Microsoft では、脅威ハンティングを、環境に密かに (またはそれほど密かに) 侵入したサイバー脅威を積極的に探す行為と定義しています。これには、既知のアラートや悪意のある脅威を超えて、新しい潜在的な脅威や脆弱性を発見することが含まれます。
インシデント対応者はなぜ狩りをするのですか?
Microsoft Detection and Response Team (DART) の使命は、セキュリティ インシデントに対応し、お客様がサイバー レジリエントになるのを支援することです。これには、次のことを判断するために、 プロアクティブおよびリアクティブな調査サービス提供の一部として脅威ハンティングを組み込むことが含まれます。
- 高度なインプラントや異常な動作の兆候を調査することで、システムが標的を絞った悪用を受けているかどうか。
- 攻撃者を環境から追い出す回復プロセスの基礎を特定する。
- 巧妙な攻撃者から保護するための戦略的な推奨事項。
事後対応のインシデント対応調査では、脅威ハンティングはインシデントの全範囲を特定するのに役立ち、効果的な復旧および修復戦略を通知します。プロアクティブな調査では、脅威ハントは潜在的な脅威や既存の侵害を発見し、現在のセキュリティ制御とそのセキュリティ運用プロセスの有効性を実証できます。 DART は、新しい攻撃者のキャンペーンと以前に検出されなかった脅威を明らかにすることで、Microsoft セキュリティ製品とセキュリティ エコシステム全体の製品検出を改善するための貴重なフィードバックを提供します。
脅威ハンティングにどのようにアプローチしますか?
脅威ハンティングの標準的な定義には、相互に関連する次の 3 つの事項が含まれます。
- 標的型脅威ハンティング: 標的型ハンティングを、環境に侵入したサイバー脅威を積極的に探して根絶し、既知のアラートや悪意のある脅威を超えて新しい潜在的な脅威や脆弱性を発見することと定義しています。標的型脅威ハンティングには、特定のクラスの指標を探す範囲があります。たとえば、最近明らかになった攻撃を受けて、組織はその環境を評価して、その環境も影響を受けているかどうかを確認したいと考えるかもしれません。
- セキュリティ モニタリング:環境の状態を継続的にモニタリングして、異常なアクティビティや不正なアクティビティを検出するプロセス。これには、ネットワーク オペレーション センター (NOC) と SOC が関与し、ネットワークが混乱や脅威から確実に保護されるようにします。
- インシデント対応調査– 根本原因を特定し、不正アクセスまたは疑わしいアクティビティの検出後に環境を積極的に制御し、それを維持するための修復計画を策定するための調査。
各組織は、脅威ハンティングへのアプローチが異なります。顧客は、既知の手法に沿った特定の結果を念頭に置いている場合があります。私たちは、全体的な環境の知識と組み合わせた異常検出とピボットに基づく一般的なアプローチに重点を置いています。これにより、追加の脅威やリスクが見落とされる可能性がある、対象を絞った脅威ハントのみに焦点を当てたアプローチを採用するのではなく、複数の目標を達成することができます。
異常のハンティングについては、このブログの後半で詳しく説明します。
脅威ハンティングの原則
DART のフォレンジック調査員はAlexiou Principleに頼っています。この原則には、調査員が回答する必要がある 4 つの重要な質問が記載されています。
1. どのような質問に答えようとしていますか?
脅威ハンティングは、主な目的や回答が必要な質問によって異なります。これには、攻撃者の主な目的である攻撃者が活動するサイバー領域を理解しようとする試みと、それらの目的に近づく方法を理解することが含まれます。質問を明確に構成することで、すべての脅威ハントの範囲を定義することができます。
2. その質問に答えるには、どのようなデータが必要ですか?
前の質問に答えるには、必要なデータとそのデータを取得する方法を決定することに焦点を当てた 2 つのアプローチが必要になります。 DART の調査中に、ライブ フィードやテレメトリなどの顧客調査に入る際に、さまざまなデータセットを取得することがよくあります。私たちは、現在環境内にあるすべてのものを取得し、悪意のある人物が好むとわかっているディレクトリを列挙し、過去または現在の悪意の証拠を示す可能性のあるイベント ログを収集し、悪意のある人物が改ざんするのを好むレジストリ キーを収集します。などなど。
階層化されたデータ収集モデルを使用し、到達可能なすべてのオブジェクトとエンドポイントから、最も密度が高く、最も指標が豊富なデータのスナップショットを収集することから始めます。このデータは、既知の脅威、既知の攻撃パターン、および疑わしいアクティビティまたは異常なアクティビティの多くの (すべてではない) 指標に関する情報を提供することを目的としています。対象となるシステムが特定された場合は、ログとフォレンジック アーティファクトのより大規模で完全なデータセットを返し、収集します。
3. そのデータをどのように抽出しますか?
データを特定したので、ポイントインタイム スナップショット ツールなどのさまざまなツールセットを使用してデータをキャプチャする必要があります。お客様がまだデプロイしていない場合は、エンドポイントの検出と対応のツール、Microsoft Defender for Endpointなど、データを取得します。取得された分析から、潜在的に良いもの、悪いもの、または興味深いものを見ることができます。このフェーズの一部では、データの取り込みも考慮されます。収集されたデータがどのように消費されるか、複雑なグローバル企業のバックグラウンド ノイズから脅威を効率的に分離する方法を検討します。
4. データは何を教えてくれますか?
