このブログ投稿は、Microsoft Intelligent Security Association (MISA) ゲスト ブログ シリーズの一部です。 MISAについて詳しく知りたい方はこちら
従来のセキュリティ オペレーション センター (SOC) プロセスには、通常、過労のアナリストが大量のインバウンド アラートと戦わなければならない多種多様なイベント通知ツールが含まれます。これは、多くの場合、シグナルの見逃しやアラートの優先順位付けの誤りにつながります。
クラウド、ハイブリッド環境、IoT への移行は、攻撃対象領域が分散し、無限に変化し続けているため、状況をさらに悪化させています。境界防御は必要ですが、不十分です。
これらの課題に対処するために、今日の SOC は、ネットワークの検出と応答 (NDR)、エンドポイントの検出と応答 (EDR)、およびセキュリティ情報とイベント管理 (SIEM)。
Gartner は、このアプローチをSOC の可視性のトライアドと呼んでいます。 NDR の広範な可視性と EDR のプロセス レベルの深い洞察を組み合わせ、SIEM のさまざまなソースからのログおよびセキュリティ分析と結合します。
高度に統合されたソリューションでこれら 3 つのコンポーネントを使用することで、セキュリティ プロフェッショナルは最新のネットワーク環境に対するツールと可視性を手に入れ、境界防御を回避する攻撃を検出して阻止できるようになります。
Vectra ®の Cognito ®プラットフォームは、オンプレミスのエンタープライズ ネットワークだけでなく、クラウドやハイブリッド クラウドのワークロードに隠れた攻撃者の行動を注意深く監視することで、忠実度の高い NDR を提供します。
セキュリティ研究とデータ サイエンスを組み合わせることで、Vectra AI から派生した機械学習アルゴリズムは、クラウド/SaaS とデータ センターのワークロード、およびユーザーと IoT デバイスで最もリスクの高い攻撃者の行動を自動的に検出し、優先順位を付けます。
その結果、Vectra により、セキュリティ プロフェッショナルは SOC の作業負荷を軽減し、すべての攻撃に関する詳細な洞察とコンテキストを即座に取得し、侵入する脅威に外科的精度でより迅速に対応できるようになります。
Vectra (NDR)、Microsoft Defender ATP (EDR)、および Microsoft Azure Sentinel (SIEM) の間の深いネイティブ統合により、顧客は SOC トライアドを完全に運用できるようになり、顧客は既に使い慣れたツールを使用できるようになります。
この SOC トライアドは、各データ ソースからのコンテキストをまとめて、その部分の合計よりも優れた並外れたソリューションを作成します。
このソリューションは、Microsoft Defender ATP からのコンテキスト エンドポイント データを使用して Vectra 検出を強化するだけでなく、Microsoft Azure Sentinel ダッシュボードに攻撃者の検出を自動的に表示し、SOC チームが最終的な調査を実施できるようにします。
SOC の可視性のトライアドは、侵害されたアカウントの無効化や攻撃者が使用しているホストの隔離など、統合された施行アクションの推進にさらに役立ちます。これにより、SOC は適切に調整された応答を提供し、効率を高め、攻撃者の滞留時間を短縮できます。
Vectra のホスト ロックダウン機能は、その好例です。 Cognito プラットフォームによってリスクの高い攻撃が検出されると、SOC チームは、Cognito ダッシュボードから Microsoft Defender ATP ホストをロックダウンするために迅速かつ正確に対応できます。
これは、ボタンをクリックして手動で実行することも、ホストの脅威、確実性、観察された特権スコアが SOC で定義されたしきい値を超えたときにトリガーされる自動適用用に構成することもできます。
要約すると、Vectra を Microsoft Defender ATP と組み合わせることで、SOC チームは次のことができるようになります。
- クラウドとデータ センターのワークロードでの相互作用の Vectra 360 度の空中ビューと、Microsoft Defender ATP からの詳細な地上レベルのビューを組み合わせ
- Microsoft Defender ATP からの深いプロセス レベルのホスト コンテキストを使用して、忠実度の高い Vectra 検出を強化
- Microsoft Defender ATP を使用して、ソースに近い Vectra から正確かつ即時の施行アクションを実行
また、Vectra を Microsoft Azure Sentinel と組み合わせることで、SOC は次のことを実現できます。
- Vectra の確実性の高い動作ベースの検出を Microsoft Azure Sentinel ワークブックに直接移動して、すぐに対応できるように
- Vectra の構成可能な脅威と確実性スコアのしきい値に基づいて、Microsoft Azure Sentinel でインシデントを自動化
- インシデントのフォレンジック分析を実行して、関連するデバイス、アカウント、および攻撃者を特定
Vectra と Microsoft が協力して行った NDR、EDR、SIEM の緊密な統合により、SOC 可視性のトライアドを実現することができ、最終的にSOC の可視性を高め、攻撃者がクラウド、データ センター、IoT、およびエンタープライズ ネットワークを構築することができます。
詳細については、Vectra のCognito プラットフォームと、Microsoft Defender ATP および Microsoft Azure Sentinel との統合を確認してください。
Microsoft Intelligent Security Association (MISA) の詳細については、 Web サイトにアクセスしてください。MISA プログラム、製品の統合について学び、MISA メンバーを見つけることができます。 ビデオ プレイリストにアクセスして、マイクロソフト製品とのメンバー統合の強みについて学びましょう。
Comments