NSX Network Detection and Response 機能の主な目的は、NSX 環境で有効になっているすべてのイベント ソースから、キーとなる異常なアクティビティや悪意のあるイベントを収集することです。MITRE ATT&CK® モデルに沿って、NSX Network Detection and Response は、NSX が管理するネットワークから生成された検出イベントを処理します。NSX Network Detection and Response は、これらのセキュリティ関連イベントを集約して相関分析を行い、MITRE ATT&CK フレームワークで説明されている戦術と手法に基づいて特定の脅威を可視化します。

NSX Network Detection and Response は、関連イベントをキャンペーンとして相関させます。キャンペーン内の脅威イベントは、セキュリティ アナリストが脅威シグナルを関連付けて脅威キャンペーンを表示およびトリアージできるように、タイムラインに編成されています。

NSX Network Detection and Response の用語と主な概念

次の表は、NSX Network Detection and Response で使用される主な用語について説明します。

用語/主な概念 定義
キャンペーン

キャンペーンとは、NSX Network Detection and Response サービスによって検出されて関連付けられた、モニタリング対象のネットワーク内の一連のセキュリティ関連イベントを指します。これらのセキュリティ イベントには、IDS シグネチャの一致、不審なトラフィック イベント、悪意のあるファイル転送イベントが含まれる場合があります。

NSX Network Detection and Response は、機械学習と高度な分析を使用してセキュリティの脅威を特定し、キャンペーンを自動的に生成します。これにより、潜在的な脅威の包括的なビューをセキュリティ チームに提供します。各キャンペーンには、キャンペーンを構成するセキュリティ イベントによって発生するリスクに基づいて影響スコアが割り当てられます。

キャンペーンが検出されると、NSX Network Detection and Response は、関連するワークロード、アクティビティの性質など、キャンペーンを構成する検出イベントに関する詳細情報とネットワークへの潜在的な影響に関する情報を提供します。この情報を使用すると、セキュリティの脅威を迅速に調査して対応し、データ侵害などのセキュリティ インシデントを防止できます。

キャンペーンの影響スコア

キャンペーンの影響スコアは、潜在的なセキュリティ脅威の緊急度を迅速に評価するのに役立つメトリックで、トリアージと解決策に優先順位を付けるのに役立ちます。影響スコアが高いキャンペーンに重点を置くことで、最も重大な脅威にすばやく対処し、セキュリティ インシデントのリスクを最小限に抑えることができます。

キャンペーンの影響スコアは、キャンペーン内にある検出イベントのセットから、イベントの信頼性、重要度、影響などの要因の組み合わせを使用して計算されます。

スコアは 0 ~ 100 のスケールで表示されます。スコアが高いほど影響が大きくなる可能性があります。スコアが 0 の場合はキャンペーンに影響がないことを示します。スコアが 100 の場合は、キャンペーンが緊急かつ深刻な脅威をもたらすことを示します。

詳細については、キャンペーンを参照してください。
宛先 宛先とはフローの宛先を指し、一般的にはサーバと呼ばれます。
検出または検出イベント

検出または検出イベントは、NSX Network Detection and Response によって検出されたネットワークで発生したセキュリティ関連のアクティビティを表します。新しい検出データがサイトから受信されると、そのデータは受信済みイベントに集約され、同じ脅威の検出を指しているかどうかを判定します。集約できない場合は、新しい検出イベントが作成されます。

各検出には、MITRE ATT&CK フレームワーク、脅威、および影響スコアに基づく分類が割り当てられます。

検出イベントは、キャンペーン内の検出に関連していると見なされる場合、キャンペーンに関連付けることができます。イベントが現在のイベントに関連していると見なされない場合、イベントはキャンペーンに含まれません。
検出影響スコア

検出影響スコアは、脅威の重要度または「悪質性」と検出の精度の信頼性を組み合わせたメトリックです。

検出影響スコアは、重要度と信頼性を組み合わせて計算されます。

スコアの範囲は 0 から 100 までで、100 が最も危険な検出結果です。

詳細については、NSX Network Detection and Responseでの検出を参照してください。
MITRE ATT&CK®

MITRE ATT&CK は、現実世界の観測に基づいて作成された、攻撃者の戦術と方法に関するグローバルにアクセス可能なナレッジベースです。ATT&CK ナレッジベースは、民間企業、政府、およびサイバーセキュリティ製品およびサービス コミュニティにおける特定の脅威モデルおよび手法の開発の基盤として使用されます。

検出イベントは MITRE ATT&CK の戦術とテクニックにマッピングされるため、NSX Network Detection and Response は MITRE ATT&CK フレームワークを使用します。

MITRE ATT&CK ナレッジベースの詳細については、公式サイトを参照してください。
MITRE ATT&CK 戦術 戦術とは、ATT&CK のテクニックまたはサブテクニックを「なぜ使用するのか」を表すものです。これは攻撃者の戦術上の目標であり、アクションを実行する理由となります。たとえば、攻撃者は認証情報へのアクセスを試みます。NSX Network Detection and Response のイベントは、検出されたアクティビティの目的を理解するのに役立つ MITRE ATT&CK 戦術にマッピングされます。

