サイバーセキュリティにおける実世界のエージェントAIの活用事例
中堅企業のセキュリティリーダーは、わずかな人員と予算でエンタープライズクラスの攻撃に対処しています。ツールの無秩序な拡散、ノイズの多いテレメトリ、そして頻繁な製品アップデートにより、最初の重大なインシデントが発生する前から既に過負荷状態にある脆弱なスタックが生まれています。エージェント型AIは、実験室ではなく、このような状況で登場します。
調査によると、中規模企業の約18%が昨年中に侵害を報告しており、そのうち約4分の1がランサムウェアの被害に遭っています。英国では、過去12ヶ月間に中規模企業の45%がサイバー犯罪の被害に遭っており、フィッシングが依然として主な侵入経路となっています。中規模企業の侵害コストは現在、1件あたり平均約350万ドルに上ります。限られた人員で運営されているIT・セキュリティ部門にとって、たった1つのミスが1年間の予算を圧迫する可能性があります。
こうしたプレッシャーは、最近のインシデントからも見て取れます。2024年に発生したChange Healthcareランサムウェア攻撃は、米国全土の医療費請求に混乱をもたらし、親会社であるUnitedHealthは、22万ドルの身代金に加え、対応と復旧に2.3億ドル以上の費用がかかると予測されています。MGM Resortsは、ヘルプデスクへのソーシャルエンジニアリングによってドメイン全体にランサムウェアが拡散した2023年の攻撃で、100億ドル以上の被害を受けたと報告しています。また、2024年に発生した国家公共データ漏洩では、2.9億件の記録が漏洩した可能性があり、単一の侵害が企業をはるかに超えて拡大する可能性があることを浮き彫りにしました。
AIと機械学習が企業のサイバーセキュリティを向上させる方法
複雑な脅威の状況をすべての点と点をつなぐ
AI を活用したセキュリティを実際に体験してください。
脅威を即座に検出して対応する Stellar Cyber の最先端の AI をご覧ください。今すぐデモをスケジュールしてください。
上の棒グラフは、3つのシンプルな事実を浮き彫りにしています。中規模組織への侵害は頻繁に発生しており、中規模企業に対するサイバー犯罪は依然として高い水準にあり、たった1件の侵害で長年のセキュリティ投資が無駄になる可能性があります。アナリストを50人増員するだけでは済まないCISOにとって、よりスマートな自動化はもはや選択肢ではありません。
多くのチームにとって、本当の制約はツールではなく、人間の注意力です。典型的な SIEM or XDR プラットフォームは1日に数千件のアラートを表示しますが、アナリストが意味のある調査を行えるのはごく一部のみに限られます。AIの研究 SOC 導入事例から、運用をコントロールするためには、アナリストのアラート処理のワークロードを70~80%削減しなければならないケースが多いことが分かっています。この変更がなければ、重要なシグナルが埋もれてしまいます。主要な脅威検出プラットフォームなどのガイドでは、このアラートの氾濫がどのように時間とともに発生したかを説明しています。
アイデンティティベースの攻撃は状況をさらに悪化させます。Verizonをはじめとする調査によると、現在、侵害の約70%は盗難または不正使用された認証情報に起因していると推定されています。米国の通信事業者を標的としたSalt Typhoon攻撃は、攻撃者が「Living Off-The Land(土地寄生型攻撃)」の手法と有効なアカウントを用いてネットワークを横断的に移動していたにもかかわらず、1~2年間も検知されませんでした。2024年のSnowflakeにおける侵害は、多要素保護なしで盗難された認証情報を使用していた少なくとも165の組織に影響を与えました。これらのインシデントは、初期アクセス、認証情報へのアクセス、横断的移動、そして情報漏洩に関するMITRE ATT&CKの手法と直接一致しており、従来のアラートルールでは見逃されていた脆弱性を露呈しています。
クラウド導入は、こうしたリスクを高めます。Change Healthcareのインシデントは、クラウド接続環境における保護されていないリモートアクセスポイントが1つあるだけで、重要な国家サービスが停止する可能性があることを示しました。クラウド検知・対応に関する調査では、設定ミス、過度に権限が制限されたロール、そして監視されていないサービスアカウントが、現代のクラウド侵害の大部分を占めていることが示されています。企業の半数以上が、可視性のギャップや設定のずれに関連する重大なクラウドセキュリティインシデントを報告しています。クラウド検知・対応ガイドなどのリソースは、これらのパターンをより深く掘り下げています。
