検知エンジニアリングは、これまでもSOCの中核を担ってきました。しかし現在、その負荷はますます高まっています。セキュリティチームは膨大なアラートに直面しており、その多くは誤検知です。一方で、限られた数の検知を維持するだけでも、チューニングと保守を繰り返す終わりのない作業になっています。複雑な異常検知や行動ベースのアラートは、作成と検証が非常に難しいことで知られています。環境が変化するとルールの再設計が必要になり、検知エンジニアはカバレッジの拡大や新しいデータソースの統合ではなく、保守作業に追われることになります。同時に、現代の企業環境は IaaS、SaaS、IdP などにまたがり、広範で相互接続された攻撃対象領域を形成しています。これは、従来のルールベースのロジックでは対応しきれないものです。
多くのチームでは、検知の無効化という判断に至ります。理由は、ノイズが多すぎること、あるいは検知を作成・チューニングできる専門家が手元にいないことです。一方で、アナリストを圧倒するほどノイズの多いアラートを出し続ける選択もあります。いずれの場合も、深刻な結果を招きます。
現在のノイズの多いSOCは、検知ロジックがどのように進化してきたか、そしてある意味では進化してこなかったかの結果です。その理由を理解するために、SIEM検知そのものの基礎を振り返ってみましょう。
SIEM検知の簡単な歴史
検知ルールは、セキュリティ情報イベント管理(SIEM)ツールの基盤であり続けてきました。実際、セキュリティ検知ツールは、Gartner が2005年に「SIEM」という用語を提唱する以前から存在していました。現代の検知技術のルーツは、1980年代から1990年代にかけてDARPAとSRIの資金提供を受けたIDES、NIDES、EMERALDなどのエキスパートシステムにまで遡ります。これらのシステムは、侵入検知における推論ベースのアプローチを先駆けて実現しました。これらのシステムは事実のワーキングメモリを保持し、前向き推論および後ろ向き推論のロジックを用いる推論エンジンを適用して、ユーザー行動や異常の可能性を推論しました。また、証拠が蓄積されるにつれて、信頼度を動的に調整していました。
2000年代初頭に企業のデータ量が爆発的に増加すると、この記号推論は、よりスケーラブルなイベント駆動型のアプローチ、すなわち相関エンジンへと発展しました。初期のSIEMは、専門家による推論のロジックを、スループットに最適化された決定論的なパターンマッチングルールへと変換しました。これは、システム状態について新しい仮説を導き出すのではなく、大量のログストリーム全体に存在する既知の悪意ある関係性を検出し、脅威を見つけるためのものでした。
その後20年にわたり、標準的なルールベースのアプローチは強力である一方、不十分であることも明らかになりました。長期間にわたるパターンを認識できず、外れ値を特定しにくいという限界から、より統計的なアプローチの必要性が高まりました。2010年代半ばにユーザーおよびエンティティ行動分析(UBA/UEBA)が導入されたことで、統計モデリングと機械学習が再び取り入れられ、SIEMは手作業で作成されたルールだけに依存するのではなく、ベースラインからの逸脱を検出できるようになりました。これは、決定論的な相関から、確率的かつ行動ベースの検知へと移行する重要な転換点となりました。
一方で、セキュリティオーケストレーション、自動化、レスポンス(SOAR)や、エンドポイント/拡張検知・レスポンス(EDR/XDR)ツールは、検知の運用範囲を拡大しました。より多くのテレメトリを接続し、ドメインをまたいでシグナルを正規化し、レスポンスを効率化しました。しかし、コアとなるロジックは依然として主にパターンベースまたは行動ベースであり、許容しがたい誤検知率と大きな保守負荷につながり続けていました。
検知に対するエクサフォースのアプローチ
エクサフォースは、前述のエキスパートシステムから着想を得て、処理量と精度のバランスを取るように設計された多層型の検知アーキテクチャを採用しています。
最初の層では、セマンティックモデルがログデータと構成データを取り込み、後続の処理で利用できるように加工します。次の段階がビヘイビアモデルです。これは、ユーザー、アカウント、ピアグループ、組織レベル、曜日/時刻など、多数の行動軸にわたってアクティビティを監視する、大量のベースライン駆動型および異常駆動型のアラートで構成されます。また、イベント頻度、アクセス率、場所のパターンなどの指標も組み合わせてルールをトリガーします。
ビヘイビアモデルの出力はシグナルです。各シグナルは、中程度の精度を持つ疑わしい兆候を表し、常にチューニングおよび最適化されます。
1つのシグナルが、複数の基礎となるベースラインを内包する場合もあります。例えば、「これまで確認されたことのないASNから接続しているユーザー」と「通常はクラウドASNから接続しているユーザーが、今回は非クラウドASNから接続している」という2つは異なるベースラインですが、どちらもASN異常シグナルに寄与します。
ほとんどのシグナルは異常ベースですが、禁止国からのアクセスや機密性の高い操作の実行など、決定論的なルールに由来する場合もあります。
これらのルールや異常は、リソースまたはアクターに関する構成情報に基づく場合もあります。例えば、マシンユーザーと人間ユーザー、管理者と非管理者では、異なるベースラインが使用されます。
その後、シグナルは時間ウィンドウやセッションをまたいで相関され、検知へと集約されます。集約されたシグナルの強度がしきい値を超えると、その検知は検知パイプラインの次の段階へ進みます。そこで高次の推論とコンテキストの強化により、高精度で対応可能なファインディングへと絞り込まれます。
この段階では、エクサフォースのノレッジモデルを使用して各検知を評価し、検知とそのシグナルを適切に評価するために、さまざまなコンテキスト要素を追加します。ここで追加されるコンテキストには、次のようなものが含まれます。
