このブログ投稿は、Microsoft Intelligent Security Association (MISA) ゲスト ブログ シリーズの一部です。 MISA の詳細については、こちらをご覧ください。
セキュリティ チームは、複数のセキュリティ テクノロジから生成されるアラートの複雑さと量のために、脅威を検出して対応する時間を短縮するのに苦労しています。
より多くのワークロードがクラウドに移行されると、これにより追加の境界がもたらされ、サイバー攻撃の初期の兆候に対して常に警戒する必要があります。その弾力的な性質と新しいサービスの絶え間ないプロビジョニングにより、新しいセキュリティの課題も生じます。
CyberProof が Microsoft と協力してこれらの課題を解決する方法
CyberProof は Microsoft と提携して、エンドポイント、ネットワーク、ID、SaaS アプリケーション、および Azure クラウド インフラストラクチャにわたって、クラウドに拡張可能なセキュリティ監視、検出、および応答サービスを顧客に提供します。
Microsoft のクラウドネイティブ SIEM と事前に統合された CyberProof Defense Center (CDC) サービス デリバリー プラットフォームにより、CyberProof の組み込み仮想アナリストである SeeMo である Azure Sentinel は、監視、エンリッチメント、インシデントの処理、および修復。これにより、チームは最も重要なビジネス上の問題に集中することができます。
よりスマートな SOC を構築するための重要なレイヤー
セキュリティ オペレーション センター チームは、マネージド セキュリティ サービスを使用して Azure セキュリティ スタックから継続的な価値を生み出すことを検討している場合、Smarter Security Operations Center (SOC) アーキテクチャの次の 3 つの主要なレイヤーを実装することをお勧めします。
各レイヤーには、このアーキテクチャの促進に役立つ Microsoft と CyberProof 間の統合が含まれています。詳細については、マイクロソフトのチーフ セキュリティ アドバイザー EMEA である Cyril Voisin と協力して実施したオンデマンド ウェビナーをご覧ください。
1. データ収集および統合層 – 複数のソースからのセキュリティ データの強化
これは、データ レイクに入る前に複数のビジネス ユニットから関連データを収集して解析するエンタープライズ レベルの SOC に特に役立ちます。情報はすでに最適な方法で構造化されているため、このすべてのデータを整理して分類すると、統合および自動化テクノロジの導入を開始するときに時間と費用を節約できます。ログの収集、正規化、および分析の仕組みは次のとおりです。
- 統合: 組織は、統合する必要がある資産、ツール、テクノロジ、およびアプリケーションを特定します。
- データの正規化: エンタープライズ SOC は、データがデータ レイクに入る前にデータを解析し、タグ付けしてフィルター処理する必要があります。これにより、適切な情報が最も効率的な方法で SOC に供給されます。
- データの収集と分析: Microsoft の Azure Monitor Log Analytics などのソリューションと Azure Data Lake などのスケーラブルなストレージを使用して、テラバイト単位のデータを取り込み、大規模なクエリと管理を行うことができます。機械学習は、異常の識別、ログ ソースが正しく動作しているかどうかの監視、および脅威ハンティングのサポートに使用できます。
CyberProof では、Azure Monitor Log Analytics と CyberProof Log Collection (CLC) SaaS テクノロジを活用して、すべてのデータ ソースからログを取得します。これには、オンプレミス、SaaS、Azure 資産など、お客様の既存の Microsoft への投資と、ID、エンドポイント、データ、電子メール、およびクラウド アプリ全体でアラートを生成する既存の Microsoft セキュリティ コントロールが含まれます。
2. セキュリティ分析層 – 状況に応じたアラートを生成し、誤検知を最小限に抑える
従来のオンプレミス SIEM アーキテクチャはスケーラビリティが制限されています。たとえば、現在の需要と時間の経過に伴う成長に合わせてスケーリングするオンデマンド プロビジョニングではなく、ピーク時の要件に基づいてインフラストラクチャ コストが事前に発生します。また、ルールを関連付けて明確なレポートを作成する必要がある場合、すべてのエコシステムからのログを効果的にマッピングすることは、時間のかかる作業になる可能性があります。
セキュリティ データ収集の世界は進化しています。インシデントの発見をトリガーするのは、もはや単一のクエリまたはルールではありません。通常、セキュリティの監視では、ことわざにある「干し草の山の中の針」を特定します。この種の脅威を検出するには、企業全体にわたる広範な可視性が必要です。これには、ベースラインが実際にどのように見えるかを確立するために、より多くの処理能力とデータ収集が必要です。これらの属性は、クラウドにセキュリティを実装することによって最もよく達成されます。
