Oracle Cloud Infrastructureドキュメント

脅威ディテクタについて

クラウド・ガードの脅威ディテクタ・コンポーネントを使用するために必要な概念および用語を理解します。

クラウド・ガードの脅威ディテクタ・コンポーネントは、潜在的な脅威に関する情報を次のように収集して処理します:

  1. 情報はクラウド・ガード・ターゲットから収集されます。
  2. 脅威ディテクタは、脅威インテリジェンス・サービスから潜在的な脅威に関する情報を取得します。これらは、既知のマルウェア・コマンドおよび制御サーバーに関連付けられた、IPアドレスやドメインなどの侵害のインジケータです。
  3. この情報は、MITRE ATT&CKフレームワークに合せたモデルを介して実行され、関連する潜在的な戦術および手法を分類します。
  4. これらのモデルは「観察」(潜在的な悪意ある行動の個々のインスタンス)を生成します。これは、攻撃が現実のものである場合はその結果の重大性と、攻撃が現実のものである可能性を評価するためにスコアリングされます。
  5. その後、観察がリソース・プロファイルにまとめられます。
  6. リソース・プロファイルは、観察の順序で表されるリスクを評価するためにスコアリングされます。
  7. 過去14日間の最高リスク・スコアに基づいて、リスク・レベルが割り当てられます。
  8. リスク・レベルがクリティカルになると、問題が生成されます。

「脅威モニタリング」および「脅威モニタリングの詳細」ページには、リストされている各リソース・プロファイルの情報が表示されます。表示される情報を解釈するには、次の主要な概念および用語を理解してください。

高レベルの脅威モニタリングの概念

これらの概念は、特に「脅威モニタリング」および「脅威モニタリングの詳細」ページを使用する際に、クラウド・ガードで脅威モニタリングを理解するための基本です。

  • 観察 - クラウド・ガードが検出した潜在的な悪意のある行動の特定のインスタンス。個々の観察は、時間や地域を超えて関連付けられます。関連する観察の集まりに対して、それが攻撃を表す可能性と、そのような攻撃がどの程度深刻であるかが評価されます。
  • 観察タイプ - クラウド・ガードは、複数の異なる観察タイプを検出します。観察タイプ・リファレンスを参照してください。
  • 相関: クラウド・ガードは、各リージョンのRAWデータを収集します。その後、クラウド・ガードはリージョンをまたがる関連する観察を関連付け、関連する観察の正規化されたスコアを計算します。正規化されたリスク・スコアがしきい値を超えると、クラウド・ガードは問題をトリガーし、重大度レベルと信頼度レベルを問題に割り当てます。
  • 信頼度: 信頼度レベルは、観察が本当に実際の攻撃者を表している確率の推定値を表します。クラウド・ガードは、結果の「観察」詳細の「重大度」レベルと「信頼度」レベルの両方に同じカテゴリを使用します:

    信頼性レベルを決定するためにクラウド・ガードが使用する要素の組合せは、観察タイプによって異なります。観察タイプ・リファレンスで、各観察タイプの「重大度」および「信頼度」の項を参照してください。

  • 重大度: 信頼度レベルは、観察が本当に実際の攻撃者を表している確率の推定を表します。重大度レベルは、観察がもたらす潜在的な脅威レベル(それが実際の攻撃者を表すと仮定して、観察がどの程度深刻であるか)を表します。クラウド・ガードは、結果の「観察」詳細の「重大度」レベルと「信頼度」レベルの両方に次のカテゴリを表示します:

    クラウド・ガードが重大度レベルを決定するために使用する要素の組合せは、観察タイプによって異なります。観察タイプ・リファレンスで、各観察タイプの「重大度」および「信頼度」の項を参照してください。

  • 観察スコア - 重大度と信頼度の評価を他の要因と組み合せて、脅威の深刻度を数値で見積もります。

    観察スコアは、問題に関連付けられたリスク・スコアとは異なります。

  • リスク・スコア: クラウド・ガードは、各リージョンのRAWデータを収集し、関連する観察のRAWリスク・スコアを計算します。その後、クラウド・ガードはリージョンをまたがる関連する観察を関連付け、関連する観察の正規化されたスコアを計算します。正規化されたリスク・スコアがしきい値を超えると、クラウド・ガードは問題をトリガーし、重大度レベルと信頼度レベルを問題に割り当てます。
  • リスク・レベル - 14日間のピーク・リスク・スコアに基づきます。(クリティカル軽度)。高リスク・スコアが登録されると、リスク・レベルがただちに上昇します。その高いリスク・スコアがリスク・レベルの計算から除外されるまで14日かかるため、それ以上高いリスク・スコアが登録されない場合、リスク・レベルはゆっくりと低下します。

    これらのリスク・レベルの定義については、「問題のスナップショット」からの問題の表示を参照してください。

  • 戦術 - MITRE ATT&CKフレームワークの観点からは、観察はこのMITRE戦術のインスタンスとして分類されます。たとえば、権限エスカレーションや資格証明アクセスなどです。
  • 手法 - MITRE ATT&CKフレームワークの観点からは、観察はこのMITRE手法またはサブ手法のインスタンスとして分類されます。たとえば、クラウド・ストレージに対するパスワード推測や抜出です。
  • リソース・プロファイル - 相関する観察から導出されたリスク・スコアで示される、攻撃されている可能性がある特定のリソースについてクラウド・ガードが観測した情報のコレクション。この情報には、観察、スコアおよびリソースIDが含まれます。クラウド・ガードはターゲットをモニターするため、監視するリソースのプロファイルを作成し、悪意のある動作が検出されると観察を作成します。現在、リソース・プロファイルは常にユーザーに焦点を当てています。

観察用にレポートされるパラメータ

次のパラメータもモニターされます。これらのパラメータの一部は、「脅威モニタリング」ページまたは「脅威モニタリングの詳細」ページにのみ表示されます。

  • リソース、リソースID、リソース名 - 観察の対象となるリソースの識別子。
  • コンパートメント - リソースが配置されているOCIコンパートメント。
  • ターゲット - OCIコンパートメントを含むクラウド・ガード・ターゲット。
  • リージョン - 観察が検出された1つまたは複数のリージョン。
  • 最初の検出 - 観察が最初に検出された日時。
  • 前回の検出 - 観察が最後に検出された日時。
  • ピーク・リスク・スコア - 特定のリスク・プロファイルに対して最高のリスク・スコア。
  • ピーク日 - 特定のリスク・プロファイルに対して最高のリスク・スコアの日付。
  • エンドポイントASN - 観察で識別されたエンドポイントIPアドレスに関連付けられた自律システム番号。
  • エンドポイント・サービス - 観察で識別されたエンドポイントから使用される特定のサービス。
  • エンドポイント・タイプ - IPアドレスがOCI Threat Intelサービスに知られている場合、そのIPアドレスは「疑わしい」と宣言され、IPアドレスはそのサービス内の情報へのリンクになります。