ExtraHop Reveal(x) Enterpriseの仕組み

当社のコアテクノロジーは、非構造化パケットを最大100Gbpsで構造化されたワイヤ・データに変換するリアルタイム・ストリーム・プロセッサです。並列処理用に設計されたストリーム・プロセッサは、複数のコンピューティング・コアにまたがって処理タスクを分割します。そのため、他のリアルタイム分析プラットフォームと比較して、分析の Gbps あたりのコストの何分の一かで深い洞察を得ることができます。

Reveal(x)は、複数のポイントにデプロイすることができる仮想センサーと物理センサーの両方を提供し、統合されたビューを提供することが可能です。高度に仮想化されたインフラストラクチャでは、Reveal(x)の仮想アプライアンスはVM間のトラフィックをキャプチャすることができ、仮想センサーはAWSとAzureで利用可能です。ExtraHopはKubernetesやOpen vSwitchとも統合されているため、どのようなアーキテクチャの性質であっても、複雑な機能を追加することなく、完全なペイロード解析を実現します。

リアルタイム・ストリーム・プロセッサは、タップまたはポート・ミラーからネットワーク・トラフィックのコピーを受信すると、以下のようなフローで処理します。

1. 1. ラインレートの復号処理

ストリーム・プロセッサは、PFS（Perfect Forward Secrecy）をサポートする暗号スイートを含むSSL/TLS暗号化トラフィックを、ネイティブ・ハードウェア・アクセラレーションを使用してラインレートで復号化します。この一括復号化は、2048 ビットの鍵を使用して 64,000 個の SSL TPS に拡張することができますが、これは他の単一の統合アプライアンスでは対応できません。当社の復号化手法の詳細については、別途技術概要をご覧ください。

2. 高性能TCPステートマシン

ストリーム・プロセッサは、ネットワーク上で通信するすべての送信者と受信者のTCPステートマシンを再作成します。これにより、より詳細なアプリケーション・プロトコルおよびユニバーサル・ペイロード解析の前提条件となるTCPメカニズムとその影響範囲を把握することが可能になります。TCPはネットワークとアプリケーションが重なるレイヤであるため、このアプローチにより、問題がネットワークの問題なのかアプリケーションの問題なのかを明確に特定することができます。

3. ワイヤプロトコルのデコードとフルストリーム再構成

リアルタイム・ストリーム・プロセッサは、IPベースのプロトコルをデコードします（「ExtraHopでデコード可能なプロトコルリスト」へ移動）。これにより、プロセッサは完全なフロー、セッション、トランザクションを構築し、アプリケーションの詳細な動きを把握することが可能になります。

クリーンなネットワーク環境においては、最初から最後まで非常にスムーズに実行されますが、実際にはマイクロバーストのようなトラフィックが発生する場合には、タップやSPANからパケットロスが発生することがあります。

4. フルコンテンツ解析

パケットをフルストリームに再構築した後、ストリーム・プロセッサは、ペイロードとコンテンツをレイヤ2からレイヤ7において分析し、ネットワーク上で通信しているあらゆるデバイスやクライアントを自動検出して分類します。また、このプロセッサは、ネットワーク上で通信しているすべてのクライアント、アプリケーション、およびシステム間の関係を継続的にマッピングし、4,700以上のメトリックを測定して記録します。

フルコンテンツ解析は数十のプロトコルをサポートし、使用されているデータベースメソッドとその処理時間、ユーザによるファイルアクセス、ストレージアクセス時間とエラー、DNS 応答時間とエラー、Web URI 処理時間とステータスコード、失効した SSL 証明書、ロードバランサとファイアウォールの待ち時間などの主要なパフォーマンス指標を提供します。ストリーム・プロセッサはまた、受信ウィンドウ・スロットル、再送タイムアウト、Nagle 遅延などの高度なネットワーク・メトリックも収集します。

しかし、環境のすべてのレイヤーの詳細を必ずしも把握する必要はありません。アナリティクス機能はいつでも利用可能ですが、関連したメトリックのみを表示するようにカスタマイズすることも簡単です。

5. プログラム可能なインサイト

ストリーム・プロセッサが独自の処理を行い、ワイヤデータのメトリックの提供が開始されたら、どの程度の粒度の洞察をどうやって利用すればいいのでしょうか？

ExtraHopは、アプリケーション・インスペクション・トリガーと呼ばれるイベント駆動型のプログラマブルなインターフェースを使用して、ストリーム・プロセッサとすべてのストリーム・トランザクションを関連付けます。トリガーを使用することで、ビジネス、インフラストラクチャ、ネットワーク、クライアント、およびアプリケーションに固有のワイヤデータのイベントと相関するメトリックを抽出することができます。

