目次
を構築するセキュリティ・チーム。セキュリティオペレーションセンターいくつかの共通の課題に直面している:
- 限られた可視性 -集中型SOCは、必ずしもすべての組織システムにアクセスできるとは限らない。これには、エンドポイント、暗号化されたデータ、またはセキュリティに影響を与えるサードパーティが管理するシステムなどが含まれる。
- ホワイトノイズ -SOCは膨大な量のデータを受信しますが、その多くはセキュリティにとって重要ではありません。SOCで使用されるセキュリティ情報イベント管理(SIEM)やその他のツールは、機械学習や高度な分析を活用することで、ノイズをフィルタリングする能力が向上しています。
- 誤検知とアラート疲労 -SOC システムは大量のアラートを生成するが、その多くは実際のセキュリティインシデントではないことが判明する。誤検知は、セキュリティ・アナリストの時間の大部分を費やし、本当のアラートが発生したときに気づくことを難しくします。
これらの3つの課題はすべて、セキュリティ情報・イベント管理(SIEM)システムを中心とするセキュリティ・ツールのスタックによって対処される。SIEMは、最新のSOCの日常業務を強力に支援します。
このコンテンツは、SIEMのセキュリティに関するシリーズの一部です。
SOCとセキュリティ情報・イベント管理(SIEM)
SOCの基盤技術はSIEMであり、組織全体からデバイス、アプリケーションログ、セキュリティツールからのイベントを集約します。SIEM は、相関関係と統計モデルを使用して、セキュリティ・インシデントを構成する可能性のあるイベントを特定し、SOC スタッフに警告を発し、調査を支援するためのコンテキスト情報を提供します。SIEMは、SOCが企業システムを監視するための「一枚のガラス」として機能します。
SIEMが促進するSOCプロセス:主な例
- マルウェア調査- SIEMは、セキュリティ担当者が組織全体で検出されたマルウェアに関するデータを組み合わせ、脅威インテリジェンスと関連付け、影響を受けたシステムやデータを理解するのに役立ちます。次世代SIEMは、セキュリティ・オーケストレーション機能、インシデント・タイムラインの可視化、さらには以下のような機能を提供します。マルウェアを自動的に「爆発」させる脅威インテリジェンス・サンドボックス
- フィッシングの防止と検知 -SIEMは、相関関係と行動分析を使用して、ユーザーが電子メールまたはその他の手段で配信されたフィッシング・リンクをクリックしたと判断することができます。アラートが発生すると、アナリストは組織全体やタイムライン全体で類似のパターンを検索し、攻撃の全容を特定することができます。
- 人事調査 -従業員がセキュリティ・インシデントに直接関与している疑いがある場合、その従業員と IT システムとのやり取りに関するすべてのデータを長期にわたって収集することで、SIEM が役立ちます。SIEMは、通常とは異なる時間帯の企業システムへのログイン、権限のエスカレーション、大量のデータの移動などの異常を発見することができます。
- 離職者のリスク軽減 -Intermediaの調査によると、離職した従業員の89%が少なくとも一部の企業システムへのアクセス権を保持し、それらの認証情報を使用してログインしている。SIEMは、どのシステムに未使用の認証情報があるか、どの元従業員がシステムにアクセスしているか、どの機密データが影響を受けているかを特定し、大規模な組織における問題をマッピングすることができます。
インシデントレスポンスの基本モデルとSIEMの活用法
SOCは変貌を遂げ、新たな役割を担うようになってきているが、その中心的な活動は依然としてインシデント対応である。SOCは、組織に対するサイバー攻撃を検知し、封じ込め、軽減することを期待される組織単位である。インシデント対応の責任者は、ティア1、ティア2、ティア3のアナリストであり、彼らが主に依存するソフトウェアは、SOCのセキュリティ情報およびイベント管理(SIEM)システムです。
TIER 1 - イベント分類
アラート生成と発券-Tier 1 アナリストは、ユーザーのアクティビティ、ネットワーク・イベント、セキュリティ・ツールからのシグナルを監視し、注意を払うべきイベントを特定します。
従来のSIEM
SIEMは、組織のシステムやセキュリティ・ツールからセキュリティ・データを収集し、他のイベントや脅威データと関連付け、疑わしいイベントや異常なイベントに対してアラートを生成します。