同時に、規制当局からの圧力は高まり続けています。中堅企業は、ゼロトラスト・アーキテクチャに関するNIST SP 800-207などのフレームワークに準拠した管理策を示すとともに、運用上の証明として、検知とカバレッジをMITRE ATT&CKにマッピングする必要があります。取締役会は今、率直な質問を投げかけています。「どのATT&CK戦術がカバーされており、どの戦術がギャップとなっているのか?」「侵害の疑いがある場合、高リスクのIDはどれくらい迅速に隔離されているのか?」Stellar Cyberの資料に記載されているような、MITRE ATT&CKに準拠したカバレッジ・アナライザーが存在するのは、監査人や保険会社が定量的な回答を期待しているからです。
このような状況では、単純なプレイブックの自動化は役立ちますが、それだけでは十分ではありません。個々のタスクをクリアするだけで、複雑な調査を実行したり、ドメイン間の相関関係を把握したり、攻撃者の攻撃手法の変化に適応したりすることはできません。そこで、エージェント型AIが登場します。 SOC ガイドでは、この変化を、人間が実行するスクリプトから自律的で目標指向的なデジタル アナリストへの移行として捉えています。
セキュリティ運用におけるスクリプトからエージェント型AIへ
具体的なエージェント型AIセキュリティのユースケースを検討する前に、従来の自動化と真にエージェント型のワークフローを明確に区別する必要があります。多くのCISOは、自律性を謳いながら脆弱なランブックしか提供しないツールに失望してきました。明確な定義は、誇大広告疲れの波を防ぐのに役立ちます。
シンプルな自動化は、既知のトリガーが発生したときに、固定された一連のステップを実行します。 SIEM ルールが発動すると、SOARプレイブックが何らかのコンテキストを収集し、IPアドレスをブロックしたりアカウントを無効化したりします。これは有用ですが、静的です。入力が想定されるパターンと一致しない場合、自動化は停止するか、サイレントに失敗することとなります。ナラティブの構築とほとんどの意思決定は、引き続き人間のアナリストが担当します。
エージェント型AIは動作が異なります。複数のステップから成るワークフローを計画、実行、適応できるAIエージェントで構成されています。「認証情報の盗難の可能性を調査する」といった目標が与えられた場合、エージェントは次にどのデータソースを照会するか、どのMITRE ATT&CK手法を適用するか、どのような追加証拠が必要か、そしてポリシーとリスク許容度に最も適した対応策は何かを判断します。エージェントは、生のイベントを読み取り、APIを呼び出し、チケットを更新し、チェーン内の他のエージェントを呼び出すことができます。
エージェントによるワークフローや人間のアナリストに比べてシンプルな自動化
この比較は、私たちが実際に目にしている状況を反映しています。単純な自動化によって、反復的なキー入力はある程度不要になりますが、それでもアナリストは全体像を把握する必要があります。人間のアナリストは判断力はありますが、時間には限りがあります。エージェント型AIワークフローはその中間に位置し、精力的に調査全体を独力で実行できるジュニアアナリストのように機能し、その後、証拠、ATT&CKマッピング、推奨される対応策を盛り込んだ、構造化されたケースをエスカレーションします。
最新の AI SOC 建築ガイド共通のパターンに気づくでしょう。エージェントAIは、 SIEM or XDRそれらの上位に位置し、データのオーケストレーション、アラートの相関分析、継続的な調査の実行を行います。この区別は、予算計画や取締役会への戦略説明において重要です。
最も重要なコアエージェントAIセキュリティのユースケース
クロスドメイン脅威の検出と防止
深刻な攻撃の多くは、エンドポイント、ネットワーク、クラウド、メール、そしてアイデンティティを網羅しています。従来のツールは、その全体像の一部しか把握できません。管理者ログインの失敗、DNSの異常、あるいはS3 APIの異常な呼び出しなど、単一のシステムでは、インシデント発生を確実に判断できるほどのコンテキストを備えていません。
National Public Data、Salt Typhoon、そしてSnowflakeの侵害は、いずれもこの断片化を実証しました。攻撃者は、認証情報の窃取、Living Off-Land(現地調達型)の手法、そしてクラウドアクセスを組み合わせ、膨大なデータセットを密かに準備し、持ち出しました。それぞれのステップは単体ではほぼ正常に見えましたが、ドメインをまたいだ行動の可視化によって初めて、このパターンが明らかになりました。
