データスキーマとSOCのロゼッタストーン

自動化：技術者はますます限られた時間を解放してくれるので大好きで、リーダーはそれがより良い仕事につながるので大好きです。 投資収益率 テクノロジーと人材の両方に。ではなぜすべてを自動化しないのでしょうか？ セキュリティ自動化 扱うべきデータとその多様なスキーマのために、依然として難しい場合があります。簡単に言えば、データスキーマとは、データを整理し、関連付け、格納する方法です。これは、テクノロジーが話す言語と考えることができます。人間が多くの言語を話すように、テクノロジーも同じです。しかし、なぜそうなるのでしょうか？そして、どのように スイムレーンタービン このデータの課題に対処するには?

セキュリティオペレーションの歴史を簡単に振り返ってみましょう（セキュリティオペレーション).

ログ：この映画は以前にも見たことがある

として セキュリティオペレーションセンター（SOC）実務者, これまで、私たちの最大の懸念事項の一つは常に可視性であり、あらゆるものからログを取得する必要がありました。しかし、ログを移動するための標準的で実績があり、十分に文書化されたプロトコル（syslog）は存在し、ログを必要な場所に転送するのに役立っていましたが、ログの標準フォーマットがありませんでした。セキュリティ関連かどうかに関わらず、あらゆるアプリケーションの開発者は、ログを好きな形式で保存できました。syslogプロトコルで送信するだけでよく、実際、ほぼ常にそうしていました。.

つまり、ログをソースからアグリゲータ（Syslogコレクターか後続の シーム システムはシンプルでした。しかし、実際に導入してみると、関連するデータを意味のあるフィールドに自動的に配置する組み込みのログ解析ロジックに頼るか、自分でパーサーを作成する必要がありました。そうしないと、表示されている内容を理解することができず、データが扱いにくくなり、ほとんど役に立たないものになってしまいました。.

SOAR: 物事は変化していく…

この課題は今日でも依然として存在しています SOARプラットフォーム, なぜなら、同じ種類のデータを使って同じことをしているにもかかわらず、その目的が強化され、拡張されているからです。以前は、単に「構造化データ」、つまりログを取得して整理したいだけでした。今日では、問題はさらに複雑になっています。単に構造化データを取得して読み取るだけでなく、無数の手段を通して、いわゆる半構造化データと呼ばれるデータも増え続けているからです。 REST API, さらに、Webhook経由でもデータを取り込んでいます。以下では、AIを活用したセキュリティ自動化プラットフォームが他のプラットフォームとどのように異なるのか、そしてSOARや SOC チャレンジ。. 

信号の処理…

自動化には、追加のアクションをトリガーするための何らかの「シグナル」が必要です。SecOpsにおけるシグナルは通常、エンドポイント検知システム、SIEMシステム、次世代ファイアウォールなどから発生するアラートです。 クラウドセキュリティ システム。しかし、シグナルは脆弱性の発見など、他の形をとることもある。, 攻撃対象領域 イベント、OT 応答アラート、さらには ID プロビジョニングのための新しいユーザー要求やアプリケーション スキャンを必要とする新しいビルド要求などのプロセス指向のイベントも含まれます。.

これらのシグナルの問題点は、以前のログと同様に、異なる要件を持つ異なる開発者によって作成されており、特定の標準やフレームワークがないことです。その結果、, SecOpsチーム 多くの場合、自動化を検討する際に、次のような同じ種類の課題に直面します。「今受け取ったこの大量のデータの中で重要なものは何だろうか?」

…そしてアクションを重ねる

さらに、データや行動を別の組織に押し戻すこともよくあります。 REST API あるいはWebhooksです。ログのSyslogと同様に、これらはすべて主要な転送メカニズムとしてJSON-over-HTTPに標準化されていますが、各システムは独自のエンドポイント、フィールド、データ形式の要件を維持しています。つまり、ソースツールからの入力データを解析するだけでなく、出力データも適切に解析・フォーマットする必要があります。そうすることで、プロセスやワークフローの重要な部分を担う他のツールと効果的かつ効率的に連携できるようになります。受信ツールが送信内容を理解できない場合、単にエラーが発生するか、あるいはさらに悪いことに、「ゴミを入れればゴミが出る」という状況に陥るのです。.

タービンはどのように役立つのでしょうか?

では、何が見つかるでしょうか スイムレーンタービン ビルダーやオーケストレーターがこうしたデータ形式の課題をより迅速かつ簡単に克服するのに役立つものは何でしょうか?

ベンダー固有のコンポーネント

コンポーネント 大幅なアップグレードを表す タービンキャンバス, ローコードプレイブック構築スタジオであるSwimlaneは、特にデータの取り込みにおいて、ますます重要な役割を担っています。Swimlaneは常に、お客様が使用するあらゆるツールに必要なコネクタと統合機能の開発に注力してきました。そして、ベンダー固有のコンポーネントを提供することで、この取り組みを新たなレベルへと引き上げています。.

これらのベンダーコンポーネントは、強化されたコネクタのようなものだと考えてください。確かに、これらのシステムと連携するためのコネクタと組み込みアクションを提供するだけでなく、バックエンドのビジネスロジックを適用してデータを自動的に抽出、変換、フォーマット、マッピングするプレイブックも含まれています。これにより、Turbine内のどこからでも迅速かつ容易にデータを利用できるようになります。そのため、一般的なセキュリティアプリケーションやプラットフォームのほとんどにおいて、データの取り込みと統合は数時間や数日ではなく、数分で完了します。. 

データ操作のためのシンプルなネイティブアクション

スイムレーンTurbineのネイティブアクションは、データ処理において常に革新的な機能を提供してきました。そして、データ操作ネイティブアクションにおいても、その姿勢を貫いています。Turbineの主要な変換機能はJSONataに基づいて構築されており、操作が複雑になる場合があります。しかし、拡張JSONata変換の詳細に精通していないユーザーでも、迅速かつ簡単に構築できるようGUI化しました。.

Hero AI スキーマ推論

スイムレーンヒーローAI Turbineセキュリティ自動化プラットフォームで利用可能なAI強化イノベーションの集合体です。スキーマ推論は、SwimlaneがAIを応用した最初の機能の一つであり、AI強化セキュリティ自動化をアプリケーション内で直接活用することで、その効果を真に高めるものです。例えば、あるアクションから新しいデータ入力があったものの、利用可能なコンポーネントがないため、JSONの生の塊として入力されたとします。.

Hero AIのスキーマ推論は、Turbineで使用されているフィールドとフィールドタイプを認識し、入力されたJSONを読み取り、関連する入力フィールドと、既に使用しているスキーマフィールドとのマッピングを自動的に提案します。さらに優れた点は、ユーザーが直接助けを求めることなく、この処理を実行してくれることです。.

Hero AI テキストコードチャットボット

チャットボットは、AIのパワーを日常業務に迅速かつ容易に統合できる実績のある機能を提供します。特に、複雑なユーザーニーズを簡素化する際に役立ちます。スキーママッピングも重要ですが、開発者である私たちは、プロセスで処理するデータに対して、より高度なアクションを実行できることがしばしば求められます。これを容易にするために、TurbineでHero AIのテキストコード変換チャットボットを活用し、ユーザーが特定のデータ変換やフォーマットのニーズをPythonに翻訳して要求できるようにしています。.

たとえば、ユーザーはHero AIチャットボットに次のように質問するだけです。「入力から「src_addr」、「dst_addr」、「application」、「ts」フィールドを抽出し、「ts」フィールドの内容をISO 8601形式にフォーマットし、「src_addr」および「dst_addr」フィールドがRFC 1918アドレスではないことを確認するPythonで変換を記述してください。」チャットボットは、ユーザーが必要に応じて適用できる関連するPythonコードで応答します。.

SecOpsの現状に甘んじてはいけない  

あなたはあなたの セキュリティ自動化 プラットフォームは、必要に応じて柔軟でありながら、可能な限りシンプルであることが必要です。このバランスは、より多くのスタッフが活用できるようにするために重要です。また、柔軟で多様なデータセットを、同様にシンプルで管理しやすい方法で扱うことも必要です。上記の機能を組み合わせることで、TurbineはSecOpsのロゼッタストーンとして機能し、お客様は柔軟性とシンプルさの完璧なバランスを実現できます。Turbineのローコードパラダイムへのコミットメントは、 私たちのプラットフォームは決して単に「十分良い」というものではありません。.