人工知能(AI)がサイバーセキュリティ分野を含むあらゆる分野に革命を起こしている時代において、AIを習得することはもはやオプションではなく、必須となっています。「AIはあなたに取って代わることはないが、AIを使う誰かがあなたに取って代わる」という格言があります。Stellar Cyberでは、この理念に基づき、セキュリティオペレーションセンター(SOC) ソリューションにより、脅威の検出効率、運用効率、ユーザー エクスペリエンスを最大化します。
脅威検出効率の最大化
2015年の創業以来、私たちはセキュリティオペレーション(SecOps)におけるAI導入の最前線に立ってきました。私たちの使命は、あらゆる人が検知と対応にアクセスできるようにし、あらゆるデータがその情報源を問わずリアルタイムで活用できるようにすることです。このビジョンは、今日ではOpen Extended Detection and Response(Open XDR)。 私たちの Open XDR このソリューションは、あらゆるソースからセキュリティデータを取り込み、広範囲にわたる可視性を確保し、堅牢な脅威検知を可能にします。教師なし機械学習を活用することで、従来の手法では見逃されがちな複雑な行動パターンや異常を特定できる検知モデルを強化します。また、教師あり機械学習も活用し、ドメイン生成アルゴリズム(DGA)などの既知のパターンを持つ脅威を検知します。こうした機械学習ベースの検知は、高度な多段階攻撃がますます蔓延する今日の脅威環境において極めて重要です。
相関、GraphML、ケース中心の管理による運用効率の向上
Stellar Cyberでは、グラフ機械学習(GraphML)を活用して高度なアラート相関を通じてセキュリティ運用を向上させることで、運用効率を最大化しています。このアプローチにより、ノイズが大幅に削減され、ケースが統合され、 SOC アナリストは、個々のアラートに圧倒されることなく、豊富な情報を処理できるようになります。これにより、アナリストによる脅威の優先順位付け、調査、対処方法が大幅に改善されます。
類似性と相関関係の活用
GraphML は、ネットワーク内のさまざまなエンティティ間の類似点と相関関係を認識するのに優れています。データ ポイント間の関係をマッピングすることで、GraphML は、他の方法では気付かれない可能性のあるパターンを検出するのに役立ちます。たとえば、次のものを接続できます。
- ユーザーエンティティ: セッション ID、セキュリティ識別子 (SID)、ユーザー プリンシパル名 (UPN) など、これらをリンクして疑わしいユーザーの動作を検出できます。
- デバイスエンティティ: デバイス ID、ファイル名、フォルダー、レジストリ キーなどが含まれます。デバイス間のアクティビティを相関させることで、複数のエンドポイントにまたがる複雑な悪意のあるアクティビティを検出できます。
- 電子メールエンティティ: 送信者と受信者のアドレス、URL、添付ファイルなど。メールトラフィックを相関させることで、 SOC アナリストはフィッシング攻撃や電子メールベースの攻撃を検出できます。
- 汎用エンティティ: IP アドレス、クラウド リソース、アプリケーション ID などです。これらのデータ ポイントを相関させることで、ネットワークやクラウド環境を横断する協調攻撃を発見するのに役立ちます。
この類似分析は、インテリジェントで注意深い相関関係を生み出します。 SOC 個別のアラートがあるチームに対して、当社のシステムは関連するアラートをケースにグループ化し、全体像を示して優先順位付けと対応を容易にします。
グラフベースの表現による因果関係の分析
GraphML は、複雑で多段階の攻撃を理解するために不可欠な因果分析も可能にします。イベント データのグラフベースの表現を分析することで、システムはアラート間の潜在的な因果関係を明らかにします。たとえば、フィッシング メールによってエンドポイントが侵害され、その後ネットワーク全体に横方向の移動が起こる可能性があります。
この因果関係分析により、 SOC アナリストは攻撃の進行状況を追跡し、イベントの順序を把握することで、より効果的な対応が可能になります。イベント間の関係性を可視化することで、アナリストは個々のアラートを個別に処理するのではなく、攻撃フロー全体を統合されたケースとして管理できます。
この因果関係分析により、 SOC アナリストは攻撃の進行状況を追跡し、イベントの順序を把握することで、より効果的な対応が可能になります。イベント間の関係性を可視化することで、アナリストは個々のアラートを個別に処理するのではなく、攻撃フロー全体を統合されたケースとして管理できます。
現実世界のアプリケーション:
実際のシナリオでは、以下の例のように、 XDR システムはGraphMLを採用しており、資産やプロパティなどの共通属性に基づいてアラートを自動的にリンクします。例えば、ホスト上でフィッシングURLが検出されると、疑わしいWindowsプロセスの作成やコマンドライン実行が検出されます。これらはすべて、より大規模で複雑な攻撃パターンの一部です。
GraphML の実践:
- アラートの自動相関: GraphML は、同じホスト (192.168.56.23) から発信されたアラートや、同じエンティティ (bravos、daenerys.targaryen) に関連するアラートなど、共通の要素を共有するアラートを自動的に相関させることで、分析を簡素化します。これにより、手動による介入なしに、攻撃に関する一貫した説明を構築できます。
