XDRの前提条件: 処方的な脅威中心のユースケース - Exabeam

XDRの前提条件: 処方的な脅威中心のユースケース

Published
August 09, 2021

Author
Gorka Sadowski

XDR市場の興隆と、Exabeam XDRブログシリーズの最初の記事がこのテーマを飾った理由についてはすでにお話しました。今回の記事では、ユースケースベースのアプローチが効果的なXDRプラットフォームの鍵となる理由を取り上げます。このアプローチは処方的なもので、段階的に成果を達成し、どんな組織でも大規模に再現可能とすることを目指したものです。

XDR市場の興隆と、Exabeam XDRブログシリーズの最初の記事がこのテーマを飾った理由についてはすでにお話しました。今回の記事では、ユースケースベースのアプローチが効果的なXDRプラットフォームの鍵となる理由を取り上げます。このアプローチは処方的なもので、段階的に成果を達成し、どんな組織でも大規模に再現可能とすることを目指したものです。

SOCの成熟度に対する従来のアプローチ

SOCの従来の任務は、ツールセットを組み立て、脅威の検出、調査、対応に役立つプロセスをサポートすることでした。このため、大半のSOCが図1のようなプロセスに従っています。

Timeline

Description automatically generated図1: SoCにおける脅威の検出、調査と対応の一般的なフェーズ

SOCが能力の成熟を目指す場合、「左から右」式の自動化を手段として選ぶのが一般的です。セキュリティに関する内容に漏れがないよう、「念のため」にあらゆるデータをSIEMに取り込むことから始め、(適切なデータセットであればよいが、通常は多すぎる) データの準備が整うと、可能な限り多くのセキュリティ脅威を自動検出することに目が向けられます。検出メカニズムの準備が整うと、セキュリティ製品とSIEM自体からのアラートが山積し始めます。この大量のアラートを処理するため、第1段階のトリアージワークフローが自動化されており、左から右への自動化プロセスが最終的に対応と案件の終了に至るまで進行します。 

こうした旧式のSOC最適化モデルでは、ワークフローの各フェーズを1つずつ自動化することを試みますが、すべての種類の脅威に一度に対応しようとします。残念ながら、脅威はすべて同じとは限らず、関連性や優先順位も異なり、別々のデータを必要とし、検出方法や調査ニーズもさまざまです。また、解決には多彩な人材、プロセスやツールが必要となります。左から右型のアプローチは、多大な労力とカスタマイズを要するのみならず、SOCを成熟させる方法としては単純に非効率的です。  

脅威中心のユースケースによるトップダウン型の成熟

SOCの成熟度を高めるには、SOCワークフローの一段階であらゆる脅威を自動化し、左から右への処理を試みるよりも、収集と検出を自動化し、1つの脅威タイプを解決して次のタイプへと移る方が効率的です。単純で一般的なユースケースから開始し、自動化を経て次のより複雑なユースケースへと移るもので、こうした成熟のパスは、図2で示すように、概念的には「トップダウン」型に近くなります。

Graphical user interface, text, application, email

Description automatically generated図2: トップダウン型の成熟では、一度に1つのユースケースに取り組み、さらに複雑なユースケースへ移行。

脅威の検出、調査と対応 (TDIR) プロセスの自動化を促進しやすくするには、ベンダーは、特定の脅威に対応するための処方的なガイダンスとワークフローを提供し、特定の脅威タイプに対する成果をもたらすよう製品を調整する必要があります。以下の図3では、TDIRライフサイクル全体にわたって脅威中心のユースケースに焦点を当てるため、ベンダーが機能、プロセスやコンテンツを通じて製品をカスタマイズする方法のいくつかを示しています。 

Timeline

Description automatically generated図3: TDIRワークフロー全体で特定の脅威に対処できるよう、セキュリティベンダーが製品をカスタマイズできる分野。

加えて、ベンダーの提供するツールセットを使って独自に機能する検出、トリアージ、調査と対応コンテンツを構築するよう、顧客が強制されるようなことがあってはならず、ベンダーは、TDIRプロセスの各ステップで特定のユースケースに直接関係したパッケージ型コンテンツを提供すべきです。図1に示すように、各ユースケースの範囲は、特定のデータソース、検出タイプ、調査手順、特定の脅威 (この場合ではラテラルムーブメント) に対処する対応アクションに限定されます。このユースケースコンテンツには、特定のタイプの脅威を解決し、毎回その成果を大規模に再現可能な形で実現するために必要なすべてが含まれています。

Table

Description automatically generated図4: ラテラルムーブメントのユースケース用にパッケージ化されたコンテンツ

効果的なXDRには処方的かつ脅威中心のワークフローが必要

XDRは、脅威のセキュリティ運用ワークフロー全体を網羅するクローズドループ型のソリューションとして、SOCの専門知識の多寡に関係なく、設定が不要、または最低限で済み、すぐに価値を実現できるターンキーソリューションであるべきです。そうであってこそ、SOCは調整の必要なしにXDRを眼前の懸念事項に最初から最後まで活用することができます。これはつまり、1つずつユースケースに対応し、その後次のユースケースへと対象を移していくことを意味します。こうした能力のないXDRは、カスタマイズなしですぐに使えるターンキーのTDIRという本来の価値を実現することができないのです。

詳細をご希望ですか?XDR市場の状況を詳しく学ぶには、当ブログの過去の記事を参照してください。

Recent 情報セキュリティ Articles

UEBAがSolarWindsの侵害事例を検知した方法

Read More

Exabeam、大規模なセキュリティニーズ対応のためクラウド配信のFusion SIEMとFusion XDRを発売

Read More



Recent Information Security Articles

内部脅威の検知ツール

Read More

内部不正の兆候 : 内部に潜む敵を見つけるには

Read More

Advanced Analyticsユースケース:侵害された資格情報を見破る

Read More

成果目標を基盤とするユースケース対応:ラテラルムーブメントの解決

Read More

データサイエンスで内部の脅威に対抗

Read More