セキュリティインサイト

ネットワークエッジでのパケットレベル分析を備えたセキュリティアドオンにより、迅速かつ実用的なセキュリティインテリジェンスを提供

LiveAction LiveWire security insights solution brief highlighting challenge and transforming network visibility into security intelligence
主なポイントこの重要なポイントは、LLMがページをクロールし、その内容の概要をまとめたことで導き出されました。

この記事は、BlueCat LiveNX上で動作するLiveWireアドオン「Security Insights」によるネットワークエッジでのパケットレベル分析を紹介し、従来の集中型NDRが抱える可視性の断片化、遅延、コスト問題に対する代替としての役割を説明します。セキュリティチームとネットワークチームの統一された可視性を提供し、LiveFlowによるエッジでのフォレンジックキャプチャとフローテレメトリの相関により、TLS異常、C2通信、証明書悪用などの脅威を数分で検出・対応できることを示します。導入効果として、検出と対応の迅速化、既存データのROI最大化、一元化された可視性、クラウド転送や高コストを回避したエッジファースト分析によるスケーラブルなセキュリティインテリジェンスの実現が挙げられます.

Security Insightsは従来のNDRと比べてどのような点で優れているのですか?

本文は、Security Insightsが従来の集中型NDRと比べて4つの差別化要因を持つと説明しています。まず、ベンダーやアーキテクチャに依存せずLAN/WAN/SD‑WAN/データセンター/クラウドを横断する高精度なエンドツーエンド可視性を提供し、NDRの死角を排除します。次に、NetFlow、IPFIX、sFlow、Ciscoの高速・統合ロギングなどのマルチテレメトリを包括的に取り込み、サンプリングやフィルタリングによる精度低下を避けます。さらに、LiveWireによるネットワークエッジでの完全なパケットキャプチャとローカル分析によりクラウド転送や遅延、コストを回避し、エッジファーストでリアルタイム検知を実現します。これらにより迅速かつスケーラブルなセキュリティインテリジェンスを提供します。

実際の攻撃検知事例ではどのようなワークフローで対応が行われますか?

記事では3つのユースケース(TLS異常、脅威インテリジェンス指標による脅威ハンティング、TLS証明書悪用のフォレンジック)を通じて共通のワークフローを示しています。まずSecurity Insightsがフローテレメトリやパケット分析で異常を検知し、検出結果をMITRE ATT&CKにマッピングしてアラートを生成します。次にLiveNXで影響範囲の可視化とフローレコードの相関分析を行い、疑わしいホストやサブネット、通信パターンを特定します。さらにLiveWireでパケットキャプチャ(LiveFlow)を実行してペイロードやTLSハンドシェイクなどを詳しく解析し、SIEM/SOAR/XDRと連携して隔離や自動ブロック、インシデント対応やコンプライアンス用の証拠エクスポートを行います。これにより検知から対応までを数時間から数分へ短縮します。

Security Insights導入で得られる運用上の具体的なメリットは何ですか?

導入による運用上のメリットとして、まず検出と対応の迅速化が挙げられます。エッジでのリアルタイム分析により調査時間を数時間から数分に短縮できます。次に既存の生フローデータやパケットキャプチャを活用することでROIを最大化し、追加ツールや大規模なデータ転送に伴うコストと遅延を回避します。さらに、ネットワークとセキュリティのテレメトリを単一の相関ビューに統合することで複雑さを軽減し、隠れた脅威の発見や高度な脅威ハンティング、フォレンジック証拠の保持、SIEM/SOAR/XDRとのシームレスな連携による自動化された対応とコンプライアンス強化が可能になります。これらによりスケーラブルで一貫性のあるハイブリッドなネットワーク防御が実現します。

課題

多くの企業では、ネットワークチームとセキュリティチームの間で可視性が断片化された状態で運用されています。さらに、従来のネットワーク検知・対応(NDR)ソリューションは複雑でコストが高く、サイロ化しているため、攻撃者が悪用できる死角が残されています。

ソリューション

BlueCat LiveNXを通じて利用可能なBlueCat LiveWireのアドオンである「Security Insights」は、より迅速な検知、フォレンジック調査、および予防的な脅威ハンティングを実現します。従来のNDRに見られる死角を排除し、既存のネットワークエッジデータを、実用的なスケーラブルなセキュリティインテリジェンスへと迅速に変換します。

メリット

  • 異常を検知し、数時間ではなく数分で対応
  • 既存の生フローデータやパケットキャプチャを活用してROIを最大化
  • ネットワーク運用とセキュリティ運用全体にわたる統一された可視性により、複雑さを軽減

