スレットハンティングとは？完全ガイド

脅威狩りとは何か？

脅威ハンティングは、セキュリティ・アナリストが使用する能動的な情報セキュリティ・プロセスと戦略です。ネットワーク、クラウド、エンドポイント・システムのログを繰り返し検索し、侵害の指標（IoC）、脅威行為者の戦術、技術、手順（TTP）、既存のセキュリティ・システムを回避している高度持続的脅威（APT）などの脅威を検出します。

脅威の狩猟活動には以下が含まれる：

• 内部脅威または外部攻撃者のハンチング -サイバー脅威ハンターは、従業員のような内部者、または犯罪組織のような外部者によってもたらされる脅威を検出することができます。
• 既知の攻撃者を積極的に探す-既知の攻撃者とは、脅威インテリジェンス・サービスにリストアップされている者、あるいは既知の悪意あるプログラムの拒否リストにコード・パターンが掲載されている者のことである。
• 攻撃を未然に防ぐため、隠れた脅威を探索する-脅威ハンターは、常時モニタリングを行うことでコンピューティング環境を分析する。行動分析を用いて、脅威を示す可能性のある異常を検出することができる。
• インシデント対応計画の実行-脅威を検知すると、ハンターはそれを無力化するためのインシデント対応計画を実行する前に、可能な限り多くの情報を収集する。これは対応計画を更新し、同様の攻撃を防ぐために使用される。

---

脅威ハンティングの手順

プロアクティブ・スレット・ハンティング・プロセスには3つの段階がある：最初のトリガー段階、それに続く調査段階、そして解決で終わる段階（場合によっては、コミュニケーション・プランやアクション・プランの一部として他のチームにエスカレーションされることもある）。

ステップ1：トリガー

脅威ハンティングは通常、集中的に行われる。ハンターは環境に関する情報を収集し、潜在的な脅威について仮説を立てる。次に、ハンターはさらなる調査のためのトリガーを選択する。これは、特定のシステム、ネットワーク領域、または、発表された脆弱性やパッチ、ゼロデイ攻撃に関する情報、セキュリティデータセット内の異常、組織内の他の場所からの要求によって引き起こされる仮説である。

ステップ2：調査

いったんトリガーが特定されると、その仮説を証明する、あるいは反証するようなアノマリーをプロアクティブに探索することにハンターの努力は集中する。脅威ハンターは多くの場合、「私たちはこの新しいエクスプロイトに感染している、あるいは脆弱である」と仮定し、その仮定が真であるか偽であるかを証明するために逆算する。調査中、脅威ハンターは、システム・ログをレビューし、悪意がある場合もない場合もある異常を調査するために、幅広いテクノロジーを使用して支援する。

ステップ3：解決

脅威ハンターは調査段階で重要な情報を収集し、"Who?"(資格証明書が関係する場合)、"What?"(何が起きたか)、"When?(順番に起こった出来事）、"When?" （いつ？(異常や侵入の正確なタイムスタンプ）、"Where?" （どこで？(影響を受けたシステムの範囲、改善が必要なすべてのデバイスとエンティティのリスト）、そして、提示された証拠から可能であれば、「なぜ」（セキュリティ計画／ガイドラインの遵守不足、不満、不注意、外部からの攻撃など）。解決フェーズでは、この情報を、対応、優先順位付け、分析、将来の使用のための保存が可能な他のチームやツールに伝達する。

発見された情報が良性の活動に関するものであれ、悪意のある活動に関するものであれ、将来の分析や調査に役立つ可能性がある。また、傾向の予測、脆弱性の優先順位付けと修正、セキュリティ対策の改善にも利用できる。

---

脅威ハンティングの種類

脅威ハンティングの一般的な3つのアプローチを紹介しよう：

構造化されたハンティング

構造化されたハンティングでは、事前に定義された基準やインテリジェンスに基づいて、特定の脅威やIoCを体系的に検索します。このアプローチは通常、潜在的な脅威に関する明確な質問または仮説から始まります。例えば、「脆弱性とエクスプロイトが公表されているXソフトウェアを使用しているか」、「ネットワーク内に特定のマルウェア株の兆候はあるか」、「機密データへの不正アクセスの証拠はあるか」などです。

これらの疑問に答えるため、脅威ハンターは脅威インテリジェンス、ログデータ、その他の関連ソースを使用して、脅威の存在を示す可能性のある活動パターンやエンティティの行動異常を検索します。このプロセスには、自動化されたツールやクエリの使用、手動によるデータの分析や相関関係が含まれます。

