MITRE ATT&CKとD3FEND AIエージェントによる脅威検出

MITRE ATT&CKとD3FEND AIエージェントによる脅威検出

ユーザーアバター
ジェイソン・ロビンス
6 1分間の読書

MITRE ATT&CKとD3FEND AIエージェントによる脅威検出

このブログ記事は、SwimlaneのエキスパートAIエージェント群に関するシリーズの第1弾です。今回は、Hero AI MITRE ATT&CK & D3FENDエージェントを紹介し、ATT&CKの手法とD3FENDの防御対策の両方に対してアラートを相互参照するという、手作業で時間のかかるプロセスをどのように排除し、ツールの適用範囲に関する不足していたコンテキストを提供するのかを説明します。このエージェントは、どのセキュリティツールが特定の脅威に対して防御しているかを即座に評価することで、既存の投資に対するROIを証明し、セキュリティチームが防御上のギャップを即座に特定して解消できるようにします。.

セキュリティリーダーからあまり聞かれない質問があります。 私たちが日々直面している脅威に対して、既存のツールのうちどれが既に防御策として機能しているのか、私たちは本当に把握しているのだろうか?

ほとんどのセキュリティチームは マイター攻撃&CK 何らかの形で。それは敵対者の行動様式に関する共通言語となっており、それは素晴らしいことです。しかし、ATT&CKは物語の半分しか語っていません。攻撃者が何をしたかは教えてくれますが、それを阻止するために既にどのような対策を講じているかは教えてくれません。そこで、 MITRE D3FEND ここで重要な点が浮上し、多くの組織が大きな価値を無駄にしていると私は考えています。.

問題は、アラートをATT&CKの手法に手動でマッピングすること、ましてやD3FENDの対策と相互参照することは、拡張性に欠けるということです。面倒で一貫性がなく、正直なところ、ほとんどのアナリストはキューがいっぱいになるとこの作業をスキップします。結果として、マッピングが不完全になり、防御的なコンテキストが欠落し、CISOは自社のセキュリティスタックが実際に何をカバーしているのかを明確に説明できなくなります。.

これは、専用に設計された AIエージェント うまく解決します。大海を沸騰させようとする巨大なモデルではなく、アナリストレベル以上の能力で一つのことに集中するエージェントです。この場合、そのエキスパートエージェントのスキルは、アラートを標準化されたフレームワークにマッピングし、既に所有している防御機能を明らかにすることです。まさにそれが Swimlane のヒーロー AI MITRE ATT&CK & D3FEND エージェント 内部で スイムレーンタービン, そして、それは拡大しつつある艦隊における最初のエージェントの1つです。.

AI SOCに必要なのは単一の頭脳ではなく、艦隊である。

私は以前からこのことを主張してきましたが、業界もようやく理解し始めています。AIを活用したSOCへの道は、アナリスト全体を置き換えるような巨大なエージェント1つを導入することではありません。アナリストのワークフローにおける特定のステップ(データの拡充、重複排除、コンテキストの収集、仮説の提示、推奨、そして最終的な判断)にそれぞれ対応する、小型で専門的なエージェント群を構築することです。各エージェントは、アナリストが行う作業と同等、あるいはそれ以上の成果を上げられることを証明することで、それぞれ独立して信頼を獲得していきます。.

初代ヒーローAIエキスパートエージェントをご紹介します

スイムレーンの ヒーローAI このアプローチは、4つの基礎的なエージェントによって行われます。 評決エージェント 事件処理のために、 脅威インテリジェンスエージェント クロスソースTI相関の場合、 調査員 エンドツーエンドの調査計画には、MITRE ATT&CK & D3FEND Agent をフレームワーク マッピングに使用します。これらは、今後拡大していく一連のツール群の最初のものです。 スイムレーン・マーケットプレイス さらに、チームが独自のエージェントを作成できるエージェントビルダーも備えています。.

このアーキテクチャが重要な理由は、技術的なものだけではなく、運用上のものでもあります。各エージェントのスコープが狭い場合、ベンチマークを設定したり、測定したり、信頼を段階的に構築したりできます。「AI」を盲目的に信頼する必要はありません。信頼する必要があるのは、 この特定の薬剤 フィッシングアラートをATT&CKの手法と、担当のティア2アナリストにマッピングします。これははるかに扱いやすい問題です。.