MITRE ATT&CK 戦術に加えて、NSX Network Detection and Response システムは、次の 2 つのカスタム戦術カテゴリを使用します。

  • 脆弱性:ポリシー違反を含む、ネットワーク内の潜在的な脆弱性またはセキュリティ状態の問題の検出に関連付けられます。MITRE ATT&CK フレームワークは脆弱性ではなく攻撃に重点を置いているため、このケースをカバーしていません。
  • 未定義:NSX Network Detection and Response システムが MITRE ATT&CK 戦術を判別できなかった検出に関連付けられます。

MITRE ATT&CK 戦術の詳細については、https://attack.mitre.org/tactics/enterprise/ を参照してください。
MITRE ATT&CK のテクニック テクニックとは、攻撃者が実際にどのように戦術を実行するかという「方法」を表します。

MITRE ATT&CK 戦術と手法の詳細については、https://attack.mitre.org/techniques/enterprise/ を参照してください。
SIEM セキュリティ情報とイベント管理 (SIEM) は、セキュリティおよびその他のイベント データを収集、管理、分析するセキュリティ製品またはサービスです。SIEM は、セキュリティのモニタリングと分析をリアルタイムで提供します。
署名

シグネチャはパターンマッチング式で、攻撃の試み、コマンドと制御トラフィック、ラテラル ムーブメント、データ抽出など、悪意がある可能性のあるアクティビティを検出することを目的としてトラフィックと比較されます。
送信元 送信元とは、ネットワーク フローの送信元を指し、一般的にはクライアントと呼ばれます。
脅威 脅威とは、一般的には、ネットワークに対するセキュリティ侵害や攻撃の可能性を示す疑わしいアクティビティまたは動作のことです。

NSX Network Detection and Response では、すべての検出イベントに「脅威」が割り当てられます。MITRE ATT&CK に加え、脅威は検出を分類するもう 1 つの方法です。脅威は、特定のマルウェア名や CVE ID など、検出された悪質性をより具体的に分類する傾向があります。これらの特定の分類を使用できない場合、脅威はより一般的な分類になる場合があります。

NSX Network Detection and Response の検出タイプ

NSX Network Detection and Response の検出タイプは、検出に関与する検出テクノロジーに応じて異なります。現在サポートされている検出タイプは次のとおりです。

  • 侵入検知システム (IDS) イベント:保護されたネットワーク内のネットワーク トラフィックに対して IDS シグネチャを照合することで検出される、IDS シグネチャの一致です。
  • ネットワーク トラフィックのアノマリ (NTA) イベント:NSX Suspicious Traffic 機能は、NSX Intelligence が対象の NSX ワークロード(ホストまたはホストのクラスタ)から収集した East-West ネットワーク トラフィック フロー データに対するネットワーク脅威分析を生成します。
  • 悪意のあるファイル転送イベント:NSX Malware Prevention 機能は、ゲートウェイで発生した悪意のあるファイル イベントを分析のために NSX Network Detection and Response に送信します。不審または悪意のあるファイル イベント(スコア 30 以上)が NSX Network Detection and Response に送信されます。

  • 悪意のあるファイル検出イベント:NSX Malware Prevention 機能は、ワークロード内で検出された悪意のあるファイルを送信します。ワークロードのファイル システムで作成されたファイルが分析され、それらのファイル イベント(スコア 30 以上)が NSX Network Detection and Response に送信されます。

イベント タイプとイベント ソース

次の表に、 NSX Network Detection and Response で収集できるイベント タイプと、それらのイベントを生成するソースを示します。イベント送信元のいずれかがイベントを NSX Network Detection and Response に送信するには、イベント タイプに対応する NSX 機能を有効にする必要があります。
イベント タイプ イベント送信元
IDS イベント 分散 IDS と Edge(分散 NSX IDS/IPS 機能を有効にした場合)。
ネットワーク トラフィックのアノマリ (NTA) イベント NSX Suspicious Traffic ディテクタをオンにする場合。
悪意のあるファイル転送イベント ワークロード内で検出された悪意のあるファイル転送イベント(NSX Malware Prevention 機能を有効にした場合)。
悪意のあるファイル検出イベント ホストで検出された悪意のあるファイル イベント(NSX Malware Prevention 機能を有効にした場合)。
重要: NSX Network Detection and Response 機能を最大限利用するには、イベントを使用している 1 つ以上の NSX 機能を有効にします。 NSX Network Detection and Response 機能は単独で有効にできますが、前の表に記載されている NSX 機能のいずれかを有効にしないと、分析するイベントが NSX Network Detection and Response に送信されないため、この機能が持つ本来のメリットを得ることができません。