長谷川 達也

スレットハンター。データビジュアライゼーション開発者。 CISSP,CISA,GSP,GX-FA,GX-FE,GX-IH,GREM,GCIH,GCFA,GCFE,GNFA,GMOB,GXPN,GPENなどを保有。 ISACA名古屋支部理事。SECCON Open Conference委員。msticpy貢献者。

よりよいデータ可視化を活用した脅威ハンティング

SIEMに蓄積されているイベントデータに対してスレットハンティングを行う場合、データの絞り込み段階が最重要です。 限りある時間や資源の中で、侵害が疑わしいイベントやリスクのある脅威を検出するためには、人が確認すべきデータ自体を削減する必要があります。 逆に疑わしいイベントが検出できれば、深堀分析は絞り込み段階ほど難しくなく、自動化も比較的容易です。 絞り込み段階では、レア値抽出やノイズ除去の前処理の上、様々なチャートグラフで可視化し、分析を進めていきます。 スレットハンティングではその自由度から、どこまでをビジュアルでざっくり、どこまでを詳細にデータ表示にすべきかという悩みがあります。 一つの抽象的な解である「 − そのデータを十分に理解できているかどうか − 」のあいまいな境界について、発表者の経験を交えた知見をご紹介します。 さらにデータビジュアライゼーションは生成AIによってどこまで効率化されるのかについての検証結果も添えて、 スレットハンターがデータビジュアライゼーションを武器にする一助となります。