詳細解説:MITREエージェントの仕組み

このエージェントは、一見シンプルながら非常に強力な機能を備えています。ログソース、エンドポイント、ネットワークイベントからセキュリティアラートを取り込み、それらをリアルタイムでATT&CKテクニックとD3FENDの防御対策にマッピングします。では、具体的にどのような動作をするのかご説明しましょう。.

例えば、従業員がメール内の不審なURLをクリックしたというアラートが、セキュリティオペレーションセンター(SOC)に届いたとします。.

  • ATT&CKマッピング: エージェントはアラートをT1566.002(スピアフィッシングリンク)にマッピングします。下流でペイロードが実行された場合、チェーンはT1059.001(PowerShell)に拡張されます。.
  • D3FEND対策検索: このフィッシング攻撃に対して、エージェントは複数のカテゴリにわたる防御技術を提供します。検出側では、メール検査のためのメッセージ分析、脅威インテリジェンスに基づくURLレピュテーション分析、送信者レピュテーション分析、類似ドメイン検出のためのホモグリフ検出。隔離側では、メールフィルタリングとDNS拒否リスト。セキュリティ強化側では、メッセージ認証(SPF、DKIM、DMARC)と多要素認証。.
  • ツールの適用範囲評価――そして、これが私が見落とされがちな部分だと思うのです。. エージェントは、D3FENDの手法を、実際に導入済みのツールと照合します。ProofpointはURLレピュテーション分析を、Mimecastはメッセージ分析とメールフィルタリングを、Cisco UmbrellaはDNS拒否リストを、CrowdStrike FalconはあらゆるT1059アクティビティのスクリプト実行分析をそれぞれカバーします。.

ATT&CKは攻撃者が何をしたかを教えてくれます。D3FENDは、それを阻止するために既にどのような対策を講じているか、そしてどこに弱点があるかを教えてくれます。.

その2つ目の要素は、セキュリティリーダーにとって非常に貴重です。抽象的な脅威の説明を携えて役員会に臨むのではなく、実際の攻撃パターンにマッピングされた具体的な防御策を示すことができます。D3FENDは、セキュリティ投資を「信じてください、これは必要なのです」という一方的なものではなく、「この投資は具体的に何から防御し、どのようなギャップを埋めるのか」という明確なメッセージへと変えます。これは、次の投資を正当化するだけでなく、既に行った投資のROIを証明する方法なのです。.

Hero AI MITREエージェントの1分間のデモをご覧ください

SOCにおけるAIにとって推論が重要な理由

このセクションは簡潔にまとめます。というのも、このブログシリーズの後半でVerdict Agentについて詳しく説明する際に、このトピックについてさらに掘り下げる予定だからです。簡単に言うと、SOCにおけるAIは完璧である必要はありません。アナリストがAIの判断理由を理解し、迅速に検証できる程度に説明可能であれば良いのです。.

MITREエージェントは、単にテクニックIDを出力するだけではありません。その根拠、アラートデータ、このテクニックに該当する理由、対策、そしてカバレッジ状況も示します。アナリストは、手動で30分かけて検証する代わりに、わずか数秒でその一連のプロセスを検証できます。これが目標です。完璧さではなく、迅速な信頼性こそが重要なのです。.

時間が経つにつれ、エージェントがアナリストが作成するであろう結果と一貫して一致するようになれば、人間がすべてのマッピングをチェックすることなく、エージェントに実行させ始めることができます。これが段階的な信頼の構築であり、フリート内のすべてのエージェントが自律性を獲得する方法です。.

実世界への影響:MTTRを半減

スイムレーンは独自の セキュリティオペレーションセンター(SOC) Turbine社の取り組みは高く評価しています。なぜなら、自社製品を自ら利用しないベンダーほど厄介なものはないからです。段階的な自動化によってMTTR(平均修復時間)は6時間から30分に短縮され、さらにHero AIエージェントを導入したことで51%短縮され、9分未満になりました。これは、アナリストの作業時間を週あたり約60時間節約し、約350件のケースを自動的に解決できたことを意味します。.

