MDRとは?
すべての組織が成熟した セキュリティ オペレーション センター (SOC)社内。 MDRプロバイダーと提携することで、組織はセキュリティ責任の一部をサードパーティプロバイダーにアウトソーシングします。 MDRプロバイダーが通常提供するサービスには、次のようなものがあります。
- アラート調査: セキュリティチームは、セキュリティソリューションによって生成される大量のアラートに圧倒されることがよくあります。 MDR プロバイダーは、機械学習、データ分析、人間による調査を使用して、アラートを調査し、それらが真の脅威か誤検知かを判断します。
- インシデントのトリアージ: 重大なインシデントへの迅速な対応は、コストと組織への影響を最小限に抑えるために不可欠です。 MDRプロバイダーは、最も重要な問題が最初に対処されるように、セキュリティイベントをランク付けします。
- 修復: 侵入の影響を最小限に抑えるには、熟練したインシデント対応チームによる迅速な対応が必要です。 MDRプロバイダーは、顧客の環境内のインシデントをリモートで修復し、その影響を最小限に抑えます。
- プロアクティブな脅威ハンティング: 一部の脅威は、組織の防御を回避し、企業システムにアクセスする可能性があります。 プロアクティブな脅威ハンターは、組織の環境を検索して、見逃した攻撃の兆候を探し、それを修復します。
MDRプロバイダーとの提携は、組織に大きなメリットをもたらします。
- セキュリティの専門知識へのアクセス: サイバーセキュリティのスキルギャップは、多くの組織がセキュリティチームの人員不足と専門知識へのアクセスの欠如で運営されていることを意味します。 MDRは、十分なスタッフを擁するセキュリティチームを提供し、必要に応じて専門家へのアクセスを提供します。
- 高度な脅威検出: MDRプロバイダーは、最先端のソリューションを備えた洗練されたツールセットを持っています。 これにより、APT(Advanced Persistent Threat)による高度で巧妙な攻撃を検出して修復することができます。
- 脅威の迅速な特定: 多くのサイバーセキュリティインシデントは長期間検出されず、ビジネスへの影響とコストを増幅させています。 MDRプロバイダーは、サービスレベルアグリーメント(SLA)に基づく検出時間と応答時間を提供します。
- 成熟したセキュリティプログラム: MDRプロバイダーは、組織が社内で可能なよりも低いコストとリソース要件で成熟したセキュリティプログラムを実装できるようにします。 プロバイダーの顧客ベース全体でコストを分担することで、専門のセキュリティチームによる24時間年中無休の脅威検出と対応の総所有コスト(TCO)が削減されます。
SIEMとは?
組織のインフラストラクチャ全体に展開されているさまざまなセキュリティソリューションはすべて、データを取り込み、脅威を特定し、アラートを生成します。 ただし、これらのソリューションは通常、可視性が限られており、パズル全体の小さなピースしか見ることができません。 その結果、これらのアラートの多くは、情報が不完全であることによる誤検知である可能性があります。
SIEMは、これらすべてのセキュリティソリューションからデータを収集し、それを集約して正規化し、正規化されたデータを分析します。 SIEMは、その分析と、脅威インテリジェンスフィードや企業のセキュリティポリシーなどの他のデータソースに基づいて、組織の現在のセキュリティ体制のより広範なビューに基づいてセキュリティデータとアラートを生成します。
組織全体のセキュリティ データへの SIEM のアクセスと、SIEM が生成するアラートは、次のようなさまざまな目的で使用できます。
- 脅威の検出と分析: SIEMはセキュリティデータを分析し、この情報に基づいてアラートを生成します。 これらのアラートにより、組織のセキュリティ チームは、組織に対する潜在的な脅威を特定して分析できます。
- デジタルフォレンジックと脅威ハンティング: フォレンジックアナリストと脅威ハンターはどちらも、調査対象のシステムに関する詳細なデータにアクセスする必要があります。 SIEMはすでにこのデータを収集、集約、分析しているため、調査員はデータにアクセスしやすくなっています。
- 法規制の遵守: 規制コンプライアンスを実証するには、特定のセキュリティ制御が実施されており、違反が発生していないことを示す機能が必要です。 SIEMの豊富なセキュリティデータセットは、コンプライアンスレポートの生成プロセスを簡素化および合理化します。
SIEMは強力なツールですが、正しく使用する必要があります。 SIEMの主な制限には、次のようなものがあります。
- 人的操作: SIEMは組織のセキュリティチームの有効性を高めることができますが、訓練を受けたオペレーターが必要です。 社内にセキュリティチームがいない場合、SIEMはほとんどメリットがありません。
- 複雑な統合: SIEMは、さまざまなセキュリティソリューションからデータを収集するように設計されていますが、最初にこれらのソリューションに接続する必要があります。 組織が必要とするデータを収集するためのSIEMのセットアップには時間がかかり、セキュリティに関する豊富な知識と専門知識が必要です。
- ルールベースの検出: SIEMは、主に事前定義されたパターンとルールに基づいて脅威を特定します。 つまり、SIEMは新しい脅威を見落とす可能性があり、セキュリティ担当者がこれらのルールを作成する必要があります。
- コンテキスト化されたアラート検証の欠如: SIEMは、データ集約と追加のコンテキストを利用して、セキュリティチームが対処しなければならないアラートの量を減らすことができます。 ただし、SIEM はアラートを検証しないため、さらに調査が必要な誤検知が生成される可能性があります。
MDRとSIEMの比較
MDRとSIEMはどちらも、組織のセキュリティチームがその責任を果たすために拡張できるように設計されています。 ただし、この 2 つのソリューションは、異なる方法でこれを行います。
SIEMソリューションは、組織のセキュリティソリューションによって生成された多くのセキュリティアラートを、より高品質で誤検知の可能性がある少数のアラートに抽出することで、これを実現します。 組織のセキュリティ チームは、SIEM の保守と運用、およびアラートの調査と対応を担当します。
一方、MDRは、サードパーティのチームに責任をアウトソーシングすることで、セキュリティを簡素化します。 このチームは、アラートの調査、イベントのトリアージ、インシデントの修復、プロアクティブな脅威ハンティングの実行を行います。 組織にはまだ社内のセキュリティチームがあるかもしれませんが、それは訓練を受けた専門家のベンダーのチームによってバックアップされています。
ビジネスに適したソリューションの選択
SIEMとMDRのどちらを選択するかは、組織のニーズと、セキュリティチームの規模と成熟度によって異なります。 拡張するだけで済む熟練したチームは、チェック・ポイントなどのSIEMの恩恵を受けることができます Infinity SOCは、ノイズをカットし、最も重要なことに注意を向けます。 一方、セキュリティ・チームの規模が小さい、または未熟な組織では、チェック・ポイントの専門知識で機能を強化することで、より多くのメリットが得られる可能性があります Infinity MDR.
特定のソリューションの詳細を確認したり、組織に適しているソリューションを判断したりするには、 SOC demo video そして、 free Infinity MDR demo 今日。
Feedback