Cisco Japan Blog

Cisco Japan Blog / 脅威リサーチ / Talos IR によるプロアクティブな脅威ハンティング

2025年5月13日 Leave a Comment
脅威リサーチ

Talos IR によるプロアクティブな脅威ハンティング

1 min read



効果的なサイバーセキュリティとは、単にインシデントに対応することではなく、インシデントの発生そのものを未然に防ぐことだと Cisco Talos は考えています。これを実現する最も強力な方法の 1 つが、プロアクティブな脅威ハンティングpopup_iconです。Talos インシデント対応popup_icon(Talos IR)チームは、組織と緊密に連携しながら、既存の脅威に対処するだけでなく、将来的に起こり得るリスクを予測して軽減します。Talos の脅威ハンティングアプローチにおいて重要な要素となっているのは、Splunkpopup_icon SURGe チームが開発した PEAK 脅威ハンティングフレームワークです。これにより、包括的かつプロアクティブなハンティングを高い精度で実施できます。

PEAK 脅威ハンティングフレームワークとは

PEAK フレームワーク(PEAK は Prepare, Execute, and Act with Knowledge の頭文字で、ナレッジに基づく準備、実行、対応という意味)は、効果的かつ集中的な脅威ハンティングを実施するための体系化された手法を提供します。これにより、あらゆるハンティングが組織固有のニーズと脅威の状況に沿って実施されるようになります。PEAK フレームワークの中核をなすのは、プロアクティブな脅威検出の基盤となるベースラインハンティングです。これに加え、仮説主導のハンティングやモデル支援脅威ハンティング(M-ATH)などの高度な手法を用いて脅威の検出と軽減をさらに強化します。

ベースラインハンティング:プロアクティブな脅威ハンティングの基盤

ベースラインハンティングでは、ユーザーアクティビティ、ネットワークトラフィック、システムプロセスの観点から、組織の通常の運用環境を明確に把握します。このベースラインを文書化して分析することで、Talos IR は悪意のあるアクティビティの兆候となり得る変則的挙動を特定できます。

こうしたハンティングは事後対応となる場合もありますが、組織内に潜む脅威、Advanced Persistent Threat(ATP)、さらには検出されない可能性のある新しい攻撃手法など、通常の操作に紛れ込もうとする脅威を検出するために、プロアクティブに実施することが重要です。

ベースラインハンティングの主な手順は次のとおりです。

  1. 通常のアクティビティの定義:システムログ、ユーザーアクティビティ、ネットワークトラフィックから得たデータを使用して、運用環境内での「通常の」状態を把握します。
  2. 逸脱検知:潜在的な脅威を示す可能性のあるベースラインからの逸脱をプロアクティブにハンティングします。
  3. ベースラインの改善:新たな脅威やインフラストラクチャの変化に対応するために、ベースラインを継続的に改善および更新します。

仮説主導のハンティング:脅威に関する仮説の検証

Talos IR は、ベースラインハントに加え、仮説主導のハンティングも活用し、潜在的な脅威に関する仮説をプロアクティブに検証します。これらのハンティングは、攻撃者が特定の環境で何をしているかについての具体的な仮説、つまり経験に裏打ちされた推測に基づいています。仮説主導のハンティングは、調整なしの静的で画一的なアプローチではなく、動的なアプローチを取ることで、浮かび上がる特定の疑問や新たな脅威に適応します。

たとえば、仮説主導のハンティングは、特定のユーザーグループがフィッシング攻撃の標的になっているという仮説から始まります。ハンティングでは、悪意のある電子メール、通常とは異なるログインパターン、データの収集や漏洩の試みなどの証拠を探すことで、この仮説を検証することに重点を置きます。

仮説主導のハンティングの主な手順は次のとおりです。

  1. 仮説の形成:脅威インテリジェンスと過去のインシデントに基づいて、考えられる攻撃ベクトルや攻撃者の行動に関する具体的な仮説を立てます。
  2. 仮説の検証:エンドポイントテレメトリ、認証ログ、ネットワークトラフィックなどのデータソースを使用して、証拠が仮説を裏付けるかどうかを検証します。
  3. 結果の分析:仮説が正しかった場合、潜在的な脅威の全容を把握するために追加の調査が行われます。

モデル支援脅威ハンティング:機械学習を活用して隠れた脅威を検出

Talos IR のプロアクティブなハンティングアプローチにおけるもう 1 つの強力なツールが、モデル支援脅威ハンティング(M-ATH)です。このハンティングは、機械学習と高度な統計モデルを活用して膨大な量のデータを精査し、隠れた脅威を示唆する可能性のあるパターンを特定します。M-ATH により、従来の方法では発見するのが困難な脅威も検出できるようになります。

機械学習モデルは、ユーザーアクティビティ、ネットワークトラフィック、システムログなど、さまざまなドメインにおける不審な挙動を、典型的なパターンからの逸脱を探すことで検出するようにトレーニングされます。時間の経過とともに、モデルが新たなデータや脅威インテリジェンスから学習し、新しい脅威を検出する能力が向上していきます。

