セキュリティチームはかつてないほど多くのツール、データ、そしてプレッシャーにさらされています。あらゆるアドバイザリは緊急性を訴え、あらゆる新しいエクスプロイトは自動化されているように見え、あらゆる脅威アクターはAIを駆使して実験しています。しかし、依然として多くの侵害が成功するのは、防御側にツールが不足しているからではなく、防御側がツール不足に陥っているからです。 完全な可視性 そして、見たものを理解するための自動化です。
環境全体で何が起こっているかを把握するには、次の 3 つの補完的な信号ストリームが必要です。 ログ, エンドポイントテレメトリ, ネットワークトラフィックそれぞれが攻撃の異なる側面を明らかにし、他のツールでは捉えられないものを検知します。そして、これらを最新のAI(機械学習、エージェントによるトリアージ、LLMを活用したコパイロット)と組み合わせることで、攻撃者に対抗できるセキュリティプログラムが完成します。
ログ:意図の記録
ログは、認証、API呼び出し、権限変更、設定の変更など、「何が報告されたか」を物語ります。そして、意図を明らかにします。
例: 権限昇格
侵害を受けたユーザーがログインし、すぐに管理者レベルの変更を試みます。ログには次のように表示されます。
- 疑わしいログイン地域
- IAMの変更
- 異常なAPIアクティビティ
- 横方向アクセスのためのトークン作成
エンドポイントテレメトリ:実行の真実
エンドポイントはコードを明らかにする 実際に走った: プロセス、バイナリ、スクリプト、メモリ アクティビティ、永続化メカニズム。
例: 隠れたマルウェア
攻撃者がファイルレスペイロードをドロップします。エンドポイントテレメトリには以下が表示されます。
- PowerShell が予期せず起動する
- 土地から食料を得るための道具の乱用
- レジストリの永続性
- ローカル権限昇格の試み
ネットワークトラフィック:否定できない信号
ネットワークトラフィックは物理的な現象であり、パケットフローを偽造することはできません。エージェントをインストールできないシステム(OT、IoT、レガシーシステムなど)も含め、システム間で何が起きているかを示します。
例: データの流出
侵入されたサーバーが暗号化されたチャンクを外部に送信し始める。ネットワーク分析により以下のことが明らかになった。
- アウトバウンドスパイク
- 新しいC2トンネル
- 営業時間外の流出
- 攻撃に先立つ横方向のつながり
ML モデルは、量、方向性、タイミングの異常なパターンを捉え、データの流出の試みを早期に発見します。
AIがゲームを変える
ログ + エンドポイント + ネットワークを確認することが重要です。
これら 3 つすべてをリアルタイムで理解するのは、人間だけでは不可能です。
今日の SOC頼りにしている AIの3層:
1. 検出のための機械学習
2. トリアージのためのエージェントAI
- すべてのテレメトリから証拠を収集する
- 攻撃シーケンスの再構築
- 関連するエンティティと資産のマッピング
- 考えられる根本原因の特定
- 実際のリスクのランキング
Stellar Cyber の展開全体にわたって、エージェント トリアージは一貫して次のことを実現します。
- アラート量を最大90%削減
- 通常の症例の80~90%の自動トリアージ
- MTTRが70%以上改善
3. 副操縦士(LLM)の支援
最高のコア: SIEM + ネットワーク(オープンエンドポイントの選択肢あり)
SIEM (ログ)+ ネットワークトラフィック(NDR)
- ログは、アイデンティティ、ガバナンス、および意図を提供します。
- ネットワーク トラフィックにより、横方向の移動と流出が明らかになります。
- どちらも、エンドポイント エージェントがアクセスできない場所でも常に利用可能です。
- エンドポイント ツールは変化しますが、オープン アーキテクチャにより、好みの EDR を使用できます。
Stellar Cyber は、これら 3 つのシグナルすべてを 1 つの AI 搭載プラットフォームに統合し、環境全体で機械学習、エージェント AI、副操縦士機能を実現します。
可視性と自動化はもはやオプションではありません。AIを駆使して攻撃を仕掛けてくる敵に先手を打つ唯一の手段です。