非構造化ハンティング

非構造化ハンティングは、探索的ハンティングとも呼ばれ、事前に定義された基準や仮説に頼らず、より自由なアプローチで脅威を探索する。その代わりに、脅威ハンターは専門知識と直感を駆使して、組織のネットワークやシステム内の潜在的な脅威や脆弱性を探索し、多くの場合、リスクが高いと認識されている領域やセキュリティ・インシデントの履歴がある領域に焦点を当てる。組織の「王冠の宝石」が、知的財産、顧客情報、金融記録、個人ヘルスケア情報などのデータであれ、単に資産の可用性やトランザクションの実行能力であれ、脅威ハンターは、リスク登録とネットワーク上の最も価値の高いエンティティについて知らされている必要があり、その努力を集中させる。

このリスクベースのアプローチでは、ネットワークログ、エンドポイントデータ、脅威インテリジェンスなどのさまざまなデータソースを、パターン、異常、その他の IoC を特定するための独創的なテクニックやツールとともに使用することがあります。非構造化ハンティングは、未知の脅威や新たな脅威を特定する際に特に有効です。脅威ハンターは既成概念にとらわれず、従来のIoCや脅威プロファイルに当てはまらない悪意のある活動の兆候を探すことができるからです。

状況または実体主導のハンティング

シチュエーション・ハンティングまたはエンティティ・ドリブン・ハンティングとは、組織のセキュリティに高度のリスクをもたらす可能性のある特定のイベント、エンティティ、または状況に焦点を当てた脅威ハンティングの標的型アプローチである。これには、合併や買収、製品の発売、セキュリティ・インシデントなどの注目度の高いイベントや、高価値資産、VIPノートPCやタブレット、サードパーティ・ベンダー、ネットワークにアクセスできる認証情報やサービス・アカウントなどの特定のエンティティが含まれます。

脅威ハンティングチームの中には、人事部門と連携して新入社員や退職社員を追跡しているところもある。脅威ハンターは、新入社員のクレデンシャルや退社する社員の情報のリストなど、限られたデータしか持たず、これらのイベントが発生する頃に調査を開始することがあります。

この状況対応型アプローチでは、脅威ハンターは脅威インテリジェンスを、ネットワーク上のエンティティに関するその他の関連データやコンテキスト情報とともに使用し、状況に関連する潜在的な脅威や脆弱性を特定する。これには、構造化されたハンティング手法と非構造化されたハンティング手法の両方を使用するほか、組織内の他の利害関係者（IT、法務、ビジネスチームなど）との協力が必要になることもあります。

---

脅威ハンティングの方法論

インテリジェンスに基づくハンティング

インテリジェンス・ベースのハンティングは、入力されたインテリジェンス・ソースに従って反応するように設計された能動的な脅威ハンティング手法である。IoC、IPアドレス、ハッシュ値、ドメイン名などの脅威インテリジェンスを入力し、検索することができます。

このプロセスは、セキュリティ情報・イベント管理（SIEM）や脅威インテリジェンス・ツールと統合することができ、これらのツールはインテリジェンスを使用して脅威を探索します。インテリジェンスのもう1つの優れた情報源は、コンピュータ緊急対応チーム（CERT）や情報共有・分析センター（ISAC）が提供するホストやネットワークのアーティファクトです。このようなアーティファクトを利用すれば、自動化されたアラートをエクスポートしたり、他の組織で発生した新しい攻撃に関する重要な情報を共有したりすることができます。多くの場合、Trusted Automated eXchange of Intelligence Information（TAXII）や Structured Threat Information eXpression（STIX）を使用して、SIEM システムに情報を入力できます。多くの SIEM システムには、コンテキストを強化し、検索イベントやダッシュボードの構築に役立つ脅威情報サービスが組み込まれています。

仮説に基づくハンティング

この脅威ハンティングの手法では、3種類の仮説を検証する：

• アナリティクス主導型：機械学習（ML）およびユーザーとエンティティの行動分析（UEBA）を利用して、集約されたリスクスコアを作成し、仮説を立てる。
• インテリジェンス主導型：マルウェア分析、脆弱性スキャン、インターネット上で発見されたエクスプロイト、インテリジェンス・レポートおよびフィードを含みます。
• 状況認識主導型：企業リスク評価とクラウンジュエル分析（企業にとって重要なデジタル資産の特定）

