Anomali Agentic SOC Platform(以下AASP)を利用した、脅威インテリジェンスネイティブなセキュリティ運用のサンプルシナリオです。プラットフォームは、Entities & Groups, Case Management, Agentic Fleetの3つの要素から構成されています。
Entities & Groups
先ずはじめに、お客様の組織にどんな従業員が在籍していたり、組織にとって重要な資産がどのように管理されているかを把握する必要があります。AASPに組み込まれているネイティブなAIモデルは、AASPに取り込まれたお客様の環境に存在する各種エンティティに関するリスクを自動判定します。

エンティティのソースとなるIDプラットフォームやCMDBを複数サポートしており、数回のマウスクリップで簡単に設定することが可能です。

例として、Michael Torresという従業員のリスクスコアを確認します。事前に定義された複数の検知ルールにヒットしている、所属しているグループの平均リスクスコアより高いことが判明しています。SOCエージェントがスコアの内容を分析したサマリーを平易な言葉で説明しており、何らかの追加調査が必要なことを短時間で把握することが可能です。

グループは、エンティティのリスクに追加の文脈を付加するための重要なコンポーネントです。グループの構造は、エンティティのソースとなるIDプラットフォーム(例/Entra ID, Okta)で保持している構造をインポートして利用することも、AASP独自のグループを作成して管理することも可能です。

Case Management
あらゆるソースから大量に発せられるテレメトリを検知分析して、組織にとって重要なアラートかノイズかを、可能な限り正確かつ短時間で判別することは、全てのセキュリティ運用者にとって最も大切なことかと思います。AASPは、Agentic AIとデータサイエンスが協業しながら、検知に必要な新たな視点を動的に獲得しながら、大量のテレメトリから候補となるシグナルを検知します。

検知ルールは、AQLと呼ばれるAASP独自のクエリ言語で実装することが可能です。自然言語をAQLのクエリに自動変換することも可能につき、運用者はAQLの文法を1から習得する必要はありません。

検知された候補となるシグナルには、Anomaliのもう1つのプロダクトであるManaged Intelligence as a Serviceが保持している、高品質な脅威インテリジェンスから該当のIoCを自動的に付加することで、運用者に確かな示唆を与えます。

大量のテレメトリから候補となるシグナルを素早くかつ正確に検知するためには、高品質な脅威インテリジェンスが不可欠です。例として、中国の国家支援型アクターの1つであるVolt Typhoonに関する示唆を、Managed Intelligence as a Serviceで検索してみます。通信事業者に対する攻撃が断続的に発生していることがわかります。CTIエージェントが自動的に生成したサマリを確認することで、詳細なIoCの裏付けとなる体系的なシナリオを把握することが可能です。

候補となるシグナルをAASPの各エージェント、および運用者にて厳密に吟味して、更なるモニタリングが必要と判断されたシグナルはアラートへと昇格されます。AASPが各アラートのコンテンツを分析して、適切な運用者やエージェントをアサインして、最も適していると思われる次のアクションを促します。

運用者やエージェントの更なる分析の結果、重大と思われるアラートはインシデントへへ昇格されます。アラートと同様に、AASPが各インシデントのコンテンツを分析して、早急に必要と思われるアクション(例/エンドポイントデバイスの隔離、IPやDomainのブロック)を推奨します。

例としてRansomware Precursor Activitiインシデントに対する推奨アクションを見てみます。ATT&CKフレムワークに基づいた体系的なアクションを推奨していて、どの運用者やエージェントがいつ対応した等のステータスを把握することが可能です。

各々のインシデントはケースとして管理されます。AASPのエージェントが、各々のケースに含まれているインシデントのコンテンツを分析して、ケースを評価する対象者にとって最適な分量と粒度でサマリーを自動作成したり、対象者の需要に応じて詳細なレポートを添付したりします。

Agentic Fleet
Agentic FleetはAASPを支える大きな要素の1つです。セキュリティ運用の各ドメイン(例/CTI, SOC, IR, VM)に適したスキルセットを有した複数のエージェントが配備されています。例としてCTIマネージャーであるAliceのプロファイルを見てみます。AliceはCTIマネージャーとして、アクセス可能なツールセットや報告先のペルソナとのコミュニケーションスタイル等を最適にチューニングされています。

おわりに
最後までお付き合いいただきありがとうございます。サイバーセキュリティに関わる皆様は、様々資産や環境からいつ何時吐き出されるも大量のログを分析して、自社にとって重要なシグナルを迅速かつ正確に検知しなければなりません。
しかしながら、第1世代のSIEMのアーキテクチャの限界・線形的な課金モデル・コンプライアンス対応の困難さから、多くのお客様が大量のログを保管しているだけで、本来の目的を達成できていないのではと推測しています。第1世代のSIEMは、既に存在しない世界のために設計されていることが根本的な原因かもしれません。
今、セキュリティの最前線で求められているのは、
被害を受ける前に攻撃者の意図・戦略・戦術・手口を把握する「事前察知」へのシフトです。
Anomaliは、世界最大規模の脅威インテリジェンスが組み込まれたセキュリティデータレイクを活用して、自社に迫る危険な脅威を高精度に特定。圧倒的なスピードでの事前察知を実現しています。
