優れたセキュリティ分析が重要な理由
存在を知らない脅威から身を守ることはできません。 SOCは、潜在的な脅威を特定して対応するために、組織のエコシステムのすべてのコンポーネントを可視化する必要があります。
ただし、生データはSOCアナリストにとってほとんど価値がありません。 攻撃のほとんどの兆候は、ノイズや通常の操作として簡単に片付けることができます。 セキュリティアナリストは、複数の異なる情報源を収集して集約することによってのみ、誤検知から真の攻撃を特定するために必要なコンテキストを得ることができます。
これがセキュリティ分析の役割です。 セキュリティツール、コンピューター、その他のシステムによって生成された生データを取り込み、それを分析して、潜在的なインシデントを示す可能性のあるパターンと傾向を選択します。 これらのアラートは、その生成に使用されたデータとともにアナリストに提示され、アナリストは状況をより迅速かつ正確に評価し、潜在的な脅威に対応できるようになります。
セキュリティ分析の仕組み
セキュリティ分析とは、データの断片を関連付けて、組織のネットワーク内の潜在的な脅威の活動を説明するストーリーを作成することです。 このストーリーを構築するには、イベント間の関連性を見つけ、潜在的な脅威を示すイベントを選択するためのセキュリティ分析ツールが必要です。
これは、次のようなさまざまな手法を使用して実現できます。
- シグネチャ検出:既知の脅威の場合、侵害された環境 (ランサムウェアによるファイルの暗号化など) 内でその脅威がどのように見えるか、またはどのような動作をするかを正確に記述することができます。 これらのシグネチャを使用することで、セキュリティ分析ツールは脅威の存在を迅速かつ簡単に判断できます。 そこから、逆方向に作業して、攻撃チェーン全体について学ぶことができます。
- 異常検出: 定義上、攻撃者は、データの窃取やファイルの暗号化など、侵害されたシステム内で通常とは異なるアクションを実行します。 異常検出では、侵入を示す可能性のある標準外のアクティビティが検索されます。
- パターン検出: 一部のイベントは、それ自体は無害ですが、他のイベントと組み合わされると疑わしいまたは悪意のあるものになります。 たとえば、1 回のログオン失敗はパスワードの入力ミスである可能性があり、多くはクレデンシャル スタッフィング攻撃を示している可能性があります。 セキュリティ分析の多くは、シグネチャベースまたは異常ベースの検出、あるいはその両方を使用してパターンを探しています。
- 機械学習:シグネチャと異常の検出は、「悪意のある」または「正常」を定義できる場合に役立ちますが、これは必ずしも簡単なタスクではありません。 セキュリティ分析に適用される機械学習アルゴリズムは、潜在的な脅威を認識し、誤検知と区別する方法を自ら学習できます。
結局のところ、セキュリティ分析はパターン検出と統計に集約されます。 しかし、パターンや不審な点を見つけることで、セキュリティアナリストはどこに注意を向けるべきかがわかり、実際の脅威をより効果的に特定して迅速に対応できるようになります。
セキュリティ分析の進化
セキュリティ分析はセキュリティ情報およびイベント管理(SIEM) システムから始まりました。このシステムはログ収集ソリューションとして始まり、セキュリティ分析も提供するようになりました。 これにより、入手可能な大量の情報を、SOC チームにとって利用可能で価値のある脅威インテリジェンスに変換できるようになりました。
SOAR(Security Orchestration, Automation, and Response)ツールは、検出された脅威への対応を自動化することで、セキュリティ分析を活用しています。 これにより、攻撃がますます広範で自動化される中で不可欠な、マシンスピードでのインシデント対応が可能になります。
今日、ソリューションでは、セキュリティ分析の使用において、より的を絞るようになっています。 拡張検出および対応(XDR) ソリューションには、全体的な製品の一部としてセキュリティ分析が組み込まれており、SIEM、SOAR、セキュリティ分析、およびセキュリティ ソリューションを統合して、セキュリティ アナリスト向けに総合的な単一画面を提供します。 XDRは、単一のセキュリティイベントだけでなく、生のテレメトリと脅威インテリジェンスをアルゴリズムに供給することで、セキュリティ分析を次のレベルに引き上げ、分析ベースの検出の精度を高めます。
チェック・ポイントによるセキュリティ分析
効果的な脅威インテリジェンスを生成するには、堅牢なセキュリティ分析機能を備えたソリューションが必要です。 チェック・ポイント ソリューションは、さまざまなソースから脅威情報を取り込んで分析し、価値の高い脅威インテリジェンスを提供するように設計されています。
マクロスケールでは、チェック・ポイント ThreatCloud AI は1 日あたり 860 億件のセキュリティ イベントを分析し、新たな脅威、マルウェアの亜種、攻撃キャンペーンを検出します。 ThreatCloud AI によって生成された脅威インテリジェンスは、チェック・ポイント Infinity 製品によって組織固有のデータと結合され、より的を絞ったセキュリティ インサイトと脅威検出を提供します。
効果的なセキュリティ分析は、組織の脅威 の検出と対応 戦略に不可欠です。 チェック・ポイント Infinity SOC の分析機能と、誤検知を排除しながら脅威検出を向上させる方法について詳しく知りたい場合は、このデモ ビデオをご覧ください。
Feedback