クラウドストライク、自己学習により未知の脅威を可視化する検知エンジン「CrowdStrike Signal」を提供

　米CrowdStrike（以下、クラウドストライク）は現地時間6日、他社のエンジンが見逃す脅威が深刻化する前に可視化する、AIを活用した新しいクラスの検知エンジン「CrowdStrike Signal」の一般提供を開始したと発表した。

　CrowdStrike Signalは、すべてのホストに自己学習モデルを使用し、時間、システム、ユーザーを横断してその環境における通常の状態を把握する。このエンジンは、従来のツールが動作する前に軽微な初期段階の脅威アクティビティを特定し、関連する振る舞いを結び付ける。正常な状態から逸脱している弱い信号を特定して優先順位付けされた信頼性の高いリードを構築することにより、CrowdStrike SignalはFalconプラットフォームのAIのメリットを向上させ、セキュリティチームがキルチェーンの早期段階で脅威を調査、追跡、阻止できるようにするとしている。

　クラウドストライクでは、最新の攻撃は多くの場合、単独では無害に見える低信号のアクティビティから始まるが、従来のルールベースのシステムは、何が疑わしく、何が単なるノイズなのかを見分けるためのコンテキストが欠如しているため、こうした振る舞いを無視してしまうと説明する。さらに新しいAIのアプローチでは、検知が行われた場合にのみスコアリングが適用されるという。

　CrowdStrike Signalは、環境全体で何が正常であるのかを学習し、状況の変化に応じて標準的なアクティビティに対する理解を絶えず更新することにより、何が逸脱しているのかを特定して、初期段階の振る舞いを下流のアクティビティと結び付ける。脅威ライフサイクルの初期段階で振る舞いを分析し、経時的に軽微なアクティビティを関連付けることにより、クラウドストライクは、断片化された信号を少数の優先順位付けされたAI生成リードに変換し、ノイズに埋もれている脅威を明らかにして迅速に対応を開始する。

　また、CrowdStrike Signalは、それぞれの顧客の環境内で毎日数十億のイベントを分析する、新しい統計的時系列モデルファミリーに支えられている。各ユーザー、ホスト、プロセスの振る舞いを絶えずモデル化し、時間の経過とともに状況に適応して重要な逸脱を明らかにする。静的ルールや事前トレーニング済みモデルとは異なり、手動での設定や定期的な調整を必要とすることなく、初期段階で脅威を検知する。

　さらに、偵察のための自給自足ツールや、一時ディレクトリから実行されるアプリケーションの使用など、攻撃者に利用されることが多いだけでなく、無害なホストでも一般的に見られる軽微な振る舞いを結び付ける。こうした低信号のアクティビティは、単独では無害に見えるが、早期段階で分析すると、時間やコンテキストを通じて、他の方法では気付かれることのない攻撃者のアクティビティが明らかになるという。

　CrowdStrike Signalは、膨大な数の振る舞いと検知の結果を、精度の高い少数のリードにまとめる。初期の侵害の痕跡（IOC）を明らかにしてフォールスポジティブを減らし、関連するアクティビティを単一の開始点にグループ化することにより、手動でのトリアージを不要にし、調査、ハンティング、対応を迅速化する。

　CrowdStrike Signalは現在、一般提供されている。