r-tec社は、ドイツとブルガリアに拠点を置くセキュリティ企業で、24時間365日のインシデントレスポンス(IR)ホットラインや、顧客のためのマネージド・ディテクション&レスポンス(MDR)支援など、外部のセキュリティオペレーションセンター(SOC)サービスを提供しています。セバスチャン・ビッティグ氏が率いるr-tec社のサイバーディフェンスセンター(CDC)は、顧客のセキュリティニーズに対応するために依存していた従来のセキュリティ情報・イベント管理(SIEM)ソリューションでは対応できないことに気づきました。古いシステムは、CDCの対応者と顧客をアラームで圧倒し、アラートで疲弊したアナリストの仕事を増やしすぎました。
r-tecチームは、完全な可視化と次世代MDR機能を実現するインテリジェントな自動化機能を備えた、クラウドネイティブなSIEMソリューションを求めていました。Bittig 氏とそのチームは、同社の環境と顧客に対応する最先端の SIEM プラットフォームを求めていました。
r-tec の CDC チームは、レガシー SIEM ソリューションを置き換えるためにExabeam Fusion Enterprise Edition Incident Responderの一部であるExabeam Fusion SIEMを選択しました。r-tecは現在、次世代インテリジェンスと自動化主導のSIEMソリューションのメリットを、同社と、業界をリードするIRおよびMDRサービスで同社を信頼する多くの顧客に享受してもらっている。
レガシーSIEMテクノロジーとアラート量による課題
r-tecは、インシデント・ホットラインと環境モニタリング・サービスを提供しており、CDCアナリストがアラームを確認し、必要に応じて顧客のためにMDR支援を開始します。
CDCチームは常に多忙を極めていましたが、現在利用可能な最新のテクノロジーにアップグレードする時期であることは認識していました。多くの企業がそうであるように、彼らはすぐに時代遅れになり、インテリジェンス機能を欠いたSIEMテクノロジーに対処していました。そして、多くの新しいユースケースをカバーするために、継続的にルールセットを更新し、独自のコンテンツを開発しなければならないチームに、あまりにも多くの仕事を残していました。「レガシーSIEMソリューションを導入していたため、十分なスキルを持った従業員をチームに配置することができず、抱えていたアナリストは不満を募らせ、SIEMでの作業を継続したがらず、サービスも顧客にとって高すぎるものになっていました」とBittig氏は説明する。
CDCチームにとってのもう一つの課題は、レガシーSIEMソリューションが圧倒的な量のアラームを発生させることでした。アナリストは、時間のかかるデータのディープダイブや分析検索クエリ、手動で環境ベースラインを構築する必要性に悩まされながら、アラート疲労に苦しんでいました。
次世代テクノロジー・ソリューションの時
2021年4月、CDCチームは大幅な変更を行うにはこれ以上待てないと判断した。r-tecの意思決定者は新たなSIEMオプションの検討を開始したが、脅威検知・調査・対応(TDIR)ソリューションであれば何でも良いというわけではなかった。セバスチャンとCDCチームは、社内SOCとSOCサービスの両方において、クラウドの次世代機能をすべて備えた最先端のクラウドベースのSIEMソリューションを求めていました。また、ログソースを完全に可視化し、他のソリューションシステムとシームレスに統合し、アラームの数を減らすことができる、機械学習(ML)がサポートするインテリジェンスと自動化主導のSIEMテクノロジーを求めていました。
顧客のアラーム件数を減らすことが重要でした。当社の顧客は、無関係なアラームに煩わされることを望んでいませんでした。彼らは、セキュリティの心配をすることなく、ビジネスに集中することを望んでいました。万が一の事態にも迅速に察知し、効果的に対応できる。それが彼らにとって最も重要なことなのです」。
Bittig 氏と彼の CDC チームは、社内の SIEM ニーズと IR ホットラインおよび MDR サービスを支えるためにExabeam Fusion Enterprise Edition Incident Responderを選択しました。Exabeamプラットフォームは、自動タイムライン、MLモデル、自動応答機能、自動化を提供する最適なプラットフォームでした。
「Exabeamは、最初のアラームに続いて、アラームの重大度に関するコンテキスト情報と、さらにデータが必要な場合のタイムラインを即座に提供してくれます。SIEMは重大なアラートのみをプッシュするので、インシデント対応モードに切り替える必要があるかどうかがわかります」とBittig氏は言う。
r-tecのCDCチームは、漏洩したクレデンシャルに起因するランサムウェアやその他のインシデントを多く見ており、r-tecがExabeamを選択した背景には、この厄介な傾向がありました。Bittig氏は、次のように説明しています。「実際の攻撃の90%では、漏洩した認証情報が使用されており、これを検知して防御するのは非常に困難です。セキュリティ・アラートだけでなく、多くのソースを利用するExabeam社のツールは、このような攻撃を検知することができます。同社のテクノロジーは、通常の使用状況を効果的に分析し、ベースライン化することで、侵害されたユーザーや認証情報に対して迅速に警告を発します。
「Exabeamは、最初のアラームに続いて、アラームの重大度に関するコンテキスト情報と、さらにデータが必要な場合のタイムラインを即座に提供してくれます。SIEMは重大なアラートのみをプッシュするので、インシデント対応モードに切り替える必要があるかどうかがわかります。"
結局、指標は向上し、アナリストは満足した。
Exabeam Fusion Enterprise Edition Incident Responderは、会社と顧客のSIEM指標を直ちに改善し始めた。ログのオンボーディングにかかる時間は70%減少し、レガシーSIEMソリューションでは数カ月かかっていたものが、今では数日で済むようになった。正常な行動パターンや異常な行動パターンを調査するための顧客への電話連絡は80%減少し、全員の時間を節約することができました。レガシーSIEMソリューションをExabeamに置き換えてから、r-tecの平均承認時間(MTA)は50%短縮され、現在では平均約9分、解決時間は平均わずか17分となっています。
r-tecのExabeamへの移行は、同社のSOCサービスの顧客にとってどのような意味を持つのでしょうか?「当社のインシデント・レスポンス・ホットラインの顧客の多くは、SIEMやIRソリューションを持たずに電話をかけてきます。そのため、攻撃は複雑で、被害も甚大です。もし、現在のExabeamのサービスがあれば、このような攻撃を80~90%のケースで防ぐことができます。
r-tecのCDCチームは、Exabeam Fusion Enterprise Edition Incident Responderがいかに効果的にアラームの総数を減らしているかを喜んで報告している。Exabeamのスコアリングシステムにより、最も重要なアラートのみが表示されるため、アラームの総数は減少し、不必要なアラートも60%減少しました。以前はアラートに悩まされていたアナリストも、レガシーSIEMソリューションをExabeamに置き換えるというr-tecの決断に満足しています。定量的に測定することはできませんが、レガシーSIEMソリューションと比較して、Exabeamで作業する方がはるかに楽しいというフィードバックをアナリストから得ています。
Website: https://www.r-tec.net/home.html
主なメリット
- Exabeamを使用することで、r-tecの平均承認時間(MTA)は50%短縮され、現在では平均約9分、解決時間は平均わずか17分となっています。
- ログのオンボーディングにかかる時間が70%短縮され、レガシーSIEMソリューションでは数カ月かかっていたものが、わずか数日で済むようになりました。
- Exabeamは誤警告を60%削減し、警告に悩まされるアナリストを解放しました。
産業
- ハイテク
製品紹介
- フュージョンSIEM
使用例
- 侵害されたインサイダー
- 悪意のあるインサイダー
