このブログ投稿は、Microsoft Intelligent Security Association (MISA) ゲスト ブログ シリーズの一部です。 MISAの詳細をご覧ください。
働き方は急速に変化しています。多くのワークロードがクラウドに移行しており、パンデミックにより組織は、いつでもどこからでも (またはほとんどが自宅から)、可能であれば任意のデバイス (企業またはプライベート) から作業する従業員を支援するインフラストラクチャを提供することを加速しています。セキュリティ チームは、予算、リソース、および集中力がすでに限界に達していることが多いため、増加するワークロードに対応する必要があります。絶え間なく変化する状況からの多くのアラートに対処することは困難です。どのように優先順位を付けることができますか?そして、限られた人数だけでそれらをどのように処理できますか?
これらのアラートを追跡して確認することは、24 時間体制でこれらのアラートを調査して対応することは言うまでもなく、ほとんどのセキュリティ チームにとって十分に困難です。これは、重要なアラートを見逃す可能性があり、インシデントが同僚の生産性を混乱させた後 (最良のシナリオ)、または多額の費用をかけてビジネス全体を混乱させた後 (最悪のシナリオ) に続く可能性があることを意味します。
脅威アクターは標準的な営業時間内に勤務しておらず、多くの場合、攻撃はいくつかの小さなインシデントで構成されており、生産性の損失、復旧コストの高いデータ損失、時間の損失などの主要なイベントにつながる可能性があります。全体像を把握するには、アラート疲労を引き起こすことなく、パズルのすべてのピースを確認する必要があります。ここで、 Wortell のマネージド サービスが役に立ちます。
Wortell がアラート疲労の軽減にどのように役立つか
組織によって生成されるアラートの数は、複数の要因によって異なります。これらは、組織のタイプ、従業員数、ワークロードの複雑さなどです。これらが適切にトリアージされていないと、偽陽性アラートに多くの時間が費やされ、セキュリティ プロフェッショナルから貴重な時間が奪われる可能性があります。実際、アラートの平均 90% は自動的に解決できるため、誤検知アラートの量が減少します。
誤検出アラートの数を減らすことは、効果的な管理された検出と対応の鍵です。虚偽の通知を調査するには、時間と費用がかかります。それは、あなたの組織が他の場所で使うことができたはずのお金です。設計上、セキュリティは、費用対効果の高い管理された検出と応答を提供する上で重要です。ツールとワークロードを適切に構成することで、アラートの数を減らすことができます。 Wortell は、セキュリティ プロフェッショナルとマネージド ディテクション アンド レスポンス (MDR) チームにより、ベースライン構成からマネージド サービスまでのフル サービスを提供します。
- ベースライン構成: ID 保護をセキュリティのベースラインとして構成する際に、知識と専門知識を提供します。次に、エンドポイント セキュリティ ベースラインを構成して展開し、検出を開始します。
- 自動応答:エンドポイントから最初の信号を受信すると、自動応答の設定を開始できます。これは、Wortell のベスト プラクティスの経験とお客様固有のユース ケースを組み合わせたものです。
- マネージド サービス:アラートは専任の MDR チームによって常に監視および調査されます。
Wortell MDR サービスを使用すると、顧客は本業に集中でき、インシデントが脅威になる前に確実に阻止されます。
Wortell は、 Microsoft DefenderとMicrosoft Azure Sentinelを使用して脅威保護を提供し、これらの個々のアラートを 1 つのダッシュボードに収集します。これにより、攻撃が脅威になる前に、プラットフォーム全体で洞察を得て、攻撃の個々のパズルのピースを発見することができます。
アラートとトリアージの自動化を提供することで、Vidara™ プラットフォームに付加価値を提供します。 Microsoft 製品と Wortell のサービスを組み合わせることで、24 時間体制の脅威保護のための MDR が構成されます。
Managed Detection and Response: 再発明されたセキュリティ オペレーション センター
セキュリティ オペレーション センターの設定は複雑です。インフラストラクチャを整備する必要があり、完全に展開するには数か月かかる場合があります。 MDR はクラウド ネイティブであり、数か月ではなく数日でセットアップできます。メリットはそれだけではありません。検出側では、プロアクティブな脅威ハンティングと、従来のソリューションではインシデントや既知の脆弱性を再アクティブに検出することしかできなかったゼロデイ攻撃、インサイダー、およびマルウェアの脅威を検出して軽減する機能が得られます。
