exabeam

エクサビーム
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU

Exabeam

エクサビーム
※Magic Quadrant for Security Information and Event Management, Kelly Kavanagh et al., 8 February 2020
ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高のレーティング又はその他の評価を得たベンダーのみを選択するようにテクノロジーユーザーに助言するものではありません。ガートナー・リサーチの発行物は、ガートナー・リサーチの見解を表したものであり、事実を表現したものではありません。ガートナーは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の責任を負うものではありません。

最新のSIEMに欠かせない10の機能

最新のSIEMに欠かせない10の機能

従来型のSIEM(Security Information and Event Management)システムは1990年代に登場し、ネットワーク深くの暗部を分析するという触れ込みでセキュリティオペレーションセンターに導入されました。

しかし、従来型のSIEMには専門的なデータ分析に加え、大量に増え続ける誤検知を除外して真のセキュリティ脅威を発見することのできる、熟練したチームが必須でした。

労働集約的なプロセスと専門的なスキルが求められるため、セキュリティ侵害を発見、調査、緩和するためには一般的に数週間、あるいは数か月もかかっていました。

次世代SIEMの登場

最新のSIEMは、従来型のSIEMでは不可能だったセキュリティ分野に新たなソリューションを適用できるようになりました。しかし、「次世代」と銘打っているにもかかわらず、ほとんどのセキュリティチームが現在直面している問題の解決に必要な機能が備わっていないSIEMも数多く出回っています。

最新のSIEMに必要な機能

従来型のSIEMはS/N比が非常に高いため、コンプライアンス要件を満たす目的に格下げされ、それ以上の用途にはあまり使われていません。

次世代SIEMソリューションに必要とされる機能を以下に挙げます。これらは、最新のテクノロジーと、脅威発生に関する包括的な知識を組み合わせたものです。

1.利用可能なすべての情報源からデータを収集して管理する

現代の脅威は、一般的に複数のデータソースにわたって発生します。次世代SIEMが効果を発揮するには、あらゆるデータソースにアクセスして、データを分析して相互に関連付けできる必要があります(図1参照)。これには、クラウドサービスデータ、オンプレミス(自社)のログデータ(セキュリティ制御、データベース、アプリケーションログ)、ネットワークデータ(フロー、パケットなど)が含まれます。

図1:次世代SIEMは、あらゆるデータソースに簡単にアクセスできる必要がある

また、データの一元管理とリモート管理も必要です。すべてのコネクタを構成して稼働させれば、どこからでも簡単に管理(開始、停止、更新、再構成)できるようになります。

2.十分に吟味されたビッグデータアーキテクチャ

多くの従来型SIEMは2000年代前半に構築され、各社独自のテクノロジーを使用しています。当時と今では、技術的に大きな違いがあります。Hadoop、Mongo、Elasticsearch、Sparkなどのプラットフォームは、当時は存在すらしていませんでした。

収集されるデータの量を考えると、今必要なのはデータをスケーリングし、その中でピボットし、高度なデータサイエンスアルゴリズムを活用できるビッグデータアーキテクチャです。

3.ログ取り込みに対するフラットな課金

多くの従来型SIEMは従量課金制を採用しています。データを多く収集すればするほど、組織にかかるコストが高くなります。つまり、図2に示すように、データソースの数を増やさなくても、おそらくわずか数年でコストが大幅に増加することになります。

図1:次世代SIEMは、あらゆるデータソースに簡単にアクセスできる必要がある

例えば、ファイアウォールを最新のモデルに更新すると、ログが10倍に増える場合があります。従量課金では、SIEMライセンス料金も自動的に増えてしまいます。定額モデルなら、取り込むデータを選ぶのではなく、あらゆるソースからデータを取り込みつつ、予算内に抑えることができます。

4.ユーザおよびアセットコンテキストのエンリッチメント

収集するあらゆるデータから有用な結果を引き出す、高度なエンリッチメントが必要です。データサイエンスの進歩により、これまでは経験豊富なアナリストが相互関連付けを行わなければ入手できなかった、以下のような様々な分析情報が得られるようになっています。

  • Dynamic Peer Grouping
  • IPアドレスと、ユーザ、マシン、タイムラインとの関連付け
  • アセットの所有権の追跡
  • ユーザやマシンの種別とアクティビティとの関連付け
  • サービスアカウントの識別
  • 個人メールアドレスと従業員との相互関連付け
  • バッジステーションのログアクティビティと、ユーザアカウントおよびタイムラインとの関連付け

コンテキストや意図を理解するSIEMを利用することで、アセットの所有権、ユーザのログイン場所、ピアグループ、その他の情報を検索し、異常な挙動の発見に役立てることができます。

5.ユーザとエンティティの行動分析

最新のSIEMでは、機械学習、統計分析、行動モデルを通じて行動の基準を定義します。これを、UEBA(ユーザとエンティティの行動分析)といいます。

いったんUEBAによって正常な行動を評価すると、異常な行動にリスクスコアを割り当て、指定したしきい値を超えるアクティビティや行動を公開することができます。例えば、いつも米国からログインするユーザが初めて中国からログインした場合、そのような異常行動は攻撃が進行中であることを示しているおそれがあります。

