ネットワークメタデータの概要と、それが必要な理由とは?

ネットワークメタデータの概要と、それが必要な理由とは?

ネットワークメタデータの概要と、それが必要な理由とは?

By:
投稿者:
Stephen Malone
May 25, 2020

あらゆる場所でデータが溢れかえっています。その中でどのデータを保存し、また利用したらよいのでしょうか?ほとんど全てのデータを保持する傾向にあるこの時代において、SOCチームやアナリストは、その膨大な量に圧倒されています。データの取り込みやストレージ容量が限界に達する前から、このような状況に追い込まれているのです!本ブログでは、ネットワークメタデータの価値や、なぜ他の方法では、このようなレベルの可視性が実現できないのかという点について、説明したいと思います。

1秒でのバックアップ...。ネットワークメタデータとは何なのでしょうか?

ネットワークメタデータは、ネットワーク内で発生する全ての通信の記録です。いつ、どこで、誰がどんなネットワーク通信を行ったかを記録します。ネットワークキャプチャ (pcaps) は、接続とペイロードに関する情報がキャプチャされた、完全なデータストリームです。pcapsは、そのサイズの大きさもあって取り扱いが難しく、特定の目的に限定した形で使用される傾向にあります。ネットワークメタデータは、一見pcapsに似ていますが、遙かに拡張性に優れ、ネットワーク全体の監視に向けて使用することが可能です。

既にファイアウォールのログを取得しているので、十分ではないでしょうか?

いいえ!ファイアウォールは、境界防御に使用される形態が一般的です。通常、ファイアウォールを通過するトラフィックだけを対象としています。一旦トラフィックがデバイス外へ出てしまえば、その後は一切動きを捉えることができず、内部ネットワークのトラフィックは完全に見えなくなります。ネットワーク全体を対象とするメタデータソリューションは、TAPまたはSPANを利用することで、ネットワークを出入りする、またネットワーク内部を移動するトラフィックを捉えることができます。これにより、外部から入り込むトラフィックだけでなく、内部のネットワークを通過する全てのトラフィックを、その発信元に関わらず認識できるようになります。ネットワーク全体を対象とするこのメタデータソリューションによって、他とは比較にならないほど優れた形で、ネットワーク内の全てのトラフィックを可視化することができます。

しかし、EDRやイベントログも存在します。これを使用すれば、内部ネットワークのトラフィックを完全に可視化できるのでは?

いいえ。エンドポイントの検知と対応 (EDR: Endpoint Detection and Response) やイベントログは、優れた情報ソースではありますが、これによって内部ネットワークのトラフィックを完全に可視化できるわけではありません。通常、EDRやイベントログは、管理対象となるデバイスだけをカバーしています。管理対象外のデバイスやIoTデバイス、ネットワークプリンター、IPカメラ、あるいはコネクテッド・サーモスタットはカバーしないのです。管理対象外のデバイスは、ネットワーク侵入の手段となることが多く、また攻撃者がネットワークに対して永続的なアクセスを行うために使用する可能性もあります。EDRや管理対象のデバイスのイベントログだけに頼っていた場合、攻撃者がネットワークのどこに、そしてどうやって潜んでいるかを見つけ出すことが困難であり、正に攻撃者とのモグラ叩きゲームに陥ってしまいます。

ネットワークメタデータに対するVectraのアプローチ: 何が可能になるのか?

Vectra Detectは、ネットワークにおける攻撃者の振る舞いを、管理対象および管理対象外のデバイスに関わらず全て検知します。ネットワークメタデータによって、攻撃者を排除するための完全な調査と明確な対応が可能となり、またネットワーク全体を通じた振る舞いの検知を補完することができます。Vectra製品が使用するネットワークメタデータは、Zeek (Bro) フォーマットで記述されているため、既存のZeekワークロードを迅速かつ容易に移行することができます。また、大規模なZeekコミュニティで作成されたコンテンツを活用することで、ネットワークメタデータを最初から素早くそして容易に作成することができます。

Vectra AI社では、Hostなどの概念を追加するなど、ネットワークメタデータに関する大幅な機能向上を図っています。また、AIやMLによって強化を図ることで、データに関するより優れた理解や解釈を可能にしています。Vectra AI社では、これらの機能強化に加え、世界最高クラスのセキュリティ研究者やデータサイエンスチームに対して継続的な投資を行っているのです。データパイプライン製品であるVectra Streamによって、自社のSIEM、データレイク、あるいはクラウドのストレージに、このネットワークメタデータを保存できるようになります。Vectra Recallは、データの可用性と操作性を保証することで、データからさらなる価値を引き出せるようにする、ホステッド・データプラットフォームです。RecallやStreamを活用することで、調査や脅威ハンティング、分析、そしてコンプライアンスや監査への対応が可能となります。

Vectra AI社の極めて優れたAIとML機能によって強化を図ったネットワークメタデータによって、以下が可能となります。

  • ネットワーク内部での攻撃者の移動を、詳細かつ徹底的に調査・追跡できます。
  • 自身の経験やドメイン固有の知識を駆使して、ネットワーク内の攻撃者をハンティングできます。
  • 攻撃対象を監視し、非推奨のプロトコル、脆弱な暗号、不適切な既知の設定を検出することで、コンプライアンス要件への確実な対応を維持していくことができます。
  • 監査およびコンプライアンスの証拠要件に使用するデータレコードを保持することができます。
  • 有効期限が迫った使用中の証明書を監視することで、業務のオンライン状態を確実に維持します。

さらにVectra Recallを使用することで、以下が可能となります。

  • 注意すべき対象をネットワークメタデータによって自動的に検出したり、また豊富なVectra AI社のコンテンツを活用することができます。
  • Vectra製品がネットワークメタデータから収集したインサイトを活用することで、調査を加速しより優れた結果を迅速に得ることができます。

About the author

Stephen Malone

Stephen is a Senior Product Manager at Vectra AI where he is the product manager lead for the Vectra Recall product. He has nearly 20 years experience in service creation and delivery. His career has taken him from software engineer to product management as he looks for yet bigger problems to solve. He is deeply versed in cloud, networking and security from over 7 years as a program manager in Azure, where he owned two core services. He holds an M. Sc. in Software Development from the Institute of Technology, Tralee, Ireland.

Author profile and blog posts

Most recent blog posts from the same author

Threat detection

Detecting ZeroLogon with Zero Signatures

September 22, 2020
Read blog post
Threat detection

Vectra AI社のネットワークメタデータを活用した攻撃者とエクスプロイトの検知

March 26, 2020
Read blog post
Cybersecurity

ネットワークメタデータの概要と、それが必要な理由とは?

May 25, 2020
Read blog post