Swimlane AI SOCの事例研究を読む

TAG Cyberの独自分析によると、Turbineを使用している企業は以下のことを実現している。 初年度の投資収益率(ROI)は240%, また、AIを活用したSecOps自動化に関する同社の研究では、特にプライベートLLMアーキテクチャ、環境外へのデータ流出がないこと、サードパーティモデルへの依存がないことなどが、ガバナンス上の懸念を抱えるチームにとって重要な差別化要因であると強調している。.

TAG CyberのAIを活用したSecOpsに関するレポートをお読みください。

SOCチームがAIを使い始めるためのヒント

開始部分は、ほとんどの人が考えているよりも簡単です。必要なのは、過去のチケットと、問題がクローズ、エスカレーション、または無害と判断された理由を記録したアナリストのメモです。ナレッジベース(KB)の記事やランブックがあれば理想的です。なければ、AIを使って過去のケースから生成し、それを最初のナレッジベースとして利用できます。その後、反復、ベンチマーク、測定を行い、改善を重ねていきます。.

未来:拡大し続けるAIエージェント群

MITRE ATT&CK & D3FENDエージェントは、Swimlaneのエージェント群における最初の4つのエージェントのうちの1つです。. タービンキャンバス チームが独自のエキスパートAIエージェントを構築し、エージェントをプレイブックに直接ドラッグ&ドロップできるようにします。これはほんの始まりにすぎません。 Swimlane MarketplaceのAIエージェント Swimlaneだけでなく、独自のユースケース向けにエージェントを開発しているチームからも、急速に拡大している。.

これは正しい方向性です。すべてを支配する単一のモデルではなく、各エージェントがそれぞれ得意なことをし、互いに連携し、アナリストの負担となる作業をまとめて処理する、協調的なチームです。MITREエージェントは言語を標準化し、脅威インテリジェンスエージェントはコンテキストを充実させ、判定エージェントは判断を下し、調査エージェントは計画を策定します。.

今後の記事では、これらのエージェントそれぞれについてさらに詳しく解説していきます。特に、Verdict Agentが説明可能な処分をどのように処理するか、そしてInvestigation Agentがコンテキストスイッチングをどのように削減するかについて取り上げます。現時点で一つだけ覚えておいていただきたいのは、AI SOCは既存のチームを置き換えるものではないということです。AI SOCは、時間をかけてより大きな役割を担うに値するツール群をチームに提供することなのです。そして、MITREエージェントは、そのための優れた出発点となります。なぜなら、既存のツールが何をカバーしているかを把握することは、セキュリティ運用において最も過小評価されている能力の一つだからです。.

スイムレーンタービンのライブデモを見る

AIエージェントの実際の動作をご覧になりたいですか?

アラートをフレームワークに手動でマッピングするのはもうやめましょう。SwimlaneのHero AI MITRE ATT&CK & D3FEND Agentは、マッピングを自動化し、防御範囲を明確にし、SOC全体でチームに共通言語を提供すると同時に、既に投資した価値を証明します。.

デモのリクエスト

TL;DR: ヒーロー AI MITRE ATT&CK & D3FEND エージェント

Hero AI Mitre ATT&CKおよびD3FENDエージェントは、専用に構築されたAI自動化機能を使用して、セキュリティアラートをATT&CK手法とD3FEND対策の両方に手動でマッピングする作業を排除します。このエージェントは、既存のセキュリティツールのカバー範囲を特定の脅威に対して即座に評価し、具体的な防御コンテキストを提供し、投資に対するROIを証明します。エキスパートエージェント群の第一弾として、このアプローチはSOC全体に一貫したフレームワークマッピングを拡張し、MTTRを9分未満に短縮するなど、大幅な効率向上を実現します。AI SOCの成功は、この連携したエージェント群にかかっており、各エージェントは特定の分析ワークフロー手順を習得することで信頼を獲得します。


タグ

人工知能プラットフォーム

AI SOC の内側:Swimlane が MTTR を半分に短縮した方法
続きを読む
Hero AI: 究極のSecOpsコンパニオン
続きを読む
TAGサイバー技術レポート:SecOps自動化におけるAIの活用
続きを読む

ライブデモをリクエストする