- 攻撃ベクトルの全体的視点: 当社のグラフビューは、 XDR このプラットフォームは、疑わしいプロセスの作成や PowerShell スクリプトの使用につながるコマンド ライン操作など、高度なマルウェア攻撃の典型的な動作を含むさまざまなアラート間の関連性を示します。
- トリアージ効率の向上: GraphMLでは、 SOC アナリストは個別のアラートに煩わされることなく、悪意のあるアクティビティの相互接続されたマップを閲覧できるため、トリアージプロセスを迅速化できます。これにより、脅威の迅速な分離と修復が可能になり、潜在的な被害を軽減できます。
得られる運用上のメリット:
- 合理化された検出ワークフロー: GraphML は、リンクされたアラートのより高レベルな構造をアナリストに提示することで、脅威の検出をより迅速かつ正確にし、手動による相関関係の分析に必要な時間を短縮します。
- 警戒疲労の軽減: このテクノロジーにより、個別に注意を払う必要があるアラートの数が大幅に削減され、アラート疲労が軽減され、アナリストが本当に重要なアラートに集中できるようになります。
- 積極的な脅威ハンティング: 攻撃パターンを視覚化して相関関係を事前に把握する機能は、観察された動作に基づいて将来の潜在的な攻撃を予測するのに役立ち、全体的なセキュリティ体制を強化します。
上記の例のような複雑なシナリオにおけるアラート相関分析にGraphMLを活用することで、当社のシステムは運用効率を確保するだけでなく、多面的なサイバー脅威に対するセキュリティインフラを強化します。この統合アプローチにより、 SOC チームには、現代のサイバー課題に効果的に対処するために必要なツールが備わっています。
生成AIで脅威調査をスピードアップ
また、Generative AI の統合によるユーザー エクスペリエンスの最適化にも注力しています。セキュリティ アナリストが自然言語を使用してシステムやデータと対話できるチャットボットを想像してみてください。ChatGPT に似ていますが、セキュリティ調査に特化したこの機能により、アナリストは質問をしたり、タスクを自然に説明したりできます。
例えば、アナリストはこう尋ねるかもしれません。「先週の業務時間外におけるシステム管理者の異常な行動を特定するシステムは、このクエリを、イベントの種類、ユーザー権限、時間枠など、必要なすべての基準を含む正確な検索に変換します。アナリストは、「フィッシング攻撃を最も多く受けた上位10人のユーザーのヒストグラムを作成します。」と入力すると、システムが自動的にチャートを生成します。
私たちの目標は、AI が人間のコミュニケーション方法にシームレスに統合されるようにすることです。人間の言語を習得することで、AI はニュアンスや意図を理解でき、ユーザーは機械の複雑な言語を理解することなく調査に集中できます。この自然なインタラクションにより、調査プロセスの効率と深さが向上し、アナリストは基礎となるデータの複雑さを気にすることなく、進行中の状況の明確なメンタル マップを作成できます。
例えば、アナリストはこう尋ねるかもしれません。「先週の業務時間外におけるシステム管理者の異常な行動を特定するシステムは、このクエリを、イベントの種類、ユーザー権限、時間枠など、必要なすべての基準を含む正確な検索に変換します。アナリストは、「フィッシング攻撃を最も多く受けた上位10人のユーザーのヒストグラムを作成します。」と入力すると、システムが自動的にチャートを生成します。
私たちの目標は、AI が人間のコミュニケーション方法にシームレスに統合されるようにすることです。人間の言語を習得することで、AI はニュアンスや意図を理解でき、ユーザーは機械の複雑な言語を理解することなく調査に集中できます。この自然なインタラクションにより、調査プロセスの効率と深さが向上し、アナリストは基礎となるデータの複雑さを気にすることなく、進行中の状況の明確なメンタル マップを作成できます。
サイバーセキュリティで先頭に立つ
サイバーセキュリティの最先端を維持するために、当社は継続的に革新を行っています。当社のユーザーは、当社のソリューションに統合された AI の恩恵をすでに受けており、日々脅威を検出して対応しています。今後は、検索や調査におけるユーザー エクスペリエンスをさらに最適化するために、Generative AI を導入する予定です。これらの進歩を体験したい方のために、この夏からこのソリューションへの早期アクセスを提供しています。
結論
AI の統合 SOC オペレーションは単なるトレンドではなく、重要な進化です。AIを駆使することで、組織は脅威検知、運用効率、そしてユーザーエクスペリエンスを大幅に向上させることができます。Stellar Cyberは、ユーザーがAIの潜在能力を最大限に活用し、絶えず進化するサイバーセキュリティ環境において常に一歩先を行くことができるよう支援します。
アクションの呼び出し: 可能性を探る準備はできていますか? SOC サイバーセキュリティ業務に自動化とAIを導入しませんか?[お問い合わせ先]までご連絡いただくか、ウェブサイトにアクセスして個別相談のご予約をお願いいたします。AIの力を活かし、より安全な未来を実現しましょう。