セキュリティ運用におけるエージェント型AIは、特定のデータプレーンに複数のエージェントを割り当てることでこの問題に対処します。1つはネットワークフローを監視し、もう1つはエンドポイントのEDRログを監視し、もう1つはクラウド監査イベントを監視し、さらにもう1つはIDとアクセスのテレメトリを監視します。相関分析エージェントは、エンティティ間の関係を構築し、アクションをATT&CKテクニックにマッピングし、エンドポイント上の不審なプロセスがAzureの異常なIDピボットやSnowflakeの異常なデータベースクエリにどのようにつながるかを示すキルチェーンタイムラインを構築します。
これは、NIST SP 800-207のゼロトラスト目標を直接的にサポートするものです。この文書では、ネットワークの場所に基づく暗黙的な信頼ではなく、継続的な検証とコンテキストアウェアなポリシー適用を重視しています。エージェント型検知エージェントは、ポリシーエンジンがより正確な許可、チャレンジ、または拒否の判断をリアルタイムで行うために必要な、継続的な行動評価を提供します。
を説明するリソース XDR キルチェーンアプローチ キルチェーンに沿った分析によって、チームが多段階攻撃をより早期かつ構造的に把握できるようになる仕組みを説明します。Agentic AIは、すべてのテレメトリにおけるキルチェーンの解釈を自動化します。
自動化されたインシデント調査および対応ワークフロー
アナリストの時間は、多くの場合、検知ではなく調査に費やされます。重大度の高いアラートが発生すると、誰かが証拠を統合し、類似のエンティティを確認し、脅威インテリジェンスを参照し、対応計画を策定する必要があります。Change HealthcareやMGMのような複雑なインシデントの場合、これらの手順に数日を要しました。その間、システムは劣化したままとなり、経営陣は明確な対応策を講じることができませんでした。
エージェント型AIシステムは、エンドツーエンドの調査を自律的に実行することで、このパターンを変えます。最初のシグナルが特定のリスク閾値を超えると、ケース分析エージェントが関連するすべてのアラートとテレメトリを収集し、影響を受けたエンティティを特定し、考えられる根本原因と関連するATT&CK戦術をまとめます。他のエージェントは、兄弟ホストでの類似アクティビティ、同じ認証情報の使用、脅威インテリジェンスフィードから得られる既知の悪意のあるインフラストラクチャへの接続など、拡散の可能性をチェックします。
十分な証拠が揃うと、対応指向のエージェントがポリシーに沿ったオプションを提案します。例えば、ホストの隔離、トークンの無効化、ユーザーを制限付きグループへの移動、ステップアップ認証の適用などです。より成熟した導入では、エージェントは明確に定義されたパターンに対して、限定的な対応アクションを直接実行し、曖昧な状況は人間のアナリストにルーティングできます。この「人間が介入する」モデルは、セキュリティのベストプラクティスと現在の規制要件の両方を反映しています。
例えば、Stellar Cyberの6.2リリースでは、エージェントによるケース分析と自動ナラティブ生成によって、理解までの時間を数日から数分に短縮できることが強調されています。同様の原則は市場全体に当てはまりますが、特に以下のような状況では、 脅威の検出、調査、対応 プラットフォームは運用の中心に位置します。
SOC 小規模チーム向けのアラートトリアージと優先順位付け
警戒疲労はおそらく最も苦痛なものである SOC 問題です。多くの中堅企業では、依然として重要または重大なアラートを手動で確認していますが、結局はノイズの多い誤検知や不完全なコンテキストしか発見できません。アナリストは疲弊し、実際の攻撃は午前2時に見逃されてしまいます。
現代のインシデントレポートはこのギャップを強調しています。AIを活用したフィッシング攻撃は2024年から2025年の間に700%以上増加し、ランサムウェアインシデントも同時期に100%以上増加しました。これらのキャンペーンによって生成されるすべての不審なメール、ログ、エンドポイントの異常を、人間のチームで手動でトリアージすることは不可能です。
Agenticトリアージエージェントは、新しいアラートが到着するたびに、ルールの重大度だけでなく、コンテキスト(エンティティの重要度、影響範囲、過去の行動、現在のキャンペーン、ATT&CKテクニックの組み合わせ)に基づいて継続的に評価します。低価値資産に関する低コンテキストのアラートは、簡単なチェックの後、自動的にクローズされる可能性があります。新しいクラウドキーを作成しながら、新しい地域からサインインする特権アカウントなど、リスクの高い組み合わせは、即座に昇格され、徹底的な調査が行われます。