アプリケーション・インスペクション・トリガーを使用すると、必要に応じて、ヘッダーからアプリケーションのペイロード全体に至るまで、ほぼすべての情報を抽出することができます。例えば、HTTP ペイロードの場合、このデータには、収益、注文 ID、クッキーや URI に含まれる一意のユーザー ID、さらにはウェブページのタイトルや開発者が 500 ステータスコードに埋め込んだエラーの説明まで含まれます。また、その通信がSOAP/XML、REST、JSON、AJAX、JavaScript、または HTML5 であっても問題ありません。

同じ機能が、ネイティブにデコードされたすべてのプロトコルにも当適用することが可能です。トリガーを使用して、定義されたフィールドからデータを抽出し可視化したり、TCP および UDP に基づいた独自のプロトコルをデコードしたりすることもできます。

ExtraHopのクラウド・スケールの機械学習サービスは、お客様の環境全体で8つのカテゴリの検知を補足します。

• 認証、認可、アクセス制御
• ネットワークインフラ
• ネットワークファイルシステム
• データベース
• メールサーバー
• ウェブサーバー
• リモートアクセスサーバーとその接続方法
• インターネット通信と電話

これらのカテゴリの中で、私たちのMLは、いくつかのプロトコルと何百ものExtraHopメトリックを、独自のロジックで評価し、アクティブな問題を発見して関連付けを行います。

アーキテクチャの概要

一般的なSaaSソリューションとは異なり、ExtraHopの機械学習サービスでは、匿名化されたメタデータのみがクラウドに送信されます。つまり、ペイロード、ファイル名、文字列、その他のデータカテゴリの中に機密データが含まれている可能性があるものは、お客様のサイトからは送信されません。ExtraHopは、機械学習技術に対してSOC 2、タイプ1のコンプライアンス認証を取得しています。

ExtraHopでは、以下のようなオンプレミス技術とクラウドサービスの組み合わせで、MLのフルプロセスをサポートしています。

1. お客様によって管理されるオンプレミスのデバイスがネットワーク・トラフィックを分析し、IPアドレス、URI、データベース・クエリ、CIFSファイル名、VoIP電話番号、その他の潜在的に機密性の高いデータを含む4,500以上のメトリックを抽出して保存します。
2. ML サービスを有効にすると、これらのオンプレミスのメトリックのサブセットが匿名化され、ExtraHop によって管理されている Amazon Web Services の顧客専用のクラウドコンピューティング・インスタンスに送信されます。
3. ExtraHop MLは、デバイスやアプリケーションの動作を予測するモデルを構築し、これらの予測からの大きな逸脱を異常として検出します。
4. 異常イベントは、オンプレミスのデバイスに送信されますが、電子メールによるアラート（機密データは含まれません）を受信するように設定することもできます。その後、アラートや調査のために秘密鍵を使用してイベントを再識別し、復号化することも可能となります。

使用されているアルゴリズム

Reveal(x)は、高度なネットワークトラフィック解析を提供するための以下の機械学習アルゴリズムを採用しています。

• 独自の時系列分析と外れ値検知アルゴリズムを活用した何百もの自己適応型の教師なし攻撃検知モデル
• 観察された行動と先進的なグラフ分析に基づいて、エンティティの重要性とエンティティネットワークの特権レベルを推論するためのエンジン
• 行動が類似したデバイスを識別するためのクラスタリング・エンジン
• ピアグループの外れ値検知エンジン
• ドメインの専門知識と顧客基盤のテレメトリーを組み合わせたリスクスコアの推定エンジン

クラウドスケールであることの重要性

ExtraHopエンジニアが執筆したブログを読んで、機械学習サービスのユニークな利点や、Reveal(x)がクラウドスケールのMLを実際にどのように利用しているかを確認してください。

ExtraHopは3つの補完的なフォーマットを使用して、ワイヤデータをインデックス化して保存します。

1. ストリーミング・データストアにおける相関的なクロスティア・メトリック

時系列のテレメトリーに最適化されたストリーミング・データストアは、4,700以上のメトリックをリアルタイムに表示するダッシュボードのカスタマイズを可能にします。これにより、環境全体にまたがる通信を簡単に確認したり、特定のデータセットに焦点を絞ることが可能になります。

メトリックがデータストアにインデックス化されると、新たに発見されたデバイスは、デバイス固有の情報とふるまいのヒューリスティック分析に基づいて自動的に分類され、すべてのシステム、アプリケーション、ネットワークのアクティビティのベースライン構築を開始します。

