組織にセキュリティオーケストレーションが必要な理由
企業を取り巻く環境はますます複雑化しています。 現在、組織はさまざまなシステムをオンプレミスのデータセンターやクラウドベースのデプロイメントに分散させています。 リモートワークの台頭により、従業員は個人用デバイスやモバイルデバイスで仕事をするため、問題がさらに複雑になっています。
現代のエンタープライズ環境を保護するには、さまざまな攻撃ベクトルから複数のプラットフォームを防御できるセキュリティソリューションが必要です。 ほとんどの場合、組織は特定のユースケースに対応するためにスタンドアロンのセキュリティソリューションを導入することを選択しています。
このアプローチの問題点は、セキュリティチームが大量のセキュリティアラートに圧倒され、複雑な サイバーセキュリティアーキテクチャを効果的に管理および監視するのに苦労していることです。 セキュリティ オーケストレーションは、脅威の検出と対応を合理化および自動化することで、この問題に対処するのに役立ちます。
SOARとSIEMとXDRの比較
一般的なセキュリティオペレーションセンターで使用されているさまざまなツールの中で、使用されている主なツールは、従来のSIEMとSOARと、最近トレンドになっているXDRツールの3つです。
セキュリティ情報およびイベント管理 (SIEM) ツールは、さまざまなソースからのデータを組み合わせて、分析を使用して最も可能性の高い脅威を検出します。
SOARソリューションは、定期的に異なるプロバイダーから多くのモジュールを組み込むように構築されています。 これにより、企業は攻撃管理、対応、セキュリティ運用の自動化など、いくつかの領域でセキュリティ運用を合理化できます。
XDR(Extended Detection and Response )ツールは、Gartner Magic Quadrant、エンドポイント、クラウド、モバイル、IoTなど、企業全体のセキュリティを可視化し、高度な脅威や分散した脅威を特定し、データ分析と 脅威インテリジェンスを活用し、認識された攻撃に自動的に対応します。 XDRは、アナリストがインシデントのトリアージ、調査、迅速な修復をサポートするためのコンテキストとフローを作成します。
SIEMの欠点
SIEMにはさまざまなメリットがありますが、 セキュリティオペレーションセンター (SOC)のアナリストが直面する課題に対する理想的なソリューションではありません。 SIEMの最も顕著な制限には、SIEMソリューションの構成と現在のセキュリティアーキテクチャへの統合に多くの時間を費やすことが挙げられます。 脅威検出機能は、主にルールベースであり、新しい攻撃や確立されたパターンに従わない攻撃を見逃します。 また、アラートは、組織全体のさまざまなソリューションからの集計データに基づいて生成されます。 ただし、検証は実行されず、誤検出が作成されます。
SIEMの主な欠点は、完全な「攻撃ストーリー」を作成し、アナリストが実用的な方法で視覚化する能力がないことです。 代わりに、ログが関連付けられているだけであり、アナリストはイベントが相関した理由と何が起こったのかを判断する必要があります。
SOARの利点と制限
SOARソリューションは、多くの場合、異なるベンダーの複数のセキュリティコンポーネントを統合するように設計されています。 互換性のあるセキュリティツールのスタックにより、企業は攻撃に関するデータを収集し、人間の介入なしにそれらに対応できます。 SOARツールの主な目的は、セキュリティ運用の有効性を高めることです。 SOARツールの主なメカニズムは、セキュリティのオーケストレーション、自動化、対応です。
SOARツールにはその利点があるにもかかわらず、利用可能なAPIがなく、データ統合の問題があり、検出アクションからワークフローが切り離されています。 SOARは多くのデバイスから入力を受け取りますが、エンドポイント、Gartner Magic Quadrant、電子メールソリューションなどの強制ポイントはありません。 また、多くのサプライヤーでSOARの可能性を最大限に引き出すには、真剣な取り組みが必要であるというユーザーの声も聞かれます。
XDRへの移行
XDRは、中堅企業にとって、大企業が使用する高価で複雑なSIEM/SOARスタックに代わる選択肢を提供します。 XDRは、現在利用可能な限られたソリューションの代替として、適切な位置付けにあります。
実用的なアプローチを求めているこれらの組織にとって、XDRは、予防ファーストのアプローチから始まり、検出、調査、脅威ハンティング、対応、修復まで、すべてを実行できる単一のプラットフォームです。
SIEMなど、すでにマルチベンダーのセキュリティソリューションを導入している成熟した組織向けに、XDRは既存のスタック上でその機能と利点を使用するためのAPIを提供します。 SOARソリューションは、統合やプレイブック開発などのリソースがあれば、より著名な組織で機能します。
チェック・ポイントによるセキュリティ運用の展開
With Check point’s Infinity XDR/XPR you will be able to use a single application across all vectors to maximize ROI and operational efficiency. It allows you to use a single SaaS solution to detect, investigate, hunt, respond to attacks across all threat vectors, and leverage your existing Check Point security stack by reusing the infrastructure for detection and response.
また、SIEM/SOARプラットフォームを含む現在のエコシステムと統合できるため、オンボーディングも簡単です。 チェック・ポイントのセキュリティ運用ソリューションは、SIEMおよびSOARのお客様に一連のAPIを提供します。 さらに、インシデント対応を最適化および迅速化し、ワンクリックで効果的な修復を適用するための自動化されたプレイブックが提供され、主要なSOARプラットフォームと統合されてスムーズなエンドツーエンドのプロセスフローを実現します。
Feedback