アナリストの業務は、多くの場合、大量のアラートへの対応から始まります。そのノイズの中には攻撃の初期兆候が埋もれていることがありますが、それらの兆候を見つけ出し、必要な情報同士を関連付ける作業には、多くの時間と労力がかかります。
これは検出機能の失敗ではありません。ほとんどのSIEMやセキュリティツールは、不審なアクティビティを適切に可視化できます。しかし、それらはしばしば個別に提示されるため、コンテキストが欠如しています。その結果、アナリストは「これは単発のイベントなのか、それともより大きな攻撃の一部なのか」を判断できずに悩まされます。
エクサフォースは、これとは異なるアプローチを採用しています。重複アラートの統合から攻撃チェーンの構築まで、検出結果をインテリジェントに集約することで、エクサボットはアナリストに対して、より少ないアラートでありながら、はるかに意味のある情報を提供します。その結果、アラート疲れを軽減し、状況把握を向上させ、対応を高速化します。
エクサフォースの検出結果は、アラートを発生させる1つ以上の不審なイベントまたは振る舞いパターンを表します。例えば、rootアカウントによる侵害アクティビティやリポジトリ削除のような明確なものもあれば、特定の認証情報に紐づく異常な操作シーケンスや、想定外の場所からのログインアクティビティのような統計的性質を持つものもあります。複雑な攻撃において、関連するアラートを特定し、それらを関連付けることは、一見簡単に見えて実際には非常に困難です。さらに重要なのは、「どのような関係性で関連しているか」です。
- 重複したアラートなのか?
- 他のアナリストが類似の事象を調査中なのか?
- 類似しているが別個のアラートであり、より大きな全体像を把握するために相関分析が必要なのか?
- 一見無関係に見えるイベントが侵害の各フェーズとして連携して発生している、より広範な攻撃チェーンの一部なのか?
エクサフォースは、これらすべてのシナリオに対応するため、アラートをインテリジェントにグループ化し、ノイズを削減しながら調査に必要なコンテキストを最大化します。エクサボットは、独自のノレッジモデルを活用し、このアグリゲーションを迅速かつ包括的、一貫性のある形で実行します。これは従来のSOCツールとは大きく異なるアプローチです。従来のツールでも、管理者や検出エンジニアが同様の効果を目的としたアグリゲーションルールを設定できる場合があります。しかし、そのようなルールは構築・保守が煩雑であり、既存の検出ロジックとの組み合わせも複雑です。
アラート重複の排除
多くのアラートツールは、単純なトリガーメカニズムを採用しているため、アナリストに過剰な負荷を与えることがあります。例えば、単一のイベントがアラートを発生させるよう設定されている場合、ユーザーがそのイベントを繰り返し実行すると、実際には通常業務であるにもかかわらず、システムは数十件ものアラートを生成する可能性があります。
エクサフォースでは、これらを「Duplicates(重複アラート)」として分類します。これは、IDとタイムスタンプ以外は同一のアラートを指します。エクサフォースは、ほぼ同一のアラートを何十件もアナリストのキューに並べる代わりに、それらを自動的に1つの脅威検出結果として統合します。この際、検出エンジニアによる設定作業は不要です。元のアラートは、監査や詳細調査のために保持されますが、アナリストには、より整理されたキューと簡潔なビューが提供されます。
例えば、以下のGoogle Security Command Center(SCC)のアラートを見てみましょう。このgoogle.cloud.resourcemanager.v3.Organizations.GetOrganization APIコールは、この操作を頻繁に実行するユーザーによって79回実行されました。SCCでは、このアクションが自動的にアラートを生成するよう設定されています。そのため、ツールは単純に79件のアラートを生成しました。アナリストにとって、これら重複アラートの調査は非常に煩雑です。一方、エクサフォースでは、1件のアラートとして提示しつつ、79件の重複が存在することを明示します。重複排除はAI生成サマリー内で説明され、必要に応じて個別の重複アラートも詳細画面から確認できます。