既存の NAS インフラストラクチャを使用してストリーミング用のデータストアを拡張して長期的なルックバックデータを保持することができ、キャパシティ・プランニング、コンプライアンスへの取り組みや継続的な改善、およびビジネス・アクティビティの分析に役立てることが出来ます。デフォルトでは、データストアは高速（30 秒）、中速（5 分）、低速（1 時間）のメトリックをローカルに保存します。また同時に、5 分、1 時間、および 24 時間のメトリックを外部に保存することができます。

また、データストアでは、異常なペイロードサイズや有効期限が切れたSSL証明書など、現在または過去のふるまいやイベントに基づいてアラートを作成することができます。

2. トランザクション、メッセージ、フローレコード

ExtraHopをご利用いただくことによって、クエリ言語を知らなくても、ワイヤデータを多次元的に分析することができます。これは、ログ分析プラットフォームで見られる検索機能のようなものですが、ワイヤデータを検索して分析するという点では、機械が生成するログよりもはるかに洞察に富み、一貫性があり、信頼性の高い情報源となります。

ExtraHopのUIでは、フローとトランザクションの2つの基本的なタイプのレコードを表示します。フローレコードは、IPプロトコルを使用した2つのデバイス間のネットワークレイヤ通信を示し、レイヤ7のレコードは、サポートされている3種類(トランザクション、メッセージベース、セッションベース)のいずれかを使用した個々のメッセージやトランザクションの詳細を表示します。ExtraHop は、レイヤ7 トラフィックのみを検索してフィルタリングすることも、フローと レイヤ7のレコードの両方を検索することもできます。

ExtraHopがどのようにしてビルト・インのレコードを収集・保存しているのか、レコードの種類やフォーマットの詳細については、こちらのドキュメントを参照してください。

トランザクション、メッセージ、フローのレコードはすべて、スケーラブルなElasticsearch技術に基づいたクラスタに保存されているので、データの拡張に合わせてノードを簡単に追加することができます。

3. フルペイロードのパケット

特定のトランザクションに関連する個々のメトリック、ユーザー、デバイス、パケットから調査を開始することも可能ですし、高レベルのビューから簡単に情報をドリルダウンすることもできます。ExtraHopは、必要に応じて完全なペイロードを提供するパケットをダウンロードして詳細な分析を行うことができます。

ExtraHopは、他のリアルタイム分析プラットフォームよりもはるかに手頃な価格で、フォレンジックのためのルックバックデータの提供を可能にします。

エンタープライズレベルでのリアルタイム分析の困難な側面の一つは、そのスケールそのものです。ExtraHopでは、ワイヤデータという膨大な量の情報を解析し、どのような視点から見ても意味のある情報を導き出すことができるように最善を尽くしています。

ExtraHopは、シンプルで直感的なユーザー・インターフェースからスタートし、組織全体を横断するチームのためのロールベースのダッシュボードを自動的に作成します。これらのダッシュボードはドラッグ・アンド・ドロップで機能するので、独自のウィジェットでさらにカスタマイズすることができます。独自のウィジェットを作成したい場合は、必要なデータ・ソースとメトリックを選択し、可視化のタイプを選択してダッシュボードに

スクリプトスキルは必要ですか？いいえ必要ありません。

リング、時間範囲の選択まで、すべてを制御するUIのエレメントをクリックすることで、検索クエリを絞り込んだり変更したりする機能を提供します。何百ものビルト・インのレコード属性を使用する場合でも、独自の属性を定義する場合でも、この機能を使用することで、クエリ言語を学ぶことなく、パフォーマンスやセキュリティに関して迅速に情報を得ることができます。

例えば、SQLメッセージをクエリ文字列でソートすると、SQLインジェクション攻撃を特定し、悪意のあるIPアドレスをピンポイントで特定し、瞬時にネットワーク上のそのクライアントの特定期間のすべてのアクティビティを表示することができます。その情報をExcel、CSV、またはTableauやQlikなどの可視化ツールにエクスポートすることで、攻撃者が何をしたのかを段階的にマッピングすることができ、将来の攻撃を防ぐための装備を強化することができます。

リアルタイムなアクティビティ・マップ

チャートやグラフのような従来のデータの可視化方法に加えて、ExtraHopではリアルタイムのアクティビティ・マップを使用して、ダイナミックで直感的なビューを表示します。IT環境の変化に合わせてネットワーク図を手動で作成・更新する代わりに、アクティビティ・マップを使用して、デバイスとアプリケーション間のプロトコルベースの接続をリアルタイムに視覚化することができます。

アクティビティ・マップでは、時間の間隔でフィルタリングしたり、必要に応じて範囲を広げたり狭めたりすることができるため、「ある階層内でのデバイスの相互作用はどのようになっているのか、また、この1時間以内にネットワーク全体でのデバイスの相互作用はどのようになっているのか」といった複数の質問に簡単に回答することができます。異常なふるまいの検知はアクティビティ・マップにも表示されるため、トランザクションやマップから検知のコンテキストを確認することができます。

