原文はこちら(著者 : Daniel Hirschberg)
https://blogs.oracle.com/cloudsecurity/post/cloud-guard-threat-detector-available

Oracle Cloud Guard は、2020年に提供開始して以来、お客様の Oracle Cloud Infrastructure(OCI)環境のセキュリティ体制の改善を支援してきましたが、今回、悪意のある活動を特定し、多数のアラートに悩まされるセキュリティ運用者を支援する Cloud Guard Threat Detector を提供します。Threat Detector は MITRE ATT&CK フレームワークに対応し、オラクルの threat intelligence と data science 機能を活用して、本当に注意を払うべき悪質な行為の目撃情報を明るみに出します。すべての異常を調査するという罠から避けることができます。

Oracle Cloud Guard Threat Detectorとは

Threat Detector は、OCI の監査イベントを継続的に監視し、悪意のある活動を探す新しいOracle Cloud Guardの検出(Detector)レシピです。機械学習(ML)ベースの行動攻撃モデルを長期間にわたって実行できるデータプラットフォームを使用しています。このモデルは、MITRE ATT&CK の手法に沿ったもので、明確な意図を伝えるのに十分な幅を持ちながら、手順の進化に伴って耐久性を持つように設計されています。

Threat Detectorは、一連の攻撃の目撃情報と関連するリスクスコアを含むユーザープロファイルを保持します。リスクスコアは、個々の目撃情報の重要度や信頼度、戦術やテクニック、タイミングなどの要素を考慮し、攻撃の進行を追跡するために策定されています。

例えば、以下はAnakinというユーザーのプロファイルです。

 

それは、ブルートフォースの目撃から始まりました。初期のパスワード推測と、その1週間後のパスワードスプレイングです。この環境における Anakin の権限は十分に低く、これらの目撃例では深刻度「中(Medium)」、リスクスコア「中(Medium)」となります。

数日後、Threat Detector は、Anakin が移動するには遠すぎる場所にいることを観察しています。これによりリスクスコアが大幅に上昇し、認証前のオブジェクトストレージへの要求数が増加したことを検出すると、リスクスコアは再び上昇します。攻撃は、流出段階に達しているようです。

それぞれの目撃情報を個別に追跡することは現実的ではなく、また、これらの目撃情報は簡単にレーダーを通過してしまうほど小さなものです。しかし、これらの目撃情報をまとめると、厳しい状況にあることがわかります。そこで、攻撃の進行を考慮し、これらの目撃情報の緊急度を総合的に判断して、リスクスコアを増加させた。

リスクスコアが上昇すると、問題のしきい値を超えたため、次の画像に示すように Cloud Guard に問題(Problem)が生成されました。

Cloud Guardで作成された問題(Problem)は、セキュリティ運用者に注意が必要であることを警告し、イベントを追跡し、場合によっては自動修復のワークフローとダウンストリームの統合を開始するために使用されます。

これ以上のアラートが必要か?

新しいクラウド環境の保護を任されていると想像してください。日々増え続けるアラートと、その多くを調査することができないため、あなたはすでにアラート疲れとインシデントを見逃す恐れ、つまりあなたとあなたの組織にとって危険な燃え尽き症候群に悩まされているかもしれません。

Ciscoの2020 CISO Benchmark Report によると、多くの組織が2017年に調査したアラートの56%から、2020年には48%以下にまで減少しています。明らかにあなただけではありませんが、だからといって、あなたの環境の保護に合格点が与えられるわけではありません。そのため、心のどこかで、組織内の誰かがインフラを悪用する内部不正からの脅威、あるいは不正アクセスされたアカウントについて、気がかりなことがあるのではないでしょうか。

Threat Detectorは、これを「不正ユーザー」と呼び、複数の悪意ある行動を1つのアラートにまとめるシンプルな検出ルールを提供します。アラートの音量とノイズレベルを抑え、ただでさえ忙しい一日を台無しにしないようにします。

今回発表したThreat Detectorは、OCIの監査ログをサポートし、先日発表されたOracle Threat Intelligence Serviceとも統合することで、複数のモデルを活用して不正ユーザーの特定します。何より、Threat Detector for Audit logsは、Cloud Guardと同様に、OCIの有償テナントを利用の方は、追加コストなく無償で利用することができます。

今後、より多くのモデルやデータソースを導入していくことを楽しみにしています。

Threat Detectorの有効化方法

Cloud Guardのセキュリティの使いやすさを追求した結果、Threat Detectorを有効にするのはほんの一瞬です。すでにCloud Guardを使用している場合(使用しない理由はない)、ルートコンパートメントのターゲットに「OCI Threat Detector Recipe (Oracle managed)」レシピ(下図)を追加するだけで、サービスが有効になります。

 

Cloud Guard Threat Detectorが、アラートに埋もれることなく、セキュリティ範囲を拡大するのに役立つことをもっと知りたいと思いませんか?
是非、ご自身で評価をしてみてください。今すぐCloud Guard Threat Detectorを設定しましょう。