実際の導入事例では、このようなシステムにより、1日あたり数千件のアラートを数百件に圧縮し、アナリストによる手作業によるトリアージの量を桁違いに削減しながら、検知品質を向上させることができることが報告されています。これにより、上級管理職は脅威ハンティング、パープルチーム、アーキテクチャ強化に集中できるようになります。 エージェント的な SOC プラットフォーム概要 これらのトリアージ パターンのいくつかについてさらに詳しく説明します。
クラウドセキュリティ管理と構成ミスの修正
クラウドの設定ミスは依然として侵害の主な原因となっています。パブリックバケット、過剰に付与されたロール、忘れられたテスト環境、そして古くなったサービスアカウントは、攻撃の標的となりやすい環境を作り出します。SnowflakeとChange Healthcareのインシデントはどちらも、クラウド接続システムにおける認証情報と設定の脆弱性のリスクを浮き彫りにしています。
従来のクラウドセキュリティ体制管理ツールは問題を特定しますが、多くの場合、セキュリティチームに膨大な静的リストを渡します。大規模な問題を解決するには、DevOps、アプリケーションオーナー、コンプライアンス担当者間の連携が必要です。実際には、多くの発見事項が数ヶ月も解決されないままになっています。
Agentic AIは、クラウドセキュリティ管理に継続的かつコンテキストアウェアな監視機能をもたらします。専用エージェントが、設定の変動、IDの変更、そしてベースラインに対するワークロードの挙動を監視します。S3バケットが突然公開されたり、サービスアカウントに強力な新しいロールが付与されたりした場合、エージェントは即座に変更をフラグ付けし、ビジネス上の重要度を評価し、以前のポリシーへのロールバックや既知の有効なテンプレートの適用といった安全な修復策を提案・実行します。
KMSキー、IAMポリシー、Kubernetesクラスターの場合、エージェントは変更を適用する前にシミュレーションを行い、破損リスクをチェックできます。NIST SP 800-207ゼロトラスト原則に基づいたポリシー定義と組み合わせることで、クラウドのポスチャを設計意図に非常に近づけるフィードバックループを構築できます。専任のクラウドセキュリティチームを編成できない中堅企業のチームは、実用的なセキュリティ対策を講じることができます。
その クラウド検出と対応の概要 クラウドのコントロールプレーンとデータプレーンを横断する継続的な分析によって、静的スキャナーでは見逃される攻撃チェーンがどのように明らかになるのかを深く掘り下げます。エージェント型ワークフローは、その可視性の上に構築され、発見した内容を行動へと導きます。
権限の不正使用検出機能を備えたアイデンティティおよびアクセス ガバナンス
アイデンティティは新たな境界となりました。MGM攻撃、2025年の大規模な認証情報漏洩、そしてSnowflakeインシデントはいずれも、攻撃者が明白なマルウェアではなく、有効な認証情報を使用して侵入したものでした。内部脅威に関する調査によると、現在、侵害の約60%に内部関係者または侵害されたアカウントが関与しています。
従来のアイデンティティおよびアクセスガバナンスプロセスは、多くの場合、四半期ごとまたは年ごとに実行されます。権限レビュー、ロールマイニング、アドホック権限監査は有効ですが、1つのアカウントを9日間連続で悪用する攻撃者に対してはほとんど効果がありません。2024年のSalt Typhoon攻撃はまさにこの問題を露呈し、正当な認証情報を用いて通信ネットワークへの長期的なアクセスを維持しました。
Agentic AIは、2つの方法でアイデンティティとアクセスのガバナンスをサポートします。まず、継続的な行動分析エージェントが、各アイデンティティの通常の動作(アクセスするアプリケーション、典型的なデータ量、通常の地域、通常の時間帯など)を監視します。あるアカウントが午前3時に突然、新しい地域から数ギガバイトのデータを取得した場合、MFAの使用の有無にかかわらず、エージェントはセッションにフラグを付けたり、一時停止したりすることができます。
第二に、ガバナンス重視のエージェントは権限グラフをスキャンし、有害な役割の組み合わせ、孤立したアカウント、過剰な権限を特定し、リスクを排除するための優先順位付けされたコンテキスト豊富な推奨事項を所有者に提示します。ソーシャルエンジニアリングによって管理者アクセスが不正に取得されたMGMの侵害のような事例は、このような権限レビューが断続的ではなく継続的に実施される必要がある理由を如実に示しています。
