概要
エクサフォースはAWS GuardDutyに接続し、検出結果を取り込んだうえで、AWS環境全体の調査に必要なコンテキストを付加します。プラットフォームは、当該アクティビティを実行したプリンシパル、関連するAPIイベントの全体的な経緯、S3バケットなど影響を受けたリソース、さらに同じユーザー、ロール、またはアカウントに関連するアクティビティを確認します。GuardDutyの検出結果は、何が起きたのか、なぜ重要なのか、次に何をすべきかを説明するナラティブ形式の評価へと変換されるため、アナリストはアラートの確認から判断までを、数時間ではなく数分で進められます。
仕組み
エクサフォースは、各調査の起点としてGuardDutyの検出結果ストリームを使用し、接続されたAWSアカウントからAWS GuardDutyの検出結果に加えて、CloudTrailログおよび設定データを取り込みます。新しい検出結果が到着すると、Exabot TriageエージェントがID属性、セッションの詳細、送信元ロケーション、関連サービス、リソースメタデータを集約します。その後、状況の要約、裏付けとなるエビデンスの提示、緩和策の提案を含む、人が読みやすい評価を生成します。
エクサフォースでは、アナリストは強化された検出結果を専用ビューで確認できます。検出結果を開くと、Exabot Assessmentビューが表示され、構造化された要約、裏付け分析、検出に至ったイベントのタイムラインを確認できます。Command Centerビューでは、エージェントが実行したステップ、実行されたワークフロー、SlackまたはMicrosoft Teams経由で送信された通知や確認を確認できます。
継続的なトリアージと検証
GuardDutyはAWSアカウント全体で継続的に稼働しており、エクサフォースはそのシグナルに対して継続的なトリアージを重ねることで、すべての検出結果を迅速にTrue Positive、False Positive、またはNeeds Investigationのいずれかに分類します。
検出結果が取り込まれると、Exabotは直ちに分析を実行し、推奨分類を割り当てます。推奨がNeeds Investigationである場合、またはアナリストがFalse Positiveの可能性を検証したい場合は、Investigateビューで詳細なコンテキストを掘り下げることができます。
Investigateビューでは、アナリストは時間範囲を広げて追加の不審なアクティビティを調べたり、IDチェーンやセッションツリーを確認して正しいプリンシパルを特定したり、過去と現在の位置情報を比較して地理的シグナルの重要性を評価したりできます。また、ExabotのQ&Aインターフェースを使って、特定のバケットでほかにどのようなPut操作が行われたかといったフォローアップ質問を行い、同じ基礎エビデンスに基づく正確な回答を得ることもできます。
このクローズドループプロセスは、ユーザーや管理者からの確認によってさらに強化され、トリアージ精度を継続的に改善し、平均対応時間を短縮します。
コア機能
エクサフォースはAmazon GuardDutyをAWS上の不審なアクティビティを示すシグナルとして扱い、調査と対応を効率化するために、追加のコンテキストと分析機能を提供します。
各GuardDuty検出結果はExabotによって自動的にトリアージされ、ID、ロール、セッションチェーン、位置情報、VPN利用状況、関連するAPI呼び出しの順序が分析されます。このアクティビティは過去の挙動と比較され、通常のものか、異常か、あるいは悪意のある可能性が高いかが判断されます。
調査はSOCアナリストの作業方法に沿って構成されており、Q&A形式のインターフェースにより、カスタムクエリを作成することなく、関連するユーザー、リソース、アクティビティのコンテキストをすばやく横断できます。視覚的なタイムラインとイベントレベルのエビデンスにより、何がいつ起きたのかを明確に把握でき、検証用に生のJSONへもアクセスできます。
エクサフォースはこのほか、IDとリソースを中心とした分析、SlackおよびMicrosoft Teamsとの組み込みコラボレーション、柔軟な対応オプションもサポートしています。自動化機能により、ヒューマンインザループ型の緩和策と完全自動の緩和策の両方に対応できるほか、SOARワークフローとも連携できます。
対応可能な攻撃とアラートの例
GuardDutyの検出結果には、明らかな攻撃から無害なテストまで、さまざまなケースがあります。エクサフォースは、チームがその違いをすばやく見極め、適切に対応できるよう支援します。
代表的なシナリオは次のとおりです。
- テストであることが判明した不審なS3アクセス
GuardDutyは、データ流出の準備を示している可能性があるS3バケット上の設定変更やアクセスパターンにフラグを立てます。エクサフォースは一連の操作を再構築し、バケットに対するPutまたはGetイベントを表示するとともに、一定期間におけるデータ流入量と流出量を重ねて可視化します。データ転送量に急増が見られず、かつユーザーが管理されたテストだったと報告した場合、Exabotはその検出結果をFalse Positiveに分類するため、SOCは確信を持ってクローズできます。 - 新しい場所からの異常なアクセス
通常は単一のリージョンまたは国から利用しているプリンシパルが、予期しない場所から突然AWSにアクセスすることがあります。エクサフォースは過去のロケーションを比較し、ほかの異常な地理的アクセスも強調表示し、VPN利用状況を相関分析したうえで、同時期に通常のロケーションから類似の操作が行われていたかどうかを示します。 - リスクの高いアクティビティに先行する権限またはポリシーの変更
GuardDutyは、IDサービスまたはストレージサービスに対する不審なAPI利用を検出する場合があります。エクサフォースは、ポリシーやロールの作成、変更、アタッチを行った事前のAPI呼び出しを明らかにし、その検出結果がより広範な権限昇格やアカウント乗っ取りの一連の流れの一部かどうかを、アナリストが把握できるようにします。
メリット
エクサフォースは、各アラートにナラティブ形式のコンテキスト、裏付けとなるエビデンス、推奨アクションを付与することで、GuardDutyのトリアージ品質を高め、手動でのログ分析に費やす時間を削減します。
ユーザー履歴、VPN利用状況、リソースの挙動、さらにユーザーや管理者からの確認を評価することで、エクサフォースはFalse Positiveを大幅に減らし、アナリストが実際の脅威に集中できるようにします。
GuardDutyを信頼できる検出ソースとして維持しながら、アナリストは単一のコンソール内でID、アクティビティ、リソースの各ビューを横断し、より迅速に検出結果を調査できます。
構造化された調査、自動化、コラボレーション連携により、SOCチームやシフト全体にわたって拡張可能な、再現性のあるワークフローを構築できます。
