クラウドネイティブSIEMでセキュリティ成果を加速

組織が IT インフラストラクチャを近代化し、クラウド サービスの導入を増やすにつれて、セキュリティ チームは人員、予算、テクノロジーの面で新たな課題に直面します。それに追いつくために、セキュリティ プログラムは、限られたリソースを使用して急速に進化する脅威から最新の IT 環境を保護するように進化する必要があります。これには、従来のセキュリティ戦略を再考し、クラウド セキュリティ、AI 駆動型防御、スキル開発などの機能に投資を集中させる必要があります。今後の道のりでは、セキュリティ チームがテクノロジーとサイバー リスクの変化の中で、俊敏性、革新性、戦略性を維持する必要があります。

これらのセキュリティ要求を満たすには、セキュリティ チームは次の 3 つの重要な変革に重点を置く必要があります。

1. 閉鎖的なベンダーエコシステムから、オープンで協力的なコミュニティ主導の防御へと進化
2. AIと自動化によるセキュリティ専門知識の拡張
3. ツール中心の防御からアナリスト主導の成果への進化

セキュリティ運用プログラムを最新化するための最も効果的な手順の 1 つは、コア SIEM プラットフォームをアップグレードすることです。 SIEM は SOC チームの中枢神経として機能し、IT 環境全体からデータを収集、相関、分析して脅威を検出します。クラウドネイティブ SIEM を実装するか、オンプレミス システムを強化することでこの機能を最適化すると、セキュリティ対策を拡大するためのデジタル基盤が提供されます。

アップグレードされた SIEM を通じてセキュリティ アラートとイベントを忠実に把握することで、組織はソースに関係なく、サイバー リスクを特定して対応するために必要な可視性とコンテキストを得ることができます。改善の優先順位を付けることにより、サイロ化されたセキュリティ プラクティスを、現在の課題や新たな課題に対処する統合されたインテリジェンス主導の機能へと変革するスピードを加速できます。

オープン ディフェンス: セキュリティ データの山に隠れた真の脅威の針を見つける

データの爆発的な増加により攻撃対象領域が拡大します。これは、コストのかかる連鎖反応を引き起こす可能性のある最も重大な副作用です。より多くのデータ。さらなるアラート。アラートをフィルタリングするにはさらに時間が必要です。

SIEM はこのデータの分析において重要な役割を果たしますが、実際には、特に複数のクラウドにまたがる場合、このような大量のデータを SIEM に送信して分析することはますます困難になっています。場合によっては、すべてのデータを送信する必要がありません。クラウドとクラウド内の ID およびデータ セキュリティ ツールの成長に伴い、すべてのデータを取り込むのではなく、これらのシステムからアラートのみを収集して SIEM にインポートすることが必要になる場合が多くあります。

今日の SIEM は、オープン スタンダードとテクノロジに基づいて設計される必要があります。これにより、セキュリティ チームは、必要に応じて基盤となるテレメトリ データにアクセスしながら、重要な洞察のみを簡単に収集できるようになります。

多くの場合、そのような検出は必要ありません。他のケースでは、セキュリティ チームは特定の脅威をさらに分析するためのデータのみを収集する必要があります。このような場合、リアルタイムのデータ収集、クラウド規模でデータを分析するように設計されたデータ ウェアハウス機能、リアルタイム分析と 1 秒未満の検索時間に最適化された SIEM がソリューションとなります。組織は、ベンダーやデータのロックインに対処することなく、オンプレミスとクラウドの両方のデータにアクセスする必要があります。

このオープン SIEM アプローチにより、組織はデータ レイク、ログ記録プラットフォーム、検出テクノロジへの既存の投資を活用できるようになります。また、組織のセキュリティ インフラストラクチャが成熟するにつれて、適切なデータ保持およびセキュリティ ツールを柔軟に選択できるようになります。

