KeeperAI

KeeperPAMの特権セッションに対応したAIベースの脅威検出

概要

KeeperAIは、ユーザーセッションを自動で監視・分析して不審または悪意のある動作を検出する、エージェンティックAIによる脅威検出システムです。Sovereign AIフレームワークを基盤とし、ゲートウェイレベルで動作することで、セッション記録からリアルタイムでリスク分析を行い、セキュリティチームが迅速に脅威を検出できるよう支援します。

主な機能

  • 自動セッション分析: セッションメタデータ、キーストロークログ、コマンド実行ログを分析し、異常な挙動を検出

  • 検索機能: セッション全体を対象に、特定のキーワードや操作を検索

  • 脅威分類: 検出した脅威を自動的にカテゴリ分けし、リスクレベルを割り当て

  • 柔軟なデプロイ: クラウド環境およびオンプレミスでのLLM推論に対応

  • 設定のカスタマイズ: 環境に合わせてリスクパラメータや検出ルールを調整可能

対応プロトコル

現在対応済み

  • SSH

近日対応予定

  • データベースプロトコル

  • RDP

  • VNC

  • RBI

はじめに

要件

  • PAMゲートウェイバージョン1.5.4以上

  • オンプレミス展開用のDocker環境

  • LLM推論サービスへのアクセス (対応プロバイダについては下記参照)

有効化

リソースでKeeperAIを有効化する手順

  1. 管理者としてVault UIにログイン

  2. リソース管理セクションへ移動

  3. 保護したいSSHベースのリソースを選択

  4. 「KeeperAI」セクションを見つけ、スイッチを「オン」に切り替える

  5. 変更を保存

PAM設定でのKeeperAI

未対応のプロトコルについては、UI上にそれらのプロトコル向けの分類モデルが近日提供予定である旨表示されます。

LLM連携

概要

KeeperAIでは、大規模言語モデル (LLM) を活用して脅威検出機能を強化しています。PAM Gatewayは、任意のLLMと連携してセッションデータを分析し、高度なセキュリティ分析結果を生成します。この統合は、KeeperAIが不審なパターンを検出し、詳細なセッション要約を作成するための重要な基盤となっています。

対応LLMプロバイダ

KeeperAIは複数のLLMプロバイダに対応しており、柔軟な導入が可能です。

OpenAI-Compatible API

OpenAIの/chat/completionsエンドポイント形式に準拠したリクエスト/レスポンス形式を実装しているあらゆるAPIプロバイダに対応しています。

利用できるプロバイダの例 (一部抜粋)

推論プロバイダ
資料

Azure AI Foundry

Azure AI Foundry

Cerebras

Cerebras

Groq

Groq

Hugging Face

Hugging Face

Keywords AI

Keywords AI

LitelLLM

LiteLLM

LM Studio

LM Studio

Ollama

Ollama

OpenRouter

OpenRouter

Tinfoil

Tinfoil

TogetherAI

TogetherAI

Unify AI

Unify AI

vLLM

vLLM

構成

  1. ゲートウェイにLLMサービスへアクセスするための権限があることを確認します。

  2. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_SENTRY_LLM_PROVIDER: "openai-generic"
  KEEPER_GATEWAY_SENTRY_BASE_URL: "<your-base-url>"
  KEEPER_GATEWAY_SENTRY_API_KEY: "<your-api-key>"
  KEEPER_GATEWAY_SENTRY_MODEL: "<your-model-id>"
AWS Bedrock

AWSのツールを使用すれば、インフラ管理の必要なく、すぐに利用を開始でき、自社データで基盤モデルをプライベートにカスタマイズし、アプリケーションに簡単かつ安全に統合・展開することができます。

構成

  1. ゲートウェイに割り当てられたIAMロールに、AmazonBedrockFullAccessポリシーが付与されていることを確認します。

  2. AWSコンソールから、Amazon Bedrockの基盤モデルへのアクセスをリクエストします。

  3. サポートされているモデル一覧から使用するモデルを選び、対応するモデルIDを控えておいてください。

  4. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_SENTRY_LLM_PROVIDER: "aws-bedrock"
  KEEPER_GATEWAY_SENTRY_MODEL: "<your-model-id>"
Anthropic

構成

開始する前に、AnthropicコンソールでAPIキーを作成します

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_SENTRY_LLM_PROVIDER: "anthropic"
  KEEPER_GATEWAY_SENTRY_API_KEY: "<your-api-key>"
  KEEPER_GATEWAY_SENTRY_MODEL: "<your-model-id>"
Google AI: Gemini