これは、投資のリターンが結果主導型であり、長い実装時間や関連コストなしで、最初からすぐに価値を提供し始めることを意味します。管理された部分は、顧客がユーザーごとに支払うことができ、事前に大きな投資をする必要がないことを意味します. Wortell は主要業績評価指標について説明し、サービス レベル アグリーメントを提供します。その後、アラートの検出と環境の安全な維持を開始する準備が整います。
ユースケース: 危機回避
匿名の顧客シナリオの例を共有するために、MDR チームは、顧客の環境内で異常な動作を検出しました。行動だけではフラグは立てられませんでしたが、アラートの組み合わせは別のストーリーを示しました。ランサムウェア攻撃が展開され、制御をめぐる戦いが始まりました。これは、どの組織にとっても最悪のシナリオであり、内部で真の危機を証明しました。
「この危機の間、Wortell は標準的な MDR サービスを提供しただけでなく、危機管理 (構造化、優先順位の設定、警戒に基づく即時行動など) の形成にも役立ちました。そうすることで、彼らは環境を管理下に保つための全責任を負いました。 Wortell は、最も重要なセキュリティ パートナーです。彼らの 24 時間体制の MDR サービスは、先月ランサムウェア攻撃を防ぎました。」 —化学業界の匿名組織
セキュリティ スペシャリストは Microsoft DART チームと緊密に連携し、優れたパフォーマンスを発揮しました。 Wortell は、セキュリティ エコシステムにおけるこのようなパートナーを高く評価しています。さまざまなサービス間の初期のシグナルと相関関係により、脅威は問題になる前に検出され、環境を制御する前に軽減されました。危機は回避されました。
ワーテルの仕組み
セキュリティの強固なベースラインを定義することで、Wortell は意図的にアラートの数を減らすことができます。残されたアラートは、顧客とともに適切なユースケースを定義し、Wortell MDR チームの洞察と経験を提供することで、大部分が自動化できます。残されたアラートは MDR チームによってトリアージされ、インシデントが発生した場合、インシデントを解決してリスクを軽減するための適切な選択肢が顧客に提供されます。
MITRE ATT&CK フレームワークをユースケースにマッピングすることで、脅威になる前に侵害の兆候を検出したり、それらの脅威を修復のために自動的に分離したりできます。これにより、すべての顧客は、初日からプラットフォームに追加された新しいユース ケースから恩恵を受けることができます。
オランダのセキュリティ アナリスト チームは、24 時間体制で監視し、リアルタイムでインシデントに対応します。自動化、標準化、および人的要因の組み合わせにより、複数の組織を一度に管理し、顧客にスケーラブルで手頃な価格の MDR を提供できます。
図 1: 2 人の匿名顧客に対する Wortell の MDR のアーキテクチャ図。
Vidara™ プラットフォームによる過給
IT 環境内のすべてのアクションはログに記録される可能性があり、攻撃の一部になる可能性があります。アクションがより大きな攻撃の一部であるかどうかを発見するには、適切なアラートがトリアージされ、調査され、必要に応じて軽減されることを確認する必要があります。
Wortell は、Vidara™ と呼ばれる社内で開発された機械学習主導のプラットフォームを使用して、Microsoft プラットフォームの検出の可能性を拡張します。このニューラル ネットワークは、最も複雑なセキュリティ インシデントを高速で検出して対応できます。
Vidara™ の主な機能は次のとおりです。
- 組織に合わせた脅威インテリジェンス。
- ユース ケース ライブラリを提供することで検出を拡張します。
- 自動応答。
今日から検出を開始
ワーテルがあなたのためにできることを知りたいですか?彼らは、組織に価値を追加できない場合、検出と対応の最初の月が無料である、治療不要の無料ソリューションを提供します。それは彼らが彼らのサービスにどれほど自信を持っているかです.
ワーテルが職場でのインクルージョンに対して MS@WORK 賞を受賞した理由をご覧ください。
Microsoft Intelligent Security Association (MISA) の詳細については、Web サイトにアクセスしてください。ここでは、MISA プログラム、製品の統合について学び、MISA メンバーを見つけることができます。 ビデオ プレイリストにアクセスして、マイクロソフト製品とのメンバー統合の強みについて学びましょう。
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments