クラウド環境で攻撃を追跡することは、何を注意して捜すべきかわからない場合でもわかっている場合でも困難なときがあります。そのため、AWS 環境向けの Cloud Optix データを Sophos XDR (Extended Detection and Response) プラットフォームに統合し、AWS でのインシデントの調査に役立つ簡単なクエリを提供します。

Sophos XDR を使用した AWS での脅威検出と対応の改善

Sophos Cloud Optix は、AWS CloudTrail サービスとの統合により、組織の AWS 環境全体からデータを収集および分析できます。これにより、セキュリティチームは、侵入、アクセスの維持、データ窃取に使用される攻撃者の手法を効率的に特定できます。さもなければ見逃される可能性あるアクティビティです。

この Sophos XDR リリースの内容

データソースの拡張

データソースは、効果的な XDR 戦略において重要です。Sophos XDR は、豊富な仮想ネットワーク、SaaS メール、クラウドワークロードデータを利用しており、エンドポイントを超越しています。これは、Cloud Optix の AWS クラウド環境データソースでさらに強化されたことで、クラウド環境内の攻撃者の戦術をさらに明確に把握できるようになりました。

拡張テレメトリを使用してアクティビティを検出

セキュリティチームは、Sophos XDR の AWS CloudTrial からの Cloud Optix データを使用して、AWS クラウド環境 API、CLI、および管理コンソールのアクティビティを調査できます。その際に、初期アクセス、永続性、権限の昇格、およびデータ窃取などの MITRE ATT&CK IaaS マトリックスに関連付けられた完全にカスタマイズ可能で事前に作成された SQL クエリを使用します。

インシデントを調査し、より正確に対応

調査中に 1つの中央コンソールから全体像を把握できるようにすることで、チームはリスクと潜在的なセキュリティ侵害を迅速に特定できます。Sophos XDR の Cloud Optix データは、AWS CloudTrail アラートからより多くの価値を引き出し、アナリストが AWS 環境にアクセスした際に攻撃者がたどる可能性のある攻撃パスを効率的に照会できるようにします。

Cloud Optix の検出の例としては、AWS IAMユーザーに対して無効になっている多要素認証（MFA）、リソースを公開できるようにする AWS EC2 インスタンススナップショット属性の変更、AWS EC2 インスタンスからのデータ窃取などがあります。その後、チームは同じコンソールを使用して、IP アドレスアクティビティ、ATP 検出、サードパーティの脅威インテリジェンスルックアップなどの追加クエリを実行し、必要に応じて動作させることで、調査を充実させることができます。

使用を開始するには

開始するには、Intercept X Advanced for Server または Intercept X Advanced with XDR、および AWS CloudTrail が有効になっている Sophos Cloud Optix Advanced が必要です。

Cloud Optix を 使用して IT チームがクラウド環境をプロアクティブに保護する方法の詳細については、 Sophos.com/Cloud-Optix を参照してください。そこから無償版をお試しいただけます。AWS Marketplace で再販し、クラウドワークロード向けの Sophos XDR の詳細をご確認ください。