検知エンジニアリングの概要

検知エンジニアリングとは

脅威アクターが攻撃や手法を進化させるのと同様に、セキュリティチームも検知コンテンツを改善していく必要があります。そのため、検知エンジニアリングは継続的な努力が必要なライフサイクルです。ただし、検知エンジニアリングをうまく行えば、脅威の検知と脅威への対応までの平均時間だけでなく、脅威からの復旧の平均時間も短縮できます。

検知エンジニアリングとは、脅威が大きな損害をもたらす前に、脅威を特定するプロセスです。検知エンジニアリングとは、最新の脅威に対抗するために検知方法を開発、進化、調整するプロセスというだけでなく、そのための組織文化を醸成することでもあります。コンテンツ開発者、脅威ハンター、脅威インテリジェンス、レッドチーム、リスク管理など、さまざまな部門が連携し、脅威情報を基盤とした防御システムを構築します。

検知の目的

検知エンジニアリングは、まず脅威モデリングから始まります。これにより、自組織にとって現実的に起こり得る脅威を特定します。MITRE ATT@CKフレームワークを使用してギャップ分析を実行することで、関連する脅威を特定できますが、結局のところ、以下の質問に答えることから始まります。

• 何を検知する必要があるのか。
• どのような脅威アクター、手法、ツールなどが関連しているのか。
• どのようにすればビジネスとの関連性を示すことができるか。

このような点を明らかにすることで、組織が懸念すべき脅威への対処方法を確立できます。

検知の要件

そこから、使用可能なログソースを特定し、特定した脅威を検知するために不足しているログやデータソースは何かを明らかにします。次に、ユースケースを特定して脆弱性レポートを確認し、防御の穴についての理解を深めます。デューデリジェンスを行い、脅威を調査してその仮説を立てたら、検知コンテンツの作成を開始できます。

このフェーズでは、次の質問に回答します。

• どうすればXを検知できるか。
• そのためには、どのようなログやデータソースが必要か。
• どのような検知ロジックを使用する必要があるか。

検知の実装

これらの回答を得た後で実際の実装へと進み、ライフサイクルやその検知機能を継続的に管理する方法について話し合います。検知のための特定のコンテンツを作成したら、フォールスポジティブやその他の細かな点に対応するために、継続的に調整を加える必要があります。調整と展開を行うだけでなく、以前作成した検知を絶えずレビューします。このプロセスの一環として、次を確認します。

• どうすれば検知を自動化できるか。
• この検知は、ダッシュボード、保存済みの検索、レポート、またはルールとして適しているか。

検知エンジニアリングでは、継続的な改善を繰り返す必要があります。そのため、これを支える文化が組織内に必要です。そうした文化がなければ、失敗することになります。このライフサイクルを通じて、インシデントの検知と対応にかかる平均時間が短縮されます。ただし、この検知のライフサイクルでは見つからない、想定外のインシデントも発生する可能性があります。そこで脅威ハンティングが役に立ちます。

次世代SIEMおよびログ管理のための世界をリードするAIネイティブプラットフォームをお試しください

SIEMとログ管理のための最高水準のAIネイティブプラットフォーム、CrowdStrike Falcon^®プラットフォームでサイバーセキュリティを強化しましょう。ペタバイト規模でのセキュリティログを体験してみてください。クラウドネイティブ型または自己ホスト型での展開が可能です。ボトルネックの生じない、強力でインデックスフリーのアーキテクチャを利用してデータをロギングすれば、1日あたり1PB以上のデータを取り込んで脅威ハンティングに役立てることができます。リアルタイムの検索機能により攻撃者をしのぐスピードで対策を実施できます。複雑なクエリを実行しても、そのレイテンシーは1秒未満です。360度の可視性によりデータを統合してサイロ化を解消し、セキュリティ、IT、DevOpsチームがシームレスに脅威のハンティング、パフォーマンスのモニタリング、コンプライアンスの確保を行うことができます。30億件ものイベントにわたる作業でも1秒未満で実施できます。