次世代SIEM
次世代SIEMは、機械学習と行動分析を活用することで、誤検知やアラート疲労を軽減し、横の動き、内部脅威、データ流出などの検出が困難な複雑なイベントを発見します。
TIER 2 - 優先順位付けと調査
データの検索と調査 -ティア 1 アナリストが優先順位を付け、最も重要なアラートを選択し、さらに調査する。実際のセキュリティ・インシデントは Tier 2 Analyst に渡されます。
従来のSIEM
SIEM は、ティア 1 およびティア 2 のアナリストが、何年にもわたるセキュリティ・データを検索、フィルタリング、スライス、ダイスして可視化するのに役立ちます。アナリストは、インシデントをより深く理解するために、関連するデータを簡単に引き出して比較することができます。
次世代SIEM
次世代SIEMはデータレイク・テクノロジーに基づいており、企業は低コストで無制限にデータを保存することができる。また、機械学習やUser Event行動分析(UEBA)を活用することで、リスクの高いイベントを簡単に特定し、アナリストに提示することができます。
TIER 3 - 抑制と回復
インシデントとセキュリティ・オーケストレーションのコンテキスト -セキュリティ・インシデントが特定されると、より多くのデータを収集し、攻撃源を特定し、攻撃を封じ込め、データを復旧し、システム運用を回復するための競争が始まる。
従来のSIEM
実際のセキュリティ・インシデントが特定されると、SIEM はそのインシデントにまつわるコンテキストを提供します。たとえば、同じ IP やユーザー認証情報によって他のどのシステムがアクセスされたかなどです。
次世代SIEM
次世代SIEMは、Security Orchestration and Automation(SOAR)機能を提供します。他のセキュリティ・システムと統合し、自動的に封じ込めアクションを実行することができます。例えば、マルウェアに感染した電子メールを隔離し、脅威インテリジェンス・サンドボックスでマルウェアをダウンロードしてテストします。
TIER 4 - 修復と緩和
レポーティングとダッシュボード -SOCスタッフは、攻撃に関連する広範なセキュリティギャップを特定し、さらなる攻撃を防止するための緩和策を計画する。
従来のSIEM
修復とミティゲーションは継続的な活動であり、重要なセキュリティ・システムとITシステムのステータスとアクティビティを可視化する必要があります。SIEM には、この可視性を提供する組織横断的なビューがあります。
次世代SIEM
次世代SIEMは、機械学習とデータサイエンスの機能を活用し、ユーザーとデバイスのグループに対してスマートなベースラインを確立します。これにより、安全でないシステムや不審なアクティビティをより迅速かつ正確に検出できるようになります。
TIER 5 - 評価と監査
コンプライアンス報告 -SOCスタッフが攻撃と緩和策を評価し、追加のフォレンジックデータを収集し、最終的な結論と推奨事項を導き出し、監査と文書化を最終決定します。
SIEM の中核的な機能の 1 つは、PCI DSS、HIPAA、SOX などの規制要件や標準に対応するレポートや監査を作成することです。
SOCのツールとテクノロジーを幅広く見る
SIEM以外にも、SOCで使われるツールはたくさんある:
- ガバナンス、リスク、コンプライアンス(GRC)システム
- 脆弱性スキャナと侵入テストツール
- 侵入検知システム(IDS)、侵入防御システム(IPS)、ワイヤレス侵入防御
- IPSとして機能するファイアウォールと次世代ファイアウォール(NGFW)
- ログ管理システム(SIEMの一部として一般的)
- サイバー脅威情報のフィードとデータベース
従来のSOCテクノロジーと次世代のSOCテクノロジー
先進的なSOCは、次世代ツール、特に機械学習と高度な行動分析、脅威ハンティング機能、組み込みの自動インシデント対応を提供する次世代SIEMを活用しています。最新のセキュリティ・オペレーション・センターのテクノロジーにより、SOCチームは迅速かつ効率的に脅威を発見し、対処することができます。
伝統的な道具
- セキュリティ情報・イベント管理(SIEM)
- ガバナンス、リスク、コンプライアンス(GRC)システム
- 脆弱性スキャナと侵入テストツール
