■はじめに

先日のConvergeなどでTaniumから発表されたTanium Atlas。

弊社では評価環境で利用可能なため、どんなものかここでご紹介します。

更に、弊社で見つけたAtlas利活用の一例もご紹介します。
今までいろいろなAI活用製品に触ってきましたが、正直とても驚きました。

※ここでご紹介する活用例はあくまで弊社環境(プレビュー版)でのテストで確認されたものであり、また、AIの都度の解釈により実際の動作は異なる事が前提と言えます。
ここで記載する用例の再現性や動作に、弊社及びTanium社は一切の責任を負いかねる点についてはご留意ください。

=======================
もくじ
■Tanium Atlasとは
 ■活用例
 ■最後に
=======================

■Tanium Atlasとは

Taniumが新機能として追加予定のAIです。
Claude MythosなどフロンティアAIによる脆弱性検出および、類似の技術の悪用による攻撃に対しての防御にも有効な機能となります。

見た目はこんな感じの「よくある生成AIっぽい？」という印象です。
しかしながらこのAtlasは、単体でも驚くべき実力を秘めているうえに、Taniumのすべてのモジュールを何段階も進化させる機能だといえます。

検証で見えてきた基本的な仕様を箇条書きで記載します。
--------------------------------------
・日本語にはネイティブに対応
・インターネット接続は不可
・指示(目的)を渡せば、それを実現するためのTaniumのモジュール機能を自動登録
・コンソールを閉じていてもバックグラウンドエージェントによるタスクの自動実行が可能
・マルチモーダルには非対応？(Atlasへのファイルのアップロードやダウンロードは不可)
　※Tanium上のどこかにアップロードするか、TaniumAgentがインストールされた環境にファイルを置きそこを指定すれば認識はする)
・特定の指示や処理に関しては承認ゲート(バックグラウンドエージェントに明示的にGoを伝えなくてはいけない)が設定される。
　※条件は不明
・バックグラウンドエージェントの動作の期限は？
　※おそらく半永久。但し、連続した自動実行時のエラーや事前の期限設定、またはセッション/トークンの失効で止まる可能性はあります。
・チャットの管理者間での画面共有は不可。(RBACで同じ権限が与えられていても、ユーザーに紐づいた画面が表示される)
　※チャットログの外部出力の手段は何かしら考えておく必要あり？

★サービスとしての提供の詳細(ライセンス形態など)は現状不明です。
　公式サイトでは提供は6月となっています。
--------------------------------------

簡単なところではこんな感じでしょうか。

ただ、羅列しただけではいまいちピンと来ないのではないでしょうか。
上記の仕様を利用した用例をいくつか出してみます。

■活用例

活用例：アラートを自動相関分析させて、インシデントが起きたら通知させてみよう

これはもはやTaniumの新機能開発みたいな使い方になります。
Taniumはエンドポイントのセキュリティアラートを収集して分析可能にはしてくれますが、よくあるEDRのようにアラートを相関分析してインシデント化をするわけではありません。
エンドポイントでインシデントが起きてたくさん攻撃されても、それはTanium上では単にアラートの群れと見えてしまう可能性があります。
※おそらくそれだけアラートが出ていたら異常に気付きますが。。。

でも、Atlasにあらかじめインシデントの条件(インシデントとしての確度が高い攻撃の手法や検知の種類)を渡しておいて、
その条件に合致したアラートの傾向を検知した際にインシデントとしてまとめる。
更にそれを常に監視＆通知するようにバックグラウンドエージェントにタスクを渡したら、少なくとも通常のEDRと同等。
元々のTaniumの強みであるリモートでの復旧や調査他の機能面で見れば控えめに言って最強なのでは？

と気付きました。

ただ承認ゲートの挙動が担保できないので、どこで引っかかるかわかりません。
だから実際にやってみよう。となりました。

それではご照覧あれ。

---
------
-------------

まずは相手の出方をうかがってみました。
相互の認識が正しいか都度確認することが、AI利用においては大事です。
誤字についてはご勘弁ください。

EDRの機能についての認識は相違ない様子。
少しきつい言い方になりましたが、アラート監視と相関分析を打診してみると、できる上司みたいな反応を返してきました。
どうやら可能なようです。

メールの送受信を試してみます。

無事受信できていました。

次は...
腐ってもセキュリティエンジニア。
過検知対策と検知漏れ対策にはこだわります。
※実際ここの作りこみ次第で、EDRとしての質が決まります。
例えば同じイベントを何回も拾わないように、イベント差分の確認の概念を教えておくことも重要です。
また、監視間隔の幅も少なめにしないと、数件のイベントで5倍以上のインシデントメールがくる。
という事もあり得ます。

質にこだわります。
これで端末間の横移動もインシデントとして捕捉されます。

そして、承認ゲートの動作が気になるので、テストメールを送信してみました。
いくら作りこんでも、最後動かしたらダメだったというのは怖いので。

アラートが出てないからテストできないと。
ここまでしてもらいましたから。アラートを起こすくらいはお安い御用です。

ランサムウェアの挙動を模倣したペンテストツールを実行しました。
Defenderにより十数件のイベントが検出されアラートが生成されます。

すると...

バックグラウンドエージェントの恒常監視にイベントが引っかかりました！
成功です！

メールもばっちり。
ちなみにメールのフォーマットはまだ指定してませんでした。
にも関わらず、こんな感じで来たらいいな。というものがズバリ飛んできました。

更に、後続の攻撃イベントの相関を見てインシデントの緊急度の格上げまでしてくれました。
ここまで来て疑問が出ます。
凄いけど、凄すぎるだけに罠があるのでは？期間とか...。
一応回答は無期限とのことですが、仕様として見えない部分が不安なのが正直なところです。
セッションやトークンの内部的な切り替わりのタイミングで、エージェントが止まるかもしれません。
これは今後時間をかけて確認してみなくてはいけませんね。

如何ですか？
想像次第で不可能を可能にする。
AI+Taniumの潜在能力を使いこなすことで可能性は無限です。

※重ねてお伝えいたしますが、本活用例はあくまで弊社環境(プレビュー版)でのテストで確認されたものであり、また、AIの都度の解釈やアップデートにより実際の動作は異なる事が前提と言えます。
また、こちらの用法についてはAtlasに学習させるインシデントの判定条件によって挙動に大きな違いが生まれる可能性があります。
ここで記載する用例の再現性や動作に、弊社及びTanium社は一切の責任を負いかねる点についてはご留意ください。

今回はThreat ResponseモジュールとConnectモジュール(おそらく)の機能を裏で使ってくれたものと思いますが、
例えば脆弱性対策なら「Complyで使われる脆弱性の指標(KEVやEPSS)を加味したパッチリストを作って適用して！」
くらいの緩い指示でも、
・パッチリストの作成
・メンテナンスウィンドウの作成
・Enforcementの作成
・Deploymentの作成
まで自動ですべて完了してくれます。

皆さんも自分なりのスペシャルな使い方を編み出して実践してみてください！