ExtraHop Reveal(x) 360 の仕組み

SaaSベースのネットワーク検知とレスポンスの詳細

はじめに


Reveal(x) 360のコンポーネントとクラウドホストされたサービス

Reveal(x) 360は、オンプレミス環境とクラウド環境を横断する統一されたセキュリティ、360度の可視性と状況情報を提供するSaaSベースのネットワーク検知・応答(NDR)ソリューションであり、管理負担の少ない即時性の高い価値を実現します。

Reveal(x) 360の使用を開始するには、セキュリティを確保したい環境を特定します。Reveal(x) 360 センサーは、エッジ(IoT とリモートワークフォース)、コア(オンプレミスのデータセンターと支社)、クラウド(AWS、Azure、Google クラウド)の各環境で動作します。

パブリッククラウド環境では、Reveal(x) 360は、クラウドサービスプロバイダであるAmazon VPC Traffic Mirroring、Google Cloud Packet Mirroring、および発表されたMicrosoft Azure Virtual Network vTAPのトラフィックパケットミラーリング機能を活用しています。

How it Works Diagram

データセンター、クラウド、リモートサイトに配置されたExtraHopセンサーは、ネットワークデータを復号化して処理し、レコードとメタデータを抽出し、行動分析、リアルタイムの脅威検出、調査のために安全にReveal(x) 360に送信されます。

リアルタイムの脅威検出により、侵害されたワークロード、ドメイン、および IP アドレスに対する自動アクションの実行など、セキュリティインシデントへの確実な対応が可能になります。

90 日間のルックバックが可能な Reveal(x) 360 クラウドベースのレコードストアを介して、ハイブリッド環境のあらゆるセグメントでインデックスレコードの検索、クエリ、ドリルダウン調査を行い、状況情報を得ることができます。クラウドホスト型の管理画面は、安全な Web ベースの Reveal(x) 360 ユーザーインターフェースを介してどこからでもアクセス可能で、センサーが配置されている環境の統一されたビューを提供します。

各 Reveal(x) 360 センサーにはセンサーサイズに応じた記録容量が付属しており、記録容量の追加バンドを購入したり、オンデマンド価格を利用して柔軟に対応することができます。記録容量は、すべてのセンサーサイズの容量を集計することにより、アカウントレベルで計算されます。価格情報については、Reveal(x) 360 の価格ページをご覧ください。

ExtraHop テクノロジー


ネットワーク検知と対応のテクニカル・ディープダイブ

リアルタイム・ストリーム・プロセッシング

ExtraHopのリアルタイムストリームプロセッサは、非構造化ネットワークパケットをラインレートで構造化されたワイヤデータに変換します。トラフィックの種類、関係するプロトコル、適用されるセキュリティポリシーに応じて、様々な処理がリアルタイムで実行されます。

1. ラインレート復号

暗号化されたトラフィックについては、ストリームプロセッサは、Perfect Foward Secuirty(PFS)をサポートする暗号化スイートを含むSSL/TLS 1.3暗号化トラフィックをラインレートで復号化します。この一括復号化は、2048 ビットの鍵を使用して毎秒 64,000 件の SSL トランザクション (TPS) まで拡張できます。当社の復号化手法の詳細については、この技術概要を、TLS 1.3 の詳細については、このブログ記事をご覧ください。

2. 高性能TCPステートマシン

最も基本的なレベルから始めて、ストリームプロセッサは、ネットワーク上で通信するすべての送信者と受信者のTCPステートマシンを再作成します。これにより、より深いアプリケーション・プロトコル分析の前提条件として、プラットフォームはすべてのTCPメカニズムとその影響を理解することができます。

