本文の内容は、2024年8月6日にashish chakrabortty が投稿したブログ(https://sysdig.com/blog/supercharge-your-investigation-with-sysdig-sage-for-cdr/)を元に日本語に翻訳・再構成した内容となっております。
人工知能は、私たちの日常生活のほぼすべての側面を掌握しています。サイバーセキュリティの分野では、自然言語処理を備えた生成AIモデルが一般的に脅威の予測、検知、および対応に使用されています。しかし、AIセキュリティアシスタントは、従来の機械学習に比べて進化しているものの、非常に基本的なクエリと要約しか提供せず、現代のクラウド攻撃を完全に理解するには不十分です。クラウド検知および対応 (CDR) エクスペリエンスを改善するための継続的な取り組みの一環として、Sysdig は Sysdig Sage™ を発表しました。これにより、アクティブな侵害シナリオをリアルタイムで発見することがこれまで以上に容易になります。
Sysdig Sage for CDRは、クラウド上のお客様を保護するという私たちの継続的な使命の一環として、AIとセキュリティ分析を組み合わせています。Sysdig Sageはクラウドデータを観察し、攻撃者を阻止するための対応を生成します。この革新的な新しいAIアシスタントは、クラウドおよびワークロードデータのコンテキスト分析、イベントの概要要約、対策の提案など、さまざまなユースケースを実行することができます。
以下は、CDR ワークフローを強化するために Sysdig Sage が提供する主要な新機能のほんの一部です。
- セキュリティ イベントの統計:すぐに対処する必要がある重大なイベントを特定することで、分析を合理化し、侵害シナリオに積極的に対処します。
- セキュリティ イベントの説明:ランタイム イベントの詳細な説明により、セキュリティ操作におけるスキル ギャップを埋めます。
- 推奨される次のステップ:対応のタイムラインを短縮し、より広範なレベルで関連イベントの行動の詳細に対するコンプライアンスを改善します。
- コンテキスト認識:ユーザーが観察するデータをコンテキスト化して質問に正確に回答し、プラットフォーム全体でデータを移動して脅威をより適切に視覚化します。
いくつかの重要なユースケースで Sysdig Sage がどのように役立つかを見てみましょう。
ユースケース1: 業務全体のスキルギャップを埋める
Sysdig Sage を使用すると、サイバーセキュリティが誰にとっても簡単になります。チームが日常的に大量の日常的なタスクやイベントを調査する際の調査プロセスが洗練されます。また、共同ワークフローを促進し、チームが脅威に対して警戒を怠らないように動機付けます。
これを実証するために、範囲を絞り込んで、特定のクラスターからの重大度の高いログを検索してみましょう。検索バーを使用して、以下のクエリを入力します。
kubernetes.cluster.name=risks-aws-eks-workloads-shield
Sysdig Secure は、このクエリを大量のクラウドデータに適用し、選択したタイムラインとクラスター名に関連するイベントをフィルター処理します。一見すると、300 を超える排他的なイベントがあります。成熟したセキュリティ運用であっても、この量のイベントは圧倒的になる可能性があります。どこかで、どういうわけか、重要な盲点が見逃される可能性があります。これらの詳細の見逃しは、対応戦略に悪影響を及ぼし、敵が正面玄関から侵入する余地を残す可能性があります。
Sysdig Sage は、ユーザーが自然言語形式で質問し、状況の簡単な概要を迅速に導き出し、敵の計画を妨害するための規範的な対応戦略を展開できるようにすることで、運用上のいくつかの大きな問題点を軽減します。
たとえば、Sysdig Sage を起動して、フィルタリングされた結果を要約するように要求してみましょう。
このクラスタのイベントを要約してください。
Sysdig Sage for CDR は、イベントを「ドリフト検出」と「悪意のあるバイナリの検出」という 2 つの異なるヘッダーに分類しました。問題が何であるかについての以前のコンテキストがなくても、脅威アクターが複数の Kubernetes ワークロードで悪意のあるバイナリを起動することに成功したことがわかり、また、ドリフト検出ポリシー (Sysdig脅威リサーチチームによってキュレートおよび管理) によって、リストされているワークロードが侵害されるのを防いだこともわかりました。
この情報は、セキュリティ チームにアラートを発するのに十分であり、セキュリティ チームは確立された対応戦略を展開して、侵害シナリオのリスクを軽減できます。
Sysdig Sage を使用すると、すべてのユーザーがセキュリティ調査員になります。
ユースケース2: AIを活用して調査を強化する
Sysdig Sage for CDRは、前の回答からの文脈を関連付けることで、連続する複数のクエリに対応できます。これにより、チームは攻撃に関連する追加の詳細を明らかにすることができます。
侵害が発生した際には、必要なデューデリジェンスを行う時間がほとんどありません。迅速に十分なコンテキストを収集し、責任者がすぐに介入して攻撃者がさらなる損害を引き起こすのを防ぐ必要があります。
例として、Sysdig Sage for CDRを使用してすべてのイベントを詳細に分析し、調査報告書を作成しましょう。
詳細な調査報告書を作成してください。
このレポートから、risk-10-aws-bedrock-java ネームスペース内でアクティブなマイナー(easyminer)が動作していることが確認されました。簡単なオンライン検索によると、検出されたバイナリは正当なオープンソースのマイニングソフトウェアであることが判明しました。しかし、我々の環境内にそれが存在することは疑わしいものです。
レポートは、敵対者がワークロードを侵害した後に、クリプトマイナーをダウンロードして起動し、自身の目的を達成しようとしたことを示しています。
Sysdig Sageに、この検出イベントの根本原因を理解する手助けを求めましょう。
risk-10-aws-bedrock-java において検出された悪意のあるバイナリの根本原因は何でしたか?
