目次
Sumo Logic Cloud SIEMとは?
Sumo LogicSIEMは、最新の企業向けのクラウドネイティブなセキュリティ情報・イベント管理システムです。データの取り込み、分析、可視化プロセスを自動化することで、セキュリティデータを管理します。このプラットフォームは、リアルタイム監視の一元的なハブとして機能し、インシデント管理ワークフローを簡素化しながら脅威検出機能を提供します。
さまざまなデータソースと統合することで、セキュリティ関連のイベントを包括的に把握し、全体的なセキュリティ態勢を改善します。拡張可能なアーキテクチャにより、Sumo Logic SIEM は組織の動的なニーズに対応し、大量のデータと多数のユーザをサポートします。分析の基盤の上に構築されているため、実用的な洞察が迅速に提供されます。
このプラットフォームは、脅威を検出し、コンプライアンス・レポーティングと監査証跡を支援することができます。ユーザー・インターフェースとカスタマイズ可能な機能は、セキュリティ・オペレーション・チームの生産性を向上させることを目的としています。
Sumo Logic SIEMの主な機能
クラウドネイティブ・アーキテクチャ
クラウド・インフラストラクチャを活用することで、メンテナンスが必要なオンプレミス・インフラストラクチャが不要になり、より迅速な導入が可能になる。
また、クラウドネイティブな設計により、Sumo LogicSIEMはAWS、Azure、Google Cloudなどのさまざまなクラウドサービスやプラットフォームと統合できます。これにより、プラットフォームは複数の環境でデータを監視および分析できます。さらに、アーキテクチャは継続的なアップデートをサポートし、最小限の混乱でセキュリティ機能を提供します。
分析脅威検知
このプラットフォームは、機械学習アルゴリズムと行動分析を活用して、異常や潜在的な脅威を特定するとしている。様々なソースからのデータを相関させることで、悪意のある活動を示すパターンを検出し、プロアクティブな脅威管理を可能にし、データ侵害のリスクを低減する。
このプラットフォームの分析機能はリアルタイムの監視にまで拡張され、潜在的な脅威に対するアラートと洞察を即座に提供します。この即時対応メカニズムにより、セキュリティ・チームの役割が強化され、脅威に迅速に対処できるようになります。SIEMの分析機能は、ビジネスのニーズに合わせてカスタマイズすることも可能で、適切で実用的な洞察を得ることができます。
ユーザーとエンティティの行動分析(UEBA)
User and Entity Behavior Analytics (UEBA)は、組織内のユーザーとエンティティの行動に焦点を当て、セキュリティ脅威を示す可能性のある確立されたパターンからの逸脱を特定します。これらの行動を監視することで、このプラットフォームは、従来のセキュリティ対策では見過ごされていた内部脅威や侵害されたアカウントを検出することができます。
Sumo Logic SIEMのUEBAは、アルゴリズムを使ってデータを分析し、異常な活動の指標を探します。この分析は、脅威を捕捉し、その背景と潜在的な影響を理解するのに役立ちます。
自動化されたインシデントレスポンスとプレイブック
このプラットフォームは、あらかじめ定義された対応戦略であるプレイブックをオペレーションに統合し、インシデント管理を可能にしている。脅威が特定されると、システムは自動的に関連するプレイブックを開始し、対応時間を短縮して被害を軽減する。
プレイブックによるインシデント対応の自動化は、人的ミスの排除に役立つ。また、定型的なインシデントを自動的に処理することで、セキュリティチームはより複雑なタスクに集中できるようになります。
エンティティ関係グラフの可視化
SIEMは、エンティティ関係グラフの可視化を提供し、組織のネットワーク内の相互作用の統合ビューを提供します。この機能は、ユーザー、デバイス、アプリケーション間の接続をマッピングし、セキュリティ・リスクを示す可能性のあるパターンを明らかにします。このような可視化は、セキュリティ・チームが潜在的な脅威の範囲と影響を理解するのに役立ちます。
グラフ可視化ツールは、関係や相互作用を強調し、危険なエンティティや標準から逸脱した行動を特定するのに役立つ。セキュリティチームは、対策を講じるために脅威の発生源をピンポイントで特定できなければなりません。Sumo Logic SIEM は、エンティティの関係を理解することで、意思決定プロセスをサポートします。
MITRE ATT&CKフレームワークとの統合
MITRE ATT&CK フレームワークとの統合により、このプラットフォームのセキュリティに関する洞察は、広く使用されている業界標準と一致し、組織は脅威をよりよく理解し、評価することができる。検出された活動をMITRE ATT&CKの戦術とテクニックにマッピングすることで、他の方法では結論が出ない場合に、敵対的な行動を分析するためのフレームワークを提供することを意図しています。
この統合は、潜在的な攻撃ベクトルを浮き彫りにし、セキュリティ・チームが修復作業に優先順位をつけられるようにすることで、対策の立案を支援する。また、脅威の状況を理解するために、セキュリティ担当者を訓練・教育するツールとしても役立ちます。
マルチクラウド保護機能
