脅威ハンティング
脅威ハンティングAIは、セキュリティアナリストがプロアクティブな脅威ハンティング活動を実施する際の支援を行います。ハンティング仮説の生成、検索クエリの作成、パターンの分析、構造化されたハンティングワークフローを通じたガイドを提供します。
主な機能
- 仮説生成: お客様の環境に合わせたMITRE ATT&CKベースのハンティング仮説
- 自動検索: データソースと時間枠に対する検索クエリの生成
- 異常検出: 外れ値を特定するための統計的・行動的分析
- ガイド付きワークフロー: コンテキストに応じたガイダンスを含むステップバイステップのハンティング手順
- ナレッジベース: 継続的に更新されるTTPs(戦術、テクニック、手順)ライブラリ
ハンティングワークフロー
1. 仮説形成
AIが以下に基づいてハンティング仮説を生成:
- 現在の脅威ランドスケープとトレンドのTTPs
- 組織の業界と脅威プロファイル
- 過去のインシデントとニアミス
- 脅威インテリジェンスアラートとアドバイザリ
- MITRE ATT&CKテクニックカバレッジのギャップ
2. データ収集
各仮説に対して:
- 関連データソース(ログ、NDR、EDR、クラウドセンサー)の特定
- 最適化された検索クエリの生成
- 時間ウィンドウとスコープの定義
3. 分析
ハンティング中:
- 統計的異常と行動的外れ値のハイライト
- 複数のデータソースにまたがる調査結果の相関
- 脅威インテリジェンスからのコンテキストエンリッチメントの提供
- 潜在的な攻撃チェーンとラテラルムーブメントの特定
4. 調査結果と対応
脅威が発見された場合:
- 詳細な調査結果ドキュメントの作成
- 検出ルール作成のためのIOCの生成
- 即時対応アクションの推奨
- 集合インテリジェンスベースへの調査結果のフィード
ハンティングライブラリ
MITRE ATT&CKで整理された事前構築ハンティングパッケージ:
| 戦術 | ハンティング例 |
|---|---|
| 初期アクセス | 異常な認証パターン、フィッシングキャンペーンインジケーター |
| 実行 | 不審なプロセスチェーン、スクリプト実行異常 |
| 永続化 | レジストリ変更、スケジュールタスク変更、サービスインストール |
| 権限昇格 | 異常な権限付与、トークン操作インジケーター |
| 防御回避 | ログギャップ、ツール無効化、偽装インジケーター |
| ラテラルムーブメント | 異常なRDP/SMB/SSHパターン、Pass-the-Hashインジケーター |
| 収集 | 異常なファイルアクセスパターン、データステージングインジケーター |
| 流出 | 異常なアウトバウンドデータ量、DNSトンネリングインジケーター |
| Command & Control | ビーコニングパターン、異常な暗号化チャネル |
利用可能なティア
プロアクティブ脅威ハンティングはHuntティア限定で利用可能です。DetectおよびRespondティアのお客様は自動検出を受けますが、プロアクティブハンティング機能はご利用いただけません。