概要
Exaforce は AWS GuardDuty に接続して調査結果を取り込み、AWS 環境全体から調査可能なコンテキストにまとめます。プラットフォームは、アクティビティの背後にあるプリンシパル、API イベントの全記録、S3 バケットなどの影響を受けるリソース、および同じユーザー、ロール、またはアカウントの関連アクティビティを調べます。GuardDuty の検出は、何が起こったのか、なぜ重要なのか、次に何をすべきかを説明するナラティブ形式の評価となり、アナリストはアラートから意思決定まで数時間ではなく数分で進めることができます。
仕組み
Exaforce は、各調査の開始点として GuardDuty 結果ストリームを使用して、接続されている AWS アカウントから AWS GuardDuty の結果を CloudTrail ログおよび設定データとともに取り込みます。新しい結果が得られたら、Exabot Triage エージェントが ID 属性、セッション詳細、ソースロケーション、関連するサービス、およびリソースメタデータをまとめます。次に、人間が読める評価結果を生成して、状況を要約し、裏付けとなるエビデンスを強調し、緩和策を提案します。
Exaforceでは、アナリストは豊富な調査結果を専用ビューで見ることができます。調査結果を開くと、Exabot Assessment ビューが起動します。このビューには、構造化された要約、裏付けとなる分析、および検出に貢献したイベントのタイムラインが表示されます。コマンドセンタービューには、エージェントが実行した手順、実行されたワークフロー、Slack または Microsoft Teams 経由で送信された通知や確認が表示されます。
継続的なトリアージと検証
GuardDutyはAWSアカウント全体で継続的に実行され、Exaforceはそのシグナルに基づいて継続的なトリアージを重ねるため、すべての結果が「真陽性」、「誤検知」、「必要調査」のいずれかにすばやく分類されます。
検出結果が取り込まれると、Exabotはすぐに分析を実行し、推奨分類を割り当てます。レコメンデーションが「要調査」の場合、またはアナリストが潜在的な誤検知を検証したい場合、調査ビューを使用して詳細なコンテキストを掘り下げることができます。
Investigate ビューでは、アナリストは時間枠を広げて疑わしいアクティビティがないか調べたり、ID チェーンやセッションツリーを確認して正しいプリンシパルを確認したり、過去と現在の位置データを比較して地理的信号の重要性を評価したりできます。また、エクサボットのQ&Aインターフェースを使用して、特定のバケットで他にどのようなプット操作が行われたかなど、フォローアップの質問をしたり、同じ根拠に基づいた正確な回答を受け取ったりすることもできます。
このクローズド・ループ・プロセスは、ユーザーと管理者からの確認によって強化され、トリアージの精度を継続的に向上させ、平均応答時間を短縮します。
コア機能
Exaforce は Amazon GuardDuty を疑わしい AWS アクティビティのシグナルとして扱い、調査と対応を効率化するためにコンテキストと分析を追加して補足しています。
GuardDutyの各結果はExabotによって自動的にトリアージされ、ID、ロール、セッションチェーン、場所、VPNの使用状況、および関連するAPI呼び出しの順序が分析されます。このアクティビティは過去の動作と比較され、正常か、異常か、悪意の可能性があるかが判断されます。
調査は、SOCアナリストの作業方法を反映するように構成されており、質問と回答形式のインターフェイスにより、カスタムクエリなしで関連するユーザ、リソース、アクティビティのコンテキストを迅速にピボットできます。視覚的なタイムラインとイベントレベルの証拠により、未処理の JSON にアクセスして検証できるため、何がいつ発生したかが明確になります。
Exaforceは、IDとリソースを中心とした分析、SlackとMicrosoft Teamsによる組み込みコラボレーション、柔軟な対応オプションもサポートしています。その自動化機能により、SOAR ワークフローとの統合だけでなく、ヒューマンインザループ型と完全自動化された緩和策の両方が可能になります。
処理された攻撃と警告の例
GuardDuty の調査結果は、明らかな攻撃から良性のテストまで多岐にわたります。Exaforce は、チームが違いをすばやく見分け、適切に対応するのに役立ちます。
一般的なシナリオには以下が含まれます。
- テストであることが判明した疑わしいS3アクセス
GuardDuty は、データ漏洩の準備を示している可能性がある S3 バケットの設定変更またはアクセスパターンにフラグを立てます。Exaforce は操作の順序を再構築し、バケットの Put または Get イベントを表示し、データの入出力を経時的に重ね合わせます。データ転送の急増がなく、ユーザーが対照テストを報告した場合、Exabot はその結果を誤検出として分類し、SOC が自信を持って解決できるようにします。 - 新しい場所からの珍しいアクセス
通常は 1 つの地域または国で活動しているプリンシパルが、予期しない場所から AWS に突然アクセスします。Exaforce は、過去の場所を比較し、他の異常な地域を強調表示し、VPN の使用状況を相関させ、同じ時期に一般的な場所から同様のアクションが行われたかどうかを示します。 - 危険な活動に先立つ特権またはポリシーの変更
GuardDuty は、ID サービスまたはストレージサービスに対する疑わしい API の使用を検出することがあります。Exaforce は、ポリシーやロールを作成、変更、またはアタッチした以前の API 呼び出しを明らかにします。これにより、アナリストは、その発見がより広範な権限昇格またはアカウント乗っ取りシーケンスの一部であるかどうかを判断できます。
メリット
Exaforceは、各アラートに説明文のコンテキスト、裏付けとなる証拠、推奨アクションを提供することで、GuardDutyトリアージの品質を向上させ、手動によるログ分析に費やす時間を短縮します。
Exaforceは、ユーザー履歴、VPNの使用状況、リソースの動作、ユーザーやマネージャーからの確認を評価することで、誤検知を大幅に減らし、アナリストが実際の脅威に集中できるようにします。
GuardDuty が信頼できる検出ソースでありながら、アナリストは ID、アクティビティ、リソースの各ビューを 1 つのコンソール内で切り替えることで、調査結果をより迅速に調査できます。
構造化された調査、自動化、コラボレーションの統合により、SOCチームやシフト全体で拡張できる反復可能なワークフローが作成されます。