NDR — ネットワーク検出＆対応

KYRA MDRコレクターエージェントには、ネットワーク検出＆対応（NDR）機能が組み込まれています。ログ収集を処理するのと同じコレクターバイナリが、ディープパケットインスペクション、フロートラッキング、行動ベースライニング、脅威検出も実行します。別途NDRセンサーのデプロイは不要です。

アーキテクチャ

処理パイプライン

ネットワークトラフィックは6段階の分析パイプラインを通過します：

flowchart LR
    CAPTURE["Capture\nTAP / SPAN\nmirror"]
    PARSE["Parse\nL3-L7\nprotocol parsers"]
    FLOW["Flow\n5-tuple\nbidir tracker"]
    BASELINE["Baseline\nrolling\nhourly stats"]
    DETECT["Detect\nrule\nengines"]
    EMIT["Emit\nalert"]

    CAPTURE --> PARSE --> FLOW --> BASELINE --> DETECT --> EMIT

Capture — TAP/SPAN/ミラーポートからのプロミスキャスモードでの生パケット取得
Parse — DNS、TLS、HTTP、SMB、SSH、RDP、Kerberos、DHCPのプロトコルパーシング
Flow Tracking — 5タプル識別による双方向フローアセンブリ
Baselining — 行動異常検出のためのローリング時間統計
Detection — シグネチャ、行動、脅威インテルマッチングを含む複数の検出エンジン
Alert Emission — 検出アラートはログイベントと同じCollectorパイプラインを通じて送信

プロトコルサポート

プロトコル	分析機能
DNS	クエリ/レスポンスログ、DGA検出、トンネリング検出、不審なドメイン解決
TLS/SSL	JA3/JA3Sフィンガープリント、証明書検証、期限切れ/自己署名証明書検出
HTTP	URL分析、ユーザーエージェントプロファイリング、不審なダウンロード検出
SMB	ファイル共有アクセス監視、ラテラルムーブメント検出
SSH	セッション追跡、ブルートフォース検出、異常な鍵交換
RDP	リモートアクセス監視、ブルートフォース検出
Kerberos	認証監視、Golden/Silverチケット検出
DHCP	デバイス発見、不正DHCP検出

検出機能

シグネチャベース検出

既知のマルウェア通信パターン
Command & Control（C2）ビーコン検出
エクスプロイトキットトラフィック識別
既知の悪意あるIP/ドメインマッチング

行動ベース検出

トラフィック量の異常（バイト、パケット、ホストあたりの接続数）
異常なプロトコル使用（非標準ポートでのDNS、通常でないポートでの暗号化トラフィック）
ラテラルムーブメントパターン
データ流出インジケーター（大量のアウトバウンド転送、異常なアップロード比率）
ビーコニング検出（定期的なアウトバウンド接続）

MITRE ATT&CKマッピング

すべてのNDR検出はMITRE ATT&CKテクニックにマッピングされます：

戦術	検出例
初期アクセス	公開アプリケーションの悪用、フィッシングリンクのクリック
実行	不審なスクリプトダウンロード、マルウェア取得
永続化	C2ビーコンの確立
ラテラルムーブメント	SMB/RDPピボッティング、Pass-the-Hash
流出	DNSトンネリング、外部IPへの大量データ転送
Command & Control	ビーコニング、DGAドメイン、暗号化C2チャネル

デプロイメント

ネットワーク要件

ネットワークスイッチでTAP、SPAN、またはミラーポートを設定
トラフィックキャプチャ用のCollectorホスト上の専用ネットワークインターフェース
最低1 Gbpsインターフェース（高トラフィック環境では10 Gbps推奨）

パフォーマンス

メトリック	性能
スループット	最大1 Gbps持続トラフィック分析
フロートラッキング	500,000以上の同時フロー
メモリ	NDRモジュールに追加で約200 MB
レイテンシ	サブミリ秒のパケット処理

機能ゲーティング

NDRはテナントごとに有効化されるアドオン機能です。NDRが有効化されていない場合：

NDRイベントは取り込みレイヤーで拒否されます
NDRトラフィックは個別に追跡され、ログ取り込みクォータにはカウントされません
Collectorはプラットフォームが適切な設定オプションを表示できるようNDR機能ステータスを報告します