Sysdig Sage for CDRは自然言語での問い合わせを理解し、検知イベントを引き起こした根本原因がシェルスクリプト malicious-bin-e ./malicious-bin-event-gen.sh であると特定しました。
数秒以内に、検知された悪意のあるバイナリに関する有用なコンテキストが得られました。Sysdig Sage for CDRはイベントの「何」と「なぜ」を解明し、貴重な調査時間を節約してくれました。しかし、調査はまだ完了していません。
次の目標は、境界を侵害してワークロードにアクセスするために使用された敵の手法を理解することです。Sysdig SageにMITRE ATT&CKフレームワークに基づいて脅威アクターが使用した戦術と技術を列挙するよう依頼しましょう。
どのMITRE ATT&CK戦術と技術が使われましたか?
結果は、脅威アクターが MITRE ATT&CK 戦術を使用して悪意のあるバイナリを実行し、持続性を維持し、クラスター内の防御を回避したことを示しています。
この段階で、内部で何が起こっているのか気になる場合は、いつでもアクセスオプション(右上)を使用して、イベントフィードに移動できます。ここでは、フィルターが自動的に適用され、定義されたクラスタ risk-10-aws-bedrock-java 内で検出されたすべての悪意のあるバイナリエベントのタイムラインが表示されることに気付くでしょう。
ここで、MITRE ATT&CK の各戦術に関する詳細なコンテキストを取得するために、Sysdig Sage に攻撃パスをリストするように依頼してみましょう。
攻撃経路をリストアップしてください。
Sysdig Sage for CDR は、数秒以内にプロセスツリーを展開し、検出された各イベントを特定の MITRE ATT&CK カテゴリに合わせます。これにより、脅威アクターによって悪用される可能性のあるすべてのエントリ ポイントとセキュリティ ギャップを発見できます。
しかし、本当の疑問は、このイベントがどの程度深刻であるかということです。Sysdig Sage に、脅威アクターによって影響を受けた可能性のあるすべてのワークロードをリストアップして、影響範囲を提供するよう依頼してみましょう。
影響を受けたワークロードは、いくつありますか?
結果によると、多くのワークロードが脅威アクターによって影響を受けた可能性があります。この後は、パニックボタンを探して、セキュリティオペレーションチームおよびDevSecOpsチームを呼び出すべきです。
ユースケース3: クラウド検知と対応の555ベンチマークを達成する
前回のユースケースでは、Sysdig SageをCDRのセキュリティアシスタントとして使用し、セキュリティ調査に不可欠な予備情報を収集する方法を示しました。しかし、組織を一人で守っている場合は、専門家に知らせる前に一時的な対策を講じる必要があります。
Sysdig Sageに、ユーザー認証情報の漏洩、SSHキーの漏洩、プロセスマスカレードなどの悪影響を未然に防ぐための推奨手順を尋ねてみましょう。
この問題を修正するにはどうすればいいですか?
Sysdig Sage for CDR では、潜在的なリスクを軽減し、環境のさらなる侵害を防ぐためのベストプラクティスをいくつか推奨しています。ここでは、影響を受けるリソースを分離することが、攻撃者の攻撃を阻止する良い方法のように思えます。
しかし、このような状況で何をすべきか分からない場合は、Sysdig Sage に詳細なガイダンスを求めましょう。
影響を受けたリソースを分離するための詳細なガイダンスを提供してください。
Sysdig Sageで脅威に先手を打つ
Sysdig Sage for CDRは便利なセキュリティアシスタントであり、まずインシデント発生時に冷静さを保つ手助けをし、次に徹底的な調査に必要なすべての詳細を明らかにするための各ステップをガイドします。これにより、セキュリティインシデントがまるで簡単なDIYプロジェクトのように感じられます。
Sysdig Sageは、セキュリティチームがSysdigプラットフォームのリアルタイム性とSysdig 脅威リサーチチームの最先端の知見を活用できるようにします。Sysdig Sageがそばにいることで、プラットフォームを離れることなく脅威への対応を迅速に行うことができます。
今度のセミナーに参加してください:「AIを活用したCDRの実践」で、Sysdig Sageを活用して攻撃を数分で検知、調査、対応する方法についての技術デモを行います。