- システム、リソース、ユーザーなどに関する構成情報
- ビジネスコンテキスト
- 類似する過去のファインディング
- 攻撃チェーンの一部である関連アラート
- ユーザー、システム、リソースに関する過去のベースライン情報
この追加コンテキストと併せて、ノレッジモデルはシグナルを評価し、それが誤検知である可能性が高いかどうかを判断します。ユーザーに通知されるのは真陽性のみであり、それらはキューに追加されます。一方、誤検知はフォレンジック脅威ハンティング用に別のセクションに保持されます。
シグナルアプローチが従来のアプローチを上回る例
以下の例では、GitHubユーザーが、エラー監視ダッシュボードとアラート用の構成ファイル13件を削除しました。その結果、エクサフォースのビヘイビアモデルによって3つのシグナルが生成されました。
- 機密操作: エラー監視用の構成ファイルが削除されたことでトリガーされました。
- ASN異常: このユーザーについて新しいASNが観測されました。
- 運用上の異常: 組織内のユーザーとしては異常に多いファイル削除件数が確認されました。
ASN異常と運用上の異常のシグナルはベースラインからの逸脱によって生成され、機密操作のシグナルはより従来型のルールに由来しています。3つすべてが1つのユーザーセッション内で発生したため、1つの検知に集約されました。
その後のノレッジモデルの段階では、ユーザー、ピア、過去のベースラインに関する追加コンテキストが適用されました。エクサボットは、このユーザーが通常、チェコ共和国の ASN AS29208 に属する IP 212.80.67.246 から接続していることを確認しました。このケースでは、ユーザーは新しいASNからアクセスしていましたが、そのASNは組織内で一般的に使用されているものでした。このコンテキストに基づき、エクサボットは、ASNシグナルは重大ではない可能性が高い一方で、ファイル削除アクティビティは依然として注目すべきものだと判断しました。その後、この総合評価はファインディングへと昇格され、エクサボットの推論を要約した説明と、それを補足する構造化データダッシュボードが付与されました。
従来のSIEMでは、このシナリオに対応するために、少なくとも3つの個別の相関ルールと複数のベースラインが必要でした。各ベースラインを構築し、それに対応する相関ルールを作成するには、検知チームにとって多大な工数がかかります。各アラートは個別に生成され、それらを標準で集約する仕組みはありません。検知チームが既知の社内ASNをすべて事前に除外していない限り、アナリストは新しいASNが無害なのか疑わしいのかを手動で調査する必要があります。しかし、この方法は変更に弱く、保守負荷も高くなります。
これに対し、エクサフォースのモデルでは、ASNルールを広い条件のまま維持できます。後段のコンテキスト強化によって、無害な逸脱と真の脅威をインテリジェントに区別できるため、ノイズを発生させることなく可視性を維持できるからです。最後に、ファインディングとコンテキストの自然言語による要約は、従来であれば、アラート構造とデータに精通した優秀なアナリストが推論しなければならないものでした。
なぜこれが重要なのか
エクサフォースのアプローチは、初期のSIEMおよび侵入検知システムの基礎的な構造を土台としながら、現代の行動モデルとエージェント型モデルの規模、精度、適応性に合わせて最新化したものです。
大量の異常検知層により、意味のある外れ値がすべて検出されます。ノイズの多いアラートであっても、ユーザーに届く前にノレッジモデルによってフィルタリングされるため、ここでは問題になりません。そのため、ルールを過度にチューニングする必要はなく、それでも価値あるシグナルを提供できます。
現在の多くのSOCチームでは、アラートの出力量をアナリストチームが管理できる場合に限って、検知を有効化できます。その結果、精度の低いアラートの多くは無効化されるか、大幅なチューニングが必要になります。エクサフォースのビヘイビアモデルは、このパラダイムを反転させます。精度の低い兆候も有効化することを促し、後続のプロセスでその精度を評価し、コンテキスト化できるようにします。これにより、SOCチームの負担は大幅に軽減されます。分析レベルだけでなく、検知エンジニアリングの段階でも、ルールをチューニングしたり、無効化したり、条件付きで扱ったりする必要がなくなるためです。
従来のシステムで同様のアプローチを手動で評価しようとすれば、最も成熟したSOCチームであっても、コストと負荷が非常に大きく、現実的ではありませんでした。エクサフォースの多層アーキテクチャにより、アナリストに届くのは、高精度でコンテキストを伴うファインディングのみになります。これにより、セキュリティを犠牲にすることなく、ノイズを大幅に削減できます。
一部のレガシーSIEMも多層型の検知を試みてきましたが、多くの場合、脆弱で扱いにくいものになりがちです。その結果、増え続けるベースラインとルールの網を管理する負担が、SOCの検知エンジニアリングチームにのしかかります。エクサフォースのモデルでは、この複雑さはエクサフォース独自のエキスパートシステムと、継続的に管理されるノレッジモデルによって自動的に処理されます。チームは必要に応じて検知を追加または変更できますが、デフォルトでは、チューニング、ベースライン作成、相関はエクサフォースによってインテリジェントに維持されます。
マネージドシステム、大量かつ精度の低いアラート、複数段階の集約とコンテキストを組み合わせたこのアーキテクチャは、SOCに大きな変革をもたらす可能性があります。これにより、重要な検知エンジニアリングチームが本来の業務に集中できるようになり、新たな脅威の調査、脅威ハンティングの支援、そして必要な場合にのみルールのチューニングを行う余力が生まれます。