3. ワイヤプロトコルデコードとフルストリーム再構成

リアルタイム・ストリーム・プロセッサは、70以上のプロトコルをデコードし(「我々がデコードするプロトコル」へスキップ)、ハイブリッドおよびクラウドIT環境におけるそのプロトコル固有のアプリケーションを理解し、定義し、それに基づいて行動します。これにより、プロセッサは完全なフロー、セッション、トランザクションを構築してアプリケーションを理解し、さらに、フルストリームをワイヤーデータ(ワイヤープロトコル自体から派生した)に再構成することで、高次のコンテンツ分析を可能にします。このプロセッサは、マイクロバーストのようなトラフィックの異常が発生した場合、パケットロスを引き起こす可能性がある場合でも、自動的に再同期化して回復します。

4. フルコンテンツ分析

パケットをフルストリームに再構築した後、ストリームプロセッサは、レイヤ2から7までのペイロードとコンテンツを分析し、ネットワーク上で通信するすべてのデバイスとクライアントを自動検出して分類します。また、このプロセッサは、5,000以上の内蔵メトリックを使用して、クライアント、アプリケーション、およびインフラストラクチャ間の関係を継続的に相関させます。

フルコンテンツ分析は数十種類のプロトコルをサポートし、使用されているデータベース方法、ユーザーによるファイルアクセス、ストレージエラー、DNSレコードとエラー、Web URIの処理時間とステータスコード、有効期限のあるSSL証明書などの主要なパフォーマンス指標を提供します。ストリーム・プロセッサはまた、受信ウィンドウ・スロットル、再送タイムアウト、Nagle 遅延などの高度なネットワーク・メトリックも取得します。

5. プログラム可能なテレメトリー

フルアナリティクス機能を常に利用できるだけでなく、結果を簡単にカスタマイズできるので、必要に応じて詳細なメトリックや洞察だけを表示することができます。

イベント駆動型のプログラム可能なインターフェイスにより、ストリーム・プロセッサが捕捉するテレメトリーをカスタマイズすることができます。組織に固有のワイヤ・データ・イベントや脅威指標をプログラムで抽出することができます。

このアプリケーション検査トリガー機能を使用すると、単純なヘッダーからアプリケーションのペイロード全体に至るまで、必要に応じて適切に抽出することができます。例えば、このデータには、インジェクション攻撃で使用される特定の HTTP や SQL クエリ文字列を含めることができます。

同じ原理と機能は、ネイティブにデコードされたすべてのプロトコルにも当てはまります。また、定義されたフィールドからデータを抽出、測定、および可視化するためにトリガーを使用したり、TCP および UDP に基づいて独自のプロトコルをデコードしたりすることもできます。

機械学習とグローバル・インテリジェンス

毎日収集されるペタバイトの匿名化された脅威の測定から得られるリアルタイムのインテリジェンスにより、Reveal(x) 360のクラウドベースの機械学習は、センサーのパフォーマンスに影響を与えることなく、他に類を見ないほど信頼性の高いものとなっています。クラウドスケールの機械学習は、一般的な企業の展開で100万以上の予測モデルを提供し、疑わしい行動や潜在的な脅威を特定します。ExtraHopの機械学習サービスは、偵察、搾取、横移動、指揮統制、目的地での行動などのサイバーキルチェーン行動を検出します。ExtraHopの機械学習はまた、MITRE ATT&CK Enterprise Matrixに対応し、ランサムウェア、ボットネット、不正なデータ流出などを検出します。

機械学習アルゴリズム

Reveal(x) 360 は、機械学習アルゴリズムのスイートを使用して、以下のような高度な SaaS ベースのネットワーク検出と応答を提供します。

  • 攻撃検知 - 独自の時系列分析と外れ値検知アルゴリズムを活用した何百もの自己適応型の教師なし攻撃検知モデル。
  • エンティティの重要性 - 観察された行動と革新的なグラフ分析に基づいて、エンティティの重要性とエンティティ・ネットワーク特権レベルを推論する推論エンジン。
  • デバイス識別 - 挙動が類似したデバイスを識別するためのエンティティ・クラスタリング・エンジン。
  • ピアグループ識別 - ピアグループ外れ値検出エンジン。
  • リスクスコア決定 - ドメインの専門知識と顧客ベースの遠隔測定を組み合わせたリスクスコア推定エンジン。