ネットワークの可視性を、実用的なセキュリティインテリジェンスへと変換する

サイバー攻撃者は、単一のドメインに留まることなく、エンドポイント、サーバー、ネットワーク、クラウド環境、データセンターを横断して移動します。しかし、依然として多くの企業では可視性が断片化された状態で運用されています。ネットワークチームはある部分しか把握できず、セキュリティチームは別の部分しか把握できず、死角が残っています。まさにこの死角こそが、攻撃者が暗躍する場となっているのです。

企業は、ネットワークのセキュリティを確保するために、セキュリティ情報およびイベント管理(SIEM)、セキュリティオーケストレーション、自動化、および対応(SOAR)、ならびに拡張検出および対応(XDR)ソリューションに依存しています。 しかし、膨大な量のパケットデータを集中型のクラウドベースのシステムに取り込んで分析を行う従来のネットワーク検知・対応(NDR)ツールは、データ転送負荷が高すぎたり、コストがかかりすぎたり、処理速度が遅すぎたりすることがよくあります。

同時に、パケットおよびフローデータは、セキュリティに関する豊富な知見の源となります。しかし、多くの組織では、このデータをパフォーマンス監視に限定してしまい、そのフォレンジックや検知における潜在能力を十分に活用できていません。ネットワークのエッジで直接パケットおよびフローのテレメトリを活用・分析することで、可視性のギャップを解消し、検知を加速させ、従来のNDRに伴うオーバーヘッドを回避できます。

このソリューション概要では、BlueCatのネットワークパケットキャプチャおよびフォレンジックソリューションであるLiveWireのアドオンであり、BlueCatのネットワーク可観測性プラットフォームであるLiveNXを通じて利用可能な「Security Insights」が、ネットワークおよびセキュリティチームに、死角のない実用的なスケーラブルなセキュリティインテリジェンスをどのように提供するかについて解説します。 本概要では、「Security Insights」の仕組みを解説し、攻撃検知シナリオに関する具体的なユースケース例を紹介します。また、従来のNDRソリューションとの主な差別化要因を強調し、主なメリットを概説します。

ソリューションの概要

Security Insightsは、NDRに代わる最新のソリューションです。従来のツールはコストが高く、複雑で、重要なトラフィックを見逃しがちですが、Security Insightsは、ネットワークのエッジまで及ぶパケットレベルの分析により、異常や不審な動作をリアルタイムで検出します。

LiveNXおよびLiveWireのフローデータやパケットデータを、クラウドへの不必要なデータ転送を行うことなく分析することで、セキュリティチームは実用的なインテリジェンスをより迅速に得ることができます。分析結果はSIEM、SOAR、XDRプラットフォームにシームレスに統合されるため、NDRの非効率性を排除しつつ、スケーラブルな保護、リスクの低減、および回復力の向上を実現します。

単一のサイトでの導入であれ、グローバル企業全体での導入であれ、Security Insightsは、ネットワークとセキュリティ運用スタックの間にインテリジェンス層として機能することで、ハイブリッドなネットワーク防御のための一貫性のあるスケーラブルな基盤を提供します。

Cisco Secure, LiveAction, Splunk, and XDR integration for network analytics, telemetry, NetFlow, and packet capture

図1. セキュリティインサイトのアーキテクチャ

仕組み

LiveNX UI を通じて利用可能な LiveWire アドオンとして、Security Insights は既存の LiveNX および LiveWire 環境でネイティブに動作し、ネットワークの可観測性を実用的なセキュリティインテリジェンスへと変換します。 パフォーマンス監視の基盤となるのと同じデータを活用することで、ツールの追加や複雑さを増すことなく、実用的なネットワーク検知を実現します。Security Insightsは、LiveNXからのフローテレメトリとLiveWireからのパケットレベルの分析を活用し、LAN、WAN、SD-WAN、データセンター、クラウドといったすべての環境にわたってこれらの調査結果を相互に関連付けることで、脅威がどこでどのように発生しているかをチームに完全に可視化します。

LiveWireは、ネットワークエッジでパケットレベルのキャプチャと分析を行うことで、詳細なフォレンジック可視性を提供します。暗号化および平文の両方を含むペイロードをキャプチャするだけでなく、パターンを特定し、セッションを再構築します。 このキャプチャおよび分析のプロセスは「LiveFlow」と呼ばれます。これらのLiveFlowレコードはその後、LiveNXに送信され、LiveNXでは包括的なネットワークトラフィックテレメトリを集約・強化することで異常を検出します。トラフィックフローデータは、NetFlow、IPFIX、sFlow、およびCiscoの高速ロギングや統合ロギングからLiveNXに収集されます。

LiveNXの一元化されたダッシュボードは、検知された脅威やトラフィックの異常を表示します。「Security Insights」はオープンで標準ベースであるため、Open Worldwide Application Security Project(OWASP)やMITRE ATT&CKフレームワークへのマッピングが可能であり、SIEM、SOAR、XDRツールとのシームレスな統合を通じて、協調的な対応を実現します。 検知された脅威が最初にSIEMや他のセキュリティソリューションで検出された場合、セキュリティチームやネットワークチームはLiveNXおよびLiveWireを活用して、より詳細な調査を行うことができます。

Security Insights には、LiveWire と LiveNX の両方が必須コンポーネントとなります。

ユースケース

このセクションでは、Security Insights を使用することの利点を実証する、3つの実際の検知シナリオについて概説します。

ユースケース 1:トランスポート層セキュリティ(TLS)の異常なアクティビティの検出

MITRE ATT&CK ID T1571 – 非標準ポート

あるグローバル物流企業において、非標準ポートでの暗号化トラフィックが予期せぬ急増を見せました。Security Insightsは、このパターンを「IANA予約ポートでの予期せぬ暗号化」として自動的に検知しました。これは、コマンド&コントロール(C2)通信を隠蔽するために使用される悪意のあるトンネリング活動の有力な兆候です。

調査ワークフロー:

  1. Detection (Security Insights)
    • 通常、セキュアな通信には使用されないポート8088上の暗号化されたトラフィックを検出します。
    • MITRE T1571 への検出を関連付け、イベントにフラグを立てます。
    • 検証のために既知のIANA予約ポートと照合し、セキュリティ運用チームに自動的にアラートを送信します。
  2. Analysis (LiveNX)
    • 影響を受けるサブネットを可視化し、異常なトラフィックを生成しているシステムを特定します。
    • WANおよびSD-WANリンク間のフローレコードを相関分析し、そのパターンが単一のIoTゲートウェイに限定されていることを確認します。
    • ビーコン通信の特徴である、定期的な通信間隔を検出します。
  3. Forensics (LiveWire)
    • パケットをキャプチャして解析し、暗号化されたペイロードを確認します。
  4. Response
    • セキュリティ運用チームは、IoTゲートウェイを隔離し、許可されていないポートからのすべてのアウトバウンドトラフィックをブロックします。
    • フォレンジックデータは、インシデント発生後の検証およびコンプライアンス報告のためにSIEMにエクスポートされます。

成果:早期検知により、マルウェアによるC2接続の永続化を阻止し、検知までの時間を数時間から数分に短縮するとともに、復号のオーバーヘッドなしに暗号化トラフィックの可視性を向上させました。

Security Insights dashboard displaying top source and destination IPs, ports, severities, sources, and findings over time

図2. LiveNXにおけるセキュリティインサイトのサマリーダッシュボードと詳細ビュー

ユースケース 2:脅威インテリジェンスのインジケーターを活用したプロアクティブな脅威ハンティング

MITRE ATT&CK ID: T1102 – Web Service

ある金融機関の脅威インテリジェンスフィードは、最近のC2インフラストラクチャキャンペーンに関連する不審なドメインを報告しています。セキュリティインサイトを活用することで、セキュリティチームはハイブリッドネットワーク全体を積極的に調査し、それらのドメインとの接触の証拠がないかを確認します。

調査ワークフロー:

  1. Detection (Security Insights)
    • 外部フィードから脅威インテリジェンスの侵害指標(IoC)をインポートし、MITRE T1102にマッピングします。
    • フローテレメトリを使用してネットワーク全体での相関分析を行い、不審なドメインへのアウトバウンド通信を特定します。
    • ドメイン app-sync-storage[.]net にアクセスする複数のエンドポイントを検出しました。これは、潜在的な C2 Web サービスとして分類されています。
  2. Analysis (LiveNX)
    • アナリストは LiveNX に切り替えて、エンドポイントごとの通信頻度や通信時間を可視化します。
    • DNSクエリとフローレコードを相関分析し、R&Dネットワーク内の単一のサブネットからの繰り返しのアクセスを確認します。
    • HTTPS経由でのデータ流出と一致する、異常なデータサイズのパターンを検出します。
  3. Forensics (LiveWire)
    • フラグが立てられたホストに対してパケットキャプチャを実行し、ペイロードの挙動を確認します。
    • 不審なドメイン宛てにBase64エンコードされたデータを含むPOSTリクエストを特定します。
    • サンドボックス分析用のペイロードを抽出し、悪意のあるデータ漏洩を確認します。
  4. Response
    • SOARにデータを送信し、侵害されたドメインおよび関連するIP範囲を自動的にブロックします。

成果:重大な事業上の損失が発生する前に、ステルス型のC2通信を阻止しました。

ユースケース 3:TLS 証明書悪用攻撃のフォレンジック調査

MITRE ATT&CK ID: T1587.003 – デジタル証明書

ある大手医療プロバイダーは、自社のデータセンター全体でSSL証明書の異常な挙動を検知しました。Security Insightsは、アウトバウンドトラフィックで複数の自己署名TLS証明書が使用されていることを指摘しました。これは、マルウェアが偽造証明書を使用して検査制御を迂回している可能性を示す兆候です。

調査ワークフロー:

  1. Detection (Security Insights)
    • 内部からのアウトバウンド接続で使用されている、複数の自己署名および信頼されていない TLS 証明書を特定します。
    • MITRE T1587.003 に検出結果を照合し、「異常な証明書アクティビティ」として分類します。
  2. Analysis (LiveNX)
    • アナリストは、フローの可視化機能を使用して、影響を受けたシステムから発信されたトラフィックを特定します。
    • IoT医療機器のサブネットから外部IPへの、反復的で短命なTLSセッションを検知します。
    • 異常な TLS ハンドシェイク間隔や暗号スイートの不一致を検出します。
  3. Forensics (LiveWire)
    • 完全なフォレンジック分析のためにパケットをキャプチャします。
    • アウトバウンド接続に、TLSペイロード内に隠された暗号化されたコマンドが含まれていることを確認します。
    • マルウェアが永続性を確立するために生成した自己署名証明書の使用を特定します。
  4. Response
    • 調査結果をSIEMおよびSOARに統合し、証明書の自動失効処理とアラート通知を実現します。
Live packet capture interface showing HTTP and TCP traffic details with packet list, metadata, and hex viewer

図3. フォレンジック検索に使用されるSecurity Insightsの個別パケットデータダッシュボード

成果:偽造されたTLS証明書によるC2の永続化を防止し、パケットレベルの証拠を保持することでコンプライアンスと監査対応体制を強化し、組織全体での証明書ガバナンスを強化しました。

主な差別化要因

従来のNDRが集中型で複雑、かつコストがかかるのに対し、Security Insightsは分散型で効率的、かつ即座に機能します。従来のNDRに見られる死角や負担を伴わずに、既存のLiveNXおよびLiveWireデータを、実用的なスケーラブルなセキュリティインテリジェンスへと迅速に変換します。

以下の4つの重要な差別化要因により、Security InsightsはNDRソリューションとは一線を画しています:

NDRの死角を排除した、比類のないデータ品質と可視性

従来のNDRソリューションは、データソースの制限やベンダー固有の統合に制約されることがよくあります。Security Insightsは、ベンダーやアーキテクチャに関係なく、すべてのドメイン、LAN、WAN、SD-WAN、データセンター、クラウドにわたって、統一された高精度な可視性を提供します。複数のシステムからのテレメトリを取り込み、それらを相関させて単一のビューに統合します。 その結果、NDRツールが断片的な情報しか把握できないのに対し、Security Insightsはエンドツーエンドの可視性を提供します。

豊富なマルチテレメトリの取り込み — NDRは部分的なフィードに依存している一方で

従来の NDR ソリューションは、取り込み量を減らすためにサンプリングまたはフィルタリングされたパケットデータに依存することが多く、その結果、精度やコンテキストが犠牲になります。Security Insights は、包括的なテレメトリ、NetFlow、IPFIX、sFlow、Cisco の高速ロギングおよび統合ロギングを集約・強化し、ネットワークファブリック全体にわたる隠れた異常やパターンを特定します。 このアプローチにより、アナリストはトラフィックサンプルの要約だけでなく、全体像を把握することができます。

コストや遅延を伴わずに、完全なパケットキャプチャと詳細なフォレンジック分析を実現

ほとんどの NDR ツールは、分析のために膨大なパケットデータセットを一元化されたクラウドやデータレイクに転送するため、レイテンシ、コスト、コンプライアンス上の懸念が生じます。LiveWire を搭載した Security Insights は、ネットワークエッジでフォレンジックレベルのパケット分析をローカルに実行します。 チームは、データをバックホールしたり、遅延を招いたり、分析のためにクラウドに依存するコストを負担したりすることなく、フローレコードから完全なパケットペイロードへと即座に切り替えて、精密な調査を行うことができます。

icon used for an eye

エッジファーストの分析—脅威の発生源をリアルタイムで検知

従来のNDRアーキテクチャでは、データが転送・集約された後に分析が行われるため、攻撃者が悪用する遅延が生じていました。Security Insightsはこのモデルを一新し、多くの脅威が発生するエッジ側で直接インサイトを生成します。異常をリアルタイムで検知することで、脅威の滞留時間を短縮し、運用コストを削減するとともに、機密データが管理された環境から決して流出しないことを保証します。

ソリューションのメリット

Security Insightsは、LiveNXおよびLiveWireを利用する企業が、運用を簡素化し、調査を迅速化し、あらゆる環境におけるセキュリティ成果を強化する強力な機能を通じて、脅威の検出と対応を近代化することを可能にします。Security Insightsにより、ネットワークおよびセキュリティチームは以下のメリットを得ることができます:

検出と対応の迅速化

リアルタイムの可視性と実用的なインサイトにより、調査時間を数時間から数分に短縮します。

高度な脅威ハンティング

集計されていない生のフローデータを活用して、隠れた脅威を特定し、フォレンジック調査を加速させます。

一元化された可視性

ネットワークデータとセキュリティデータを単一の相関付けられたビューに統合することで、複雑さを軽減します。

Security Insights dashboard with MITRE filter options and multiple donut charts for applications, categories, sources, ports, and destinations

図4. MITRE ATT&CK IDによるセキュリティインサイトのフィルタリング

付録:セキュリティ調査結果

この付録では、LiveNX および LiveWire によって生成されたセキュリティ検出結果の一覧を提示します。これらの検出結果は、フロー分析およびパケット分析を通じて検出された異常、不審な動作、およびポリシー違反を明らかにするものです。これらは網羅的な NDR カタログではありませんが、検出、調査、および対応を加速させる価値の高い洞察を表しています。 LiveNXおよびLiveWireの進化に伴い、この検出結果のライブラリは拡大し続けており、ネットワークおよびセキュリティチームは、時間の経過とともに、より豊富な可視性とより強力な成果を確実に得られるようになります。

Security finding MITRE ATT&CK ID (if applicable)
Encryption On IANA Reserved Port T1571
Kerberos Detected
Kerberos RC4 Detected
Malicious IP or Domain Detected
Microsoft IP Detected
NTLM Protocol Detected
RDP On Non-Standard Port T1571
Threat Intel Indicator T1102
TLS Certificate Anomalies Detected TLS
TLS Client Excessive Handshakes TLS
TLS Forbidden Version T1071.002
TLS Long Lived Connection TLS
TLS Missing SNI T1587.003
TLS Self-Signed Certificate T1587.003
TLS Unusual Certificate T1587.003
Unassigned Encryption
Unauthorized Application Use T1071.002
Unexpected Encryption T1571
TLS Unexpected Plaintext T1571
TLS Weak Cipher Suite
RDP Connection After Brute Force Attempt T1021
SSH Connection After SSH Brute Force Attempt T1021
Unauthorized Application Use
RDP Brute Force Attempt Detected T1110
SSH Brute Force Attempt Detected T1110
New Encryption Protocol T1571
Found RDP On Non-Standard Port T1571
New Encryption User T1573
New Encryption Service T1573
New SSH Client Version Found T1573
New SSH Server Version Found T1573
New TLS Version Found T1573
Insecure/weak cipher T1587.003
New TLS SHA1 Found T1588
New TLS JA3C Found T1588.004
New TLS JA3S Found T1588.004
Lateral Movement Anomaly <application>
Clique Expansion
Interface Volumetric Anomaly
Application Interface Volumetric Anomaly
DSCP Interface Volumetric Anomaly
Application Site Volumetric Anomaly
Site Volumetric Anomaly

次のステップ

Security Insightsがネットワーク運用をどのように変革できるか、ぜひご覧ください。

BlueCatのインテリジェント・ネットワーク運用(NetOps)

BlueCatのインテリジェントNetOpsソリューションは、ビジネス目標を達成するためにネットワークを有効化し、最適化し、保護するために必要な分析機能とインテリジェンスを提供します。インテリジェントNetOpsスイートを活用することで、組織はビジネス要件に応じて、より容易にネットワークの変更や近代化を行うことができます。

Isometric blue UI tiles showing gear, shield, chip, and magnifying glass icons on a grid background

📣  Now live: Explore BlueCat Horizon, our SaaS-first Intelligent NetOps platform.