目次
SIEM 付き Exabeam脅威インテリジェンスサービス (TIS): SIEM は SOC のサイバーセキュリティの中心的存在ですが、SIEM だけでは十分でないことがよくあります。組織化された最新のサイバー攻撃者とその高度な標的型攻撃のテクニックはますます洗練されているため、SIEMだけでは組織は深刻な脆弱性を抱えることになりかねません。
一方シーイーエムの中心である。SOCサイバーセキュリティ収集過去ログと複数のネットワーク・ソースからのデータを評価、分析し、脅威を検出するためのネットワーク・イベントの相関をとるためには、SIEM だけでは十分でないことがよくあります。組織化された最新のサイバー攻撃者とその高度な標的型攻撃のテクニックがますます洗練されているため、SIEMだけでは組織に深刻な脆弱性が残る可能性があります。サイバー攻撃者を特定し、阻止し、その能力を向上させるためには、SIEMが最適です。SIEMセキュリティ組織は、攻撃者がどのように考え、どのように行動し、何を狙っているのかを理解するのに役立つツールの完全な武器を必要としている。
このコンテンツは、SIEMのセキュリティに関するシリーズの一部です。
脅威インテリジェンスSIEMに加えて
SIEMに加えて脅威インテリジェンスを使用することで、組織は脅威の状況をより可視化できるようになり、悪質な行為者の行動を監視して判断するために必要なコンテキストを提供し、組織が攻撃から最も脆弱な場所を判断することができる。
では、脅威インテリジェンスとは何か?ガートナー社によると、「脅威インテリジェンスとは、資産に対する既存または新たな脅威や危険に関する文脈、メカニズム、指標、意味合い、実行可能なアドバイスを含む証拠に基づく知識であり、その脅威や危険に対する対象の対応に関する意思決定に活用できるものである」という。
「SIEMと脅威インテリジェンス・フィードは天国のような関係だ、とGartnerのリサーチ・バイスプレジデント兼特別アナリストのアントン・チュヴァキンは言う。「実際、すべてのSIEMユーザーは、テクニカルTIのフィードをSIEMツールに送るべきだ。
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験から、ExabeamのようなSIEMと脅威インテリジェンス・サービス(TIS)を効果的に統合・活用し、組織のセキュリティ体制を強化するためのヒントをご紹介します:
プロアクティブな脅威ハンティング
TISを活用して、環境内の脅威をプロアクティブに探索します。脅威インテリジェンスフィードから侵害の指標(IOC)の履歴ログを照会し、休眠状態の脅威や検出漏れを特定します。
高品質の脅威インテリジェンス・フィードを優先する
すべての脅威インテリジェンス・フィードが同じように作成されているわけではありません。精選され、頻繁に更新され、業界に関連するフィードに注目しましょう。実用的な洞察なしにノイズを追加するような、価値の低いフィードでSIEMを過負荷にすることは避けましょう。
脅威インテリジェンスを内部データと関連付ける
SIEMを使用して、悪意のあるIPやドメインなどの脅威インテリジェンス指標を内部データと関連付けます。このコンテキスト化により、不審な接続や侵害されたアカウントなど、お客様の環境に固有の脅威を特定できます。
脅威スコアリングをリスクモデルに組み込む
SIEMで脅威インテリジェンスとユーザーおよびエンティティの行動分析(UEBA)を組み合わせます。例えば、フラグが設定されたIPやドメインとやり取りするユーザーには高いリスクスコアを割り当て、アラートの優先順位付けを改善します。
エンリッチメントワークフローの自動化
自動化を使用して、脅威インテリジェンスのコンテキストでアラートを充実させます。例えば、SIEMが疑わしいIPとの通信を検出した場合、関連する脅威インテリジェンスのルックアップを自動化し、アナリストに実用的な洞察を即座に提供します。
脅威インテリジェンスでは不十分な場合
脅威インテリジェンスを使用して、SIEM の優先順位付け、ガイド、付加価値を向上させることは、多くの組織にとって有益である。しかし、これを効果的に行う方法を理解するのに苦労しているかもしれない。
多くの組織は、レガシーなシグネチャベースのインテリジェンス・フィードに依存しているが、それは不十分である。インテリジェンスを単なるノイズとしてではなく、適切に活用するためには、インテリジェンス・フィードの出所とスコアリング・プロセスについて、より深い文脈的理解が必要である。
加えて、どんなに優秀なアナリストでも限界があり、膨大な量の誤報など、寄せられる情報量に苦慮している。また、アナリストのスキル不足により、適切な人材を確保することは常に課題となっています。そして最後に、SOCがSIEM内の脅威インテリジェンスをオンにしても、アラートの嵐や誤検知のためにすぐにまたオフにしてしまうことがあまりにも多い。
SIEMとの組み合わせのメリット脅威インテリジェンス
脅威インテリジェンスと統合されたSIEMを正しく導入することで、組織の防御力を向上させ、時間を節約し、より戦略的なセキュリティ上の意思決定を行うことができます。以下はそのメリットです:
- 検知の迅速化 -SIEMによって収集された内部インテリジェンスを脅威インテリジェンスと組み合わせることで、企業はリアルタイムの脅威識別を強化することができます。侵害の潜在的な指標を発見するプロセスに脅威インテリジェンスを適用することで、強力なセキュリティ機能を実現できます。
- レスポンスの向上 -統合された脅威インテリジェンスメカニズムとビルトインルールにより、企業はデータを文脈化し、脅威をより深く理解することで、実用的な洞察を得ることができます。
- 生産性の向上- これまで手作業で行っていた作業を自動化し、セキュリティ業務の生産性を向上させることができる。
エクサビーム脅威インテリジェンスサービス (TIS)
Exabeam脅威インテリジェンスServices (TIS) は、IOC (Indicator of Compromise) や悪意のあるホストを発見することで、SOC が必要とする潜在的な脅威に関する実用的な洞察をリアルタイムで提供します。
Exabeamは、ネイティブに開発された脅威インテリジェンスサービスをSIEMプラットフォームとそのすべてのワークフローに直接完全に統合した初のエンタープライズSIEMです。
Exabeam TIS は、アプリケーションのインストールやスクリプトの作成、ワークフローの変更を行うことなく、IP およびドメインのレピュテーションを自動的に活用します。TISは相関ルールや行動分析モデルで使用し、注目すべきユーザーやエンティティにリスクを付加することができます。例えば、Threat Intelligent Service の IP が環境内で見つかった場合に自動的にアラートを受け取るルールを追加したり、リスクスコアリングアルゴリズムに追加する分析に使用したりできます。
Exabeam の脅威インテリジェンスServicesは、すぐに事前設定でき、追加コストや影響なしに新しいセキュリティ機能を提供します。脅威インテリジェンスフィードをSIEMに直接統合することで、常に最新の脅威インテリジェンスを入手し、新たな攻撃を迅速に特定して軽減することができます。
その他のSIEMセキュリティ解説
