アクティブセンシングファブリックで脅威に迅速に対応する方法

新しいセキュリティ イノベーションにより、発生時点でアクションを実行します。.

ビッグデータとさらに大きな脅威の時代へようこそ。.

クラウド環境の拡大や無数のデバイス間の接続性向上に伴い、テクノロジーが進歩するにつれ、セキュリティチームが監視・保護を担うデータの量も増加しています。データの増加に伴い、何が起こるでしょうか？侵入してくる脅威の数と巧妙さは飛躍的に増加します。.

セキュリティチームは、SIEM、XDRなどのセキュリティツールから送られてくる大量のアラートを評価する責任を負っています。これらのツールは、不審な活動や攻撃を可視化してくれるので、それは重要です。しかし、本当に十分な可視化を実現できているのでしょうか？そしてさらに重要なのは、これらのツールは可能な限り効果的な対応を提供できるのでしょうか？

犯人：より大きく、より幅広いデータセット

セキュリティアナリストの仕事は、増大する脅威を効果的に検知し、対応するためには、ビッグデータ（より大規模で多様なデータセット）を取り込む必要性が高まり、日々困難になっています。これは誰にとっても当然のことです。しかし驚くべきは、こうしたアクセスが困難なテレメトリソースを実際に可視化し、脅威の発生場所を問わず、発生源で阻止するために必要な対応能力を備えたセキュリティツールがいかに少ないかということです。.

セキュリティアナリストはセキュリティインシデントに迅速に対応する必要がありますが、人間の処理能力には限界があります。セキュリティシステムが即時の可視性と対応力を提供するように設計されていない場合、何千ものアラートにどうやって対応できるでしょうか？脅威に先手を打つ唯一の方法は、脅威が発生した瞬間にそれを検知するツールを活用することです。.

Active Sensing Fabricのようなイノベーションは、環境全体にわたるリアルタイムの脅威検知と分析を提供することで、この問題を解決します。これにより、脅威を特定してより迅速に対応し、攻撃ライフサイクルの早い段階で侵害を阻止することで、ビジネスへの影響を最小限に抑えることができます。.

より迅速な対応のためのセキュリティツール

今日のセキュリティ チームは、タイムリーに取り込み、分析し、対応する必要があるデータの量に圧倒されています。.

セキュリティ情報およびイベント管理 (SIEM) プラットフォームはアラートの集約とトリアージには役立ちますが、対応やプロセスの自動化はできません。これらのソリューションは、アナリストがアラートに迅速に対応し、効果的な対応プロセスやケース管理をSIEMから直接管理できるような設計になっていません。.

拡張検出および対応（XDR） ツールは複数のソースにまたがるアラートを検知できますが、本質的に閉鎖的なエコシステムであるため、アクセスが困難な（しかし重要な）テレメトリソースを可視化できません。確かに、これらのツールは検知範囲を拡大しますが、同時に人間による監視要件も拡大します。これでは、少なくともセキュリティリーダーが必要とするレベルの、真の意味での拡張対応は実現できません。.

レガシー セキュリティ オーケストレーション、自動化、および対応 (SOAR) これらのソリューションはユーザーフレンドリーではないため、小規模でコードへの依存度が低いセキュリティチームには実用的ではありません。複雑なビジュアルプログラミング環境が必要となるため、開発者以外の人が効果的に使用するのは困難であり、ましてや脅威が被害をもたらす前に迅速に阻止することは困難です。.

ローコードセキュリティ自動化 Active Sensing Fabricと呼ばれる革新的な技術を活用し、脅威の検知、集約、そして手動によるアラートトリアージのプロセスを経ることなく、脅威発生時に即座に対応を開始します。この機能により、組織はセキュリティ専門家が設定した事前定義されたルールやポリシーに基づいて、対応を自動化できます。これらのツールは、一般的なユースケースや反復タスクを自動化することで、アナリストの作業負荷を軽減し、対応時間を短縮し、効率性を向上させるため、ますます人気が高まっています。.

アクティブセンシングファブリックとは何ですか?

Active Sensing Fabricは、セキュリティ自動化ソリューションを従来のSOARプラットフォームのテレメトリソースを超えて拡張することを可能にします。より大規模で幅広いデータセットを取り込み、ソースで即座にアクションを実行することで、複雑なコーディングを必要とせずにテクノロジーサイロを接続できます。これにより、脅威をこれまで以上に迅速に特定、追跡、対応できるようになります。.

仕組み

Swimlane TurbineのActive Sensing Fabricの目的は、セキュリティ運用の進化を可能にすることです。そのために、複数の分散型ビッグデータセットからクラウド規模のデータを取り込みます。これは、Webhook、ポーリングリクエスト、Pub/Sub、ファイル作成、SMSメッセージ、メールメッセージ、IoTなど、様々なデータストリームを含む現代のインフラストラクチャにとって不可欠です。.

Active Sensing Fabricは、以下の3つの主要機能を活用することで、自動化プラットフォームがこれらのソースから直接データを取得し、必要に応じてSIEMログも取得することを可能にします。これにより、ソースに近い場所でアクションを実行し、滞留時間を短縮できます。Active Sensing Fabricは、セキュリティエコシステム全体を監視して、ソースで直接、即座にアクションを実行します。.

強力な前処理とインラインエンリッチメント = 即時アクション

セキュリティツールにとって、ノイズの排除は最優先事項です。ローコード自動化ソリューションは、数千もの自動化を同時に実行することで顧客環境のノイズを排除し、アラート疲れによるアナリストの疲弊を軽減します。ビジネスロジックとプロセスは、カスタムデータフィルタリング、前処理、重複排除、インラインエンリッチメントを順番にアプリケーションに提供することで、データの過負荷を軽減します。その結果、アナリストの対応が迅速化されます。.

ダイナミックリモートエージェント = 安全な分散組織

リモートエージェントは、組織内のアプリケーションやシステムをセキュリティ自動化プラットフォームに、高度に安全かつスムーズに接続することを可能にします。このアーキテクチャにより、複数のVPNや複雑なネットワークを様々なテクノロジーに接続するために構成する必要がなくなります。大規模組織では、複数の事業部門やセグメント化された環境間でシームレスな接続が可能になります。マネージドセキュリティサービスプロバイダー（MSSP）では、多様な顧客基盤にわたる複数のインフラストラクチャの管理が容易になります。.

柔軟なWebhooks = データ取り込みを簡素化

Webhook機能により、実用性を拡大できます。柔軟なWebhookにより、製品、ベンダー、サービスは、包括的なセキュリティ自動化プラットフォームにリアルタイム通信をプッシュできます。Webhookをサポートするあらゆるテクノロジー向けに新しいWebhookリスナーを作成でき、ローコードセキュリティ自動化プレイブックに数秒で直接プラグインできます。柔軟な認証オプションにより、サードパーティ製ツールの多様な機能を簡単に管理できます。プレイブックでWebhookを使用することで、アナリストはイベントをリアルタイムで可視化し、MTTDとMTTRのセキュリティ指標を迅速に改善できます。.

セキュリティ運用のメリット

アクティブセンシングファブリックのアプローチを採用することで、セキュリティチームは脅威の検知能力と対応能力を向上させ、より迅速に対応できるようになります。これにより、セキュリティ運用チームは以下のことが可能になります。

• 滞在時間を短縮し、MTTD と MTTR を高速化することで、セキュリティ メトリックを改善します。.

• アラート疲労を軽減し、手動タスクからアナリストを解放することで、アナリストのエクスペリエンスを向上させます。.

• 分散した組織、サイロ化されたビジネス ユニット、またはセグメント化された環境を接続して、複雑な環境を統合します。.

• リアルタイムでアクションを起こして可視性と実用性を拡大し、組織の効率と効果を高めます。.

セキュリティチームは、防御に努め、脅威を予測し、組織への不正アクセスを阻止するシステムを導入するという困難な任務を担っています。Active Sensing Fabricは、Swimlane Turbineなどのローコードセキュリティ自動化ソリューションに新たに搭載された機能で、脅威の発生を即座に追跡することで、セキュリティチームがより迅速に対応することを可能にします。.