米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はこのほど、「CISA Releases RedEye: Red Team Campaign Visualization and Reporting Tool|CISA」において、レッドチームの指揮統制活動を可視化し、報告するための対話型オープンソース分析ツール「RedEye」をリリースしたと伝えた。RedEyeにより、オペレーターは複雑なデータを迅速に評価し、緩和策を評価し、効果的な意思決定を行えるという。

  • CISA Releases RedEye: Red Team Campaign Visualization and Reporting Tool|CISA

    CISA Releases RedEye: Red Team Campaign Visualization and Reporting Tool|CISA

RedEyeは、CISAおよび米国エネルギー省(DOE: Department of Energy)のパシフィックノースウェスト国立研究所(PNNL: Pacific Northwest National Laboratory )が開発したオープンソースの分析ツール。

オペレーターはレッドチームの評価に応じて、複雑なデータの評価と表示、緩和策の評価、効果的な意思決定などが可能になり、Cobalt Strikeからのログなどを解析し、データを消化しやすい形式で表示できるという。ツール内に表示されるアクティビティにタグを付けてコメントを追加することができ、RedEyeのプレゼンテーションモードを使用して調査結果やワークフローを関係者に提示も可能と紹介されている。

  • Red Team C2 Log Visualization

    Red Team C2 Log Visualization

「RedEye」は、オペレーターが効率的に作業できるよう次のような支援が提供されている。

  • 何千行ものログテキストを手作業で流し読みするのではなく、レッドチームの評価活動をそのまま再生し、実演することが可能
  • 複雑な評価データを表示、評価し、効果的な意思決定を可能にする
  • レッドチームによる評価や侵入テスト中に行われた攻撃経路や侵入されたホストをより明確に理解できる

RedEyeの詳細はGitHubで確認することができる。また、CISA公式YouTubeチャンネルにデモ動画があげられており、そちらも参考になる。