図3:VPNアクセスに基づいたユーザの異常行動の表面化

6.ラテラルムーブメントの自動追跡

過去のインシデントの研究により、攻撃の約60%は「ラテラルムーブメント」を伴うことが判明しています。これは、攻撃者が認証情報、IPアドレス、アセットを切り替えることで、検知の回避や、より高度なアクセス権の獲得を試みる行動です。ラテラルムーブメントを最初から最後まで効果的に追跡するには、そのような関連イベント同士をまとめる機能がSIEMに備わっている必要があります。

7.セキュリティ情報モデルの向上

従来型のSIEMは、おおむね個別のイベントに基づくセキュリティモデルを採用しています。一連のイベントを、構造化された行動のタイムラインに手動で変換するには、非常に多くの時間が必要です。高度な分析を行うためには、セキュリティデータを有用な形式で保存する必要があります。例えば、監視している各ユーザまたはエンティティのスコープ全体が含まれるタイムラインで保存する必要があります。必要なすべての情報をこのように整理することで、異常なイベントを明るみに出す際に、エキスパートシステムが完全なコンテキストをただちに提供することができます。

8.事前構築済みのインシデントタイムライン

一般的に、従来型のSIEMを利用する際には複雑なクエリを組み合わせ、その後で各ソースから共通ファイルに大量のコピー&ペーストを行う必要があります(リポジトリとして、テキストエディタがよく使われます)。このような調査を行うには、非常に多くの時間、セキュリティ分野に関する深い専門知識、クエリ言語の習熟、結果を解釈する能力が必要です。これらのスキルを備えたエンジニアは人件費が高いうえに、人数も不足しています。

最新のSIEMは、エンリッチメントされたデータが適切な情報モデル内に豊富にあれば、利用可能なあらゆるコンテキストを、簡潔かつフレンドリーなUIで、1つの画面にまとめて提示できます。

図4:ラテラルムーブメントを含むあらゆるイベントを統合する事前構築済みのタイムラインによる、
調査の大幅な合理化

9.インシデントの優先順位付け

SOCが分析する必要のあるデータの量は膨大です。大企業であれば、毎日数億件のログエントリーを生成していることも珍しくありません。

図5:良好に機能する最新のSIEMは、数百万件のログをフィルタリングし、
調査を要する適切なセキュリティチケットのみを生成できる

最新のSIEMは、管理者がドメインのコントロールを取り戻せるくらいにまでS/N比を削減するように設計されています。誤検知を排除し、異常行動のイベントにのみ注目できるようにすることが、堅牢なセキュリティ、スタッフの効率的なパフォーマンス、コストの抑制のためにきわめて重要です。

通常どおりの1日の場合、クラス最高のSIEMソリューションは5億件のログエントリーを6万件のセッションタイムラインに削減し、さらに50件未満の注目イベントのみを明るみに出すことができます。ここから、10件余りのチケットが調査のために生成されることがあります。

10.SOAR(Security Orchestration, Automation, and Response)

SIEMベンダーはこの機能に様々な略称を使用しています。この機能は2つの主な分野で構成されています。

  • オーケストレーション
    1. 事前構築済みのコネクタをITおよびセキュリティインフラストラクチャに展開し、お客様自身がコネクタのスクリプトを書く必要がない
    2. アクセス管理システム、ファイアウォール、メールサーバ、ネットワークアクセスコントローラー、その他の管理ツールに簡単にデータを出し入れ
  • オートメーション
    1. レスポンスプレイブック(対応手順書)を使用して、特定の脅威タイプへの最善の対応をコード化
    2. オーケストレーションの仕組みにプラスされる形で、ワークフローの自動化を実現
    3. 従業員の労力を削減しつつ、脅威対応の自動化を実現
    4. すべてのツールを1か所から管理可能

高度なSOARソリューションを導入すると、高度なスキルを備えたアナリストがプレイブックを作成し、経験の浅いアナリストがプレイブックを実行できるようになります。解決までの時間を短縮しつつ、フルタイム従業員の労力を削減することができます。

以上のような10個の重要な機能を提供するSIEMソリューションにアップグレードすると、ますます高騰する高度なスキルを備えたセキュリティアナリストの人件費や、時代遅れの大量のログや課金モデルを必要とせずに、拡大を続ける脅威に対応することができます。

ORION CASSETTO

ORION CASSETTO
Exabeam, Inc. ディレクター、プロダクトマーケティング

オンライン相談会

セキュリティ運用自動化(次世代SIEM・SOAR)個別相談会

近年、標的型攻撃などのサイバー脅威がますます巧妙化しセキュリティ運用の負荷が増しています。そんな中で「従来のSIEMが使いこなせていない」「セキュリティエンジニアやIT担当者の人材不足、スキル不足も深刻化している」などの声をよくお聞きします。

そんな中で注目されているのが「次世代SIEM」の活用や「SOAR」によるセキュリティ運用の自動化です。次世代SIEMやSOARの導入で、企業は「運用自動化」「インシデント対応のスピードアップ」「スキル不足の解消」など多くのメリットを得られます。

こちらの相談会では期間限定で御社のお悩みや要望に合わせたなんでも相談会を実施します。

申し込みはこちらから

お問い合わせ先

マクニカネットワークス株式会社
Exabeam 製品担当

045-476-2010