Speed up incident investigations by automatically triaging alerts and correlating threats through log analytics. Broaden visibility across your on-prem, cloud, multi-cloud and hybrid cloud environments.
高度な可視性を備えた Sumo Logic Cloud SIEM Enterprise を使用すると、セキュリティ アナリストはオンプレミス、ハイブリッド、マルチクラウドの各インフラストラクチャをシームレスに監視し、攻撃の影響と状況を完全に理解することができます。Sumo Logic はコンプライアンスを含む幅広いセキュリティ ユース ケースをサポートするだけでなく、分析機能と自動化を融合することでセキュリティ アナリスト ワークフローを実行し、アラートの優先度を自動的に判別します。これによりアナリストたちの作業効率が増し、より価値の高いセキュリティ機能に注意を集中できます。
企業のセキュリティ チームが毎日受け取るアラートは平均すると数千件にも上りますが、93% のチームが、すべてのアラートには対処できないと認めています。こうした事態の下で、スタッフの中にわずかなセキュリティ専門家しかいない SOC (セキュリティ オペレーション センター) や組織にはさまざまな課題が生じています。
クラウド移行の経費は、一般的な IT 経費の 6 倍のペースで増え続けています。クラウド インフラストラクチャでは、それに類似するオンプレミス環境よりも多くのセキュリティ アラートが発生することを、セキュリティ チームの 3/4 が認めています。従来のセキュリティ ツールと SIEM はクラウド変革に対応するように設計されていないので、脅威の可視性ギャップ (見えない部分) がこれまで以上に大きくなっています。
多くのアプリがクラウドに移行される中、脅威の全体的情勢が変化し、攻撃対象となる領域が爆発的に広がりました。実際のところ、セキュリティ専門家の 67% が、進化する新たな脅威に起因するセキュリティ アラートの数が増えていると答えており、55% はこの増加の原因がクラウド インフラストラクチャにあると答えています。
セキュリティ チームうち、大量のアラートによってスタッフが疲弊していると答えたチームは 83%、毎日のアラートにすべて対処するには 3 人以上のアナリストを雇用する必要があると判断しているチームは 75% に上ります。しかし、リソースとサイバーセキュリティ スキルの不足が続いているため、すべてのアラートに対処して手作業でトリアージするのに十分な人員を採用できません。
組織は最新式の SaaS による ISEM を必要としています。これによりクラウドへの移行過程が保護され、変化し続ける攻撃対象領域に対処して、SOC にイノベーションがもたらされます。
エンタープライズ SIEM ソリューションはデータ取り込みのニーズに応じてスケーリング可能でなければなりません。多くの場合、オンプレミスの SIEM デプロイメントは過少または過剰にプロビジョニングされます。通常、クラウドベースまたはクラウドでホストされている SIEM ツールは、オンプレミスの SIRM アプリケーション コードにわずかな変更を加えて移行されただけです。こうした製品は、真の意味でのクラウドネイティブ アーキテクチャの全機能をサポートしてはいません。
それとは対照的に Sumo Logic Cloud SIEM Enterprise は Sumo Logic のセキュアなクラウドネイティブ マルチテナント型プラットフォームを通して提供されるので、オンプレミス、マルチクラウド、およびハイブリッドのあらゆるデータ ソースに対応する柔軟なスケーラビリティを備えており、ピーク時の取り込みや負荷の急増期間中でもデータを収集して分析できるよう自動的にスケールします。しかも、クラウド中立的な SIEM ソリューションである Sumo Logic を使用すると、お客様はどんな場所にあるデータでも柔軟かつ自由に取り込むことができ、ベンダー ロックインの不安がありません。
Sumo Logic Cloud SIEM Enterprise は実際のセキュリティ アナリストのワークフローを自動化します。1 日あたり数百万件~数十億件の正規化レコードからアラートを収集、分析、トリアージしてわずかな実用的インサイトを引き出すという作業を自動化することで、ノイズが排除され、SOC でのヒューマン タスクが効率化します。毎日数千件のセキュリティ アラートやいわゆる要注意イベントをチームに配信して手作業でより分けさせるのではなく、Sumo Logic はさらに一歩進んだ機能を提供します。Sumo Logic Cloud SIEM Enterprise ソリューションは中核的な分析手順の多くを自動化します。つまり、すぐに使用できる組み込みコンテンツを使って過去数週間にわたる重大インシデントや潜在的なサイバー攻撃アクティビティを調べ、脅威モデルの中でアクションを関連付けます。さらに、このようなインサイトにネットワーク トラフィック、ユーザ情報、サードパーティの脅威フィードから得られたデータを自動的に関連付けて拡充するので、インシデントを調査して対処するアナリストたちはこうした豊富なコンテキストを活用できます。
Sumo Logic Cloud SIEM Enterprise は、アナリストがアナリストのために設計した高度に調整可能な最新式ユーザ インターフェイスを備え、合理化されたセキュリティ アナリスト ワークフローが実現します。このシステムにはチーム コラボレーション用のイベント管理機能も統合されているので、アナリストたちは特に重大な脅威に焦点を絞れると同時に、直感的にアラートを確認してインシデントを調査できます。Cloud SIEM Enterprise は構造化データや非構造化データを取り込むときにデータを解析およびマッピングして正規化レコードを作成します。アナリストはクエリ言語を学ばなくても、これらの正規化されたレコードをフル活用して脅威を掘り下げて調べることができます。また、アナリストは Sumo Logic プラットフォームを使用してあらゆる非正規化データに対する強力な全文検索を行うこともできます。この機能がとりわけ役立つのは、特定のユーザ、エンティティ、アプリケーション、またはプロセスがエンタープライズ環境やクラウド環境で他にどんな動作をしているかの深いコンテキストを得る必要がある場合です。
