RSAカンファレンス2024におけるVectra AI
15分間のデモを予約する

SIEMレスアーキテクチャによる可視化、検出、レスポンス

2019年3月20日
Vectra AI セキュリティ・リサーチ・チーム
サイバーセキュリティ
SIEMレスアーキテクチャによる可視化、検出、レスポンス

優れたインシデント・プログラム(レスポンス )の大きな課題は、可視化、検知、レスポンス の必要性と、使用可能で効果的なセキュリティ・スタックを構築・維持するためのコストや複雑さとのバランスをとることである。

歴史的に、セキュリティ情報・イベント管理(SIEM)は、脅威の検知、コンプライアンス・レポート、アラートの一元化、アナリスト・プロセスやワークフローの提供など、幅広いユースケースをカバーするために、多くのセキュリティ運用の中心となってきた。組織によっては、脅威の検知やログに関連するあらゆるものを一元管理するSIEMが理想的な場合もある。また、効果的なSIEMを管理できるかどうかは、人材を確保できるかどうかで決まる組織もある。ブルーチームの役割に熟練したスタッフの不足に直面している組織もある。

残念ながら、SIEMは一般的にオーバーヘッドを増やすことになり、すべての調査やインシデント(レスポンス )のワークフローがSIEMにある必要はない。重要なのは、脅威の検知に最も高いS/N比をもたらすイベントを知ることである。では、リソースに制約のある環境ではSIEMは何の役に立つのだろうか?

この問いに答えるには、まず脅威検知とインシデントレスポンス のニーズを定義することから始める必要がある:

  1. どこに存在しようとも、組織の資産全体を可視化する。これには、データセンターやクラウドのワークロード、会社所有のラップトップ、BYODやIoTデバイスなどが含まれます。
  2. セキュリティイベントの相関と、ワークロードとデバイスの関係を特定する能力
  3. 行動可能なレスポンス 。
  4. 反復可能なプロセスとワークフローにより、若手アナリストはセキュリティスキルを短期間で向上させることができ、上級アナリストは迅速かつ決定的な調査を行うことができる。
  5. どこからでも始められる脅威の検知と調査。

私は、ネットワークは最も広範な可視性を得る最も簡単な方法であり、どこを探すべきかを知るための素晴らしい出発点であると考えているが、他のデータソースはコンテキストを豊かにすることができる。

脅威の検知には、ログだけでなく、ネットワークとエンドポイントのコンテキストが必要である。そして、これらのデータ・ソースはそれぞれ、可視化、検知、レスポンス 、それぞれのデータ・タイプに特化して構築され、連携するために一から構築された専門ツールによってサポートされるべきである。

一般的なIT経験を持つインテリジェントな人材を次世代のセキュリティアナリストとして活用できる、新しいタイプのSIEMレス・セキュリティ・アーキテクチャが登場している。このような専門的な検知とレスポンスプラットフォームは、直面している脅威の種類に関係なく、効果的な調査の構成要素となる、理解しやすく反復可能なプロセスを提供します。

このダイナミック・アーキテクチャの3つの主要コンポーネントは、(1)ネットワークとエンドポイントの検知とレスポンス (NDRとEDR)と、(2)セキュリティの自動化とオーケストレーションの組み合わせで構成され、(3)インシデント対応のケース管理を実現します。調査は、ネットワーク、エンドポイント、セキュリティ・オートメーション、オーケストレーションのどこからでも開始することができます。追加的なケースのエンリッチメントとレスポンスの実施は、多くの場合、すでに使用している境界セキュリティツールによって提供されます。

このアーキテクチャは、Vectra 、CrowdStrikeDemistoPalo Alto Networks間の統合により、お客様の環境でよく使用されています。例えば、オーケストレーションによる統合は、Cognitoからのタグ付け、イベントのトリガー、Demistoの自動化に基づいて、情報に基づいたアクションを可能にし、セキュリティチームが非常に効果的なブルーチームを構築することを可能にする貴重な洞察を提供します。

Vectra の NDR や CrowdStrike の EDR のような優れたデータソースを使用することで、セキュリティアナリストは SIEM のコストと複雑さを排除し、より迅速なインシデントレスポンス のメリットを享受することができます。Vectra Cognito プラットフォームは、エンドポイントプロテクション、オーケストレーション、ファイアウォール、クラウド、および仮想化データセンターセキュリティと統合することを目的として構築されており、既存のインシデントレスポンス ワークフローを組織を補完する方法でサポートします。

これらの統合には、 VMwareMicrosoft AzureAmazon Web Services、CrowdStrike、Carbon Black、Demisto、SplunkJuniper、Palo Alto Networksなどが含まれます。これにより、セキュリティアナリストは、侵害されたホストデバイスや脅威インシデントに関する豊富なコンテキストを提供しながら、あらゆるプラットフォームやツール間で簡単にピボットできるようになります。

また、SIEMが脅威調査の中心であると認識しているために、SIEMと決別できないのであれば、CognitoはSIEM(QRadar、ArcSight、Splunk)でも十分に機能する。