コンテンツにスキップ

コラボレーティブ攻撃者演習(パープルチーム演習)🔗

サービス概要🔗

コラボレーティブ攻撃者演習("CAE")は、お客様の防御担当者が実際の脅威シナリオを模倣したライブファイア情報セキュリティ演習を体験できるサービスです。お客様は自社ネットワークと自社ツールを用いて、防御やハンティングを実施しながら、Secureworks攻撃者グループ("レッドチーム")とリアルタイムかつ継続的なコミュニケーションチャネルを維持しつつ、ライブ攻撃に対応します。

CAEは、社内またはサードパーティの監視サービスを導入済みの組織で、現状の検出・防御・対応能力が現代の攻撃者による一般的な戦術・技術・手順("TTPs")に対してどの程度有効かを検証したい場合に最適です。この演習は、より高度な演習(攻撃者シミュレーション演習("ASE")や攻撃者エミュレーション演習("AEE"))を実施する前に、検出・防御・対応能力の準備状況を見定めるための優れた出発点となります。

各演習は実際のTTPsを模倣した一般的なシナリオに基づいており、防御担当者がセキュリティコントロールの可視性の不足を特定し、コンサルタントと協力して検出能力を向上させるための実践的なイベントを提供することを目的としています。

さらに、Secureworksは各組織がインタラクティブな演習に対して異なるニーズや時間的制約を持つことを理解しており、CAEサービスには個々のニーズに応じて柔軟性と拡張性を持たせた複数のティアが用意されています。詳細は下表をご参照ください。
コラボレーティブ攻撃者演習

(パープルチーム演習)		 「コラボレーティブ攻撃者演習」では、組織が5日間にわたりレッドチームとインタラクションする時間を確保できます。この5日間の演習では、プレイブックのタスクを分散して実施することで、防御担当者がハンティングやアラートの検証を十分に行えるほか、アクティビティ中にレッドチームとリアルタイムでコミュニケーションを取り、質問や検出・アラートの改善方法について議論できます。

本演習では、以下のいずれかまたは複数のプレイブックを選択可能です:
  • 内部およびActive Directory演習
  • コマンド&コントロール("C2")デトネーションおよびネットワーク検出演習
  • ランサムウェアグループエミュレーション演習
  • クラウド侵害演習

上記演習には、アドオンサービス「事後対策演習リプレイ(Post-Remediation Exercise Replay)」が利用可能です。各CAEの実施中に、お客様は既存のセキュリティコントロールにおける可視性の不足を特定し、対策を講じることができます。事後対策演習リプレイ("Replay")のアドオンを購入した場合、Secureworksは1つの演習についてリプレイを実施し、新たに追加された対策が期待通りに機能しているかを検証します。

サービス手法🔗

各CAEは、MITRE ATT&CKフレームワークにマッピングされた事前定義済みのプレイブックシナリオに基づき、お客様組織の防御チーム("ブルーチーム")の検出・防御・対応能力を評価します。

演習手法の概要は以下の通りです:

  • コミュニケーションチャネルの確立:Secureworksは、コラボレーティブ攻撃者演習の期間中、継続的なコミュニケーションが可能な専用チャネルを確立し、お客様チームがレッドチームとリアルタイムでやり取りし、必要に応じて検出ギャップに対応できるようにします。

  • 事前定義済みプレイブックの実行:Secureworksは、選択された事前定義済みプレイブックに沿って、1つずつアクションを実行し、ブルーチームに対して適切なタイムスタンプ、使用したコマンドやツール、検出支援のための補足情報を通知します。実施された脅威アクティビティはMITRE ATT&CKにマッピングされ、レッドチームとブルーチームの連携に一貫性を持たせます。多くのプレイブックでは、攻撃者と同様の手法でネットワークへの侵入や有効な認証情報の推測を試みますが、一部のプレイブックでは、ブルーチームが想定侵害モデルに基づき、事前に選定されたターゲットエンドポイントへの有効な認証情報やアクセスを提供する必要があります。プレイブック完了後、実行ウィンドウ内に十分な時間が残っている場合は、ブルーチームの要望に応じて個別のレッドチームアクションを再実行し、新たに作成したセキュリティコントロールをテストできます。

  • 検出および対応結果の収集:各プレイブックアクションの実行後、Secureworksはブルーチームにアクションの結果を通知し、どのアクティビティがログに記録され、セキュリティコントロールによるシグネチャ検出が発生し、その検出アクティビティがアラート通知システムを通じてセキュリティチームに伝達されたかを特定するためのサンプルログの提供を依頼します。これらの指標は記録され、詳細なレポートとして提供されます。

成果物🔗

コラボレーティブ攻撃者演習の完了後、Secureworksは、プレイブック実行中に実施したすべてのアクション、各アクションのMITRE ATT&CKフレームワークへのマッピング、ツールのコマンドと出力、アクティビティのタイムスタンプ、ならびにブルーチームから提供されたすべての結果(メモ、ログ、シグネチャ検出、アラート指標を含む)をまとめた詳細なレポートを提供します。

スコーピング情報🔗

説明 演習期間
コラボレーティブ攻撃者演習
(パープルチーム演習)		 1週間
アドオン:事後対策演習リプレイ -

本サービスの詳細なサービス説明はこちらをご参照ください: コラボレーティブ攻撃者演習

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報はサービススケジューリングをご参照ください。