Aurora Endpoint Security がアラートをグループ化する方法
Aurora Endpoint Security は、次の条件を使用して、さまざまなサービスからのアラートをグループ化します。これにより、プロセスが自動化されて、脅威ハンティングおよび解決アクティビティを、関連するアラートの論理的なグループ化にスコープ設定および最適化できます。グループ化ロジックは、Arctic Wolf によって構築および管理され、さまざまな統合されたサービスからのアラートを処理するように動的に設計されます。その結果が、頻度および出現率分析を自動化するゼロタッチ体験です。これにより、サイバーセキュリティへの取り組みのトリアージおよび優先順位付けが、より簡単になります。
- アラートの優先度、分類、サブ分類、説明、重要なインジケータ、および応答がそのグループと一致する
- アラートがそのグループ内の最古のアラートから 7 日間(168 時間)以内に検出される
これらの条件をすべて満たしてはいないアラートが検出されると、新しいアラートグループが作成されます。
優先度
アラートの優先度は、問題の緊急度と、組織の環境への潜在的な影響に関連付けられ、アラートがグループ化される方法に組み込まれます。[アラート]表示では、テレメトリソースにわたって優先度が最高のアラートがグループ化されるため、最も重要なアラートを最初に表示および解決するのに役立ちます。
アラートの優先度を決定する要因は、サービスによって異なります。
|
サービス |
要因 |
|---|---|
|
Aurora Protect Desktop |
|
|
Aurora Protect Mobile |
アラートは、管理コンソールおよび Aurora Protect Mobile アプリ内に表示される重大度に対応する優先度値を使用します。 |
|
Aurora Focus |
Aurora Focus 検出ルールの設定によって優先度が決定されます。 |
|
Gateway |
優先度は、設定したネットワーク保護設定、または Gateway により高リスクと判断された宛先のレピュテーションに基づいて決定されます。たとえば、Gateway は、次のシナリオでアラートを生成して[アラート]表示に表示する場合があります。
|
|
CylanceAVERT |
[アラート]表示では優先度が常に高になります。 |
|
Mimecast |
優先度は、Mimecast 添付ファイルリスクスコアリングを通じて決定されます。 |
|
Okta |
優先度は、Arctic Wolf サイバーセキュリティアナリストが設定します。 |
分類およびサブ分類
アラート分類およびアラートサブ分類は、基礎になっている検出タイプを識別し、ラベルを付けて、特定のサービスによって検出されたアラートをより適切に説明できる構造化されたアラートコンテンツを提供します。各サービスは、アラートの性質を明確にする分類およびサブ分類の特定のセットを定義します。
分類およびサブ分類データは、類似したアラートを識別およびグループ化するために使用されます。
アラートの分類およびサブ分類を決定する要因は、サービスによって異なります。
|
サービス |
要因 |
|---|---|
|
Aurora Protect Desktop |
|
|
Aurora Protect Mobile |
分類が全体的なアラートカテゴリ([デバイスセキュリティ]や[ネットワークの脅威]など)に対応し、サブ分類が管理コンソールおよびアプリで表示される特定のアラートタイプ([悪意のあるアプリ]、[サイドロードされたアプリ]、[安全ではない Wi-Fi]など)に対応します。 |
|
Aurora Focus |
検出ルールには、アラートの分類およびサブ分類を定義する MITRE 戦術、テクニック、サブテクニックが含まれています。 |
|
Gateway |
分類がアラートの全体的なカテゴリ([ネットワークアクセス制御]など)に対応し、サブ分類が管理コンソールに表示される特定のアラートタイプ([レピュテーション]、[DNS トンネリング]、[署名検出]、[ゼロデイ検出]など)に対応します。 |
|
CylanceAVERT |
窃盗イベントによって分類が決定されます。 |
|
Mimecast |
アラートの分類は、初期アクセス Mitre 戦術(TA0001)です。同じアラートのサブ分類は、フィッシング Mitre テクニック(T1566)です。 |
|
Okta |
アラートの分類は、ユーザーアクセス制御(サインイン試行回数の上限を超えたなど)またはネットワークアクセス制御(ブロックリストルールにより IP 要求がブロックされたなど)のいずれかです。アラート分類がユーザーアクセス制御である場合、サブ分類はユーザーロックアウトになります。アラート分類がネットワークアクセス制御である場合、サブ分類は IP アドレスのブロックになります。 |
説明
アラートの説明は、アラートに関する短いセグメントの情報を提供する特性です。一致する説明を持つアラートは、グループ化される可能性が高くなります。
重要なインジケータ
重要なインジケータは、アラートグループ内の個々のアラートに共通する検出コンテンツです。アグリゲーションプロセスでは、アラートの重要なインジケータを比較して、グループ化するかどうかが決定されます。たとえば、ファイルに重要なインジケータ SHA256 ハッシュが含まれている場合、ハッシュ値はアラートグループ内の各アラート内で同一です。
アラートの重要なインジケータは、サービスによって異なります。
|
サービス |
要因 |
|---|---|
|
Aurora Protect Desktop |
|
|
Aurora Protect Mobile |
重要なインジケータは、特定のモバイルアラート固有の特性(サイドロードされたアプリのパッケージ名、安全ではない Wi-Fi ネットワークの SSID、サポートされていないデバイスのモデルなど)に対応します。 |
|
Aurora Focus |
重要なインジケータは、アラートに関連付けられている、一意に識別するアーチファクトのファセットです。たとえば、プロセスアーチファクトでは、SHA256 ハッシュ、ファイルパス、コマンドライン引数のようなファセットが重要なインジケータとして挙げられます。これらのファセットは、他のアラートと比較できるプロセスアーチファクトタイプ固有の署名を確立します。アラートグループの重要なインジケータファセットは、グループ内の個々のアラートにわたって共通です。 |
|
Gateway |
重要なインジケータは[ネットワーク接続]と[DNS 要求]です。 |
|
CylanceAVERT |
重要なインジケータは、アーチファクトタイプによって異なります。メールアラートアーチファクトについては、重要なインジケータは conversationID です。ブラウザおよびファイル窃盗アラートアーチファクトについては、重要なインジケータは UserName です。 |
|
Mimecast |
重要なインジケータは、アラートに関連付けられているアーチファクトのファセットです。たとえば、メール添付ファイルアーチファクトについては、重要なインジケータは、メール添付ファイルの SHA256 ハッシュです。 |
|
Okta |
重要なインジケータは、ユーザーログイン要求に関連付けられているアカウント、およびブロックされたログイン試行に関連付けられている IP アドレスです。 |
応答
軽減アクションを実行するサービスについては、これは、検出に応じて実行するようにサービスを設定したアクションです。たとえば、Aurora Protect Desktop 脅威アラートについては、応答は次のいずれかになる可能性があります。放棄済み、隔離済み、危険、異常。
軽減アクションを実行しないサービスについては、統合されたサービスから、関連する情報を記録します。一致する応答を持つアラートは、グループ化される可能性が高くなります。
時刻
他のアラートに対するアラートの発生時間は、アラートがグループ化される方法に組み込まれます。アラートは、アラートの優先度、分類、サブ分類、説明、重要なインジケータ、および応答がそのグループと一致し、そのグループ内の最古のアラートから 7 日間(168 時間)以内に発生した場合、既存のグループに追加されます。アラートは、上記の基準に一致しても、グループ内で最古のアラートから 7 日経過後に発生した場合は、新しいグループに追加されます。7 日間の枠により、アラートグループが固定された期間を持ち、無制限に大きくならないことが保証されます。