Google Cloudに属するサイバーセキュリティ企業のChronicleは米国時間9月23日、新しい脅威検知ツール「Chronicle Detect」を発表した。
Chronicleはこれまで、複雑な分析イベントを処理できるルールエンジンを構築し、最新の攻撃に合わせて調整した新しい脅威検知言語を具体化し、Googleが大規模に提供するセキュリティー上の優位性を活用しようとしてきた。このツールはそうした取り組みを積み重ねたものとなる。またChronicle Detectは、企業がレガシーなセキュリティツールからの移行を容易にしたり、エンドポイント向けセキュリティソリューションで収集したデータの分析を向上したりできるよう設計されている。
Google Cloud Securityのマーケティング責任者であるRick Caccia氏は米ZDNetに対し、「Googleのスケールで調査するだけでなく、これまで不可能だった方法でいち早く対処できるようにする上で必要なツールを顧客に提供することが狙いだ」と説明した。「ユーザーは攻撃者の行動を記述するルールを書くことができ、攻撃検知を非常に大規模にリアルタイムで行える」(同氏)
Chronicle Detectにより、すぐに利用可能な高度なルールを使用できるほか、独自のルールを構築したり、レガシーツールからルールを移行したりできる。ルールエンジンには、マルウェアを検知、解析するためのオープンソースのプログラム「YARA」が統合されている。
Chronicle Detectのルールエンジンを支えているのは、最新の脅威や動作に合わせて特別に構築された新しいルール言語「YARA-L」だ。Chronicleのチームは2月、YARA-Lについて、EDRデータおよびネットワークトラフィックなど、セキュリティログやその他のテレメトリーも扱えるようにするとしていた。セキュリティアナリストはYARA-Lを使い、Mitre ATT&CKで説明されている最新の脅威を検出する上でより適したルールを書くことができる。
Chronicle Detectには、Sigma-YARAコンバーターも含まれているため、Sigmaベースのルールをプラットフォームに移植することもできる。
さらに、Chronicleの脅威調査チームUppercaseによる脅威インテリジェンスと検出ルールも活用できる。Uppercaseの研究者らは、最新のクライムウェア、APT、悪意のあるプログラムを発見する上で役立つ、さまざまな新しいツール、手法、データソース(「Google Threat Intelligence」なども含む)を利用できる。
企業のセキュリティーチームは定額料金を支払い、自社のセキュリティーテレメトリーをChronicleに送ることで、CrowdStrikeなどのツールが収集した大量のデータを活用できるだろう。Chronicle Detectはそうしたデータをマシン、ユーザー、脅威指標を網羅した共通のデータモデルにマッピングし、ユーザーが強力な検出ルールを統一されたデータセットに素早く適用できるようにする。
Caccia氏によれば、企業は脅威を理解する上で役立つ分析可能なデータを、かつてないほど有している。「しかし、流れてくる何テラバイトもの情報を理解できる企業は少ない。また、攻撃の多くは非常に複雑だ」(同氏)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。