AWS、Azure、Google Cloudなどのクラウドプロバイダーとの統合をサポートし、これらのプラットフォームからのセキュリティデータの監視と管理を可能にする。この機能は、1つまたは複数のクラウドプラットフォームにまたがるセキュリティ態勢とコンプライアンスを把握したい組織向けである。
また、このプラットフォームはマルチクラウドに重点を置いており、クラウドの場所に関係なくデータの収集と分析のプロセスを簡素化し、脅威をより効率的に特定し対応することを目的としている。
Sumo LogicクラウドSIEMの制限事項
Sumo Logic Cloud SIEMにはいくつかの制限があることがユーザーから指摘されています。ここでは、G2プラットフォームのユーザーから指摘された主な改善点を紹介します:
- エンドポイントエージェントのサポート:いくつかのプラットフォームとは異なり、Sumo Logicはデスクトップやラップトップなどの個々のデバイス上のログ収集のための専用のエンドポイントエージェントを提供していません。
- 非エンタープライズプランの SOAR 機能の制限:高度なセキュリティオーケストレーションと自動化(SOAR)ワークフローはエンタープライズ版に制限されているため、通常のSIEMプラットフォームでの自動化機能が制限される可能性がある。
- 大規模データセットでのパフォーマンス:広範囲の日付や大規模なデータセットに対するクエリは時間がかかることがあり、長いクエリは完了する前にタイムアウトすることがあります。
- レポートとエクスポートのオプション:レポート生成やPDF、JSON、JPEGへのエクスポート機能が組み込まれていないため、調査結果の共有や文書化の柔軟性が制限される可能性があります。
- データの集約とフィルタリング:このプラットフォームには、ELKのような他のSIEMツールで利用可能なデータ集約やフィルタリングのオプションがいくつかないため、データ管理の効率に影響を与える可能性がある。
- ジオロケーションとマッピングの制限:ジオロケーションマップは、マップアイコンをクリックすることによる直接的なログのドリルダウンをサポートしていないため、視覚的なデータ表示内でのインタラクションの深さが制限されます。
- 独自のSaaSアプリケーションのためのAPIカスタマイズ:ロギング機能が制限されているSaaSアプリケーションのカスタムAPIクエリの必要性を感じているユーザーもおり、追加のカスタマイズが必要です。
- グラフィカル検索の制限:一部の検索結果はグラフィカルな形式で表示できないため、複雑なクエリのデータ可視化オプションが制限される可能性があります。
- ログ取り込みの課題:サポートされていないソースからのログの取り込みは困難な場合があり、SIEMと統合するために追加の設定作業が必要になります。
クイックチュートリアルSumo Logic Cloud SIEMを使い始める
Sumo Logic SIEMの基本的な使い方を説明します。これらの手順は公式ドキュメントからの抜粋です。
ヘッドアップディスプレイ
最初にCloud SIEMにアクセスすると、Heads Up 、セキュリティ状況の中心的なビューが表示されます:
- 真ん中にはレーダーが表示されている。インサイトに囲まれている。信号そして記録これらの洞察に貢献している。
- 左側のパネルには概要情報が表示され、右側のパネルには最近のアクティビティが記録される。
- ヘッドアップディスプレイを使用して、優先度の高いイベントを監視します。
クラウドSIEMの機能を使いこなす
クラウドSIEMでは、トップメニューとサイドバーメニューを使って様々な機能にアクセスできます:
- インサイト疑わしいアクティビティレベルがエンティティのしきい値を超えた場合に生成される、調査が必要なセキュリティイベントのクラスタを表示します。
- シグナル:ルールによって重要であると判断された個々のイベントを調べる。シグナルは、脅威を示す可能性のある異常な活動を特定することを目的としている。
- エンティティ:ユーザー、IP、ホストなど、システム内の固有のアクターを追跡します。各エンティティのアクティビティスコアは、集約されたシグナルに基づく潜在的なリスクを反映します。
- 記録:セキュリティ分析の基礎となる解析済みデータのコレクションを表示する。
- コンテンツルール、マッチリスト、カスタムインサイトの作成と管理により、セキュリティ監視と対応能力を向上させます。
- 設定:データ取り込み、ルール管理、エンリッチメント、その他のシステム構成の設定を調整します。
クラウドSIEMにデータを取り込む
クラウドSIEMは、複数のソースからのデータを自動的に整理してエンリッチ化し、実用的なセキュリティインサイトに変換します。データの取り込みプロセスは、インストール型またはホスト型のコレクターを通じて収集されたさまざまなソースからのログから始まります。これらのログは、メッセージに解析され、正規化され、追加情報でエンリッチされて、さらなる分析の基礎単位となるRecordが作成されます。
データのパイプラインと収集
データパイプラインでは、生のログはいくつかの段階を経て、実用的なデータになります。各メッセージは、キーと値のペアに解析され、一貫性のあるスキーマにマッピングされ、外部の脅威インテリジェンスで強化されます。
クラウドSIEMを効果的に活用するには、組織が十分なデータを収集していることを確認する。通常、1日に50GB以上のデータを取り込むことで、貴重な洞察を得ることができます。CloudTrail、Windowsイベントログ、AWSログなどの価値の高いソースは検出精度を大幅に向上させることができるため、データソースの品質を監視することも不可欠です。