- 侵入検知システム(IDS)、侵入防御システム(IPS)、無線侵入防御
- ファイアウォール、IPSとして機能する次世代ファイアウォール(NGFW)、ウェブアプリケーションファイアウォール(WAF)
- ログ管理システム(SIEMの一部として一般的)
- サイバー脅威情報のフィードとデータベース
次世代ツール
- ビッグデータプラットフォーム上に構築され、機械学習と高度な行動分析、脅威ハンティング、ビルトインインシデントレスポンス、SOC自動化を含む次世代SIEM
- ネットワーク・トラフィック解析(NTA)およびアプリケーション・パフォーマンス・モニタリング(APM)ツール
- ホストおよびユーザー・デバイス上の不審な活動を検出し、軽減するのに役立つEDR(Endpoint Detection and Response)。
- 機械学習を用いて不審な行動パターンを特定するUser and Entity Behavior Analytics (UEBA)
次世代SOCツールの使用動機
- 次世代 SIEM -アラートに対する疲労を軽減し、アナリストが重要なアラートに集中できるようにします。新しい分析機能と膨大なセキュリティ・データの組み合わせにより、次世代SIEMは、個々のセキュリティ・ツールでは見ることのできないインシデントを発見することができます。
- NTA-実装が容易で、ネットワークの異常な振る舞いを検出するのに適している。SOCが調査対象のトラフィックにアクセスでき、すでに境界内にいる攻撃者による横方向の動きを調査することに関心がある場合に有用。
- UEBA-機械学習とデータサイエンスの技術を用いて、悪意のあるインサイダーを検知し、セキュリティ制御をバイパスします。外部の攻撃者や内部関係者によるアカウント侵害の特定が非常に容易になります。
- EDR-ワークステーションやサーバーの侵害に対する強力な防御を提供し、モバイルワークフォースの管理を支援します。歴史的な調査を実施し、根本原因を追跡するために必要なデータを提供します。
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験から、セキュリティ・チームが直面する一般的な課題に対処しながら、SIEMソリューションを活用したパフォーマンスの高いSOCを構築するのに役立つヒントを紹介します:
高価値資産を個別にセグメント化して監視
機密データや重要インフラをホストするシステム専用の監視戦略を定義します。SIEMを使用して、これらの資産に対する特定の相関ルールと行動ベースラインを作成します。
リスクに基づいてログソースの選択に優先順位をつける
すべてのログソースが同じ価値を提供するわけではありません。ID管理プラットフォーム、EDRソリューション、特権アクセス管理ツールのような重要なシステムから始めましょう。
一貫したレスポンスのためのプレイブックの展開
SOARの機能を統合して、自動化されたインシデント対応プレイブックを作成します。これにより、侵害されたデバイスの隔離や悪意のあるIPのブロックなど、一般的な脅威に対する標準化されたアクションが保証され、Tier 3アナリストの対応時間が短縮されます。
脅威インテリジェンスをコンテキストに活用
リアルタイムの脅威インテリジェンスフィードを使用して、既知の悪意のあるIPやドメインなどの追加コンテキストでアラートを強化します。これにより、アナリストは外部調査に時間を費やすことなく、潜在的な脅威を迅速に検証できます。
プロアクティブな脅威ハンティングワークフローを実現
SIEMのデータ探索機能を通じて、SOCに脅威探索機能を持たせましょう。アナリストは、少量のデータ流出や横移動の試みなど、自動検出を逃れた異常を定期的に調査する必要があります。
SOCに不可欠な3つのツールに注目
SIEMだけでなく、最新のセキュリティ・オペレーション・センターのセキュリティ・スタックに欠かせないツールをいくつか紹介しよう。
ファイアウォール、次世代ファイアウォール(NFGW)、ウェブアプリケーションファイアウォール(WAF)
ファイアウォールは、サイバーセキュリティの標準的な武器である。2つの新しいテクノロジーが、従来のファイアウォールを補完、あるいは置き換えている:
