2台目の開いたラップトップの横でDellのラップトップにタイピングする手のクローズアップのモノクロ画像。激しいサイバーセキュリティ作業やデジタル調査を示唆する真剣で集中した雰囲気が醸し出されています。.

SOCの現状とSIEMの活用

ユーザーアバター
ジェイ・スパン
4 1分間の読書

SOARの過去、現在、そして未来 パート1

セキュリティオペレーションセンター(SOC)は、あらゆる種類のアラート、攻撃、インシデントに迅速かつ効果的に対応し、無駄のないチームを運営しながら、経営陣にROIを証明できる必要があります。これを実現するには、高度なスキルと訓練を受けた人員、十分に文書化されたプロセス、そして細かく調整されたテクノロジーが必要です。残念ながら、この魔法のような組み合わせに恵まれているSOCは多くありません。その代わりに、絶え間なく変化する脅威環境と高度な攻撃者から毎日大量に送信されるアラートを、人員の頻繁な入れ替わりやさまざまなツールやプロセスで管理しなければなりません。このような典型的な環境では、アナリストがアラートを受信し、その重要な詳細を読んで理解し、データをコピーして他のツールに貼り付けて誤検知でないことを確認し、攻撃を阻止して修復を開始するには、時間がかかりすぎます。組織は、これほどの時間、脆弱な状態を放置することはできません。.

しかし、当社には SIEM があります。.

A セキュリティ情報イベント管理(SIEM)システム SIEMは、現在、上記の深刻な問題に対処するために、ほとんどのSOCで利用されています。SIEMの問題点は、通常、膨大な量の情報を生成するため、SOCが対応するのが困難になることです。実際、 最近のエンタープライズ・マネジメント・アソシエイツ(EMA)の調査, 1 日に生成されるセキュリティ チケットの 64% は、人員不足のために調査されません。.

SIEMソリューションはアラートデータの収集には役立ちますが、ビッグデータツールではありません。セキュリティチームは、SIEMアラートに付随する膨大なデータセットをマイニングし、迅速な意思決定やパターンや傾向の特定を行うためのビッグデータツールを必要としています。組織は、データ管理、データパイプライン、さらにはクラウドコンピューティングなど、利用可能なツールやリソースを検討し、セキュリティ面で同様のツールを利用できない理由を疑問に思っています。組織がログ集約、ログ管理、データ分析などのリソースをクラウドに移行するにつれて、SIEMに加えて、それらのインフラストラクチャ内でネイティブに利用できるツールにも注目し始めています。理想的には、開発とエンジニアリングの観点から、セキュリティ運用のために社内で使用しているのと同じテクノロジースタックとリソースを活用できるでしょう。.

自動化を導入します。.

SIEMアラートに対応するため、SOCは自動化を導入しています。チームは、ログの標準化、ログ管理、ログの集約、相関アラートによるログデータの調査とレビューなど、数多くのタスクを自動化しています。もちろん、すべてのログアラートを確認することは不可能です。むしろ、目標はログ情報の集約と分析を自動化することです。そして確かに、組織は過去10年間でこのレベルの自動化の導入に比較的成功してきました。.

しかし、セキュリティ運用(SecOps)における人的要素の自動化が限られていたため、実際には、ファネルの上部で人的作業量を抑えただけでした。組織は可能な限り自動化を進めることで、優先順位付けや重複排除に注力するようになりました。自動化を真に活用するには、アプローチを見直し、攻撃のライフサイクルの早い段階で機会を特定する必要があります。例えば、相関分析や分析を必要としない、対応策を講じることができる早期の重要業績評価指標(KPI)は存在するでしょうか。組織は、SIEMやデータレイクにデータを提供するテクノロジーは、元の状態で高い忠実度と実用的なデータ量を備えており、それほど多くの処理を必要としないことに気づき始めています。.

つまり、今日のSOCにはより高度な自動化が必要なのです。それだけでしょうか?

組織がリソースを拡張していく中で、検知が発生し、対応が必要になった場合はどうなるでしょうか。クラウドベースやその他のリソースが絶えず追加されていることを考えると、検知と対応はどこで処理すべきでしょうか。監視対象となる領域は、IoT(モノのインターネット)デバイス、仮想化、モバイルデバイス、コンテナ化など、監視が必要な変更や追加が大量に発生し、絶えず急速に拡大しています。これらのテクノロジーにはそれぞれ、インフラストラクチャ要件、監視要件、セキュリティ、パッチ適用、脆弱性評価の要件があります。今後5~10年でIP対応デバイスの数が1,000億台に達すると予測されていることを考えると、安全を維持するために必要な作業の数は膨大です。将来を見据えたセキュリティ運用の構築を目指す組織にとって、その領域全体にわたる柔軟性と拡張性は非常に重要です。つまり、一言で言えば、答えは「ノー」です。SOCにおける自動化の改善だけでは不十分なのです。.

この 3 部構成のブログ シリーズの次の 2 回では、セキュリティ オーケストレーション、自動化、対応 (SOAR) が、ここで説明した SOC の現状の問題をどのように軽減しているか、また組織が SecOps の新たな 10 年に向けて留意すべき点について見ていきます。.

ウェビナー: セキュリティオーケストレーション、自動化、レスポンスの過去、現在、そして未来

手作業によるインシデント対応プロセスと経験豊富な人材の採用難により、セキュリティチームは増大するアラートへの対応に苦慮しています。SOARは、人材、プロセス、テクノロジーを統合することで、インシデント対応プロセスを効率化・迅速化します。このオンデマンドSwimlaneウェビナーでは、調査、レポート、そして実際のSOAR顧客データに基づき、SOARの過去、現在、そして未来を深く掘り下げます。.

今すぐ見る

タグ

2019年12月10日
SOARの現状 2019: SOARツールの使用でどのように生活が楽になるか
続きを読む
2018年3月13日
SIEMトリアージにセキュリティ自動化とオーケストレーションを使用する
続きを読む
2020年1月30日
SOARの現状
続きを読む

ライブデモをリクエストする