レコード作成と信号発生
データが取り込まれると、Cloud SIEMはメッセージを処理してRecordsを作成し、定義済みルールやカスタムルールと比較します。ルールの条件が満たされると、Signalisが生成され、エンティティ、重大度、MITRE ATT&CK フレームワークの戦術などの重要なイベント情報がキャプチャされます。その後、エンティティのアクティビティスコアに基づいてシグナルが相関され、高スコアのエンティティがInsightsをトリガーし、注意を要するシグナルのクラスタが生成されます。
脅威の調査
クラウドSIEMにおける脅威の調査は、主に特定のアラートやインサイトに対応して開始されるリアクティブなプロセスです。クラウドSIEMのインサイト機能は、通常とは異なるアクティビティを持つエンティに関連するシグナルのクラスターをまとめ、潜在的なセキュリティ・インシデントを調査するタスクを簡素化します。各インサイトは詳細な情報を提供するため、セキュリティ・アナリストはイベントに関する調査上の疑問に答えることができます。
Insightを分析する:
- まず、時系列と関係主体を見直すことから始め、それによって活動の源、範囲、順序が明らかになるかもしれない。
- 調査員は、各イベントに関連するIPアドレス、ジオロケーション、その他のメタデータなどの詳細を調べながら、基礎となるシグナルを掘り下げていくことができます。このプロセスにより、チームはインシデントに関する仮説を構築し、より多くの情報が入手可能になるにつれて仮説を修正することができます。
コンテキストアクションとインシデントレスポンス
クラウドSIEMは様々な機能をサポートしているコンテキストアクションから直接インサイトこれにより、アナリストはSumo Logicプラットフォームで関連イベントを検索したり、クエリーを実行したり、外部システムにリンクしたりすることができます。
さらに、アナリストはコメントを追加したり、Insight のステータスを更新したり、調査の進捗を記録するためのその他のタスクを実行できます。インシデント対応のアクションには、自動ワークフローの実行、チームメンバーへのアラート、Jiraチケットの作成やSlack経由のメッセージ送信などのフォローアップタスクの開始も含まれます。
調査と対応ワークフローの改善
インサイトが生成され、解決されると、ユーザーはそれを「クローズ」または「進行中」としてマークします。クラウドSIEMのアルゴリズムは、過去のインシデント解決から学習することで、検出精度の向上を支援します。クローズされたインサイトに正確なステータスを割り当てることで、組織は誤検知を減らし、調査プロセスを微調整することができます。
エクサビーム究極の相撲ロジック
セキュリティ情報・イベント管理(SIEM)ソリューションのリーディング・プロバイダーであるExabeamは、UEBA、SIEM、SOAR、TDIRを組み合わせ、セキュリティ・オペレーションを加速します。同社のセキュリティ・オペレーション・プラットフォームは、セキュリティ・チームが脅威を迅速に検知、調査、対応し、運用効率を高めることを可能にします。
主な特徴
- スケーラブルなログ収集と管理:オープンプラットフォームは、ログのオンボーディングを70%高速化し、高度なエンジニアリングスキルを不要にすると同時に、ハイブリッド環境全体でシームレスなログ集約を実現します。
- 行動分析:高度な分析により、正常な行動と異常な行動を比較し、内部脅威、横の動き、シグネチャベースのシステムで見落とされた高度な攻撃を検知します。Exabeamは、他のベンダーが攻撃を検知する前に90%の攻撃を検知し、対応することができると顧客から報告されています。
- 脅威対応の自動化:インシデントのタイムラインを自動化し、手作業を30%削減し、調査時間を80%短縮することで、セキュリティ運用を簡素化します。
- 状況に応じたインシデント調査:Exabeamはタイムラインの作成を自動化し、雑務に費やす時間を削減するため、脅威の検知と対応にかかる時間を50%以上短縮します。事前に構築された相関ルール、異常検知モデル、ベンダー統合により、アラートを60%削減し、誤検知を最小限に抑えます。
- SaaSおよびクラウドネイティブオプション:柔軟な導入オプションにより、クラウドファーストおよびハイブリッド環境に対応するスケーラビリティを提供し、お客様の価値実現までの時間を短縮します。SIEMをクラウドに移行できない、または移行したくない企業向けに、Exabeamは市場をリードするフル機能のセルフホスト型SIEMを提供します。
- NetMonによるネットワークの可視化:ファイアウォールやIDS/IPSを超える深い洞察力を提供し、データ盗難やボットネットの活動などの脅威を検出すると同時に、柔軟な検索により調査を容易にします。また、Deep Packet Analytics (DPA)は、NetMon Deep Packet Inspection (DPI)エンジンを基盤としており、重要な侵害指標(IOC)を解釈します。
エクサビームの顧客は、AIを活用したリアルタイムの可視化、自動化、生産性向上ツールによって、セキュリティ人材のレベルアップを図り、コスト削減と業界トップクラスのサポートを維持しながら、負担の大きいアナリストを積極的な防御者に変えていることを常に強調しています。
その他の相撲ロジック解説
