※本投稿は、上記のElastic BlogをDeepL翻訳したものです。

著者 Paul Ewing•James Spiteri
2021年4月21日

MITRE Engenuity ATT&CK® Eval Round 3 Kibana ダッシュボードをすぐに見たいですか？スキップして結果をご覧ください。see the results

MITRE Engenuity 評価の最新版

MITRE Engenuity ATT&CK® の評価結果を見るのが今回で3回目であっても、初めてであっても、「今年の評価は何がユニークだったのだろう？

まず、MITRE Engenuityとは何者か、ということから始めましょう。彼らは民間企業と多くの取り組み-特にサイバーセキュリティ-を協働する技術財団で、近年はサイバー脅威の評価の代名詞となっています。2018年のAPT3、2019年のAPT29に始まり、MITRE Engenuityは、敵対者の行動、特にMITRE ATT&CK framework が示すような技術を検出する効果において、セキュリティベンダーを評価し続けてきました。

毎年、新しいAPTグループが登場し、新たな焦点が当てられています。今年のRound 3は、MITRE Engenuityによると、「洗練されたマルウェアと、さまざまなプラットフォームとやり取りできる正規の管理ツール」の2つの脅威グループとして知られるCarbanak and Fin7をベースに行われました。評価期間中は、レッドチームが日常業務を偽装するために、生活密着型のテクニックを多用するなど、その効果を存分に発揮している様子が見られました。また、今年は初めてLinuxシステムを攻撃する評価*を実施し、重要なビジネスインフラに対するセキュリティベンダーの可視性が試されることになりました。

結果を自分で解釈する

オープンで透明であることは、私たちElasticのDNAの一部です。昨年と同様に、今年の評価結果の分析にもその透明性を持たせています。まず、すべてのベンダーの結果を単一の検出イベント（MITRE Engenuityによる検出の全側面を概説した単一の文書）に変換しました。ここから、Kibana のパワーを使って、データの可視化を簡単に作成しました。具体的には、使いやすい可視化ツールである Kibana Lens を使用し、"Detection Type" のような関心のあるフィールドをドラッグ＆ドロップすることで作成しました。

参加した全ベンダーの結果が表示されたダッシュボードを確認。ドロップダウンのコントロールリストで興味のあるベンダーを選択すると、グラフが生成されます。このグラフは、ベンダーごとのタイプ別の検出の論理的な内訳を表示します。

最も注目すべきは、最初のグラフ（下図）で、これはサブステップごとのユニークな検出数を示しています。MITRE Engenuity は、これをベンダーの結果データテーブルの「可視性」と定義し、「分析（技術、戦術、一般）またはテレメトリ検出のいずれかを持つサブステップの割合」として定義しています。この評価中の多くのステップでは、ステップごとに複数の検出が作成される可能性があるため、これは重要です。

例えば、PowerShellが不審なプロセスから実行されることを考えてみてください。シェルから？疑わしいコマンドライン引数で？ネットワークアクティビティを発生させたか？これらのすべてがアラートを生成する可能性があるため、結果をより明確に理解できるようにサブステップを一意化しました。

フリー＆オープンなElastic Securityの進化形

思い起こせば、2019年にElasticはEndgameと手を組み、Elastic Securityという旗印のもと、SIEM、セキュリティ分析、エンドポイントセキュリティ、脅威ハンティング、クラウド監視などのための無料かつオープンな統合セキュリティソリューションとして生まれ変わりました。

2019年後半の目標は、単一のアーキテクチャを使用してエンドポイントセキュリティを誰もが利用できるようにすることでした。その目標は2020年半ばに達成されただけでなく、今回の第3弾でMITREの評価を受けるのに間に合いました！

今年の結果を見てお気づきのように、私たちはEndgameの技術をElastic Stackに押し込んだ基本的なサードパーティーのインテグレーションを構築したわけではありません。むしろ、エンドポイントセキュリティの機能を新しいElastic Agentに直接組み込むという、大変な作業を経て実現しました。つまり、Elastic Securityを利用することで、セキュリティチームは単一のアーキテクチャの中で同じデータストアから作業を行うことができるというメリットが得られるのです。

環境の保護は一面的な問題ではないため、このような組み込み型コンバージェンスは非常に重要です。エンドポイントテクノロジーだけでは十分ではありませんし、従来のSIEMやセキュリティ分析も単体のアプローチでは十分ではありません。より深く、より包括的な可視化であればあるほど、より良いのです。