収集されたデータを見ることは、データ分析の演習になります。これは、環境内で発生するすべてのものを取り上げ、何が該当し、何が該当しないかを把握することによって、有病率と頻度を評価する問題です。この一連の思考は、いくつかの異なる形式をとることができます。それは、「この安全なハッシュ アルゴリズムが環境全体でどのくらいの頻度で現れるのか?」というような単純なことです。たとえば、「ドメイン コントローラにのみ表示される頻度はどれくらいですか? 」と尋ねるなどです。この組織部門のデバイスで?この別のユーザー アカウントで表示された場合はどうですか?」
結局のところ、この数を数えるゲームにはさまざまな方法があります。脅威ハンターとしての私たちの役割は、これらの興味深い調査結果を説明する最も関連性の高い優先度の高い方法を見つけ出し、パターンが明らかになるかどうかを確認することです。他の人が発見していない可能性のある攻撃または侵害の兆候を探しています。それはすべて、私たちが利用できるデータとそれを理解することにかかっています。
データを理解する
異常、現在の状態、およびデータの欠如を探すことによって、データを理解することに取り組みます。
ゴムが道路と出会う場所: 攻撃の物語を形成する
脅威のハンティングには明確な技術と科学があると信じていますが、最終的には、取得した証拠の異常を理解しようとしています。これを行う 1 つの方法は、ある環境で典型的なものについての知識を使用して、そうでないものを特定することです。典型的なシナリオを理解し、それを攻撃者のツール、手法、およびプロセスの知識と結びつけることで、私たちが見ているデータとシステムを深く理解することができます。これらの異常をつなぎ合わせると、異常のパターンが作成され、事実に基づく分析的な意見を使用してストーリー (攻撃の物語とも呼ばれる) を形成するのに役立ちます。
異常を特定する能力は、アナリストにとって重要なスキル セットになりますが、現在の状態を理解することも同様に重要です。異常に基づくハンティングについては、このシリーズの第 2 部で一般的なハンティング戦略について詳しく説明します。
現状を見てみると
調査員が運が良ければ、アノマリー ハントのためにフォレンジック データを扱っている可能性があります。しかし、多くの場合、観察が現在の環境の状態に限定される場合があります。歴史的な遺物を手に入れる余裕がなくても、現在の状態を見ることで貴重な情報を得ることができます。
インシデントに先立つ当社のプロアクティブなサイバーセキュリティ運用サービスにより、組織はインシデントが発生する前に、現在のセキュリティ体制とリスクの露出についてより良い知識を得ることができます。
現在の状態とその構成を理解することで、潜在的に悪意のある、または異常なアクティビティがどこにあるのかを最初の出発点として判断できます。
「どうやってその状態になったの?」などの質問をします。意図的にその状態になったのか、それとも誰かが悪意を持った結果なのか?」調査員は、関心のあるものから構築し、少し詳しく調べてから、悪意のある活動の真の兆候が見つかるまで、そこから方向転換することができます。
データがないことを調べる
データがないことは、データがあることを理解することと同じくらい重要です。多くの場合、不足または欠落しているデータが提供されるため、これらの観察から収集される質問は次のようになります。何が起こらなかったのですか?このデータが記録されていなかったからですか?データは削除されましたか?」
データがない場合は、侵害の特定の段階で何が発生した可能性があり、その段階で通常何が発生するかを判断しようとします。その情報を使用して、環境内で侵害が発生した場合の侵害の段階に関する仮説を立てようとします。たとえば、インシデント レスポンス エンゲージメント中の顧客は、センサーやログでデータの流出アクティビティが見られないという理由だけで、それ以上の調査やレスポンスを停止する可能性があります。
データを理解するためのアプローチはアナリストによって異なりますが、目標は、一連の質問に答え、それらの質問をさらに多くの質問に変え、ある時点で停止して、可能な限り完全な全体像を描くことです。
いつ停止するかを知る
調査の証跡をたどると、何らかの形でデータが集約されます。このトレイルをいつ停止するかを知ることは、しばしば困難な場合があります。いつ停止すべきかを知る指標は、より多くの情報を取り込んだ後でも状況が変わらない場合であり、そのイベントまたは指標に関する真実のつながりが残ります。これとの比較は、深さ優先探索と幅優先探索のコンピュータ サイエンス アルゴリズムです。この場合、調査員は 1 つの痕跡を追跡しすぎて、攻撃の可能性のある 1 つの指標に多くの時間を費やし、調査する時間がなくなる可能性があります。他の可能な指標。データを掘り下げる際の落とし穴を回避するための 1 つのアプローチは、仲間のアナリストと相談して別の視点を得ることです。これにより、あらゆる角度からすべてを確認できるようになります。重み付けされたリスク分析は、従うべきものを絞り込むのにも役立ちます。私たちは、「調査中の手がかりが悪意のあるものであることが判明する確率はどのくらいか?」と自問します。これに、悪意のあるアクティビティがもたらす潜在的な影響を掛けます。その値を使用して、最初に追跡することが最も重要なリードをランク付けすることで、リスクの低い脅威 (アドウェア、コイン マイナー) よりもリスクの高い脅威 (ランサムウェア、ドメイン全体の侵害) を迅速に見つけることができます。
DART の脅威ハンティングの原則と、インシデント対応作業に関して扱うデータを理解し、データをくまなく調べ、批判的思考を適用して疑わしいアクティビティのパターンを作成する芸術形式について説明しました。フォローアップの投稿では、脅威ハンティングの背後にある一般的な戦略と、 脅威インテリジェンスとの連携方法について説明します。乞うご期待。
もっと詳しく知る
DART ブログ シリーズにアクセスして、 Microsoft 検出および対応チームの詳細を確認してください。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments