この記事は、BlueCat LiveNX上で動作するLiveWireアドオン「Security Insights」によるネットワークエッジでのパケットレベル分析を紹介し、従来の集中型NDRが抱える可視性の断片化、遅延、コスト問題に対する代替としての役割を説明します。セキュリティチームとネットワークチームの統一された可視性を提供し、LiveFlowによるエッジでのフォレンジックキャプチャとフローテレメトリの相関により、TLS異常、C2通信、証明書悪用などの脅威を数分で検出・対応できることを示します。導入効果として、検出と対応の迅速化、既存データのROI最大化、一元化された可視性、クラウド転送や高コストを回避したエッジファースト分析によるスケーラブルなセキュリティインテリジェンスの実現が挙げられます.
Security Insightsは従来のNDRと比べてどのような点で優れているのですか?
本文は、Security Insightsが従来の集中型NDRと比べて4つの差別化要因を持つと説明しています。まず、ベンダーやアーキテクチャに依存せずLAN/WAN/SD‑WAN/データセンター/クラウドを横断する高精度なエンドツーエンド可視性を提供し、NDRの死角を排除します。次に、NetFlow、IPFIX、sFlow、Ciscoの高速・統合ロギングなどのマルチテレメトリを包括的に取り込み、サンプリングやフィルタリングによる精度低下を避けます。さらに、LiveWireによるネットワークエッジでの完全なパケットキャプチャとローカル分析によりクラウド転送や遅延、コストを回避し、エッジファーストでリアルタイム検知を実現します。これらにより迅速かつスケーラブルなセキュリティインテリジェンスを提供します。
実際の攻撃検知事例ではどのようなワークフローで対応が行われますか?
記事では3つのユースケース(TLS異常、脅威インテリジェンス指標による脅威ハンティング、TLS証明書悪用のフォレンジック)を通じて共通のワークフローを示しています。まずSecurity Insightsがフローテレメトリやパケット分析で異常を検知し、検出結果をMITRE ATT&CKにマッピングしてアラートを生成します。次にLiveNXで影響範囲の可視化とフローレコードの相関分析を行い、疑わしいホストやサブネット、通信パターンを特定します。さらにLiveWireでパケットキャプチャ(LiveFlow)を実行してペイロードやTLSハンドシェイクなどを詳しく解析し、SIEM/SOAR/XDRと連携して隔離や自動ブロック、インシデント対応やコンプライアンス用の証拠エクスポートを行います。これにより検知から対応までを数時間から数分へ短縮します。
Security Insights導入で得られる運用上の具体的なメリットは何ですか?
導入による運用上のメリットとして、まず検出と対応の迅速化が挙げられます。エッジでのリアルタイム分析により調査時間を数時間から数分に短縮できます。次に既存の生フローデータやパケットキャプチャを活用することでROIを最大化し、追加ツールや大規模なデータ転送に伴うコストと遅延を回避します。さらに、ネットワークとセキュリティのテレメトリを単一の相関ビューに統合することで複雑さを軽減し、隠れた脅威の発見や高度な脅威ハンティング、フォレンジック証拠の保持、SIEM/SOAR/XDRとのシームレスな連携による自動化された対応とコンプライアンス強化が可能になります。これらによりスケーラブルで一貫性のあるハイブリッドなネットワーク防御が実現します。
付録:セキュリティ調査結果
この付録では、LiveNX および LiveWire によって生成されたセキュリティ検出結果の一覧を提示します。これらの検出結果は、フロー分析およびパケット分析を通じて検出された異常、不審な動作、およびポリシー違反を明らかにするものです。これらは網羅的な NDR カタログではありませんが、検出、調査、および対応を加速させる価値の高い洞察を表しています。 LiveNXおよびLiveWireの進化に伴い、この検出結果のライブラリは拡大し続けており、ネットワークおよびセキュリティチームは、時間の経過とともに、より豊富な可視性とより強力な成果を確実に得られるようになります。
| Security finding | MITRE ATT&CK ID (if applicable) |
|---|---|
| Encryption On IANA Reserved Port | T1571 |
| Kerberos Detected | |
| Kerberos RC4 Detected | |
| Malicious IP or Domain Detected | |
| Microsoft IP Detected | |
| NTLM Protocol Detected | |
| RDP On Non-Standard Port | T1571 |
| Threat Intel Indicator | T1102 |
| TLS Certificate Anomalies Detected | TLS |
| TLS Client Excessive Handshakes | TLS |
| TLS Forbidden Version | T1071.002 |
| TLS Long Lived Connection | TLS |
| TLS Missing SNI | T1587.003 |
| TLS Self-Signed Certificate | T1587.003 |
| TLS Unusual Certificate | T1587.003 |
| Unassigned Encryption | |
| Unauthorized Application Use | T1071.002 |
| Unexpected Encryption | T1571 |
| TLS Unexpected Plaintext | T1571 |
| TLS Weak Cipher Suite | |
| RDP Connection After Brute Force Attempt | T1021 |
| SSH Connection After SSH Brute Force Attempt | T1021 |
| Unauthorized Application Use | |
| RDP Brute Force Attempt Detected | T1110 |
| SSH Brute Force Attempt Detected | T1110 |
| New Encryption Protocol | T1571 |
| Found RDP On Non-Standard Port | T1571 |
| New Encryption User | T1573 |
| New Encryption Service | T1573 |
| New SSH Client Version Found | T1573 |
| New SSH Server Version Found | T1573 |
| New TLS Version Found | T1573 |
| Insecure/weak cipher | T1587.003 |
| New TLS SHA1 Found | T1588 |
| New TLS JA3C Found | T1588.004 |
| New TLS JA3S Found | T1588.004 |
| Lateral Movement Anomaly <application> | |
| Clique Expansion | |
| Interface Volumetric Anomaly | |
| Application Interface Volumetric Anomaly | |
| DSCP Interface Volumetric Anomaly | |
| Application Site Volumetric Anomaly | |
| Site Volumetric Anomaly |



