セキュリティ情報とイベント管理(SIEM)はログとルールに依存していますが、攻撃者の動きはより高速です。SIEMだけでは不十分な理由と、AI主導 脅威検知によって真の脅威をリアルタイムで発見する方法をご紹介します。
SIEMはセキュリティ運用の要ですが、その有効性はデータを取り込んでこそ発揮されます。ネットワーク、クラウド、SaaS、アイデンティティの各レイヤーから統合されたシグナルが届かず、ハイブリッド・インフラ全体に死角があると、SIEMは見えないものを検知 ことができません。
攻撃者はどのようにSIEMを回避するか
SIEMはログに依存しているが、攻撃者はログを無効にしたり、管理されていないデバイスを使用したり、キャプチャされないネットワーク・トラフィックを移動したりする。
脅威行為者は、LotL(living-off-the-land)テクニックを使用し、攻撃パターンを変更することで、静的ルールを迂回する。
SIEMは大量のアラートを生成し、誤検知が多いため、実際の脅威に対する検知やレスポンス いる。
SIEMだけでは、高度な脅威を検知 するには十分ではありません。なぜなら、SIEMはリアルタイムの振る舞い 検知ではなく、ログ収集と相関ルールに依存しているからです。セキュリティ・チームには、ログやアラートを超えて、脅威が発生した時点で 検知 するアプローチが必要です。
SIEMはセキュリティログを収集し、分析する:
SIEMだけでは、ログベースの検知を超える最新の攻撃を阻止することはできません。Vectra AI Platformは、ネットワーク、クラウド、アイデンティティの各レイヤーにわたってリアルタイムの脅威可視性を提供し、SIEMが取り残したギャップを埋めます。その方法をご紹介します:
Vectra AIを使用すれば、脅威が侵害に拡大する前に、リアルタイムで検知 ことができます。
SIEMがログに依存するのに対し、Vectra AIはネットワーク、クラウド、アイデンティティの各レイヤーでライブの脅威検知を提供する。両者の比較は以下の通りだ:
Vectra AIはSIEMに取って代わるものではなく、ログが見逃す脅威を検知することでSIEMを強化するものです。