AIセキュリティ機能
KYRA AI MDRは、セキュリティ運用ワークフロー全体にわたって高度なAI機能を統合し、自動分析、調査支援、プロアクティブな脅威検出を提供します。
概要
プラットフォームは、それぞれ特定のセキュリティドメインに特化した12の専門AIエージェントを採用しています。これらのエージェントは連携して、アラートの分析、インシデントの調査、脅威のハンティング、実用的なインテリジェンスの提供を行い、アナリストのワークロードを軽減し、対応時間を短縮します。
AIエージェントの役割
| エージェント | 機能 |
|---|---|
| Threat Hunter | IOCパターン認識、MITRE ATT&CKテクニックマッピング、プロアクティブ検索 |
| OSINT Investigator | 外部インテリジェンス収集、ドメイン/IPエンリッチメント、レピュテーションチェック |
| Incident Responder | プレイブック実行、証拠収集、封じ込め推奨 |
| Vulnerability Researcher | 露出スキャン、パッチ優先順位付け、エクスプロイトリスク評価 |
| Forensic Analyst | タイムライン再構成、根本原因分析、アーティファクト検査 |
| Compliance Auditor | 規制マッピング、証拠証跡、コンプライアンスギャップ識別 |
| Malware Analyst | 静的/動的分析連携、サンドボックス統合、行動分類 |
| Dark Web Monitor | アンダーグラウンドフォーラム追跡、侵害アラート、資格情報露出モニタリング |
| Strategic Intel | キャンペーン追跡、APT帰属分析、地政学的脅威コンテキスト |
| Network Detective | ラテラルムーブメント検出、C2パターン識別、ネットワークフォレンジック |
| Identity Investigator | ユーザー/エンティティ行動分析、権限昇格検出、インサイダー脅威識別 |
| Threat Research Lead | マルチエージェント調査オーケストレーション、クロスドメイン分析調整 |
AI分析の仕組み
コスト最適化モデルルーティング
プラットフォームは分析タスクを適切なAIモデルティアにインテリジェントにルーティングします:
| タスクタイプ | モデルティア | ユースケース |
|---|---|---|
| トリアージ | 軽量 | 大量のアラート分類、重大度スコアリング、誤検知フィルタリング |
| 調査 | 標準 | アラートエンリッチメント、コンテキスト分析、パターンマッチング、IOC相関 |
| 帰属分析 | 高度 | APTキャンペーン帰属、複雑なインシデント分析、エグゼクティブ向け脅威ブリーフィング |
この階層的アプローチにより、複雑な脅威が必要とする深い分析を確保しながら、コストを予測可能に保ちます。
エージェントメモリ
AIエージェントは調査全体でコンテキストを維持します:
- 短期メモリ: 自動有効期限付きの現在の調査コンテキスト
- ワーキングメモリ: インシデントごとのケースファイルと証拠アーティファクト
- 長期メモリ: 脅威インテリジェンスパターン、IOC関係、履歴攻撃コンテキスト
- 集合メモリ: 調整された調査のためのエージェント間共有調査結果
統合ポイント
データソース
AIエージェントは接続されたすべてのソースからデータを分析します:
- ログコレクターイベント(ファイアウォール、EDR、syslog、Windowsイベント)
- NDRネットワーク検出
- クラウドセンサーアラート
- サードパーティコネクタデータ(Splunk、CrowdStrike、Elastic)
- 外部脅威インテリジェンスフィード
出力
- エンリッチされたアラートコンテキストと重大度調整
- 調査タイムラインと根本原因分析
- 自動プレイブック推奨
- コンプライアンス証拠マッピング
- エグゼクティブ向け脅威レポート
脅威インテリジェンス統合
AIエージェントは複数の脅威インテリジェンスソースを活用します:
| フィード | 使用エージェント |
|---|---|
| VirusTotal | Malware Analyst |
| Shodan | OSINT Investigator |
| MISP(コミュニティIOC) | Strategic Intel |
| Recorded Future | Strategic Intel |
| NVD / ExploitDB | Vulnerability Researcher |
| Abuse.ch | Threat Hunter |
クロスエージェント連携
複雑なインシデントでは、Threat Research Leadがマルチエージェント調査をオーケストレーションします:
- 初期トリアージ — Alert Triageエージェントが重大度を分類し、関連ドメインを特定
- 並列分析 — 専門エージェントが同時に調査(Threat Hunter + OSINT + Network Detective)
- 調査結果の統合 — Research Leadがエージェント全体の調査結果を集約
- 対応推奨 — Incident Responderが封じ込めと修復手順を生成
- 文書化 — Compliance Auditorが調査結果を規制要件にマッピング
この調整されたアプローチにより、アナリストによる手動のオーケストレーションなしに、複雑な脅威があらゆる角度から分析されます。