脅威ハンティングとは
脅威ハンティング (サイバー脅威ハンティングとも呼ばれる) は、組織のネットワークやシステム内への高度な持続的脅威や侵入の痕跡など、隠れた脅威を積極的に検索するプロアクティブなサイバーセキュリティ アプローチです。脅威ハンティングの主な目的は、ネットワーク境界の防御を回避する可能性のある脅威を検出して隔離し、管理者がこれらの脅威に迅速に対応し、潜在的な損害のリスクを最小限に抑えられるようにすることです。
このサイバーセキュリティのアプローチは、ハッカーが使用する戦術、技術、および手順 (TTP) を理解して特定することに重点を置いています。そうすることで、脅威ハンティングにより、組織は潜在的なリスクを予測して準備できるようになり、セキュリティ体制が強化されます。脅威ハンティングは、ネットワークを侵入者から保護しようとしている組織にとって重要であり、組織が隠れた脅威を発見して阻止するのに役立ちます。
脅威ハンティング手法には次の 3 種類があります。
- 構造化された脅威ハンティング: 事前定義された方法とツールを使用して、既知の攻撃パターンと侵入の兆候に基づいて脅威を特定するプロアクティブなアプローチ。
- 非構造化脅威ハンティング: データ ソースを探索し、異常なパターンを特定するハンターの専門知識に依存した柔軟で創造的なアプローチで、従来のセキュリティ ツールが見逃す可能性のある新しい攻撃ベクトルを発見するように設計されています。
- 状況別脅威ハンティング: 現在のインシデントに対処するための構造化アプローチと非構造化アプローチを組み合わせたアプローチで、リアルタイムの調査と対応チームとの協力を伴い、影響を最小限に抑えながら攻撃者の活動を理解します。
脅威ハンティングがサイバーセキュリティにどのように役立つか
- ビジネス中断のリスクの軽減: 脅威ハンティングは、管理者がネットワーク内に潜む疑わしい未検出の脅威を特定し、対応するのに役立ちます。
- 脅威の早期検出: 脅威ハンティングは、初期の防御を回避する可能性のある隠れた脅威を積極的に検出することで、滞在時間を短縮します。
- セキュリティ体制の向上: 脅威ハンティングは、高度な攻撃手法を発見し、インシデント対応を強化し、セキュリティ体制を強化し、コンプライアンス要件を確実に満たすのに役立ちます。
脅威ハンティングプロセスにはどのような手順が含まれますか
このプロセスは、仮説的な攻撃シナリオを作成するか、異常なネットワーク アクティビティを特定することから始まります。これらの仮想的な攻撃シナリオは、脅威を検索するためにネットワーク ログとエンドポイント ログを収集するデータ収集プロセスを通じてテストされました。
脅威ハンティングは主に人間主導の活動であり、サイバーセキュリティ アナリストは専門知識と機械学習およびユーザーおよびエンティティ行動分析 (UEBA) ツールを利用して、潜在的なリスクについて収集されたデータを分析および検索します。脅威ハンティング プロセスがどのように機能するかを理解することが重要です。これには以下が含まれます。
脅威ハンティング機能
Log360 は、広範な脅威ハンティング機能を備えているため、脅威をより迅速にハンティングし、攻撃者が攻撃する前に捕らえることができます。
- 高速検索解析
- ユーザーおよびエンティティの行動分析 (UEBA)
高速検索解析
高速かつ柔軟で使いやすい検索ツール。SQL でクエリを構築し、ログ ストア全体を短時間で検索できます。
- 結果を迅速に取得: 1 秒あたり 25,000 ログの処理速度でログ データを迅速にフィルタリングします。
- 柔軟なクエリ構築: 基本オプションまたは詳細オプションを使用して SQL クエリを構築し、ワイルドカード、フレーズ、ブール検索、またはグループ化された検索を実行して、答えをすばやく見つけます。
- あらゆるものを検索: 任意のフィールドと任意の値を検索し、新しいフィールドを抽出して、正規表現一致によってログ データ内でそれらを検索します。
- 進行状況を保存: 検索パラメータを保存するので、プロセスを繰り返す必要がありません。
- リアルタイム アラートを設定する: ネットワーク上で脅威パターンが再発したときに必ず通知を受け取ります。
ユーザーおよびエンティティの行動分析 (UEBA)
ウォッチリストを使用して悪意のあるアクティビティを事前に予測する UEBA は、ユーザーの行動パターンを継続的に学習し、異常なアクティビティや疑わしい動作を異常としてフラグを立てる ML ベースのモジュールです。異常に基づいて、ネットワーク内のユーザーとエンティティにリスク スコアを割り当てます。UEBA はこの情報を次の方法で使用します。
- 高リスクのエンティティを検出して監視リストに登録する: リスク スコアに基づいて高リスクのエンティティをリストします。リスク スコアはリアルタイムのアクションに基づいています。
- リアルタイム アラートの送信: 個々のエンティティのリスク スコアが設定されたしきい値を超えると、セキュリティ管理者に電子メールまたはテキスト メッセージで通知が送信されます。
- 詳細なタイムラインを構築する: ログから情報を抽出して詳細なタイムラインを構築し、誰がいつ、どこで何をしたかを理解します。
Log360 は、脅威インテリジェンス、機械学習ベースの異常検出、ルールベースの攻撃検出テクノロジーを組み合わせて、セキュリティ脅威を検出、優先順位付け、調査、対応することができ、複雑な攻撃を検出し、検出された脅威を効果的に修正するためのイベント管理コンソールを提供します。