収集された大量のデータは、脅威ハンターが機械学習技術と脅威インテリジェンスを使用してプロセスの大部分を自動化する必要があることを意味する。

攻撃の指標（IoA）を用いた調査

最もプロアクティブな脅威ハンティング手法は、攻撃の指標（IoA）を用いた調査である。最初のステップは、グローバル検知プレイブックを活用してAPTグループとマルウェア攻撃を特定することです。この手法は一般的に、MITRE ATT&CK^​ TMframeworkのような脅威フレームワークと連携しています。

以下は、そのプロセスで最もよく行われる行動である：

1. IoAとTTPを使用して、脅威行為者を特定する。
2. ハンターはドメイン、環境、そして攻撃行動ATT&CKに沿った仮説を立てる。
3. 脅威ハンターは、行動を特定した後、一致するハッシュやイベントをログリポジトリで検索し、進行中の活動を監視することで、パターンを突き止めようとする。目標は、拡散や増殖を防ぐために脅威を特定し、隔離することである。

ハイブリッド・ハンティング

ハイブリッド型脅威ハンティング手法は、上記の手法をすべて組み合わせて、セキュリティ・アナリストがハンティングをカスタマイズできるようにしたものである。通常、業界ベースのハンティングに状況認識を加え、指定されたハンティング要件と組み合わせる。例えば、地政学的な問題に関するデータを使ってハンティングをカスタマイズすることができます。また、仮説をトリガーとして使用し、IoAやIoCを活用することもできます。

---

優れた脅威のハンターとは？

脅威ハンターとは、自動化されたセキュリティ・ツールやシグネチャ／ハッシュの照合だけでは検知できないAPTを検知、隔離、無力化するために、手動または機械支援技術を使用するセキュリティ・アナリストのことである。スキルを向上させるために、セキュリティ担当者は脅威ハンティングのトレーニングを受けたり、Certified Cyber Threat Hunting Professional（CCTHP）やCertified Ethical Hacker（CEH）などの脅威ハンティングの認定を受けたりする。

スレットハンターは通常、情報セキュリティ・ディレクターにレポートし、そのディレクターは最終的に最高情報セキュリティ責任者（CISO）にレポートする。セキュリティ・オペレーション・センター（SOC）で働く場合、脅威ハンターはSOCマネージャーに報告する。

優れたスレットハンターにとって重要なスキルは以下の通りだ：

• コミュニケーション:脅威ハンターは、調査から発見事項、改善勧告に至るまで、自らの活動について口頭でも書面でも明確に伝えることができることが不可欠である。
• データ分析と報告：パターン認識、テクニカルライティング、データサイエンス理論、問題解決とトラブルシューティング、リサーチ
• オペレーティング・システムとネットワークの知識：認証や認可といった「伝統的な」IT中心の機能を含め、組織のシステムとネットワークの内部と外部を知る必要がある。
• 情報セキュリティの経験：マルウェアのリバースエンジニアリング、敵の追跡、エンドポイントセキュリティ。
• スクリプト言語とコンパイル言語を少なくとも1つずつ使えることが一般的だが、最近のツールではスクリプト言語を使う必要がなくなってきている。
• アプリケーションセキュリティ（AppSec）の原則多くの攻撃は、安全でないコーディングや侵害されたサードパーティライブラリ、パッチが適用されていないフレームワークが原因で、ウェブインタフェースレベルから始まるため、脅威ハンターは、完全な修復や緩和のために何が必要かを特定し、開発チームに伝達する方法について、少なくとも一通りの知識を持っている必要があります。

---

脅威ハンティングと脅威インテリジェンス：その違いとは？

脅威ハンティングと脅威インテリジェンスは、どちらも包括的なサイバーセキュリティ戦略にとって不可欠な要素であるが、その目的は異なり、必要なアプローチも異なる。

脅威インテリジェンスとは、潜在的または既存のサイバー脅威、脆弱性、リスクに関する情報を収集、分析、発信することである。この情報は通常、オープンソースインテリジェンス（OSINT）、OWASP（Open Worldwide Application Security Project）、業界固有の脅威フィード、内部ネットワークやモニタリングデータなど、さまざまな情報源から収集される。脅威インテリジェンスの主な目的は、サイバーセキュリティ態勢と対応戦略について十分な情報に基づいた意思決定を行うのに役立つ実用的な洞察を組織に提供することです。

