トリアージ業務に従事するSOCアナリストの一日
一日の始まりに、組織のデータやシステムに対する潜在的な脅威を知らせる大量のセキュリティアラートに直面することを想像してみてください。ただし、それは調査結果の山から針を見つけた場合に限られます。トリアージアナリストの最初の仕事は、セキュリティ情報およびイベント管理 (SIEM)、エンドポイント検出と対応 (EDR)、侵入検知システム (IDS)、メールセキュリティなどから入ってくるアラートを監視することです。そして、これらは単なるセキュリティツールです。アナリストとしては、ネットワークツールや ID プロバイダーなどからの未処理のログも必ず調べておく必要があります。エンドポイント、ネットワーク、クラウドプラットフォーム、SaaS アプリケーションを可視化することは重要ですが、このような広範なデータを管理するのは大変な作業です。
摂取後は、最初のレビューが不可欠です。アナリストは、誤検出を除外するためのアラートの検証、ログが十分であることの確認、より詳細な調査のための質の高い証拠の確保にかなりの時間を費やしています。続いて、各アラートを重要度 (重大、高、中、低) で分類し、緊急度、影響、資産機密性に基づいて優先度で分類します。
コンテキストや相関関係を追加してこれらのアラートを充実させることも、時間のかかる作業です。アナリストは、さまざまなシステムやログからより多くの情報を収集し、影響を受けたエンティティを既知のユーザー行動や過去のインシデントと相互参照し、大規模な攻撃キャンペーンや CEO の出張などの無害な出来事を示すパターンを特定する必要があります。このプロセスは、ツールが分断されていたり、データ形式に一貫性がないために、面倒で間違いも起こりやすいものです。
インシデントの分類、基本的な対応、封じ込め、エスカレーションには、綿密な文書化とチーム間の明確なコミュニケーションが必要です。従来のSOCプロセスでは、初期トリアージを行うレベル1のアナリストと、レベル2または3の上級アナリストとの間でスムーズな引き継ぎを行うことがしばしば課題となります。ほとんどの場合、AIは階層1の反復作業を自動化するために使用されています。しかし、アラートがTier 2またはTier 3のアナリストにエスカレーションされると、重大なボトルネックとストレスが発生します。そこでは、専門知識の欠如と不十分なデータが不十分なためにコンテキスト化が不十分になります。
今日のトリアージ分析が直面している課題
トリアージアナリストは、効率と効果を妨げるいくつかの根強い課題に直面しています。既存のソリューション (SIEM、SOARなど) は、こうした課題に対処するようには設計されておらず、むしろノイズや柔軟性が増すことで状況を悪化させています。
- 誤検出率が高いと時間が無駄になる:Tier 1は、多くの場合無関係なアラートをすり抜ける必要があります。 99% まで 場合によっては警戒疲労やタイムロスを招きます
- ツールが断片化されていると、トリアージやエンリッチメントに時間がかかり、手動になります。Tier 1のアナリストは、接続されていないセキュリティシステムとセキュリティシステム以外のシステムのコンテキストをつなぎ合わせ、ログの関連付け、アラートの強化、手作業による調査などを行う必要がありますが、これらはすべて手動で行う必要があります。 応答が遅くなり、エラー率が上がる。
- 若手アナリストへの非現実的なスキル要求:多くの場合、トリアージはクラウド、アイデンティティ、エンドポイント、Kubernetes、SaaSなどに及んでおり、エントリーレベルの人材には期待できない幅広い技術的知識が必要です。
- フィードバックがないと改善が妨げられる:下流チームからのフィードバックやケース結果の可視性がなければ、Tier 1 アナリストは時間をかけて精度を向上させるのに苦労します。同様に、Tier 1 のアナリストは、上流に質の高いフィードバックを提供するのに苦労することがあります。 検出の改善 適切または正確な分析が提供されないことを恐れて。
- 人員不足のチームからの圧力の高まり:人員不足により、より多くのアラートが担当する負担が減り、上記のすべての問題がさらに悪化しています。多くの組織にとって、これだけでSOCを持つことは手の届かないものになる可能性があります。
これらの課題は、SOCにおけるアラートの優先順位付けに、より合理的でインテリジェントなアプローチが極めて必要であることを浮き彫りにしています。これは、階層1の大量のルーチン作業だけでなく、従来は階層2と階層3で発生していた困難で頻繁にエスカレートされるケースにも当てはまります。
AIを活用した自動化によるトリアージの変革
最近のAI(GenAIとML)の進歩により、トリアージプロセスとトリアージにおけるアナリストの役割を根本的に変える機会が生まれました。私たちは、これらの進歩を活用してトリアージ、調査、対応プロセスを含む SOC ライフサイクル全体を改善するために、Exaforce をゼロから構築しました。
自動誤検出リダクションによるノイズの低減
Exaforceは、誤検出を自動的に識別してマークすることで、アナリストが直面するノイズを軽減します。ログ、構成、ID、脅威インテリジェンスフィード、さらにはコードリポジトリ構成を統合して、非常に正確な初期分析を行います。Exaforce では、複数の AI 技術を活用することで、システムやツール間であっても同様のアラートを重複排除し、関連する結果を連鎖させることで、アラートの量をさらに減らすことができます。
