Binary Defenseの新製品「NightBeacon CMD」、企業SOCチームの脅威調査を自動化

Binary Defenseは、企業のセキュリティチームが自社環境に導入できるスタンドアロン型AI駆動SOCワークベンチ「NightBeacon CMD」を発表しました。Binary Defense自身が24時間365日体制で運用するSOC内で構築・実戦検証されたNightBeacon CMDは、Binary Defenseのアナリストが日々使用しているのと同じ運用プラットフォームを、マネージドサービスなしで顧客に提供します。

NightBeacon CMDは、既存のセキュリティツールにAIレイヤーを追加するだけの製品ではなく、SOCの運用方法そのものを根本から変えるものです。このプラットフォームは調査作業の約80%をあらかじめ構築済みの状態で提供し、アナリストがチケットを開く前に、エンドポイント、ID、ネットワーク、クラウド全体にわたる脅威活動を自動的に相関分析し、意思決定が可能な状態に整えます。

9カテゴリーにまたがる116種類以上のコネクタに対応し、80種類以上の脅威インテリジェンスソースからのエンリッチメント、8,700以上のマルウェアルールに支えられた検知パイプラインを備えることで、アナリストは証拠集めに費やす時間を減らし、意思決定に多くの時間を割けるようになります。迅速な導入を前提に設計されており、NightBeacon CMDは複雑な環境にも数分で展開でき、組織はほぼ即座にその効果を実感できます。

Binary Defenseの最高経営責任者(CEO)であるDavid Kennedy氏は次のように述べています。「この業界は長年、アナリストに対してアラートやダッシュボード、ツールを増やし続けることを『進歩』と呼んできました。私たちは自社のSOC内でNightBeacon CMDを構築し、このモデルを覆すことにしました。証拠を組み立てる作業の代わりに、アナリストは判定準備の整った状況から着手し、意思決定に集中できます。すべての推奨事項は完全に説明可能であり、これは私たち自身のアナリストが日々頼りにしているのと同じワークベンチを、企業のセキュリティチームにも提供するものです」

ゼロキューモデル:トリアージではなくハントを

NightBeacon CMDの中核にあるのは、SOCの運用方法における根本的な転換です。従来のセキュリティ運用では、手作業で調査しつなぎ合わせなければならない終わりのないアラートの山に、アナリストが埋もれてしまいます。NightBeacon CMDは、誰かがチケットを開くよりも前に、エンドポイント、ID、ネットワーク、クラウドにまたがる関連アラートを自動的に相関分析し、単一のストーリーとしてまとめ上げることで、このキューそのものをなくします。

アナリストは何千もの断片的なアラートから作業を始めるのではなく、優先度の高い状況を簡潔にまとめたリストから着手できます。それぞれの状況には、迅速かつ確信を持って判定を下すために必要な証拠、コンテキスト、推奨事項がすでに付加されています。

重要なポイント:

  • 企業のセキュリティチームは日常的に1日あたり3,000~5,000件以上のアラートに直面しており、誤検知率は99%近くに達する一方、攻撃者は29分足らずで横方向に移動できる
  • NightBeacon CMDは、共有IP、ID、認証情報、資産、MITRE ATT&CK技術にまたがる関連活動を相関分析し、無数の断片的なアラートではなく一つの調査案件にまとめる
  • マシンスピードでトリアージを処理することで、アナリストは終わりのないアラートキューの処理に追われるのではなく、脅威ハンティングや検知チューニング、プレイブック作成に時間を充てられる

一つの画面に、一つのストーリー

NightBeacon CMDの「Operations Room」は、アクティブな状況、エンドポイント・ID・データ・クラウド資産、AIエージェント、コネクタの稼働状況、アナリストの対応能力など、SOC全体をリアルタイムで一画面に表示します。ある状況を開くと、信頼度スコア、攻撃タイムライン、証拠、推奨対応アクション、そして透明性のある推論過程を含む、インシデントの完全なAI生成ナラティブが表示されます。AIが生成したフィールドはすべて明確に識別されており、アナリストは行動を起こす前に、あらゆる推奨内容を検証・確認・却下できます。

Binary Defenseの製品管理・ソフトウェアエンジニアリング担当副社長(VP)であるDr. Aaron Estes氏は次のように述べています。「私たちは、自社のアナリストが実際にどう働いているかを観察しながら、この状況ビューを設計しました。何千ものアラートを無理につなぎ合わせさせるのではなく、NightBeacon CMDは攻撃者が実際に何をしているのかを説明する単一のナラティブを自動的に組み立てます。調査はすでに完了しており、推論の過程も全て見える形になっています。これこそSOCが本来持つべきだった作業単位であり、ゼロキューモデルを可能にするものです」

受動的な防御から、能動的なハンティングへ

トリアージが自動化されたことで、アナリストはアラートへの受動的な対応から、能動的な脅威ハンティングへと軸足を移せます。「Hunt Assist」機能を使えば、セキュリティチームは平易な英語で仮説を立てて調査でき、その要求は接続済みのあらゆる環境に対応したプラットフォーム固有の検索に自動的に変換され、証拠に裏付けられた単一の結果として返されます。すべてのハンティングは完全に文書化され、再現可能で、透明性のある引用元とアナリストの承認によって裏付けられています。

NightBeacon CMDのすべての推奨事項は、完全な証拠の連鎖と監査証跡によって説明可能です。このプラットフォームは意図的にヒューマン・イン・ザ・ループ方式を採用しており、AIはマシンスピードで分析を行いますが、すべての意思決定はアナリストが下し、影響の大きいアクションには必ず承認が必要です。またNightBeacon CMDは顧客データを学習に使用することは一切なく、プライバシーを保護したアナリストのフィードバックからのみ学習するため、顧客のログが保持されたりテナント間で共有されたりすることはありません。

その他の機能として、Deep Scanマルウェア分析、Entity Risk Radarによる行動スコアリング、統合脅威インテリジェンスハブ、組織横断のキャンペーン検知、取締役会向け報告書の自動生成などが挙げられます。これらの機能が組み合わさることで、セキュリティチームは雑務に費やす時間を減らし、実際の攻撃を阻止することに多くの時間を割けるようになります。その結果、意思決定の迅速化、見逃される脅威の減少、そして取締役会や監査人、規制当局に対してセキュリティ責任者が自信を持って説明できるAIの実現につながります。

翻訳元: https://www.helpnetsecurity.com/2026/07/15/binary-defenses-nightbeacon-cmd-helps-enterprise-soc-teams-automate-threat-investigations/

ソース: helpnetsecurity.com