- NGFW-ディープ・パケット・インスペクション機能を備えた侵入防御と侵入検知を提供することで、ファイアウォールを拡張します。NGFWは、URLフィルタリング、行動分析、ジオロケーションフィルタリングなどの技術を使用して、ネットワークエッジで脅威をブロックすることができます。NGFWはリバースプロキシを使って接続を遮断し、ウェブサーバーに到達する前にコンテンツを検査します。
- WAF-WAFはウェブ・アプリケーションの前に配置され、トラフィックを検査し、悪意のあるアクティビティを表す可能性のあるトラフィック・パターンを特定する。WAFは、許容可能なURL、パラメータ、ユーザー入力を学習し、このデータを使用して標準から逸脱したトラフィックや入力を特定することで、誤検知を最小限に抑えながら攻撃を検出することができます。
これらの技術は、ウェブサイトやウェブアプリケーションの攻撃プロファイルを減らし、重要なウェブプロパティにアクセスする正当なトラフィックと悪意のあるトラフィックについて、より質の高いデータを収集するために、最新のSOCで活用されています。
エンドポイント検出と応答(EDR)
EDRは、SOCチームがユーザーのワークステーション、携帯電話、サーバー、IoTデバイスなどのエンドポイントに対する攻撃に対応するための新しいカテゴリーのツールです。これらのツールは、攻撃が発生することを前提に構築されており、SOCチームは通常、リモート・エンドポイントで何が起きているのかを非常に限定的にしか把握・制御できません。EDRソリューションはエンドポイントに導入され、悪意のあるアクティビティに関する正確なデータを即座に提供し、SOCチームがエンドポイントをリモート制御して即座にミティゲーションを実行できるようにします。
例えば、SOCチームはEDRを使用して、ランサムウェアに感染した50台のエンドポイントを特定し、ネットワークから隔離し、マシンをワイプして再イメージすることができる。これらすべてを数秒で実行し、攻撃の発生と同時に特定し、拡散を防ぎ、根絶をサポートすることができる。
SOC監視ツール
監視は、SOC で使用されるツールの主要な機能である。SOCは、ITシステムやユーザ・アカウントの全社的な監視を行うほか、セキュリティ・ツール自体の監視も担当します。監視を指揮する主なツールはSIEMです。組織は、ネットワーク・モニタリングやアプリケーション・パフォーマンス・モニタリング(APM)など、多くの専用モニタリング・ツールを使用している。しかし、セキュリティ目的では、IT データとセキュリティ・データを組織横断的に把握できる SIEM だけが、完全なモニタリング・ソリューションを提供できる。
どのツールから始めるべきか?
こうしたツール導入の段階は、ガートナーが提唱したものである。
- グリーンフィールドSOC -SIEMのみ
- 確立されたSOC-自動化された脅威インテリジェンス・サンドボックス、NTA、EDRを追加。
- 先進性-UEBAと完全な社内脅威インテリジェンスプラットフォームの追加-次世代SIEMの一部として提供される。
SIEMがSOCの基盤技術であること、行動分析、機械学習、SOC自動化などの新機能を備えた次世代SIEMがセキュリティアナリストに新たな可能性をもたらすことを紹介した。
次世代SIEMがSOCに与える影響
次世代SIEMソリューションは、SOCに大きな影響を与えます:
- アラート疲労の軽減 -相関ルールにとどまらないユーザーとエンティティの行動分析(UEBA)により、誤検知を減らし、隠れた脅威を発見することができます。
- MTTDの改善 -アナリストがインシデントを迅速に発見し、すべての関連データを収集できるようにします。
- MTTRの改善 -セキュリティ・システムと統合し、セキュリティ・オーケストレーション、オートメーション、レスポンス(SOAR)技術を活用する。
- 脅威の探索を可能にする -アナリストが無制限のセキュリティ・データに迅速かつ容易にアクセスし、強力に探索できるようにします。
Exabeamは、データレイク技術、クラウドインフラストラクチャの可視化、行動分析、SOAR機能、強力なデータ照会と可視化を備えた脅威ハンティングモジュールを組み合わせた次世代SIEMの一例です。
ブログ記事を読むセキュリティ・オペレーション・センター完全ガイドそしてセキュリティ・オペレーション・センターの役割と責任.
その他のSIEMセキュリティ解説
Exabeamについてもっと知る
ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。