M-ATH の主な手順は次のとおりです。

  1. データ収集:ネットワークトラフィック、エンドポイントデータ、認証ログなど、複数のソースから大規模なデータセットを収集します。
  2. モデルトレーニング:機械学習アルゴリズムを使用して、通常の動作と悪意のある動作のパターンを識別します。
  3. 逸脱検知:トレーニングされたモデルは、確立されたパターンからの逸脱を探すことで、これまで検出されていなかった新しい異常や潜在的な脅威を識別するのに役立ちます。
  4. 改良:新しいデータが収集および分析されるにつれてモデルが改良され、見えにくい脅威を検出する能力が向上します。

Talos 脅威インテリジェンスを活用した脅威ハンティングの強化

Talos IR の脅威ハンティングpopup_iconをあらゆる面で充実させ、強化する重要な要素となるのが、Talos 脅威インテリジェンスです。最新かつ信頼性の高い脅威インテリジェンスをハンティングに統合することで、調査の精度、関連性、速度が向上します。Talos 脅威インテリジェンスは、新たな脅威、攻撃の傾向、攻撃者の戦術に関するデータを継続的に提供し、仮説の精緻化、ベースラインの調整、機械学習モデルの改良に貢献しています。

このインテリジェンスは、単にハンティングプロセスを補完するものではありません。あらゆるステージにインテリジェンスが組み込まれており、仮説主導のハンティングを導き、ベースライン検出を強化し、逸脱検知に使用するモデルの一部になっています。Talos 脅威インテリジェンスを活用することで、あらゆるハンティングが最新の脅威状況に即したものとなり、攻撃者の一歩先を行くために必要なナレッジがチームに提供されます。

IR リテーナーのお客様へのプロアクティブな対応

Talos IR リテーナーのお客様popup_iconには、ベースラインハンティング、仮説主導のハンティング、モデル支援脅威ハンティングという多層的で価値の高いサポートが、継続的かつプロアクティブに提供されます。これらのハンティングにより、脅威が本格的なインシデントへとエスカレートする前に検出して軽減できるようになります。Talos のエキスパートハンターがお客様のチームと直接連携し、進化する脅威に対して常に先手を打てるようサポートします。

プロアクティブな対応の主な利点は次のとおりです。

  • 早期検出:侵害や悪意のある行動の兆候となる可能性のある異常なアクティビティを特定し、攻撃が拡大するリスクを軽減します。
  • 継続的な改善:ベースラインモデルとハンティングモデルを改良することで、セキュリティ態勢が徐々に改善され、より迅速かつ正確な脅威検出が可能になります。
  • 実用的なインサイト:プロアクティブなハンティングにより、最新の脅威の傾向や攻撃方法に基づいて、防御力の強化に役立つ実用的なインテリジェンスが提供されます。

重要な理由

サイバーセキュリティの状況は絶えず進化しており、従来の防御方法だけではもはや十分とはいえません。攻撃者は悪意のあるアクティビティを通常の操作に巧妙に紛れ込ませることに長けており、従来の手段では攻撃を特定することが困難です。Talos IR は、ベースラインハンティング、仮説主導のハンティング、そしてモデル支援脅威ハンティングを実施することで、組織が攻撃者より一歩先を行くために必要なツールを提供します。

ハンティング中に新たな証拠が見つかった場合は、リアルタイムで調査を適応させ、微調整を加えます。具体的には、データが示す内容に基づいて仮説を発展させたり、調査範囲を見直したり、新たな重点領域に焦点を移したりします。

ハンティング中にアクティブな脅威、攻撃者、または悪意のあるアクティビティが検出された場合、Talos IR はすぐさま対応を切り替え、24 時間 365 日体制のオンコールインシデント対応チームに状況をエスカレーションします。これにより、封じ込め、緩和、根絶のための迅速な対応が確実に行われ、効果的な方法で脅威の潜在的な影響を最小限に抑えることができます。

Talos IR チームは、ハンティングチームとシームレスに連携し、アクティブな脅威の特定、隔離、無効化をリアルタイムでサポートします。この統合アプローチにより、システムのセキュリティが確保され、脅威の拡大を防止できます。

Talos の目標は、脅威がインシデントに発展する前に、お客様のチームが脅威をプロアクティブに検出するためのナレッジとツールを提供することです。IR リテーナーサービスを通じて、Talos 脅威インテリジェンスを最大限に活用しながら、お客様がセキュリティ態勢を強化し、新たな脅威に常に先手を打てるよう、継続的なサポートを提供します。

サービスの詳細は「At-a-Glance」をダウンロードしてご確認ください。

Talos IR 脅威ハンティングpopup_icon

Cisco Talos IR リテーナーの一環として、脅威ハンティングサービスは以下の脅威を特定します。popup_icon

TalosIR_AAG_threat_hunting.pdf_366 KBpopup_icon

 

本稿は 2025 年 5 月 6 日にTalos Grouppopup_icon のブログに投稿された「Proactive threat hunting with Talos IRpopup_icon」の抄訳です。

 

 

Authors

Avatar

TALOS Japan

コメントを書く