WithSecure(ウィズセキュア、旧社名:F-Secure)は7月22日、ブルーチーム(防御側)が検知した疑わしい活動の可視性を向上させるための新しいオープンソースツールである「Detectree」を発表した。なお、同ツールはGitHubから入手が可能なっている。

  • Detectreeではアクティビティをフォレスト/ツリーのように表して可視化できる

    Detectreeではアクティビティをフォレスト/ツリーのように表して可視化できる

セキュリティインシデントが発生した際、悪意のあるアクティビティやその影響を理解することは、多くの企業/団体にとって難しい問題であり、防御側が必要とする攻撃を封じ込めて被害を最小限に抑えるための時間とリソースが、まずは理解のために使用されてしまうという。

例えば、インシデントアナリストが疑わしいプロセスの原因を探ろうとする場合、通常はログデータに目を通し、手作業でイベントのつながりを再構築する必要があり、作業が長引くほどその管理は難しくなると同社は指摘する。

また、最近の調査によると1日あたり約1万1000件の大企業のブルーチームが直面するセキュリティアラートの数を考慮すると、これらのプロセスはセキュリティチームの負荷となり、アラート疲れや燃え尽き症候群などの問題を悪化させる可能性があるという。

Detectreeはログデータを構造化し、検出された疑わしいアクティビティと、その検出に関連するプロセス/宛先ネットワーク/ファイル/レジストリキーとの関係を可視化することで、ブルーチームが調査作業を省力化できるように設計されている。

イベントのつながりを再構築するためにテキストとして表現されたデータを手作業で分類するのではなく、インシデントレスポンス担当者は可視化されたものを見て、相互作用/親子関係/プロセスインジェクションなどのつながりだけでなく、つながりの性質を確認することを可能としている。

  • インシデントレスポンス担当者が直観的に理解できるように、つながりを可視化している

    インシデントレスポンス担当者が直観的に理解できるように、つながりを可視化している

可視化により、インシデントレスポンス担当者は検出された状況をすばやく確認し、それらのデータをシンプルで直感的な方法で関係者と共有し、情報を必要とするすべての人がアクセスできるようにすることができるという。