Vectra CDR for AWS with Amazon GuardDuty

主な課題

• アラートの質：ネイティブのツールは、脅威インテリジェンスと単純なベースラインの異常を活用した基本的なアラートに依存しています。そのため、アラートの量が膨大になり、アラートに対する疲労が蓄積され、結果として脅威が見落とされることになります。SOCチームは、高度な攻撃者の行動を忠実かつ低ノイズで表面化するソリューションを必要としています。
• 高度な調査機能の欠如：ネイティブツールによって浮上した脅威を調査するには、アラートの真偽を確認するために多数のサービスを渡り歩く必要がある場合が多い。例えば、Amazon GuardDutyは、すべてのアラートを、アクションを実行するために使用された一時的な認証情報(想定される役割）の最後のセットに帰属させます。このようなアラートを調査するために、アナリストは一時的なクレデンシャルのチェーンを通じて元のアクターまで手動でアクションを遡らなければなりません。トゥルー・ポジティブなインシデントが発生した場合、SOCチームは適切なアクションを決定する前に、脅威インシデントを手作業で関連付けることに貴重なリソースと時間を費やすことはできません。
• サイロ化されたスコープ： ネイティブツールには制限があり、多くの場合、保護対象のサイロ化された領域で動作する。Amazon GuardDutyはリージョンをまたいで動作しないため、セキュリティ・メタデータが断片化される。攻撃者はこのような制限に従わず、目的を達成するために必要なあらゆる手段を利用する。データセンター、SaaSアプリケーション、マルチクラウド環境を包含する今日のハイブリッドクラウド デプロイメントでは、ネイティブツールは組織のインフラストラクチャの重要な部分に対する可視性を欠いています。
• 運用の複雑性の増大：AWSセキュリティサービスの急速な拡大により、SOCチームのセキュリティスタック管理における監視リスクと複雑さが生じている。さらに、これらのサービス間で価格設定がばらばらであるため、ナビゲートするのが難しく、しばしば予想外の高額請求につながることがあります。