このブログ記事では、アクティビティ・マップの最新機能についてさらに詳しく説明し、日々の運用でどのように使用するかについてのアイデアを提供しています。

オープン・データストリーム

ExtraHopのUIでリッチなクエリと調査のワークフローを提供する一方で、スタック内の他のデータストア、クエリツール、分析プラットフォームとワイヤデータのメトリックを簡単に統合することができます。オープン・データストリームを使用すると、複数のソースからのデータを統合して、使い慣れたツールを使用してクエリや可視化を行うことができます。

Phantom、Elastic、MongoDBなどとの提携など、具体的な統合については、テクノロジーパートナーのページをご覧ください。

ExtraHop decodes the following enterprise protocols with real-time fluency at the application layer. Protocol modules offer varying levels of analysis, starting with L7 classification, and Application Inspection Triggers allow you to create a custom metric.

* Add-on module (not included in base license)

Of particular interest to SecOps analysts, Reveal(x) analyzes application-layer metadata for databases, Active Directory, web, SSL, and storage systems:

Database: RDBMSs: Oracle, Microsoft SQL Server, MySQL, PostgreSQL, Informix, Sybase, and DB2. NoSQL databases: MongoDB, Memcached, Redis, Riak. Metadata extracted include transaction timing, table/user access patterns, query errors, SQL queries and responses, and system-level commands.

Identity and Access Management: Active Directory visibility, including NTLM, Kerberos, LDAP, MSRPC, WINRM, SMBv3, and DNS monitoring for privileged identities and service accounts allows you to improve detection and facilitate audits. Reveal(x) extracts metadata including user/computer account activity, invalid or expired passwords, new privileged access, privileged access errors, DNS SRV lookups, LDAP binds, plain-text HTTP authentications, unknown SPNs, and forged Kerberos ticket detection.

Web Transactions: Full HTTP payload analysis of user activity, SOAP/XML, JSON, Javascript, APIs, etc. Extracted metadata includes URI, query parameters, host headers, and user agent, among others.

Storage: Metadata extraction for all NAS and SAN transactions (iSCSI, NFS, and CIFS) enables machine learning detections based on actual file details and equips security analysts to track file access patterns and detect ransomware activity by examining file extensions and WRITE operations.

ExtraHop Reveal(x)は、リアルタイムのネットワークデータと業界標準のSTIX（Structured Threat Information eXpression）ファイル形式で共有されている脅威情報を相関させ、侵害の指標を表示し、また優先順位付け、対応するのに役立ちます。

独自の脅威フィードをインポートすることをお勧めしますが、ExtraHopでは、Anomali Limo、AlienVault OTX、SANS Top 100 Suspicious IPアドレスフィードなど、Reveal(x)に追加できる無料の推奨フィードのリストも管理しています。

Reveal(x) でのSTIX ファイルの使用

ExtraHop は現在 STIX 1.0 - 1.2 をサポートしています。STIX ファイルを Reveal(x) システムにアップロードすると、Reveal(x) は以下のオブザーバブル (疑わしいオブジェクトを指定するスキーマコンポーネント) とワイヤデータ内で見つかったオブジェクトをリアルタイムでマッチングします。

• ホスト名
• IPアドレス
• URI

Reveal(x)は、ExtraHopのWebUI内に、時間範囲や情報源の指標や危険性の指標を表示することで、特定の観測値に対して視覚的なコンテクストを提供します。また、相関関係は自動的にReveal(x)内のリスクスコアの計算に紐付き、トリアージと脅威の探索のために役立つスタートポイントを提供します。STIX と Reveal(x) の詳細については、こちらをご覧ください。

セキュリティ・ダッシュボード

セキュリティ・ダッシュボードには、地域ごとにグループ化されたプロトコル・メトリック・データが含まれています。特に関連性の高いメトリックを使用して独自のカスタム・ダッシュボードを作成することも、組み込みのダッシュボードを使用して以下の情報を得ることもできます。

• 高リスクの検知、メトリック、およびプロトコル別のネットワーク・アクティビティのマップを把握できるセキュリティの概要ページへのリンク
• 直近のアラート
• アップロードされた脅威情報にマッチした疑わしいホスト名、IPアドレス、またはURI
• 脆弱なSSL暗号鍵を使用しているセッションに参加しているクライアントとサーバー
• 自己署名、ワイルドカード、期限切れ、失効間近の SSL 証明書
• 最もアクティブなDNSサーバーとそれらのサーバーによる逆引き問合せの失敗の総数