トリアージの過程のどの時点で、チームは実際に決定を下すのに十分な自信を感じるのでしょうか?
多くのチームにとって、それには時間がかかりすぎます。1つのアラートが簡単なチェックに変わり、何度も「見てもらえますか?」というメッセージが飛び交い、同じ質問が繰り返されます:本当の脅威か、それとも誤検知か?
この躊躇には代償があります。調査が遅延し、キューが溜まり、実際の攻撃がより多くの時間をかけて広がります。早期の証拠により、より正確な判断が可能になります:不要なエスカレーションが減り、封じ込めが加速し、誤検知に費やす時間が削減されます。
以下は、すべてのSOCが最初のアラートから自信を持ってトリアージを高速化し、判断するために必要な5つの機能です。
脅威が意図をすぐに示さない場合、トリアージは遅くなります。多くのフィッシング攻撃とマルウェアサンプルは、誰かがクリック、スクロール、ログイン、または次のステップをトリガーするまで無害に見えます。そこが不確実性と時間浪費が始まる地点です。
インタラクティブサンドボックスは、チームに欠けていたものを提供します:制御された実際のユーザー実行です。
ANY.RUNでは、例えば、疑わしいリンクやファイルをセキュアなVM内で開くことができます。フィッシングページをクリックして進め、リダイレクトチェーンをたどり、動作をリアルタイムで監視できます:プロセス、ネットワーク呼び出し、ドロップされたペイロード、永続化の試みなど。
ANY.RUN内でフィッシングサンプルを確認し、ユーザーのようにページと相互作用するために再実行して、完全な攻撃チェーンを明かにします。
ANY.RUNのインタラクティブサンドボックスを導入したSOC管理者は、以下のような成果を報告しています:
トリアージ時間の大部分は、依然として繰り返しの手動ステップに費やされています。
自動化が導入されている場合でも、現代の攻撃がユーザーのインタラクションを必要とする正確な時点で失敗することがよくあります:CAPTCHAを解く、ボタンをクリック、QRコードをスキャン、隠されたリダイレクトをトリガーするなど。
そのインタラクションが発生しない場合、ペイロードは決して自身を明かしません。アラートは無害に見えるかもしれません。
ここで自動化されたインタラクティビティが結果を変えます。ANY.RUNの自動インタラクティビティにより、サンドボックスは実際のユーザーのように動作します。CAPTCHAを自動的に解く、フィッシングフローをクリックして進む、QRコードの下に隠されたリンクを開く、そしてアナリストの関与なしに実行を続行できます。
暗号化されたフィッシングなどの複雑な攻撃でさえ、これを遅くしません。
HTTPS トラフィックは実行中に自動的に復号化されるため、Suricata IDSのような検出システムは悪意のあるトラフィックを自動的にスキャンし、数秒で実行可能な判定を提供でき、アナリストの時間を節約し、MTTRを向上させます。
ANY.RUNの自動インタラクティビティを使用するセキュリティ運用リーダーは、以下のような測定可能な成果を報告しています:
インジケータにコンテキストがない場合、トリアージは遅くなります。疑わしいURL、ドメイン、またはIPがアラートに表示され、チームは基本的な質問に答えるために複数のソース間を行き来しなければなりません:これは実際に悪意のあるものですか?今アクティブですか?既知のキャンペーンに関連していますか? この手動のピボットは時間を浪費し、不確実性を増します。
解決策は、チームに脅威インテリジェンスの単一情報源を提供することです。それは迅速に回答を返すため、チームはアラートを自信を持って検証または終了できます。MTTR を管理下に保ちます。
ANY.RUNのTI Lookupでは、そのコンテキストは世界中の15,000組織と600,000人のアナリストによる貢献を受けたインテリジェンスで支えられており、チームが実世界の攻撃全体でインジケータがどのように表示されるかを理解するのに役立ちます。
例えば、SOC アナリストは familyriwo.su のような疑わしい URL を検証する必要があります。
チームがスムーズにコラボレーションできない場合、強力なツールであっても役に立ちません。
多くのSOCでは、作業はサイロの中で行われ、ハンドオフは混乱しており、同じアラートが2回チェックされるため、調査が遅延し、詳細が見落とされるリスクが増加します。
ANY.RUNのTeamworkを使用すれば、アナリストは共有ワークスペースで作業し、チームリーダーは役割を割り当て、進捗を追跡し、1つの中央インターフェースからアクセスを管理できます。チームが1つのオフィスにいるか、タイムゾーンを跨いでいるかに関わらず。
ツール同士が通信しない場合、トリアージは遅くなります。
アナリストはシステム間を行き来し、インジケータをコピーして、結果をチケットに貼り付け、3つの異なる場所で同じコンテキストを再構築することになります。 この往復は時間を浪費し、決定の正当化が難しくなります。
解決策は、チームがすでに使用しているツールとの緊密な統合です。SIEM/SOARアラートから直接サンドボックス実行とIOCエンリッチメントを起動でき、結果が自動的に返される場合、トリアージは馴染みのあるインターフェースで行われ、証拠はケースに最初から添付されます。意思決定はより迅速、クリーン、かつ簡単に正当化できます。
ANY.RUN統合により、コンテキストスイッチングを削減し、SOCに99%ユニークで新鮮な脅威データを提供するため、調査は今リアルタイムで起こっている実際の攻撃を反映します。
インシデントの財務的影響は、多くの場合、封じ込め中ではなく、トリアージ中にずっと前に決定されます。 明確さが遅い場合、露出時間が増加し、応答コストが上昇し、軽微な脅威がビジネス上の混乱にエスカレートします。
実際の実行、自動インタラクティビティ、即座の脅威コンテキスト、共有の可視性、および緊密な統合に基づくトリアージを構築することで、その軌跡が変わります。意思決定は推測ではなく証拠に基づいて行われます。エスカレーションはより整理されます。封じ込めはより早く始まります。
ANY.RUNを使用した証拠ベースのトリアージアプローチを採用するSOCは、以下を参照してください:
翻訳元: https://cyberpress.org/soc-faster-triage/