Zenn
🐯

NEXT23で発表された Duet AI in Mandiant Threat Intelligence について解説してみた

2023/09/05に公開
Security
Google Cloud
Duet AI
#
mandiant
Google Cloud Next
tech

はじめに

top
ホテルから見たNEXT23の広告

こんにちは、SRE ディビジョンに所属している Shanks と申します。
Google Cloud のイベント「NEXT 23」が米国カリフォルニア州サンフランシスコにて開催されました。
弊社からは筆者含め30人ほどのメンバーで参加し、新プロダクトのキャッチアップや Google Cloud の動向を調査してまいりました。
その中でも注目トピックについては、弊社のコラム記事として掲載しておりますので、よろしければご覧ください。
(筆者も GKE Enterprise の記事を共同執筆しております。)

本記事では、NEXT 23 で発表された「Duet AI in Mandiant Threat Intelligence」について、深掘り解説します。
特に Google Cloud でシステムをホストしていて、セキュリティ対策・運用保守の目的で Mandiant 製品を利用した異常検知機構を導入しているお客様に注目いただきたい内容となっております。

KeyNote

https://www.youtube.com/live/lEUS3_Qjyjg?feature=shared
https://www.youtube.com/live/268jdNwH6AM?feature=shared

GKE Enterprise コラム記事

https://cloud-ace.jp/column/detail442/

Duet AI in Mandiant Threat Intelligence とは

プロダクト概要

with-ai

Duet AI in Mandiant Threat Intelligence とは、NEXT 23 で発表された生成AIである「Duet AI」を用いて Mandiant 製品によるセキュリティ対策を支援するソリューションです。
セキュリティ対策には継続的な見直し運用と広範囲に及ぶ深いセキュリティ知識の学習が求められ、システム運用の大きな壁となってきました。
この課題に対し、解決策となるのが「Duet AI in Mandiant Threat Intelligence」です。

従来までの課題

problem

Google Cloud 上でホストされたシステムに対し、脅威の検知やマルウェアの分析を行う方法として「Mandiant for Google Cloud」が現在提供されています。

しかし、従来では脅威の分析において手動で1つ1つ丁寧に調査していく必要がありました。
これは、システム管理者がセキュリティの深い知識を求められることを意味します。
セキュリティチームも同様に、高度かつ大きな運用負荷を背負うことに繋がっていました。

また、脅威プロファイルの継続的なアップデートも同様です。
どのような脅威が想定されるか事前に定義して検知に役立てるのが脅威プロファイルです。
ですが、脅威(マルウェアの種類・攻撃手法、等)は日々多様な進化・変化を遂げています。
そのため、脅威プロファイルも継続的に見直しをしていく必要があり、大きな運用負荷となっていました。

この課題を解決するため、NEXT 23 でお披露目された生成 AI「Duet AI」を用いてシステム管理者やセキュリティチームのオペレーションを支援するのが「Duet AI in Mandiant Threat Intelligence」です。(以下、Duet AI in Mandiant とする)

Duet AI in Mandiant のキーポイント

solution

Duet AI はその名のとおりユーザとデュエットする、つまり伴走するような動きがキーポイントです。

つまり、従来まで実施していたシステム管理者・セキュリティチームの仕事を Duet AI が完全に奪うわけではありません。
Duet AI と対話するプロンプトが画面上に現れ、お手伝いをしてくれるコンシェルジュやアシスタントのようなイメージです。

そのため、完全な自動化を目的としていないことにご注意ください。

Duet AI in Mandiant でできること

脅威アクターのサマライゼーション

threads
Mandiant のページ中に Duet AI のプロンプトを表示させ、自然言語(英語)にて対話することで、Duet AI による脅威アクターのサマライゼーションが可能になります。

具体的には、既存の脅威アクター情報から Duet AI が分析を行い、ユーザに推奨事項としてサマライズ情報を提示します。
提示された情報に対し、ユーザは情報の取捨選択をしながら継続してプロンプトによる Duet AI との対話を試みるか、提示された情報を採用するかを検討できます。

マルウェアのサマライゼーション

脅威アクターと同様、マルウェアのサマライゼーションも Duet AI によって自然言語(英語)にて対話することで可能です。
こちらも同様に、マルウェアに感染したと思しき VM 等の挙動から Duet AI が分析を行い、ユーザに推奨事項としてサマライズ情報を提示します。
これによってユーザはどのように対処すべきかを判断します。(例:隔離・削除・分析等)

脅威プロファイルの構築

our-ai
こちらも、脅威アクターやマルウェアのサマライゼーションと同様に、Duet AI との対話にて行われます。
注意していただきたいのは、上記2つについては異常を検知した際の対応時に利用されるのに対し、脅威プロファイルの構築は正常運用時において継続的に行われる仕事であるということです。

脅威プロファイルとはどのような脅威が想定されるか事前に定義しておき検知に役立てるためのプロファイル情報です。
ですが、脅威(マルウェアの種類・攻撃手法、等)は日々多様な進化・変化を遂げており、悪意ある第三者は毎日様々な手法を開拓しては攻撃を仕掛けてきます。
そのため、脅威プロファイルも継続的に見直しをしていく必要があり、いたちごっこになりがちで、さらには大きな運用負荷となっていました。

そのため、今回のアップデートとして、Vertex AI 等 も用いて CI/CD パイプラインとして脅威プロファイルの継続的な更新を組み込むことで、DevSecOps の実現が可能になりました。
これにより、Duet AI と対話しながらプロファイルを構築したり、Vertex AI による継続的な更新を自動化する DevSecOps 実現に大きく役立ちます。

まとめ

Duet AI in Mandiant Threat Intelligence は、Duet AI を用いて Mandiant 製品の異常検知を支援 するソリューションです。
これによって、企業・団体は Duet AI の支援を受けながら Mandiant 製品を用いた迅速な対応と、適切な運用促進を実現できます。

現在は Preview 段階であるということから概要の説明のみとなりましたが、実際の環境にて構築をした際には当社技術ブログにてより詳細な情報を紹介させていただきます。

Discussion