私たちのアプローチは、ネットワークログ、アプリケーションパフォーマンス監視、クラウドベースの認証記録などを網羅する全体的な可視性を活用し、ホスト側でより豊富な遠隔測定を行うことで、高度に分散した従業員を抱えるクラウド時代の脅威によりよく対処できるようにするものです。

Elastic Securityは、このような統合を推進するだけでなく、SOCチームが大規模な脅威を予防、検知、対応できるよう、無償かつオープンなセキュリティ機能を提供します。ユーザーは、無料で使い始めることができ、ソリューション全体を構築することも可能です。私たちのコードは、オープンな開発プロセスと、コミュニティとの透明で直接的な関わりを重視し、公開リポジトリに保管されています。例えば、/elastic/detection-rules GitHubリポジトリでは、多くのATT&CK技術をカバーする、Elastic Securityのために書かれたルールを見つけることができます。

自由でオープンなモデルによって、私たちのコミュニティとお客様はソリューションを革新し、進化させ、それぞれの環境に最適化することができます。セキュリティ機能を開発・提供するためのオープンなアプローチの重要性に関する当社の企業理念については、こちらをご覧ください。今年のMITRE Engenuityの評価では、Elastic Securityの無償オープンティア（Standard tierと呼ばれる）で利用できる機能を使用してテストを実施しました。

評価後の新情報は？

2020年10月にこの評価がスタートしたとき、ElasticはElastic Agentの新しいアーキテクチャの最初のベータリリースを評価用に提出していました。その後、3つの新しいリリースを発表しました。MITRE EngenuityはElastic v7.9をテストしましたが、v7.12 は2021年3月にリリースされました。

では、当時と現在の顕著な違いは何でしょうか？

Crowdstrike、Symantec、Sophos、Microsoft、Cisco、Cylanceなど、エンドポイントセキュリティのデータソースが新たに統合（その多くは評価済み）。
すぐに使えるルール リリースごとに、より多くの組み込み済み検知ロジックを公開ルールレポジトリに格納しており、7.9以降、300以上のルールが追加されています（現在、合計540以上）。その多くは、MITREが Cyber Analytics Repository (CAR)で参照しているATT&CK Frameworkに沿ったものとなっています。しかし、多くのルールは、従来のSecOpsのようなATT&CKに基づかない他のユースケースのためのものであることも覚えておいてください。
機械学習。私たちは、既存の教師なし学習機能（特にこのDGA検出技術）をサポートする教師あり学習モデルをリリースし、機械学習機能を強調しています。
イベントクエリ言語（EQL）との相関関係。EQLを使った検索やルール作成ができるようになりました。以前の評価で思い出したかもしれませんが、この技術は、シーケンシャルな検出ロジックを使用して異なるイベントを相関させることができるため、高忠実度の検出には不可欠です。EQLに飛び込む。
Elastic Agent。複数の製品を使いこなすことの難しさを感じたことはありませんか？インストールは？アップデート？私たちも同じです。Elastic Agentでは、ボタンをクリックするだけで簡単に新しいデータ型を追加できます。例えば、Endpoint Security Integrationをワンクリックで選択することができます。そして、その気になれば、PowerShellのイベントも簡単なチェックボックスでOKです ;)。
ランサムウェアの振る舞い防止、マスターブートレコード（MBR）保護。
...などなど、盛りだくさんです。リリースブログを見る。

MITRE Engenuity に感謝！

ベンダーとして、MITRE Engenuityのレッドチームによって自社のソフトウェアがテストされることは、非常にエキサイティングな経験です。我々のATT&CKベースの検出と可視化能力を評価する素晴らしい方法です。私たちは今年のElastic Securityのパフォーマンスを誇りに思うとともに、MITRE Engenuityのエキサイティングな評価に対して感謝の意を表します。次回の評価も楽しみにしています。

Elastic Securityを試す準備はできましたか？今すぐ無料でお試しください。

*第3ラウンドでは、MITREは初めてプロテクションテストも実施しました。Elasticはこのラウンドでは防御テストに参加しませんでした。当社の無料かつオープンなマルウェア対策は、これらのTTPの多くを積極的にブロックすることができます。

ビデオ＆ウェビナー