サイバーセキュリティのSilverfort、Lateral Movement検出ツールをオープンソース化

身元保護プロバイダーのSilverfortは、Lateral Movement検出ツールをオープンソースとしてリリースしたと発表しました。このツールはLATMA（Lateral Movement Analyzer）と呼ばれ、ドメインとActive Directory (AD) 環境から認証ログを収集し、識別されたパターンに関するレポートを提供するために設計されました。このツールには、ドメインコントローラーやエンドポイントからログを収集するコレクタと、収集されたログに基づいてダイアグラムを含むレポートを出力するアナライザの2つのモジュールが含まれています。

Silverfortによれば、LATMAは横方向の移動を検出する能力を大幅に向上させ、疑わしい行動を指摘する精度が95%に達しました。ツールのコレクタモジュールは、ドメインコントローラでのNTLM認証ログやエンドポイントでのKerberos認証ログをスキャンし、Azure ADからのサインインログを収集します。これを行うためには、特定のポートアクセスと必要な権限が必要です。アナライザモジュールは、認証データをスプレッドシートとして提供され、定義されたLateral Movementアルゴリズムを使用して疑わしい活動を探し始めます。

Silverfortによれば、LATMAは収集された情報を使用して、エンドポイントと認証イベントを示すネットワークを表現するグラフを構築します。認証パターンを分析した後、異常な行動を示すサブグラフを構築し、アラートを生成します。

最初に、LATMAはユーザーとマシンの正常な動作を監視するため、学習期間が終了した後、正常な動作と疑わしい動作を区別することができます。この期間中はアラートは発行されません。

このツールはまた、短時間で複数のマシンに認証するユーザーアカウントや、一つのマシンから別のマシンに順番に認証するなど、識別された疑わしい動作に関連する妥当性の指標（IoCs）を生成します。

Silverfortは次のように説明しています。「LATMAは、これらのパターンが少なくとも2つ連続して発生した場合にアラートを生成します。例えば、攻撃者が進行する目標のマシンを検索し、それに成功した場合、アルゴリズムはアラートを生成します。」