クラウド内で脅威の表面が増大し、毎日多数の暗号化されたハイブリッド クラウド攻撃がシステムをターゲットにしているにもかかわらず、コスト効率の高い脅威検知、シグナルの明瞭さ、カスタマイズされたユースケース ルールと対応を提供するために SIEMに依存していますか?
残念ながらそれは機能していませんが、あなたはすでに気がついていたかもしれません。
すべてのツールと同様、SIEMは適切なコンテキストで正しく使用された場合に最も価値があります。 今日の複雑でハイブリッドな脅威環境では、SIEMがどこで優れているか、どこでそうでないかを認識することが重要です。つまり、SIEMにその能力を超えたパフォーマンスを求めるのは賢明ではなく、SIEMへの投資から必要な利点、成果、ROI を実現することができなくなります。
「SIEMへの懸念」の台頭
SOCチームは、SIEMには対応範囲と可視性が欠けていることを知っていますが、脅威の検知とレスポンスにおける問題点を解決するのに適したツールがあることを認識していないため、SIEMに過度に依存してきました。 おそらく、このようなセキュリティの曖昧さから生じるストレスについては、少なからずご存じでしょう。 AI主導のハイブリッド脅威環境における SIEM への過度の依存を、私たちは“「SIEMの懸念」と呼んでいます。 以下に、SOC チームが SIEM に多くを求めすぎ、その結果、日常的に SIEM の不安を経験している 10 の方法を示します。
1.検知 、調査、攻撃への対応をSIEMだけに頼る
SIEMはルールベースですが、高度な攻撃はしばしばルールを回避します。この1つの要因だけで、新たな攻撃を特定し、それに対処するための新たなルールを作成するために、高価で、労働集約的で、最終的には人材と士気を奪う重労働が連鎖的に発生します。
2.SIEMへの投資がプラスのROIを生むことを期待する
SIEM ユースケースの開発コストが高騰する中、SIEM の時間対価値の比率は悪化しています。例えば、Splunkの平均コストは 1 ユースケースあたり 6,000 ドルで、QRadar の平均ユースケースコストは約 12,500 ドルです。 ユースケースの平均年間メンテナンスコストは年間約 2,500 ドルで、総コストは数十万ドルに達します。 言い換えれば、SIEM への投資がプラスの ROI をもたらす可能性は、少ないと言えます。
3.SIEMのユースケースの量は制御不能
高度なサイバー攻撃の増加により、ケースの開発やメンテナンスのコストが上昇しています。
4.SOCレベル1のワークロードは爆発的に増加している(あるいは既に増加している)
#3に関連して、SIEMに過度に依存しているということは、真陽性、良性陽性、および偽陽性の分類をアナリストベース (つまり人間ベース) の脅威検知に依存しすぎていることも意味します。 それはコストがかかり、チームの才能の悪用になります。
5.SIEMに頼ることで、検知ルールの微調整やアラートのトリアージなど、チームの努力を効率化できる
#4 に関連しますが、アタックサーフェスが拡大するにつれて、インデックス付け、強化、分析が必要なデータの量も増加します。 これは、ユースケースとルールの作成と実装に手作業でかかる時間が増え、プロセスが複雑になることを意味します。
6.SIEMが熟練者不足を解消すると考えている
手動でユースケースをコーディングしたり、毎日何千ものアラートを分析したりするなど、労働集約的なプロセスにチームを従事させると、SIEM の有効性が低下し、SOC チームの士気が低下します。 その結果、セキュリティ チームを常に (再) 雇用し、トレーニングすることになります。
7. SIEMから明確なシグナルを期待する
ほとんどの場合、SIEM は大量のシグナルノイズを生成します。 なぜ? それは、ハイブリッドアタックサーフェスに正確な統合シグナルを提供するように構築されていないからです。 データを収集するために構築されています。 SIEM は 1 日に何百ものアラートを生成できますが、既存のユースケース ルールを通じてのみシグナルや振る舞いパターンを認識できます。 新規または未知の攻撃 TTP やゼロデイ エクスプロイトは検知できません。 誤ったアラームを識別することと新しいルールを作成することの間で、SIEM のみを使用することは、チームにとって継続的な手動の戦いを意味します。
8.環境内の攻撃者の振る舞いの兆候を素早く発見するために、SIEMを活用する
クラウドのフットプリントが急激に増加する中、攻撃者は環境に侵入し、永続化する手段を作成するために必要な開口部は 1 つだけです。 ハイブリッド攻撃者は高速かつ機敏であるため、SIEM が遅れをとらないようにするには、エンジニアが攻撃者のあらゆる動きを予測するルールと相関関係を手動で作成し、それに対するルールを用意する必要があります。 不可能だと思われますか? 確かにそうです。
9.SIEMが簡単に素早くカスタム検知を行い、侵入後のカバレッジを確保できることを期待する
SIEMはログ集約においては優れた機能を果たしますが、エクスプロイト後のカバレッジのために SIEM内でカスタム検知を構成しようとすると、好ましい結果は得られず、コストが追加されます。
10.SIEMのサイロ化されたテクノロジーに依存することで、コミュニケーションとカバレッジの強化が可能になる
SOCチームは、拡大する脅威の量に対して苦しい戦いを強いられるだけでなく、互いに対話しない多数のサイロ化されたツールからのシグナルやアラートを管理しています。これは災難の方程式です。SOCチームの作業量、複雑さ、リスク、労力の無駄というスパイラルは、組織のセキュリティ低下を意味します。
SIEMからSignalへの移行Vectra AI
効率、コスト、人材の最適化に関して SIEM と SOC チームを最大限に活用する、より賢い方法があります。 Vectra AI プラットフォームは、チームにとって時間と費用がかかり、機会損失が生じる手動の分析主導のアプローチではなく、分析主導の検知によって SIEM パフォーマンスを劇的に向上させます。 Vectra AI は、検知範囲を拡大し、脅威に優先順位を付け、AI 主導の振る舞いモデルと機械学習を使用して、検知範囲を拡大する集中的な調査を提供します。
また、Vectra AIは、クラウドからのログテレメトリー、脅威インテリジェンス、その他のソースと、収集されたパケットから入手可能な高精度のメタデータを組み合わせて、影響を受ける資産を正確に特定します。 SIEMベースのソリューションとは異なり、攻撃が行われる環境間を移動し、リアルタイムのクラウドとネットワークの動作に基づいて実用的なセキュリティ インテリジェンスをアナリストに提供します。 これらの機能により、Vectra AIは、以前にSIEM向けに想定されていた多くの同じユースケース (およびかなりの数の新しいユースケース) を、より優れた効率と低コストで実現するのに完全に適しています。
SIEMを最大限に活用するための詳細については、SIEMとSOARの最適化方法をご覧ください。インフラを保護し、検知とレスポンス を合理化する方法をご紹介します。