アラートのトリアージ：AIができること

セキュリティアナリストに仕事における最大の問題点を尋ねると、さまざまな答えが返ってくることでしょう。しかしその中で、ほぼ間違いなく多くの人に共通しているものに、アラートへの対応に追われることから生まれる疲労があります。この課題は、主に次の３点にまとめられます。

• 「大量のアラートを処理するのに十分な時間がない」
• 「偽陽性と真陽性の区別ができず、時間を効率的に使うことができない」
• 「レガシーソリューションのノイズの中に信号が埋もれてしまい、実際の攻撃を見逃してしまう心配がある」

レガシーセキュリティソリューションにおける問題点は多数ありますが、大きくは以下の通りです。

• 条件・異常の一致が単純化されていることから、偽陽性が発生する。
• ネットワーク上のコンテキストを手がかりとして有効性を向上させることができない。
• アナリストが実際に注意を払う必要のある作業に集中できるよう、検知結果を効率的に整理する方法がない。検知結果のみに焦点を当てている。

‍

セキュリティアナリストにとってのより最適な方法

Vectraは、ネットワークからのコンテキストを使用してアルゴリズムを強化することによって、偽陽性の可能性を排除するという検知方法を構築しています。従来のネットワークセキュリティ製品は、コンテキストなしにパターンや統計から異常を探すことがありました。しかし、Vectraは、ネットワークからのコンテキストを使用し、セキュリティアナリストが行うのと同様の形で異常を特定できるよう設計しています。

例えば、スマッシュ＆グラブ流出の検知は、サブネットごとにどのようなデータの動きが正常かを学習し、お客様の環境内での一般的なサイトを考慮し、暗号化されたチャネルであってもデータの異常なアウトバウンドフローを探します。Vectraはさらに、ホストエンティティとアカウントエンティティ間で検知を相関付け、アーキタイプ（頻度の高い型）を学習して各オブジェクトを識別し、次に、実行可能なスタックランク方式で検知に優先順位を付けます。これにより、単に検知のみを実施し、実際の識別はアナリストに任せる競合他社のソリューションと比較して、作業が劇的に簡素化されます。

しかし、真陽性の扱いについては、まだ完全に満足できていませんでした。それは、真陽性のすべてが悪意あるものではないということです。特定のイベントが発生している状況下では、悪意のある真陽性ではなく、良性な真陽性の可能性もあります。例えば、ウイルス対策製品の中には、AVベンダーへのDNSルックアップの中にファイルハッシュのルックアップを埋め込んでいるものがあります。この動作は、DNSペイロード内にデータをエンコードするC2（コマンド&コントロール）チャネルに似ている可能性があります。（似ているというより、そのものの動作です。）これはDNSトンネリングでありながら、悪意はなく、むしろ良い動きなのです。Vectraの哲学は、攻撃者の振る舞いや手法に関する高品質な検知を可視化することです。そこで、ホストやアカウントレベルで信頼性が高く相関性のある検知のみを優先的にユーザーに提示し、注意喚起することでバランスをとっています。

私たちは、世界トップクラスのML/AIアルゴリズムと同様の技術を応用して、悪意ある検知と良性な検知を区別できないか考えました。目標は、お客様が良性な真陽性を分析する必要性をほぼなくし、悪性の真陽性に優先順位を付けてすぐに対応できるようにすることでした。こうして誕生したのが、AI-Triageです。

検知結果の生成プロセスと同様に、まず、実際のアナリストが問題を解決するために適用する手法を分析し、AI-Triageの機能に追加しました。そして、最も信頼性の高いシナリオの解決を自動化するために、ML/AIシステムをトレーニングしたのです。

‍

AI-Triageの仕組み

Vectraプラットフォームに備わっているAI-Triageは、システム内のすべてのアクティブな検知を自動的に分析し、個々の検知からのコンテキストと検知の共通性を活用して、自動的にトリアージできる良性の真陽性のインスタンスを探します。例えば、少なくとも 14 日間にわたって、他の侵害の兆候なしに、何十ものエンドポイントが同じ宛先へ、同じ隠れたHTTPS トンネルの検知を行った場合、自信を持ってこれを良性な真陽性と特定することができます。AI-Triage は、お客様に代わってトリアージルールを自動的に作成します。アナリストが確認したい場合、そのアクティビティはプラットフォーム内で引き続き利用できますが、特に作業は必要なく、ホストやアカウントのスコアに影響を与えません。

初めの段階では、C2および流出ベースの検知に対するAI-Triageのサポートを導入しましたが、今後のリリースでは、この優れたフレームワークを基に、AI-Triageを横移動ベースの検知に拡張する予定です。AI-Triageによって、アナリストが調査する必要のある検知は80%以上削減できることが確認されています。これによって、アナリストは、本当に注力すべき作業に時間を割り当てることができます。

‍

ワンクリックで展開

AI-Triageが提供するメリットをご紹介してきましたが、その機能はワンクリックで有効化できます。AI-Triageは、お客様によるチューニングや管理を必要としません。[Settings]→[AI-Triage]を選択し、有効にするだけで、AI-Triageがバックグラウンドで動作し、信頼性の高い良性な真陽性検知を識別し、お客様に代わってトリアージ処理を行います。

リリースから30日の時点で、すでに半数以上のお客様がAI-Triageを有効にされています。そして大半のお客様で、良性な真陽性に対応していた時間が大幅に減少していることが確認されています。これは、セキュリティ分析の効率を高めるための取り組みの第一歩にすぎません。今後のリリースでは、AI-Triageの機能を拡張し、新しいシナリオや当社の他の製品に対応する予定です。

‍

詳しくは以下の記事（英語）もご参照ください。

AI-Triageの詳細：「AI-Triage in Detail」https://support.vectra.ai/s/article/KB-VS-1582

最高レベルのML/AI検知に関する詳細：https://support.vectra.ai/s/article/KB-VS-1285

本記事は、「Why triage alerts - when AI can do it for you?」の翻訳版です。翻訳は英語版発行時点での原文の通りです。英語版との相違がある場合は、英語版を優先させてください。

‍