Sumo Logic(スモーロジック)は2026年6月4日、プラットフォーム全体の検出ルールメタデータを更新するためのコンテンツリリースを公開したと発表した。このアップデートでは、89のルールにわたるMITRE ATT&CKの戦術および技術タグが、MITRE ATT&CK v19フレームワークに合わせて調整された。このフレームワークでは、以前の「防御回避」戦術が「ステルス」に再分類され、新たに「防御阻害」戦術が導入された。
発表によると、影響を受けるルールは、ATT&CK v19の再構築後も検出ワークフローにおける脅威分類の正確性を維持するために、正しい後継技術と戦術識別子を参照するようになった。これらの変更は、クラウドインフラストラクチャー、IDおよびアクセスイベント、エンドポイントの脅威、開発者ツール、永続性およびレジストリーの変更など、幅広い検出対象に適用されるとのことだ。
プラットフォーム固有のアップデートには、AWS(例えば、過剰なOAuthアプリケーション権限スコープとインスタンスライフサイクルイベント)、Azure(踏み台ホストと仮想マシンのライフサイクル検出、Azure DevOpsエージェントプールアクティビティー、OAuthアプリケーションの同意など)、およびGoogle Cloud Platform(インスタンスの作成、削除、変更)のルールが含まれるとのことだ。Okta、LastPass、GitHub、Google WorkspaceのIDおよびコラボレーションツールの調整も報告されており、例として2要素認証の変更、リポジトリーの可視性とPRレビュー要件の削除、OAuthアプリケーションの認証イベントなどが挙げられている。
エンドポイントおよびマルウェア対策ルールも更新され、Mimikatzの検出、ランサムウェアの指標、認証情報ダンプのパターン、永続性およびレジストリキーの変更、Gatekeeperのバイパスやシステム整合性保護の変更といったmacOS固有の動作などが挙げられている。さらに、クラウド全体にわたるログ構成の変更、コンテナレジストリーイベント、chmodの誤用やホスト上でのHARファイルの作成といった疑わしいコマンドやファイルのアクティビティーも検出対象として更新されたとのことだ。
今回の発表では更新されたルールの包括的な一覧が提供され、ATT&CK v19の後継技術および戦術に合わせるために再タグ付けされた、MATCH、FIRST、OUTLIER、LEGACY、CHAINといった接頭辞が付いた特定の検出項目が挙げられている。この更新は、検出ワークフローと脅威分類が最新のATT&CKフレームワーク構造と一貫性を保つことを保証するものとして位置付けられている。
出典:Sumo Logic
この製品の詳細については、Sumo Logic製品ページをご覧ください。