スレット・ハンティングとは、スレット・インテリジェンスを他のデータ・ソースやツールとともに活用し、組織のネットワークやシステム内に潜在する脅威をプロアクティブに探索する、能動的かつ人間主導のプロセスである。脅威ハンターは、脅威インテリジェンスだけでなく、その他の情報ソースや自身の知識・専門知識を活用して、環境内に攻撃者が存在することを示すパターンや異常、その他のIoCを特定します。

要約すると、脅威インテリジェンスは脅威ハンティング活動に必要な情報とコンテキストを提供し、脅威ハンティングはこの情報を活用して組織環境内の隠れた脅威を積極的に探索し、緩和する。

---

脅威ハンティングを向上させる3つのヒント

データ漏洩やサイバー攻撃により、企業は毎年数百万ドルの損失を被っています。これらのヒントは、組織がこれらの脅威をより的確に検知するのに役立ちます：

1.組織の "普通 "を特定する

脅威ハンターは、異常な活動をふるいにかけて実際の脅威を認識する必要があるため、組織の通常の業務活動を理解することが極めて重要である。そのために、脅威ハンターチームはIT部門内外のキーパーソンと協力し、貴重な情報と洞察を収集する。これにより、何が脅威で、何が普通ではないが正常な活動かを判断することができる。このプロセスはUEBAのようなテクノロジーを使って自動化することができ、環境とその中のユーザーやマシンの正常な動作状況を示すことができる。

2.観察、方向づけ、決定、行動（OODA）

脅威ハンターは、軍から借用したこの戦略をサイバー戦争で使う。OODAとは

• 観察-ITシステムやセキュリティシステムからログを定期的に収集する。
• オリエンテーション：データを既存の情報と照合する。コマンド＆コントロールの兆候など、攻撃の指標を分析し、探す。
• 決定-インシデントの状況に応じて、正しい行動方針を特定する。
• 行動-攻撃を受けた場合、インシデント対応計画を実行する。今後、同様の攻撃を防ぐための対策を講じる。

3.適切かつ十分なリソースを持つ。

脅威ハンティングチームは、以下のものを十分に備えている必要がある：

• 人員 -経験豊富なサイバー脅威ハンターを最低1名含む脅威ハンティングチーム
• システム -セキュリティインシデントやイベントを収集し、整理する基本的な脅威ハンティング基盤
• ツール -異常を特定し、攻撃者を追跡するために設計されたソフトウェア

---

脅威ハンティング・プラットフォーム

脅威ハンターは、不審な活動を見つけるためにソリューションやツールを使用する。これらは主に3つのカテゴリーに分けられる：

1.セキュリティ監視ツール-ファイアウォール、アンチウイルス、エンドポイントセキュリティソリューションなどのツールは、セキュリティデータを収集し、ネットワークを監視する。

2.  SIEMソリューション -セキュリティ情報・イベント管理（SIEM）ソリューションは、生のセキュリティデータを管理し、セキュリティ脅威をリアルタイムで分析するのに役立つ。

3.分析ツール -統計およびインテリジェンス分析ソフトウェアは、インタラクティブなチャートやグラフを通じて視覚的なレポートを提供し、エンティティの相関関係やパターンの検出を容易にする。

---

エクサビーム・スレットハンター

Exabeam Threat Hunterは、脅威の検知を簡素化することで、アナリストが攻撃者を出し抜くことを支援します。Exabeam Threat Hunterでは、ユーザー、アセット、イベント、リスクタイプ、アラート、攻撃者のTTPなど、特定の条件をポイント・アンド・クリックで検索することができます。また、タイムラインから異常な行動を検索することもできます。Exabeam Threat Hunterを使用することで、アナリストはより迅速に対応し、攻撃を阻止することができます。

Exabeam Threat Hunterは、どのように脅威ハンティングに役立つのでしょうか？

このプラットフォームの主な機能は、より効果的な脅威ハンティング能力を構築するのに役立つ：

• 使いやすいインターフェイス-ポイント・アンド・クリック・インターフェイスにより、データ照会が簡単に行える。
• コンテキストを考慮したデータ -複雑な検索を可能にする
• 行動脅威ハンティング -IoCよりもはるかに価値の高い指標であるIoAをアナリストが検索できるようにする。
• 自動インシデント・タイムライン -自動化により、ログを管理するよりも迅速かつ簡単に証拠を収集できます。
• 視覚的な支援を提供- データ間の隠れた相関関係を明らかにする。