セキュリティ調査は何年もの間中断されてきました。問題は目新しいものではありません。
- コンテキストのないアラートにより、アナリストは関連データをすべて収集しようと精査することになります。
- クラウドに関する知識の不足-アナリストは専門知識のない問題を優先順位付けせざるを得ない
- 時間がかかり、煩雑で、何時間もかかる調査
- 高度なクエリ、ログ解析などのシステムニュアンスに関する専門知識の欠如
- 疲労やミスの原因となる大量のアラート
どのSOCチームも痛みを感じています。変化したのは、防御する環境の規模と複雑さです。クラウドネイティブアーキテクチャ、サードパーティ SaaS のスプロール化、ID の複雑さ、 絶えず進化する脅威。静的なルール、ダッシュボード、あらかじめ用意されたプレイブック、SIEM クエリの伝統にはついていけません。
Exaforceでは、新しい道を切り開いています。
組み合わせる AI ボット (「エクサボット」と呼ばれる)と 高度なデータ探索 セキュリティ業務をより速く、よりスマートに、そして根本的にスケーラブルにするためです。当社のプラットフォームは、お客様のクラウド環境と SaaS 環境を行動レベルで把握し、ログ、構成、ID、アクティビティを統一されたコンテキストグラフにまとめます。そこから、当社のタスク固有のExabotsが引き継ぎ、アラートの優先順位付け、調査の質問への回答、脅威ハンティングを、正確かつ証拠に基づいて自律的に行います。
その結果は?明確な説明と実用的なインサイトが得られ、ログを調べたり、他のチームを待ったりするのにかかる時間が減りました。
次のセクションでは、調査がまだ失敗している主な5つの理由と、ExaforceがSOCのためにそれらの問題をどのように解決するかを確認します。
1。コンテキストが不十分:「このアラートって何?」
ほとんどのアラートは、最小限のテンプレート化された説明でSIEMに表示されます。なぜ起動したのか?どういう意味?どのような影響が及ぶ可能性があるか。すべてのアラートに詳細な説明、証拠、および調査手順書が付属しているのが理想的です。実際には、ほとんどのチームにはこれを書いたり管理したりする時間がありません。異常アラートでさえ不十分な場合が多く、予想される動作との明確な比較ではなく、未加工のログを表示することになります。たとえば、AWS GuardDuty アラートには「珍しい」や「確立されたベースラインとは異なる」などの一般的な用語が表示されます。分析や確認に役立つ詳細な情報は含まれていないため、異常な動作が何であったか、何が正常であったかを理解するには、必然的に追加のデータや検索が必要になります。
.png)
.png)
エクサフォースのアプローチ:
- すべてのアラート(当社またはサードパーティ)には、以下の説明が付いています なぜ 発砲した英語は「イージーモード」ですぐに理解できます。「ハードモード」では、より深く掘り下げたい人のために、すべてのデータの詳細が表示されます。
- 結論を裏付けるデータが明確に示されているため、具体的な証拠が得られます。
- アラートは複数のソースからのデータで自動的に強化されるため、SOARプレイブックは不要です。
- すべての調査結果には、調査または改善を開始するための「次のステップ」が含まれています。
- 重複するアラートや類似したアラートは、重複した処理が行われないように、すぐにグループ化されます。
Exaforceは、ざっと見ているか精査しているかにかかわらず、自信を持って行動するために必要なコンテキストを提供します。
2。クラウドに関する知識の欠如:「私たちはクラウド運用ではなく SOC です。」
ほとんどのSOCアナリストは、ネットワークセキュリティのバックグラウンドを持っています。今では、IAM チェーン、設定ミス S3 バケット、GitHub 権限に関するクラウドアラートをトリアージすることが期待されています。一方、実際のクラウドチームや DevOps チームはまったく別の組織に所属していることが多く、コラボレーションが遅く厄介です。たとえば、なぜユーザー A が危険なアクションを実行できたのかわからない場合などです。AWS ID チェーンの仕組みに慣れていませんか?問題ありません。ユーザーが持つ有効な権限を要約し、詳細を知りたい場合は、そのユーザーがどのように取得したかの ID チェーン全体を示します。
.png)
.png)
エクサフォースのアプローチ:
- エクサボット 組み込みの AI クラウドエキスパートとして、自然言語でアラートを説明します。