ただし、データの可視性を向上させることは解決策の一部にすぎません。セキュリティ チームは現在、脅威をタイムリーに検出するスキルが求められているため、脅威を発見するには正確で最新の検出ロジックが必要です。これを定期的に更新される脅威インテリジェンスと組み合わせることで、アナリストは脅威の検出を加速できます。また、SIGMA のような共通の共有検出ルール言語を活用することで、脅威の進化に応じて、セキュリティ コミュニティから直接クラウドソーシングされた新しい検証済みの検出を迅速にインポートできます。

AIと自動化により脅威の検出と対応が加速

ほとんどの組織は、SIEM や EDR などの他の脅威検出テクノロジーで悪意のある動作を検出しますが、最近の世界的な調査によると、現実には、SOC プロフェッショナルが通常の 1 日で確認すべきアラートの半分以下 (49%) しか確認していません。自動化と AI を活用することで、推奨事項と洞察の透明性と出所が確保され、セキュリティ チームが優先度の高いアラートを解決し、期待される結果を実現できるようになります。

これを実現するには、SIEM は、グラフ分析、脅威インテリジェンスと洞察、フェデレーション検索、人工知能を活用した革新的なリスクベースの分析と自動調査を採用する必要があります。効果的な SIEM プラットフォームは、人工知能を活用して人間の認知能力を強化する必要があります。自己調整機能により、ノイズの多いアラートが削減され、アナリストの注意が最も必要な部分に集中します。仮想アシスタンスは日常的なトリアージの処理に役立ち、セキュリティ専門家が戦略的な取り組みを実施できるようにします。また、強力な機械学習モデルにより、ルールベースのシステムでは見逃される可能性のある攻撃パターンやインシデントを発見できます。最も高度な SIEM の中には、組織環境全体にわたって検出結果を拡充および相関付け、分析が最も重要な攻撃に自動的に集中するようにするものもあります。 </span>

セキュリティ チームとの必要な信頼関係を構築するには、SIEM は推奨事項と洞察において透明性と出所を提供する必要があります。すべての評価の実施方法に説明可能性を組み込むことで、セキュリティ アナリストは推奨事項を信頼し、環境内の脅威に対してより迅速かつ断固とした行動をとる自信を持つことができます。

今日の SIEM を開発する際にベンダーが考慮する必要があるもう 1 つの側面は、対応者による初期アラート分析を実行するアナリストへの意思決定と対応アクションの移行です。多くの場合、組織にとってリスクバランスが適切な場合は、完全に自動化したいと考えています。従来、このようなプロセスと決定は、個別の SOAR システム内で、場合によっては異なるチームで調整および調整されていました。今日の SIEM は、完全な SOAR 機能を SIEM ワークフローと UX に組み込むために、より機敏にシフトレフトできる必要があります。このアプローチにより、組織はリスクのバランスに基づいて対応プロセスをほぼ完全に自動化し、必要に応じてセキュリティ チームをプロセスに組み込んで推奨されるアクションを検証できるようになります。

ツール中心の防御からアナリスト中心の防御への進化

初期の SIEM プラットフォームは、大量のセキュリティ データの収集と相関付けに重点を置いていました。これらの第 1 世代のシステムはログの集約に優れていましたが、誤検知が満載の大量のアラートによってアナリストに過度の負担がかかっていました。対応するために、チームはインシデントの管理、脅威の追跡、タスクの自動化を行う新しいツールを追加しました。しかし、このテクノロジー主導のアプローチは、生産性を低下させる複雑で断片化された環境を生み出します。

最新の SIEM ソリューションは、脅威のライフサイクル全体を通じて人間のアナリストの経験に重点を移しています。次世代プラットフォームは、より多くのデータポイントを生成するのではなく、人工知能を使用してノイズの中から信号を見つけます。クラウドベースの分析により、識別が難しい攻撃パターンを発見して予測機能を提供し、組織環境全体にわたる調査結果を充実させることができるため、アナリストは最も重要な攻撃に集中できます。アナリストのワークフロー内で効果的に作業するには、オープン アーキテクチャと統合されたシステムの可視性をすべての SIEM に組み込む必要があります。

最新の SIEM の場合、ツールとテクノロジーはアナリストに役立つものであり、その逆ではありません。