Detectree インシデント分析:可視化のための OSSツールでアラート疲労を軽減

Detectree: Open-source tool simplifies data analysis for blue teams, reduces alert fatigue

2022/07/22 HelpNetSecurity — セキュリティ・インシデントが止まらない中、悪意の活動と影響の特定に、数多くの企業が苦戦している。攻撃を食い止め、被害を最小限に抑えるための、時間とリソースが浪費されている。そこに、インシデントの可視性を高めることで、企業における損害を緩和する新しいオープンソースツールが登場した。


WithSecure が開発した Detectree は、サイバー・セキュリティの防衛チーム (ブルーチームとも呼ばれる) 向けの、検知のための可視化ツールである。

WithSecure の Senior Threat Hunter である Tom Barrow は、「検知の可視化は常に優先事項だが、インシデント対応時には絶対に不可欠なものとなる。インシデント担当者にとって、時間は常に不利に働く。そして、テキスト・データに目を通し、調査中の疑わしい動きとの間に関連性を持たせることは、問題を解決できずに時間を費やすことにつながる。攻撃の阻がプレッシャーになっているときに、それは、本当に無駄なことだ」と説明している。

たとえば、疑わしいプロセスで原因を探すアナリストは、ログデータに目を通し、手作業でイベントの連鎖を再構築することが、いつも必要になってしまう。一連の流れが長くなればなるほど、その管理は難しくなり、時間もかかる。また、大企業のブルーチームが直面し得る、大量のセキュリティ警告を考えると、このプロセスはセキュリティ・チームを圧迫し、アラート披露や燃え尽き症候群などの、問題を悪化させる可能性も生み出す。

Detectree は、ログデータを構造化し、検出された疑わしいアクティビティと、その検出に関連するプロセス/ネットワーク宛先/ファイル/レジストリキーとの関係などを可視化する。それにより、ブルーチームが調査作業を簡略化できるように設計されている。

イベントの連鎖を再構築するために、テキストとして表現されたデータを手作業で整理するのではなく、視覚化されたデータを見ることで、相互作用/親子関係/プロセス・インジェクションなどの、接続を可視化するだけではなく、接続の性質も確認できる。

検知を可視化することで、担当者は検出を取り巻く状況を、すばやく確認できるようになる。さらに、シンプルで直感的な方法で、関連する利害関係者とデータを共有し、情報を必要とする全ての人がアクセスできるようにもできる。

Tom は、「経験豊富で熟練したブルーチームでさえ、仕事を上手くこなすためのツールを必要としている。Detectree はシンプルだが、セキュリティ・チームのペインポイントである、煩雑な作業と時間を浪費に対処するものだ」と述べている。

インシデント対応における効率化を促進するために、Detectree というオープンソース・ツールが登場しました。オンラインで取得するソフトウェア・コンポーネントを組み合わせて、システムやアプリケーションが短時間で構築されていく、いまのスタイルに合わせた、さまざまなツールが必要とされています。よろしければ、2021年6月の「Google が立ち上げる SLSA はサプライチェーンの完全性を護る新たなフレームワークだ」、2022年4月29日の「OpenSSF の新プロジェクトが実用段階に:OSS リポジトリから悪意のパッケージを探し出す」、5月13日の「Google がパッケージの依存関係をグラフで分析:Open-Source Maintenance Crew とは?」なども、ご参照ください。

%d bloggers like this: