ThetabyteのオペレーションディレクターとのQ&A

セキュリティオペレーションセンターの近代化の使命（SOC）はめったに単純ではありませんが、クライアントが ナイジェリア国営石油公社 NNPCの場合、賭け金は指数関数的に増大します。だからこそNNPCは契約を結んだのです。 シータバイト, 大規模なエンタープライズ SOC 変革に重点を置く専門的なサイバーセキュリティ サービス プロバイダーである が、この極めて重要なプロジェクトを主導することになりました。.

NNPCはナイジェリアの国営石油会社であり、アフリカ最大級のエネルギー企業の一つです。その事業は極めて重要であり、ナイジェリア経済、政府歳入、そして外貨獲得の大部分を支えています。その規模の大きさ、国家的重要性、厳格な規制要件、そして多様な既存インフラの統合の必要性から、NNPCの事業環境は極めて困難なものでした。.

私はシータバイトのオペレーションディレクター、ロン・ママン氏に話を聞いた。彼は、 スイムレーンタービン エージェントAI NNPCの自動化プラットフォーム。ロンは、このソリューションによってNNPCがアラート疲れを克服し、厳格なコンプライアンス目標を達成し、多様なインフラストラクチャ全体でインシデント対応時間を大幅に短縮できた舞台裏のストーリーを共有します。.

Ron との会話を Q&A 形式で要約したので、読み進めてください。Ron は、Thetabyte の Swimlane Turbine に関する経験を詳しく説明しています。.

NNPC が直面した具体的な課題にはどのようなものがあり、それが AI 自動化の重大な必要性を生み出したのでしょうか?

NNPC は主に 3 つの課題に取り組んでいました。

• 警戒疲労
• 断片化されたツールセット、, 
• セキュリティ運用全体にわたる集中的な可視性の欠如。. 

手作業によるプロセスはインシデント対応を常に遅らせ、アナリストは反復的で優先度の低いタスクに追われていました。さらに、脅威インテリジェンスフィードと既存のSIEMアラートを確実に相関させることができませんでした。この連携の欠如が、脅威検知における重大な盲点につながっていました。.

他の競合ソリューションではなく、Swimlane Turbine を選んだ理由は何ですか?

複数のプラットフォームを評価しました。競合プラットフォームには、Turbine のような視覚的なドラッグ＆ドロップ操作による複雑なカスタムプレイブックの構築柔軟性が欠けていました。. タービンキャンバスの ローコード/ノーコード インターフェースとモジュール型プレイブック設計により、自動化を構築および管理するための最も簡単で効果的な方法が提供されます。. 

ローコードのプレイブックビルダーと、ほぼあらゆるツールとのシームレスなAPI統合が、Turbineを理想的な選択肢にしました。また、プラットフォームがあらゆるレベル（Tier 1からTier 3）のアナリストを、カスタマイズされたプレイブックでサポートできることも重要でしたが、Turbineはそれを非常にうまく処理します。.

ケーススタディを読む

Turbine で最も活用している機能は何ですか?

Turbineのお気に入りの機能は キャンバス そして ダッシュボードとレポート.

• Canvas は、高度なコーディングの専門知識を必要とせずに、複雑なプレイブックの迅速なプロトタイピングとデプロイを可能にします。これにより、新たな自動化の提供能力が大幅に向上します。.
• リアルタイムダッシュボードとAIを活用したレポート機能により、リアルタイムの指標とKPIが、SOCのテクニカルアナリストとNNPCの経営幹部の両方にわかりやすく提示されます。これは、ROIの実証と可視性の維持に非常に役立ちます。.

Turbine と統合したツールは何ですか?

スイムレーンのおかげで、NNPCのセキュリティスタックのすべてのツールをワンクリックで簡単に接続できるようになりました。 スイムレーン・マーケットプレイス. 主なものは次のとおりです。

• ジラ: 弾性: SIEMデータアラートの取り込みと自動トリアージ
  
• ウイルストータル: リアルタイムの脅威インテリジェンスの強化
  
• ジラ: シームレスな SOC ハンドオフのための自動チケット作成と追跡を容易にします
  
• 独自の脅威インテリジェンス ツール: API を備えているため、Turbine に統合して、包括的かつリアルタイムの強化情報とアラートのコンテキストを取得できました。.

Turbine を使用するユースケースは何ですか?

私たちはNNPC環境における2つの重要な、影響力の大きいユースケースに焦点を当てました。

1. 自動化されたインシデントトリアージとエンリッチメント
   SIEMアラートが取り込まれると、Turbineは即座に自動エンリッチメントプレイブックを開始します。これには外部クエリが含まれます。 脅威インテリジェンス 既知の悪意ある侵入の痕跡（IOC）をフィードし、内部資産データベースを検索して、影響を受けたシステムの所有者、システムの重要度、および場所を特定します。これにより、アナリストはコンテキストを完全に把握した、高精度なアラートパッケージを即座に入手できます。.
2. 脅威の封じ込めと修復
   Turbineダッシュボードから、アナリストはIOCの特定、データ相関分析、境界ファイアウォールでの悪意のあるトラフィックの直接ブロックを含む修復アクションの実行といった自動化機能を完全に可視化できます。アナリストは単一の画面からプレイブックを完全に制御できるため、スタック全体の異なるセキュリティツールに移動したり手動でログインしたりすることなく、IPブラックリスト登録などの必要な封じ込めおよび防御アクションを迅速に実行できます。.

Swimlane が解決に役立った問題の例は何ですか?

大きな課題の一つは、異なるシステム間でIOCを手動で相関させることでした。Swimlaneが導入される前は、アナリストはSIEM、, EDR, 、ファイアウォール ログなど。.

Swimlane を使用することで、すべてのシステムにわたって自動化された IOC 相関を実装し、平均調査時間をアラートあたり 45 分から 10 分未満に短縮しました。.

Turbine が重大な侵害を防いだシナリオはありましたか?

NNPCの従業員を標的としたマルウェア攻撃が発生しました。Turbineのおかげで、脅威を5分以内に検知・隔離し、ユーザーへの不正アクセスを未然に防ぐことができました。.

Turbine を導入してからどのような成果が得られましたか?

最初の3ヶ月で、レベル1トリアージの60%以上を自動化するという重要な目標を達成しました。この成果により、ゼネラルアナリストの負担は大幅に軽減されました。.

Turbine を実装してから、SOC 効率が大幅に向上しました。

• インシデント対応時間は 70% も大幅に短縮されました。.
• 平均検出時間（MTTD) と平均応答時間 (MTTR) が大幅に減少しました。.
• 膨大な手作業の作業負荷が軽減された結果、アナリストの職務満足度は即座に向上しました。.
• 監査証跡とレポートにより、コンプライアンスへの対応が即座に改善されました。.
  
  

結局のところ、Turbineはセキュリティチームに最大のリソース、つまり自由を提供します。ロン・ママンは次のように結論づけています。

“「Swimlaneはセキュリティチームに少ないリソースでより多くの成果を上げられるので、同僚にもお勧めします。面倒な作業を自動化し、重要な対応を迅速化し、アナリストが最も重要なことに集中できる自由を与えてくれます。」”