そこで Azure Sentinel の出番です。相関ルールと分析ルールを提供し、大量のイベントをフィルター処理してハイ コンテキスト アラートを取得します。 Azure Sentinel は、機械学習を使用して、許容されるユーザーの行動に隠れている異常をプロアクティブに検出し、アラートを生成します。
Microsoft Azure Sentinel は CyberProof CDC プラットフォームと完全に統合されているため、顧客は 1 つのコンソールからハイ コンテキスト アラートの管理、調査の実行、インシデントの処理を行うことができます。
3. オーケストレーション、自動化、コラボレーション レイヤー – 脅威の検出と対応を迅速化
中規模の MSSP に対する Forrester の最近の評価では、過負荷の SOC スタッフにとってオーケストレーションとセキュリティの自動化が重要な役割を果たしていることが指摘されています。
監視、強化、調査、インシデント処理などのティア 1 および 2 のアクティビティを自動化することで、当社の CDC プラットフォームはプロセスから多くの負担を取り除きます。基本的に、CDC プラットフォームは当社の IP をサービスとして提供し、顧客が次世代 SOC 用に独自の IP を開発するために必要な支出を回避できるようにします。
CDC プラットフォームは、利害関係者向けのハイ コンテキスト アラート、インシデント、およびレポート生成を管理するための「単一画面」ビューを顧客に提供します。 Azure Sentinel の機能とその他のセキュリティ投資を統合します。
CDC プラットフォームの利点は次のとおりです。
- オーケストレーション: 外部のインテリジェンス ソース、エンリッチメント ソース、IT サービス管理システムなどを 1 つのビューに統合します。
- 自動化: CyberProof の仮想アナリストである SeeMo を活用します。SeeMo は Use Case Factory を使用します。SeeMo は、MITRE ATT&CK フレームワークに合わせて調整された、防止、検出ルール、および応答プレイブックで構成される攻撃ユース ケースのカタログであり、プレイブックを継続的に更新します。
- コラボレーション: 国家レベルのアナリストとのリアルタイムのコミュニケーションを促進し、インシデントの修復を支援します。
- ハイブリッド エンゲージメント: CyberProof の専門家とお客様のチームとのコラボレーションをサポートして、インシデントを修復し、お客様のチームのスキルを向上させます。
お客様は今すぐメリットを享受できます
Azure Sentinel と組み合わせて使用される CyberProof ソリューションは、24 時間年中無休のセキュリティ監視を提供するため、SOC チームは重大なインシデントに集中することができます。
プラットフォームが機械学習と行動分析を使用することで、アラート疲労と誤検知を最大 90% 削減できます。エンドポイント、クラウド ネットワーク、およびユーザーからのデータの大規模な収集と関連付けを提供し、ハイ コンテキスト アラートを促進します。
これらの機能は、プラットフォームの高レベルのコラボレーション機能と最新の対応プレイブックと同様に、脅威の検出と検証済みのインシデントへの対応の効率を向上させるのに役立ちます。
それでも、CyberProof ソリューションへの移行にはそれほど時間はかかりません。 CyberProof には、各顧客の要件に基づいた定義済みのオンボーディング プロセスがあります。
マネージド サービス プロバイダーとして、お客様が移行プロセスを加速し、ソリューションのメリットを享受し始めるのに必要な時間を短縮することで、お客様が単独で移行するよりもはるかに迅速に移行できるよう支援できることがわかりました。
さらに情報が必要ですか? Azure セキュリティ サービスのページと、CyberProof のCDC プラットフォームをご覧ください。または、よりスマートな SOC への移行を支援する方法の詳細については、お問い合わせください。
Microsoft Intelligent Security Association (MISA) の詳細については、 Microsoft Intelligent Security Association の Web サイトにアクセスしてください。ここでは、MISA プログラム、製品の統合について学び、MISA メンバーを見つけることができます。 ビデオ プレイリストにアクセスして、マイクロソフト製品とのメンバー統合の強みについて学びましょう。
Microsoft Security Solutions の詳細については、 Microsoft Security Web サイトを参照してください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
コメント