継続的なグローバル・インテリジェンス

Reveal(x) 360は、クラウドを介して検出、脅威インテリジェンスフィード、IoTプロファイルを自動的に更新するため、センサー上のポリシーやソフトウェアを常に最新の状態に保つために手動で介入する必要がありません。

顧客データのセキュリティ

非識別化されたメタデータのみがExtraHopのクラウドベースの機械学習サービスに送信されるため、ペイロード、ファイル名、文字列、または機密データを含む可能性のあるその他のデータカテゴリが保護された環境を離れることはありません。ExtraHopは、当社の機械学習技術に対してSOC 2, Type 1コンプライアンス認証を取得しています。

ExtraHop機械学習は以下のプロセスを実行します。

  1. ネットワーク・トラフィックをローカルで分析し、IPアドレス、URI、データベース・クエリ、CIFSファイル名、VoIP電話番号、その他の潜在的に機密性の高いデータを含む5,000以上のメトリックを抽出して保存します。メトリックの収集は、必要に応じてカスタマイズすることができます。
  2. これらのメトリックのサブセットは非識別化され、ExtraHopが運営する顧客専用のクラウドコンピューティング・インスタンスに送信されます。
  3. その後、ExtraHop機械学習はデバイスとアプリケーションの動作を予測モデルと比較し、重大な異常があればフラグを立てます。
  4. 異常イベントは、お客様の環境に送り返され、お客様の秘密鍵で再識別して解読し、アラートや調査を行うことができます。

クラウド・レコードストアとデータ・インデックス

ExtraHopは、ビジネスの成長やセキュリティニーズの変動に応じて拡張性を提供するために、クラウドの力を活用しています。クラウドベースの記録ストレージを提供することで、Reveal(x) 360は、NDR機能を導入する方法と場所、そしていつ、どのように消費するかの両方を変革します。必要に応じて、企業はコスト効率の高い先行予約、必要に応じて有料で使用する記録容量、またはその両方の方法を利用して記録容量を増やすことができ、予測不可能な負荷を管理し、より予測可能なニーズを持つ顧客に価値を提供することができます。

SecOpsの観点からは、クラウドベースのレコードストアは、インシデント調査を合理化するための完全にホストされた管理された検索機能を提供します。また、セキュリティ チームは、ハイブリッド環境のあらゆるセグメントからのデータのインデックス レコード検索とクエリを活用して、360 度の可視性と状況に応じたインテリジェンスを得ることができます。

データの可視化と探索

クラウド規模でのリアルタイムアナリティクスの最も困難な側面の一つは、その規模そのものです。ExtraHopでは、ワイヤデータという膨大な量の情報を解析し、どのような視点から見ても意味のある洞察を導き出すことができるように、ユーザーが簡単にできるように最善を尽くしています。

組織全体のチームのために、シンプルで直感的なユーザー・インターフェースを提供しています。

カスタマイズ可能なダッシュボード

ExtraHopを使用すると、オーダーメイドのダッシュボードを素早く作成することができます。ドラッグ&ドロップ機能により、ウィジェットを使ってダッシュボードを構築することができます。独自のウィジェットを作成したい場合は、必要なデータソースとメトリックを選択し、可視化タイプを選択してダッシュボードに保存するだけです。グラフや背景データポイントを素早く簡単にPDF、Excel、またはCSVにエクスポートすることができます。

スクリプトの知識がなくても問題ありません

当社の視覚的なクエリ言語では、グループ化からフィルタリング、時間範囲の選択まで、すべてを制御するUI要素をクリックすることで、検索クエリを絞り込んだり、変更したりすることができます。何百ものビルトインレコード属性を使用する場合でも、独自の属性を定義する場合でも、この機能を使用することで、クエリ言語を習得することなく、調査中の質問に素早く回答することができます。

例えば、SQLメッセージをクエリ文字列でソートすると、SQLインジェクション攻撃の試みを特定し、悪意のあるIPをピンポイントで特定してから、ネットワーク上のそのクライアントのある期間のすべてのアクティビティを即座にピボットして表示することができます。その情報をExcel、CSV、またはTableauやQlikなどの可視化ツールにエクスポートすることで、攻撃者が何をしたのかをステップバイステップでマップ化することができ、自信を持って対応することができ、将来の攻撃を防ぐための装備を強化することができます。

ライブ・アクティビティ・マップ

チャートやグラフのような従来のデータ可視化方法に加えて、ExtraHopではライブ・アクティビティ・マップを使用して、環境のダイナミックで直感的なビューを表示します。IT環境の変化に合わせてネットワーク図を手動で作成して更新する代わりに、ライブ・アクティビティ・マップを使用して、デバイスとアプリケーション間のプロトコルベースの接続をリアルタイムで可視化することができます。

アクティビティ・マップでは、必要に応じて時間間隔でフィルタリングしたり、範囲を広げたり狭めたりすることができるため、「ある階層内でのデバイスの相互作用はどのようになっているのか、また、この1時間の間にネットワーク全体でのデバイスの相互作用はどのようになっているのか」といった複数の質問に簡単に回答することができます。異常な動作の検出はライブ・アクティビティ・マップにも表示されるので、トランザクションをクリックする前に検出のコンテキストを確認したり、マップから直接正確なパケットを確認したりすることができます。

このブログ記事では、ライブ・アクティビティ・マップの最新の機能について詳しく説明し、日々の業務での使用方法についてのアイデアを提供しています。

Protocols We Decode

ExtraHop decodes the following enterprise protocols with real-time fluency at the application layer. Protocol modules offer varying levels of analysis, starting with L7 classification, and Application Inspection Triggers allow you to create a custom metric.

AAA: RADIUS ActiveMQ HTTP-AMF ARP
AAA: DIAMETER AJP DSCP GRE
CIFS DICOM* iSCSI ICMP6
Citrix ICA* HL7* MS-RPC IEEE 802.1X
DHCP LLDP WebSocket IKE
DNS MSMQ SSL IMAP
Database: DB2 Telnet SSH IPSEC
Database: Informix SMTP SMPP* IPX
Database: Microsoft SQL VoIP: SIP* VoIP: RTP* IRC
Database: MongoDB VoIP: RTCP XR* VoIP: RTCP* ISAKMP
Database: MySQL Redis POP3 LACP
Database: Oracle NFS Memcache L2TP
Database: Postgres LDAP Kerberos MPLS
Database: Sybase VNC Syslog NTP
Database: Sybase IQ ICMP IBM MQ OpenVPN
FIX* STP SNMP RCoIP
FTP HTTP/S RDP NTLM
SMBv3 MSRPC WINRM

* Not included in Reveal(x) 360 base license

Of particular interest to SecOps analysts, Reveal(x) 360 analyzes application-layer metadata for databases, Active Directory, web, SSL, and storage systems:

Database: RDBMSs: Oracle, Microsoft SQL Server, MySQL, PostgreSQL, Informix, Sybase, and DB2. NoSQL databases: MongoDB, Memcached, Redis, Riak. Metadata extracted include transaction timing, table/user access patterns, query errors, SQL queries and responses, and system-level commands.

Identity and Access Management: Active Directory visibility, including NTLM, Kerberos, LDAP, MSRPC, WINRM, SMBv3, and DNS monitoring for privileged identities and service accounts allows you to improve detection and facilitate audits. Reveal(x) extracts metadata including user/computer account activity, invalid or expired passwords, new privileged access, privileged access errors, DNS SRV lookups, LDAP binds, plain-text HTTP authentications, unknown SPNs, and forged Kerberos ticket detection.

Web Transactions: Full HTTP payload analysis of user activity, SOAP/XML, JSON, Javascript, APIs, etc. Extracted metadata includes URI, query parameters, host headers, and user agent, among others.

Storage: Metadata extraction for all NAS and SAN transactions (iSCSI, NFS, and CIFS) enables machine learning detections based on actual file details and equips security analysts to track file access patterns and detect ransomware activity by examining file extensions and WRITE operations.