Aurora Focus 振る舞い検知エンジンの設定

振る舞い検知エンジンは新しいデータ収集・分析エンジンで、組織のデバイス上にある Aurora Focus エージェントの能力を強化し、大幅に向上させます。

これまで、Aurora Focus エージェントは検出ルールセットを使用して、デバイス上の潜在的な脅威を検出してそれに対応していました。振る舞い検知エンジンは次のような進化を遂げて、Aurora Focus の脅威検出と対応メカニズムを発展させます。

項目

説明

MITRE ATT&CK フレームワーク

振る舞い検知エンジンでは、MITRE ATT&CK フレームワークの実証済みの戦術とテクニックがデータ分析と解釈の基礎として活用されてサイバー脅威が検出されます。振る舞い検知エンジンによって MITRE ATT&CK フレームワークが運用可能になり、最新かつ最高のサイバーセキュリティ知識ソースと手法が利用されて、組織のデータとリソースが安全に保護されます。

振る舞い検知ポリシーを設定すると、Aurora Focus デバイスで動作するさまざまな MITRE テクニックを直接カスタマイズして制御できます。

データ収集と処理の強化

振る舞い検知エンジンには、Aurora Focus エージェントが収集するデータ、エージェントが検出してアラートを生成するイベント、特定の検出に対してエージェントが実行する自動応答を定義する主な機能があります。

振る舞い検知エンジンにより、次のような革新的な新機能が Aurora Focus に追加されます。
  • 最小重大度しきい値(中以上など)を定義して、MITRE テクニック全体の検出レベルを制御し、Endpoint Defense コンソールにアラートを生成できます。生成されるアラートの数とタイプをより細かく制御できます。
  • 各 MITRE テクニックにより、テレメトリデータの収集と分析を、重大度にかかわらずにすべての検出で行うか(観察)、アラート生成の最低重大度しきい値を満たす検出のみで行うかを定義します。すべての MITRE テクニックでこの設定をカスタマイズできるため、セキュリティの状況に合わせてデータ収集とアラート生成を集中させることができます。
  • 観察(アラートを生成しないデータ収集と解釈)を有効にすると、エージェントではコンソールでの「アラートによる疲弊」を避けて、状況に応じた豊富なデータセットにデータを提供できます。
  • 振る舞い検知エンジンでは、より高度な方法を使用してデータの収集と関連付けを行い、法的に重要な一連のイベントを特定できます。

さらに容易な設定の調整とカスタマイズ
振る舞い検知エンジンでは、次のように脅威の検出と対応を簡単にカスタマイズできます。
  • 直感的なコントロールにより、すべての MITRE テクニックで、観察、アラート生成、自動応答を設定できるため、振る舞い検知ポリシーの作成と設定は簡単です。
  • MITRE テクニックの設定は、そのテクニックに含まれる検出手順すべてに適用されます。検出手順ごとに過剰に細かく調整しなくても、効果的なカスタマイズと微調整が可能になります。
  • 図により、すべての MITRE テクニックの構成の概要を把握できます。
  • 直感的な検索とフィルタリングオプションにより、探しているテクニックを簡単に見つけることができます。
  • デフォルトでは、観察とアラート生成はすべてのテクニックで有効で、自動応答はオフです。アクションを実行するように Aurora Focus エージェントを設定する前に、評価に優先順位を付けることができます。
  • デバイスの振る舞い検知エンジンの動作モードは、監視のみ(設定した自動応答は実行しない)または完全適用(自動応答を実行する)にいつでも変更できます。このグローバル管理により、柔軟に調査を実施できます。

例外の簡単な作成

特定の検出タイプの例外を作成し、振る舞い検知エンジンに無視させることが簡単になりました。振る舞い検知エンジンは、指定した例外条件に一致する検出のテレメトリデータの収集や使用、またはアラートの生成を行いません。

既存のアラートを使用して新しい例外を作成したり、アラートから詳細を事前に入力したり、新しい直感的なインターフェイスを使用して例外を作成したりできます。特定のデバイス、特定のゾーン、Aurora Endpoint Security テナント全体のどれに例外を適用するかを選択することもできます。

アラートを評価して脅威を検出する新しい方法

Endpoint Defense コンソールの[アラート]表示を使用して、振る舞い検知エンジンによって生成されたアラートを確認および調査し、高度なクエリ機能を使用して特定の検出を検索できます。どちらのインターフェイスでも、振る舞い検知エンジンによって生成されたアラートに関する有用なデータを簡単に見つけて取得できます。

MITRE テクニックの自動更新

Arctic Wolf Endpoint Defense では、マイターテクニックに対して動的更新を展開し、行動検知エンジンを強化できます。以前の方法で新しい検出ルールパッケージを手動で取得し、コンソールに追加する必要はありません。

シームレスな自動更新により、最新かつ最高の検出ルールを環境で使用しながら、ビジネスの継続性を確保できます。関連する検出に対して Aurora Focus エージェントが自動応答を実行できるようにするには、新しい検出ルールを手動で承認する必要があるため、更新によって従業員が混乱することはありません。更新の承認前に、新しい検出ルールや更新された検出ルールは監視モードでしか動作しません。

振る舞い検知エンジンには、Arctic Wolf Endpoint Defense をサポートする Aurora Focus エージェントのすべてのバージョンとの互換性がありますが、データ収集・分析機能は、エージェントバージョン 3.3 以降で最適に機能します。

組織の環境内のデバイスに Aurora Focus エージェントをすでにインストールしている場合は、Transition Aurora Focus devices from detection rule sets to the Behavioral Detection Engineの指示に従ってください。Aurora Focus エージェントの新規展開の場合は、Create a behavioral detection policyの指示に従ってください。

デバイス上の Aurora Focus エージェントが振る舞い検知エンジンを使用している場合は、検出とアラートを経時的に監視し、組織のニーズに合わせて設定をカスタマイズできます。