Sumo Logic Cloud SIEM Enterprise のあらゆるユーザ インターフェイスとワークフローは、セキュリティ アナリストが使いやすいようにシンプルに設計されています。
インサイトでは、シグナルや他の補足データが相関性と優先度に基づいてインテリジェントにクラスタ化されるので、アナリストはすぐに調査できます。インサイトの自動生成された潜在的セキュリティ インシデントのストーリーラインには、アナリストが対応をすばやく判断するために必要な関連コンテキストがすべて含まれているため、検証と調査にかかる時間が大幅に短縮されます。
シグナルとは、パターンと脅威インテリジェンスの突き合わせ、相関ロジック、統計的評価、異常検出という手法によって特定された、アラートからなるコレクションです。Cloud SIEM Enterprise はこれらの手法により、毎日数百万件もの未処理レコードをほぼリアルタイムで数千件のシグナルに絞り込みます。
Cloud SIEM Enterprise のインサイトは Adaptive Signal Clustering (ASC) エンジンによって生成されます。その際、世界クラスの SOC アナリストのアクションをモデルとする原則を使用して、人間がレビューすべき関連シグナルをグループ化します。これにより、アナリストは、攻撃とその動作を識別し、コンテキストを把握できます。これには、通常はレーダーに引っかからない低空飛行のシグナル、つまり複数の重大度の低いシグナルが含まれます。ASC エンジンのアルゴリズムは、お客様によるパターンの識別、シグナルとインサイトの検証、新規検索の追加に伴い、絶え間なく進化しています。その結果、信頼度レベルが上昇し、すべての Sumo Logic Cloud SIEM Enterprise ユーザにメリットをもたらします。
Sumo Logic Cloud SIEM Enterprise には、単なるログを超えるコレクタが含まれています。オープン ソースの Zeek ネットワーク セキュリティ モニタは、ディープ パケット インスペクションを実行し、ネットワーク トラフィック フローをリッチなプロトコルレベルのネットワーク セッション、抽出ファイル、およびセキュリティ コンテキストに組み立て直します。Cloud SIEM Enterprise コンソールを使用して、アナリストは未処理のネットワーク トラフィックの詳細、関連する接続とプロトコル アクティビティを表示し、データ センター内のネットワーク トラフィックを可視化できます。Cloud SIEM Enterprise はユーザとデバイスのアセット情報 (Active Directory ネイティブの情報を含む) を収集して、ユーザやデバイスによる異常なアクティビティといった追加のコンテキストを提供します。Cloud SIEM Enterprise のネイティブ クラウド API 統合のディープ ライブラリは、API キーを使用するだけでソース (Carbon Black、Okta、AWS GuardDuty、Office 365) からセキュリティ テレメトリを直接取り込むことができます。
お客様が Cloud SIEM Enterprise を採用してセキュリティ オペレーションをモダナイズしている具体例を 5 つご紹介します。
サンプルを採取するのではなく、すべてのアラートおよび関連するイベントを対象に脅威分析して相関付ける処理を自動化することで、早急な対応を必要とする現実の重大インシデントを明らかにします。
データの収集、相関付け、アラートの優先順位付けを自動化することによってアナリスト ワークフローを効率化するとともに、堅牢な検索機能や、既存の応答プラットフォーム (Demisto、ServiceNow など) との接続性によって調査をサポートします。
Sumo Logic のセキュリティ専門家たちが皆様のスタッフのサポートとトレーニングを支援したり、皆様の SecOps チームの延長としてご協力いたします。さらに Sumo Logic は継続的に皆様のデータにアクセスして、最新の高度な攻撃や新しい脅威の有無を確認します。
ユーザ、エンティティ、ネットワークを横断してデータを相互に関連付けることで、アナリストの調査に役立つ付加的な情報が得られます。さらに、ディープ パケット インスペクションによってネットワーク トラフィック (および弊社ネットワーク センサーを使用した VPC トラフィック ミラーリングによる AWS 環境) に可視性がもたらされます
フルマネージド データ レイクとしての Cloud SIEM Enterprise と無制限の検索アクセスを活用すると、セキュリティ チームの脅威ハンディングやデータ サイエンス チームの事実調査に役立ちます。
Sumo Logic が構築したクラウドネイティブなセキュリティ オペレーション センター (SOC) ソリューションは、脅威アラート データを自動的に分析し相関付けます。これにより SOC アナリストは意味のある脅威をより効果的に発見して解決できます。
概要をダウンロード
SOC チームは環境におけるセキュリティ脅威の可視性を常に維持することで、応答アクションを伝達および推進していく必要があります。しかし調査に値する、確実性の高い、正しい検出情報を大規模に提供するにはどうすればよいでしょうか。
ホワイトペーパーをダウンロード
膨大な量のデータが溢れ、アナリティクス機能が進化し続けている現状の世界で、企業は自社オンプレミス SIEM の限界を認識しつつあります。
ホワイトペーパーをダウンロード
この 5 年間でセキュリティ アラートは 2 倍以上に増えています。毎日大量の新しいアラートが生成される中、SecOps チームの 93% はすべてのアラートに対処することはできないと認めています。
レポートをダウンロード