モダン アイデンティティ脅威の検出と対応 この資料では、従来のIAMと、有効なアカウント、権限昇格、ラテラルムーブメントといったATT&CK技術の検知エンジニアリングをどのように融合させるかを概説しています。エージェントシステムは、こうしたエンジニアリングと日常的な監視の大部分を自動化します。
継続的なコンプライアンスチェックとポリシーの適用
中堅企業にとって、コンプライアンスは常に多くのリソースを消費する課題です。PCI DSS、HIPAA、GDPR、業界固有の規制、そして近年のソフトウェアサプライチェーンセキュリティに関する大統領令など、いずれも継続的なエビデンスを必要とします。しかし、多くの企業は依然として、コンプライアンスを四半期ごとにスプレッドシートやスクリーンショットを山積みにする作業として捉えています。
NIST SP 800-207は、ゼロトラストを、資産、脅威、そしてユーザーの行動の変化に適応しなければならない継続的なプロセスと定義しています。MITRE ATT&CKに基づくカバレッジ分析ツールは、実際の攻撃者の手法と制御が一致している箇所を示し、盲点を浮き彫りにします。どちらのフレームワークも、自動化と継続的な検証を暗黙的に求めています。人間だけでは対応できません。
エージェント型AIはこの要件によく適合します。ポリシーエージェントは、「すべての特権IDにはフィッシング耐性のあるMFAが必要」や「どの事業部門もデータベースをインターネットに直接公開してはならない」といったルールをエンコードできます。その後、他のエージェントが関連するテレメトリ、構成状態、IDレコードをこれらのポリシーに照らし合わせて継続的にチェックし、違反が見つかった場合はそれを公開または更新します。
これにより、コンプライアンスは、時点ごとのアテスティメーションから生きた証拠へと移行します。取締役会にプレゼンテーションを行うセキュリティアーキテクトにとって、毎日生成されるATT&CKカバレッジヒートマップと自動化されたポリシーコンプライアンススコアを示すことは、年に一度の古くなった評価よりもはるかに説得力を持ちます。 MITRE ATT&CKカバレッジアナライザー資料 このような視覚化がセキュリティと保険の交渉の両方をどのようにサポートするかを示します。
クロスドメインデータを使用した自律的な脅威ハンティング
中規模市場のチームの多くは脅威ハンティングを熱望していますが、それを継続できるチームはごくわずかです。アナリストはインバウンドアラートに追いつくのがやっとで、体系的なハンティングはキューの最後尾に追いやられてしまいます。しかし、Salt TyphoonからChange Healthcareに至るまでの最近の侵害事例は、プロアクティブなハンティングによって、影響が本格的に及ぶずっと前に異常を発見できた可能性を明らかにしています。
エージェント型AI脅威ハンティングエージェントは、この方程式を逆転させます。アラートを待つのではなく、ATT&CKの技術と脅威インテリジェンスに基づいて仮説を生成し、検証します。例えば、エージェントは、すべてのエンドポイントで認証情報の不正流出や異常なリモート管理ツールの使用の兆候を探し、ネットワークログやクラウド監査証跡に着目します。
エージェントは継続的に、かつ機械のスピードで実行できるため、人間のチームよりもはるかに多くの仮説を探索します。疑わしいパターンを発見すると、事前に用意されたコンテキストを用いてケースを開き、疑わしい手法、関与する主体、そして次のステップの提案をマッピングします。時間の経過とともに、アナリストからのフィードバックによって、どのハントが価値をもたらしたかをエージェントが学習し、将来の取り組みを洗練させていきます。
その サイバー脅威インテリジェンスの概要 構造化されたATT&CKマッピングが、攻撃ライフサイクル全体にわたる体系的なハンティングをどのように実現するかを説明します。Agenticシステムは、この構造化されたアプローチを自動化し、既存のテレメトリスタックに統合します。
エージェントAIと組み合わせるアーキテクチャパターン XDR の三脚と SIEM
最高のエージェント型AIセキュリティソリューションであっても、場当たり的に導入すれば機能しません。中規模企業を率いるCISOにとって重要な問題は、「エージェントは何ができるか」だけでなく、「既存のシステムとどのように統合できるか」です。 SIEM, XDRリスクや予算を膨らませることなく、ハイパーオートメーションへの投資をどのように実現しますか?