構成

開始する前に、Google AIダッシュボードでAPIキーを作成します

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_SENTRY_LLM_PROVIDER: "google-ai"
  KEEPER_GATEWAY_SENTRY_API_KEY: "<your-api-key>"
  KEEPER_GATEWAY_SENTRY_MODEL: "<your-model-id>"
Google: Vertex

Vertexの利用が許可されているProjectIDを持つアカウントを使用する必要があります。Google Cloudアカウントを管理する際は、Vertexを有効化し、gcloud authで認証する際にプロジェクトのIDを指定するようにしてください。

gcloud auth application-default login --project MY_PROJECT_ID

  • Google Cloudのアプリケーションデフォルト認証情報を使用していれば、特別な設定をしなくてもそのまま認証が機能します。

  • options.credentials を設定すると、その指定が優先され、vertex-aiは指定されたファイルパスからサービスアカウント認証情報を読み込むようになります。

構成

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_SENTRY_LLM_PROVIDER: "vertex-ai"
  KEEPER_GATEWAY_SENTRY_MODEL: "<your-model-id>"
  KEEPER_GATEWAY_SENTRY_LOCATION: "<your-location>"
OpenAI

構成

開始する前に、Open AI PlatformのダッシュボードでAPIキーを作成してください

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_SENTRY_LLM_PROVIDER: "openai"
  KEEPER_GATEWAY_SENTRY_API_KEY: "<your-api-key>"
  KEEPER_GATEWAY_SENTRY_MODEL: "<your-model-id>"
Azure OpenAI

構成

  1. Docker Composeファイル内のゲートウェイサービスに、以下の環境変数を構成します。

environment:
  KEEPER_GATEWAY_SENTRY_LLM_PROVIDER: "azure-openai"
  KEEPER_GATEWAY_SENTRY_RESOURCE_NAME: "<your-resource-name>"
  KEEPER_GATEWAY_SENTRY_DEPLOYMENT_ID: "<your-deployment-id>"
  KEEPER_GATEWAY_SENTRY_API_VERSION: "<your-api-version>"
  KEEPER_GATEWAY_SENTRY_API_KEY: "<your-model-id>"

脅威検出と対応

リスク分類

KeeperAIは独自の分類器を使って脅威をリスクレベルに分類します。

  • 重大: 即時対応が必要な深刻な脅威

  • 高: 迅速な対応が求められる重要なリスク

  • 中: 監視が必要な潜在的リスク

自動対応アクション

脅威レベルに応じて自動対応を設定できます。

  1. KeeperAIの設定セクションに移動します。

  2. 正規表現で一致させるキーワードパターンを定義します。

  3. 各パターンを重大 / 高 / 中に割り当てます。

  4. 特定のリスクレベルでセッションを自動終了させることもできます。

セッション要約の確認

分析された各セッションにはAIによる要約が付与されます。

  1. ボルトUIのセッション記録セクションへ移動します。

  2. KeeperAIによる分析付きのセッションを選択します。

  3. 以下を確認できます。

    • 全体のリスクレベル

    • 検出された脅威カテゴリ

    • 詳細なセッション要約

    • 不審な操作のタイムライン

AIセッション要約とリスク評価

高度な設定

検出パラメータのカスタマイズ

検出の感度や条件を調整できます。

  1. KeeperAIの設定ページにアクセスします。

  2. 各脅威カテゴリのしきい値を調整します。

  3. 特定の脅威に対応するキーワードパターンを更新します。

  4. 設定を保存します。

ARAMイベントとの統合

KeeperAIは、検出された脅威ごとに自動的にARAMイベントを生成し、既存のセキュリティワークフローとの統合が可能です。

トラブルシューティング

よくある問題

  • 検出漏れ: 感度のしきい値を調整するか、カスタムキーワードパターンを追加

  • 誤検知: パターン一致ルールやリスクしきい値を調整

  • パフォーマンス問題: オンプレミスのLLM展開でリソース割当を確認

サポート

KeeperAIについてのお問い合わせは、pam@keepersecurity.comまでメールにてお寄せください。

FAQ

Q: 自分のLLMモデルをKeeperAIで使用できますか? A: はい。OpenAIの/chat/completionsAPIエンドポイントに準拠したプロバイダであれば使用可能です。

Q: KeeperAIはリアルタイムで動作しますか? A: はい。リアルタイムのセッションと、記録済みのセッションの両方に対して同じ分析ロジックを使用します。

Q: KeeperAIは機密情報をどのように扱いますか? A: 将来のリリースで、セッション要約から個人識別情報 (PII) を検出・除去する機能が追加される予定です。

前へボルトを使用した検出次へオンプレミス用コネクションマネージャー

最終更新