アナリストには、原則に関する詳細、ユーザーとエンティティの所在地に関する理解、セッション中に取られたすべてのアクション、リソースに関する詳細、ユーザーとその仲間の行動に関する詳細な行動分析など、各決定の背後にある理由を概説した明確な要約が提供されます。たとえば、AWS GuardDutyが疑わしいユーザーアクティビティにフラグを付けると、Exaforceのトリアージエージェントは、ユーザーID、セッションの詳細、ユーザーの場所、リソースの命名規則などの複数の指標を評価して、それが真の脅威なのか、テストシナリオなどの無害なイベントなのかを判断します。
自動化されたヒューマンインザループによる迅速なワークフロー
そこで、統合プラットフォームであるExaforceは、トリアージとレスポンスの境界を曖昧にします。Exaforce は Slack などの統合チャネルを通じてアナリストのワークフローを自動化し、疑わしい行動をユーザーやマネージャーに直接迅速に確認できるようにします。これにより、アナリストの負担が大幅に軽減され、わかりやすい確認のための手動の調査タスクが不要になり、応答時間が短縮され、アナリストはより複雑な問題に集中できるようになります。
継続的な学習とコンテキストに応じたカスタマイズ
Exaforceは、過去の背景やアナリストのフィードバックを取り入れて継続的に学習しています。「調査が必要」と見なされて「誤検知」に移行された以前のアラートは、その後のすべてのアラート分析のコンテキストに追加され、トリアージの精度が向上します。最初に「調査が必要」とタグ付けされたアラートが、後で誤検知としてクリアされると、その結果が AI の履歴の一部となり、今後のアラートのスコア方法が洗練されます。エンジンは、最終的に当初の解決策に従ったものも含め、類似したアラートの結果を相互参照して、すべての新しいアラートに対して、状況に応じた詳細な評価を行います。
組織は、カスタマイズされたビジネスコンテキストルールをプラットフォームに直接追加して、業務やリスクのプロファイルに合わせてトリアージと対応のプロセスを調整することもできます。その結果、脅威の検出の正確性と関連性が高まります。たとえば、ある大手バイオテクノロジープロバイダーでは、ビジネスコンテキストには安全であることが確認されているVPNゲートウェイIPのリストが含まれています。企業の VPN ゲートウェイ間など、ユーザーがこれらの IP を切り替えると、Exabots はこの動作を想定どおりに認識し、「移動不可」としてフラグを付けるのではなく、検出の忠実度を損なうことなく誤検出を減らします。
アラートのコンテキスト化と調査の強化
Exaforceは、セッションやシステム全体のコンテキストを相互に関連付けることでアラートを自動的に強化し、セキュリティ、クラウド、DevOps、エンドポイントなどの知識を持つ専門アナリストが通常必要とする重要な調査の質問に答えます。これにより、EKS などの IaaS サービス、Google Drive などの SaaS サービス、GitHub などのバージョン管理システムなど、この分野の専門家しかできない方法であらゆるアラートを詳細にコンテキスト化できます。これらはすべてわかりやすい方法でまとめられていますが、アラートが調査チームに渡されても、要約の背後にあるデータは引き続き利用可能です。これにより、業務が大幅に簡素化され、迅速化されます。 アラートの調査 それは自動的にトリアージされません。
あらゆる規模のチームに力を与える
Exaforceは高度なSOC機能を一般化し、人員不足のチームや小規模なチームでも高度なセキュリティ運用を実現できるようにします。複雑なトリアージプロセスを自動化することで、Tier 1 アナリストの負担が大幅に軽減され、残りの SOC プロセスの妨げがなくなります。これにより、Exaforceは専任のSOCチームの有無にかかわらず、強固でプロアクティブなセキュリティ体制を維持できるようにします。
混乱のないトリアージング
トリアージは、SOCアナリストの仕事で最も面倒な部分ではないはずですが、今日ではそうなることがよくあります。誤検出率が高く、調査に時間がかかり、ツールが断片化され、フィードバックループが壊れているため、Tier 1からTier 3のアナリストが効率的に作業したり、時間の経過とともに結果を改善したりすることが難しくなっています。また、階層間の引き継ぎによって遅延や一貫性が失われるため、最善のトリアージの取り組みでも、実際の対応が始まる前に頓挫してしまうことがあります。
Exaforceは、エージェント向けSOCプラットフォームにトリアージを組み込むことでこの状況を変えました。チームやツール間で共有されているインサイトを維持しながら、エンリッチメント、優先順位付け、コンテキスト化を自動化します。これにより、誤検知が多い場合のバックプレッシャーを自動的に軽減し、最も熟練したアナリストの知識を活用してツールやプラットフォーム間のエンリッチメントを自動化できるため、人員不足のチームの負担が軽減され、下流と上流のプロセスが改善されます。Exaforceは、トリアージを孤立したステップとして扱うのではなく、コンテキストが自然に流れ、フィードバックループが損なわれず、アナリストがより迅速かつスマートに行動できるようになる、継続的なAI主導型ワークフローの基盤にしています。なぜなら、トリアージだけではAI SOCは成り立ちませんが、適切なプラットフォームと適切な変革プロセスを備えていればできるからです。