攻撃チェーンの構築
より複雑な課題は、一見無関係に見えるアラート同士を、実際には攻撃シーケンスの一部として関連付けることです。エクサフォースのAttack Chains(攻撃チェーン)は、独自のノレッジモデルを用いて構築されており、異なるデータソース、エンティティ、時間軸を横断して検出結果を相関分析します。
従来のSIEM相関ルールでは、アナリストが事前に複雑な多段条件を定義する必要がありました。一方、エクサフォースでは、イベント間の関係性を動的に分析します。これには、以下のようなシナリオが含まれます。
- 複数ユーザーにまたがって発生する類似イベントパターン
- アカウントやサービス間で連鎖するロール引き受け(role assumption)
- 同一ユーザーによる複数ツール・データソースを横断したアクティビティ
これらの多様な関係性を自動的に認識することで、エクサフォースは単独アラートではなく、より高次の攻撃ストーリーを可視化します。
例えば、管理者ユーザーのアカウントが侵害され、複数のアプリケーション(AWS、Google Workspace)へのアクセスが侵害されたケースを見てみましょう。エクサフォースは、それぞれの試行を個別に識別し、それぞれ独自の重大度と優先度で評価したうえで、それらを1つのAttack Chainとしてグループ化しました。これにより、包括的な重大度・優先度とともに、攻撃全体のストーリーを提示します。
場合によっては、関係性はそれほど単純ではありません。以下の例では、3人の異なるユーザーが、2つの異なるアプリケーション(GitHubとAWS)にまたがって類似した不審な振る舞いを示していました。個別評価では、いずれも低重大度の誤検知と判断されましたが、コンテキストを踏まえると、このチェーンは十分に調査対象となる事案です。
関連検出結果と履歴分析
すべてのアラートが重複アラートとして統合されたり、大規模な攻撃ストーリーへ組み込まれたりするわけではありません。一部の検出結果は独立した事象ですが、別のアラートと文脈的に関連しています。エクサフォースはこれらを「Related Findings(関連検出結果)」として識別・提示し、アナリストに必要な周辺コンテキストを提供します。これらの関係性はエクサボットにも共有され、自動トリアージやエンリッチメントの指針として活用されます。
関連検出結果の一部は、すでに分析・評価済みである場合があります。エクサフォースは、過去の検出結果とその解決内容を分析し、調査プロセスへ取り込みます。クローズ済み検出結果のクローズノート、推奨事項、判定結果、さらには実施された調査プロセスまでもが、ノレッジモデル内に蓄積されます。類似アラートが新たに発生した場合、この履歴情報はエクサボットによって自動的に活用され、分析の指針や追加コンテキストとして提供されます。アナリストにとっても、このような組織知識の体系化により、重複作業を回避し、長期的な対応品質の一貫性向上につながります。
以下は、エクサボットによる履歴分析の例です。このアラートは一見すると実際の脅威に見えますが、過去に類似アラートが誤検知であったことから、誤検知として再分類されました。類似検出結果を根拠として提示しながら、そのパターンを観測・説明しています。エクサボットは、ケースを重ねるごとに学習し、適応し、改善していきます。
なぜアグリゲーションが重要なのか
エクサボットのアグリゲーションシステムは、SOCにおける複数の中核的課題に対応します。エクサボットは、各アラートセットをインテリジェントに識別・分類・グループ化・評価することで、高精度な分析を自律的に実施し、そのコンテキストを人間のアナリストへ引き継ぎます。
- 重複排除によるアラート疲れの軽減
- コンテキスト豊富なグループ化による調査の明確化
- 断片的なシグナルではなく、完全な攻撃シーケンスを提示することによる迅速な対応
- アグリゲーションロジックをエクサフォースへオフロードすることによる検出ロジックの複雑性低減
エクサフォースにより、アナリストはノイズのトリアージに費やす時間を減らし、本当に重要な脅威への対応に集中できます。実際の動作をご覧いただくには、デモをリクエストしてください。