- 全域で機能します クラウドと SaaS AWS、GCP、Okta、GitHub、GoogleWorkspace などのソース。
- より深いダイビングには、 「調査」タブ 技術的なコンテキストをすべて提供するため、DevOps やエンジニアリング部門への引き継ぎに最適です。
- 私たち セマンティックグラフビュー ユーザ、ロール、リソースがどのように結びついているかを示しているため、アナリストはアイデンティティの動作をテキストだけでなく視覚的に理解できます。
クラウドに関する知識のギャップを埋め、クラウドの複雑さを明確にします。
3。調査の時間:攻撃は迅速ですが、調査は迅速ではありません。
1 つのアラートの調査には、コンソール間を行き来したり、クエリを書いたり、上級アナリストと確認したり、さまざまなシステムからコンテキストを収集したりするのに数時間かかる場合があります。これに毎日のアラートの量を掛けると、調査は対応パイプライン全体における最大のボトルネックになります。
エクサフォースのアプローチ:
- エクサボットがトリアージを処理 5 分未満、セマンティックコンテキストを使用して、裏付けとなる証拠を含む結論を導き出します。
- そして、質問があれば?ただ マスクエクサボット—Slackメッセージも作成するダッシュボードも遅延もありません。
.png)
.png)
手抜きをすることなく、調査時間を数時間から数分に短縮しました。
4。専門知識の欠如:SQL の忍者である必要はありません。
調査には従来、どのログを調べるべきか、どのように構造化されているか、何が「普通」か、適切なクエリ言語で適切な質問をする方法など、深い知識が必要でした。ほとんどのジュニアアナリストはそのような専門知識を持っておらず、ほとんどのチームには役立つドキュメントがありません。
エクサフォースのアプローチ:
- Exabotは複雑な質問に平易な言葉で答えます。構文は必要ありません。
- 詳細を知りたいですか?すべてのアラートには特注が付属しています 調査キャンバス—アナリストが尋ねるすべての質問と、それぞれに対するデータ量の多い回答がプリロードされています。
- 当社のセマンティックデータモデルはログデータを事前に強化して構造化するので、アナリストは重要なものを必要なときに把握できます。豊富なデータ、結合されたデータ、整理されたデータ、コンテキスト化されたデータが、すぐに手に入ります。
- 部族の知識には通常含まれている行動のベースライン、パターン、オーナーシップに関する洞察が浮かび上がります。
このような一般的な AWS GuardDuty アラートでも、アナリストは、ルート ID が誰であるかを理解し、同じ期間の他のログをクエリし、それらのログを解析してアクセスされたリソースの固有のリストを探し、クエリを拡張して同じリソースの他のユーザーを対象としてベースラインを確立し、ユーザー、アクション、場所、およびリソースの「通常の」動作を理解するための統計分析を構築する必要があります。しかし、Exaforce ではそうではありません。
.png)
クエリ言語をマスターしたり、ログパーサーを管理したり、カスタムダッシュボードを作成したりしなくても、チームの誰もがプロのように調査できるようになりました。
5。アラートが多すぎる:バーンアウトシティへようこそ。
チームには何千ものアラートが届き、そのほとんどが誤検知(85% 以上)です。アナリストは感度が低下し、脅威のシグナルを見逃してしまい、トリアージはセキュリティプロセスではなくボックスチェックの作業になってしまいます。(セキュリティの第一人者、アントン・チュヴァキン氏による、アラート疲労問題に関する優れた分析:https://medium.com/anton-on-security/antons-alert-fatigue-the-study-0ac0e6f5621c)
エクサフォースのアプローチ:
- エクサフォース 自動的に トリアージ アラートの大部分。
- 重複アラートと関連するアラートは 一緒にグループ化 そのため、一度処理できます。
- アナリストは、次のことにのみ焦点を当てています シグナルが強く、影響の大きい調査結果 それには人間の洞察力が必要なのです
騒音をカットするので、チームは消防に費やす時間を減らし、より多くの時間を確保できます。
最終的な考え:再考された調査
問題は新しいものではありません。しかし、解決策はあります。
Exaforceを使用すると、インテリジェントなボットと、直感的で視覚的で会話ができる高度なデータインターフェイスにより、より優れた調査アプローチが可能になります。
