それらのセットに対して Attack Discovery を実行して、意味のあるパターンを発見することもできます。この柔軟性により、Attack Discovery は自動アラートトリアージだけでなく、高度な仮説主導の脅威ハンティングワークフローにも役立ちます。
ボーナス: Elastic Agent Builder で自動化
セキュリティ データ全体で LOLBin アクティビティを探すために特別に構築されたLOLBin Hunter カスタム エージェントを構築することを想像してください。Elastic Agent Builder を使用すると、LLM を活用し、手動ワークフローで使用される ES|QL クエリなどのツールを備えたこのエージェントを作成できます。
設定が完了すると、自然言語を使用してセキュリティ データと対話できるようになり、エージェントがリクエストを推論し、最も関連性の高いツールを選択してアクションを実行します。たとえば、 「機械学習の異常を引き起こした LOLBin アクティビティを表示し、影響を受けたホストとそのリスク スコアを要約してください」と尋ねることができます。
Elastic Securityで新たな攻撃に先手を打つ
仮説に基づく脅威ハンティングは、最新の攻撃に先手を打つために重要ですが、適切なツールがなければ複雑で時間がかかる可能性があります。Elastic Security は、AI 支援調査、ES|QL 検索、コンテキスト分析、機械学習、統合応答を組み合わせて、すべての段階をよりシンプルかつ高速化します。
新たな脅威が発生した瞬間から実用的な対応を行う時点まで、Elastic はアナリストが隠れたシグナルを発見し、仮説を検証し、決断力を持って行動できるよう支援します。つまり、生のデータをインテリジェンスに変換し、インテリジェンスをアクションに変換します。
Elastic Security についてさらに詳しく知りたいですか?弊社のウェビナー、イベントなどをご覧ください。または、今すぐ無料トライアルを開始してください。