コンテンツにスキップ

コラボレーティブ攻撃者演習(パープルチーム演習)🔗

サービス概要🔗

コラボレーティブ攻撃者演習("CAE")は、お客様の防御担当者が実際の脅威シナリオを模倣したライブファイア情報セキュリティ演習を体験できるサービスです。お客様は自社ネットワーク内で、自社のツールを用いて、ライブ攻撃に対して防御やハンティングを行いながら、Secureworks攻撃者グループ("レッドチーム")とリアルタイムかつ継続的なコミュニケーションチャネルを維持します。

CAEは、社内またはサードパーティの監視サービスによるセキュリティ監視体制が確立されている組織向けであり、現代の攻撃者が用いる一般的な戦術・技術・手順("TTPs")に対する現在の検知・防御・対応能力についての仮定を検証したい場合に最適です。この演習は、より高度な演習(攻撃者シミュレーション演習("ASE")や攻撃者エミュレーション演習("AEE"))を実施する前に、お客様の検知・防御・対応能力の準備状況を見定めるための優れた出発点となります。

各演習は実際のTTPsを模倣した一般的なシナリオに基づいており、防御担当者がセキュリティコントロールの可視性の欠如を特定し、コンサルタントと協力して検知能力を向上させるための実践的なイベントを提供することを目的としています。

さらに、Secureworksは各組織がインタラクティブな演習に対して異なるニーズや時間的制約を持つことを理解しており、CAEサービスには個々のニーズに応じて柔軟性と拡張性を持たせた複数のティアが用意されています。詳細は下表をご参照ください。
コラボレーティブ攻撃者演習

(パープルチーム演習)		 「コラボレーティブ攻撃者演習」では、組織が5日間にわたりレッドチームとインタラクションする時間を確保できます。この5日間の演習では、プレイブックのタスクを分散して実施し、防御担当者が十分な時間をかけてハンティングやアラートの検証を行い、活動中にレッドチームとリアルタイムでコミュニケーションを取り、質問や検知・アラートの改善方法について議論できます。

本演習では、以下のいずれかのプレイブックを選択できます:
  • 内部およびActive Directory演習
  • コマンド&コントロール("C2")デトネーションおよびネットワーク検知演習
  • ランサムウェアグループエミュレーション演習
  • クラウド侵害演習

上記演習には、アドオンサービスとして「事後対策演習リプレイ(Post-Remediation Exercise Replay)」が利用可能です。各CAEの実施中に、お客様は既存のセキュリティコントロールにおける可視性の欠如を特定し、対策を講じることができます。事後対策演習リプレイ("Replay")のアドオンを購入された場合、Secureworksは1つの演習についてリプレイを実施し、新たに追加された対策が期待通りに機能しているかを検証します。

サービス手法🔗

各CAEは、MITRE ATT&CKフレームワークにマッピングされた事前定義済みのプレイブックシナリオに基づいて実施され、お客様組織の防御チーム("ブルーチーム")の検知・防御・対応能力を評価します。

演習手法の概要は以下の通りです:

  • コミュニケーションチャネルの確立:Secureworksは、コラボレーティブ攻撃者演習全体を通じて専用のコミュニケーションチャネルを確立し、お客様チームがレッドチームとリアルタイムでコミュニケーションを取り、必要に応じて検知ギャップに対応できるようにします。

  • 事前定義済みプレイブックの実行:Secureworksは、選択された事前定義済みプレイブックに沿って脅威を1つずつエミュレートし、ブルーチームに対して適切なタイムスタンプ、使用したコマンドやツール、検知支援のためのメモなどを通知します。実施された脅威アクティビティはMITRE ATT&CKにマッピングされ、レッドチームとブルーチームの連携に一貫性を持たせます。多くのプレイブックでは、攻撃者と同様の手法でネットワークへの侵入や有効な認証情報の推測を試みますが、一部のプレイブックでは、ブルーチームが想定侵害モデルに基づき、事前に選定されたターゲットエンドポイントへの有効な認証情報やアクセスを提供する必要があります。プレイブック完了後、実行ウィンドウ内に十分な時間が残っている場合は、ブルーチームの要望に応じて個別のレッドチームアクションを再実行し、新たに作成したセキュリティコントロールのテストが可能です。

  • 検知および対応結果の収集:各プレイブックアクションの実行後、Secureworksはブルーチームにアクションの結果を通知し、どのアクティビティがログに記録され、セキュリティコントロールによるシグネチャ検知が発生し、その検知アクティビティがアラート通知システムを通じてお客様のセキュリティチームに伝達されたかを特定するためのサンプルログの提供を依頼します。これらの指標は記録され、詳細なレポートとして提供されます。

成果物🔗

コラボレーティブ攻撃者演習の完了後、Secureworksは、プレイブック実行中に実施したすべてのアクション、各アクションのMITRE ATT&CKフレームワークへのマッピング、ツールのコマンドと出力、アクティビティのタイムスタンプ、ブルーチームから提供されたすべての結果(メモ、ログ、シグネチャ検知、アラート指標を含む)をまとめた詳細なレポートを提供します。

スコーピング情報🔗

説明 演習期間
コラボレーティブ攻撃者演習
(パープルチーム演習)		 1週間
アドオン:事後対策演習リプレイ -

本サービスの詳細なサービス説明はこちらをご参照ください: コラボレーティブ攻撃者演習