セキュリティ運用のために開発されたユースケースやプレイブックが準備でき、組織にとっての価値を証明し始めるまで、どれくらいの時間がかかるのだろうかと考えたことはないだろうか。私は過去に、セキュリティ情報・イベント管理 (SIEM)システムを広範囲に扱っていました。
私の経験では、セキュリティ運用が直面する重要な課題の1つは、価値を見出すまでの時間である。投資対効果(ROI)をどれだけ早く証明できるか?なぜ導入に時間がかかるのか?どのようなログ・ソースを監視し、適切な可視性を提供しているのか?脅威指向のユースケース(内部脅威、脅威ハンティング...)なのか、制御指向のユースケース(特権アクセス乱用...)なのか、資産指向のユースケース(クラウン・ジュエル・プログラム...)なのか、コンプライアンス指向のユースケース(HIPAA、GDPR、PCIなど...)なのか、といった疑問は、セキュリティ運用チームとの議論の中で頻繁に出てくる。
SIEMはセキュリティ運用チームにとって中心的な場所やリポジトリとして基本的な位置を占めていますが、既に行ったSIEMへの投資を加速してさらに良いものにする方法を考えたことはありますか?あるいは、SIEM のユースケースの数を加速して単純化し、その過程で開発と保守のコストを削減するにはどうすればよいでしょうか。
新しいユースケースを実装するために、組織はいくつかの異なるステップを踏まなければならない。使用したいモニタリングツール(例えば、どのログソースからデータを取得するか)を確認する、データソースの要件を決定する、ユースケースのコンテキストとデータ要件を理解する、ユースケースの実装によって新規または影響を受けるプロセスや運用手順を特定する、コンテンツを開発、テスト、本番運用する、パフォーマンスをテスト、レビューする、ユースケースをライフタイムにわたって継続的に調整する。
あらゆるツールやユースケースがあるため、SIEM はセキュリティ運用チームにとって多くのノイズとなることが多い。その結果、スキル不足、サイロ化したテクノロジーがうまく連携しないこと、情報過多、セキュリティチームの絶え間ない(再)雇用、トレーニング、能力強化に伴う総所有コストの高さなどが話題に上るようになる。
価値実現までの時間を短縮し、すでに行った投資を補強し、ユースケースの概念を単純化する方法があるとしたらどうだろう?
最近の顧客エンゲージメントでは、顧客はSIEMを管理する外部パートナーに89のユースケースを開発してもらいたいと考えていた。1つのユースケースを開発するのにかかる平均コストは、顧客にとっては10,000ドルということになる。その1つのユースケースを維持するためのコストは2,500ドル/年であり、この例では合計222,500ドルの年間維持コストがかかることになる(注:これは継続的な検証などを行うためのマンパワー・コストであり、テクノロジー・コストではない)。
Vectra のネットワーク検知とレスポンス (NDR)を活用し、攻撃者の行動検知に焦点を当て、セキュリティ研究とデータサイエンスを組み合わせることで、これらのSIEMユースケースの多くは、Vectra 検知ファミリーに分類され、次のような結果になる:
- 89のユースケースのうち66のユースケースを直接サポート(ユースケース開発費59万ドル相当
- Vectra 、技術投資の大部分は、ユースケース開発(終わりのない作業)の節約によって即座に相殺される。
- Vectra 技術に基づくユースケースアプローチから攻撃者の行動に基づくユースケースアプローチに単純化し、59のユースケースを22の検知ファミリーに最小化することで複雑さをさらに軽減。
- さらに、Vectra は、アラートの優先順位付けを活用し、コンプライアンス・ニーズへの準拠を促進することで、セキュリティ・オペレーション・センター(SOC)におけるセキュリティの非効率性、非効率性、ノイズの削減を支援します。
ユースケースをVectra 検知ファミリーに単純化した例:
つまり、SIEMとVectraを組み合わせることで、価値実現までの時間、既存のテクノロジーの価値をどのように高めるか、セキュリティ・オペレーション・アナリストの生活をどのように向上させるか、といった話がすぐにできるようになり、最終的にはSIEMの導入がより成功しやすくなるのです。
エンドポイント検知とレスポンス (EDR) およびSIEMに関連するNDRの 技術的価値の詳細については、こちらをご覧ください。