最も成功したデザインにはいくつかの共通点があります。まず、 Open XDR あるいは同様のデータファブリックを基盤として活用します。このレイヤーは、エンドポイント、ネットワーク、クラウド、ID、SaaSアプリケーション全体のテレメトリを正規化します。Agentic AIエージェントは、各ツールと個別に統合するのではなく、この正規化されたストリームを利用できます。これにより、統合リスクが軽減され、新しいデータソースのオンボーディングが簡素化されます。
第二に、それらは SIEM 完全に置き換えるのではなく。レガシー SIEMコンプライアンスログ、長期保存、そしてある程度の相関関係は依然として処理されます。エージェント型AIと現代の XDR プラットフォームはそれらの隣に設置され、リアルタイム検知、マルチドメイン相関、そしてレスポンスオーケストレーションを担います。多くの組織は、ログをミラーリングすることから始めます。 Open XDR プラットフォームでは、不動産業者は再考する前にそのコピーを操作します SIEM 更新サイクル。
第三に、対応アクションは既存のハイパーオートメーションスタックとSOARプラットフォームを通じて連携されます。エージェント型AIエージェントは、既存の変更管理手法を迂回するのではなく、よりスマートなトリガーとより豊富なコンテキストを用いて、承認済みのプレイブックとワークフローを呼び出します。これは、ネットワークとリソースへのアクセスに対するポリシー主導の制御を重視するNIST SP 800-207のガバナンス原則と一致しています。
最後に、人間による監視は依然として重要です。プレスリリース 人間拡張自律 SOCs エージェントがトリアージ、相関分析、提案を行い、人間が影響度の高いアクションを検証し、戦略を調整することに重点を置いています。このモデルは、セキュリティ文化への期待と新たなAIガバナンス要件の両方を満たしています。
この移行を計画しているリーダーにとって、高度なAI SOC などの参考文献 AI SOC 建築ガイド の三脚と 最高のAI SOC プラットフォームの概要 実用的な評価基準を提供します。各プラットフォームがMITRE ATT&CKに検出結果をマッピングし、ゼロトラストに関連するコンテキストを公開し、アナリストの作業負荷軽減を実数値で測定している点に特に注目してください。
中規模市場のCISO向けの実践的な導入パス
たとえ価値が明確であっても、エージェントAIの導入はリスクを伴う場合があります。懸念事項は、誤検知による業務の混乱から、AIシステムがポリシー外の動作をすることまで多岐にわたります。特に規制の厳しい業界や、脆弱なレガシーアプリケーションが存在する環境では、こうした懸念はもっともです。解決策は、明確なガイドラインを設けた段階的な導入にあります。
実用的なアプローチは、可視性とトリアージに重点を置いた読み取り専用の導入から始まります。エージェントがアラートのスコアリング、ケースの構築、対応策の提案を行えるようにしますが、システムに変更を加えるアクションには必ず人間の承認が必要です。平均検出時間、平均対応時間、ケースごとのアナリストの作業時間の変化を測定します。数ヶ月以内に有意な効果が得られない場合は、構成を調整するか、ベンダーを再検討してください。
次に、フィッシングメールの修復や重要度の低いラボエンドポイントの隔離など、部分的な自律化を実現する、アクセス量が多くリスクが低い狭い領域を特定します。多くの組織は既にこれらの領域でSOARプレイブックを信頼しており、エージェント型AIはプレイブックをいつ実行するかを決定するだけです。エラー率、ロールバック頻度、ユーザーからの苦情を監視します。
これらのパイロットが安全であることが証明された後にのみ、チームは、特にアイデンティティ管理とクラウド構成のロールバックに関して、より広範な自律的な権限の付与を検討すべきです。その場合でも、すべての自律的なアクションの種類を、明示的なポリシー、ビジネスオーナーの承認、そして後々のフォレンジック調査を可能にするログ記録構造に準拠させる必要があります。
全体を通して、MITRE ATT&CKとNIST SP 800-207に照らし合わせた進捗状況をマッピングし続けます。カバレッジアナライザーとゼロトラスト評価を用いて、現在、エージェント主導で継続的に対応が必要な攻撃手法とポリシー制御を特定します。それぞれの進捗状況を、より早期に検知または封じ込められたであろう実際の侵害事例と関連付けます。経営幹部は具体的なシナリオに対し、「この設定であれば、Change Healthcareのような認証情報の不正使用を数日ではなく数時間で検知できた可能性が高い」と回答します。
特定の構成要素についてより深く学ぶには、 ユーザーとエンティティの行動分析ガイド と アイデンティティ脅威検出の概要 行動分析とアイデンティティ中心のコントロールに関する焦点を絞ったコンテキストを提供します。 Open XDR そしてエージェント的な SOC ファブリックは、今日の緊張した運用から、中規模市場の制約に適合した、より自律的で回復力のある体制への現実的な道筋を定義します。