チャレンジ
- Guardant Healthの以前のSIEMは独自のクエリ言語を必要としたため、自社のデータから回答を得るには、その言語の専門家を雇うか、チームにその使い方をトレーニングする必要がありました。
- ログ取り込み予算が固定されていたため、どのデータを保持するかについて常にトレードオフを強いられました。一部のログはSIEMから完全に削除され、AWSのAthenaクエリを介してのみアクセス可能でしたが、そのクエリは実行が遅いものでした。
- SIEMは受動的なログリポジトリと化しており、データに対して意味のある検知が実行されていなかったため、検知機能を追加することなくストレージコストだけが増加しました。
- 実際の調査では、チームはSIEMを迂回し、直接ソースにアクセスしていました。Oktaのエクスポートをスプレッドシートに取り込み、手動でフィルタリングしていたのは、そうでなければトリアージが、コンテキストを組み立てるためにバラバラのツール間を移動することを意味したからです。
- MDRは別のベンダーから提供されていましたが、その調査結果は表面的で一般的であり、分析の深さに欠けていたため、小規模なチームは必要な対応サポートを得られずにいました。
ソリューション
- Exabotにより、チームはセキュリティデータを自然言語でクエリできるようになります。これにより、独自のクエリ言語や専任のSIEMスペシャリストを配置する必要がなくなります。
- ExaforceはすべてのAWS CloudTrailログを取り込み、単一のビューで検索可能に保ちます。これにより、予算によるデータ除外や、以前の遅いAthenaでの検索が不要になります。
- Exabot Detectは、取り込まれたデータに対してアクティブな検出を実行します。これにより、受動的なログリポジトリが、実際の価値ある発見を提供するライブ検出へと変わります。
- Exaforceのリアルタイムナレッジグラフは、ID、エンドポイント、クラウドテレメトリーを単一のビューで相互に関連付けます。これにより、チームはSIEMを迂回して手動でOktaのエクスポートを引っ張ってくる代わりに、一箇所でトリアージを完結できます。
- ExaforceのエージェントとMDRアナリストは、以前のベンダーにはなかった分析の深さで、第1レベルから第3レベルのトリアージと完全な調査を処理します。これにより、SIEMとMDRを単一のパートナーに統合できます。
ログリポジトリから、数秒で回答へ
Guardant Health は、血液検査によるがん検出企業であり、データでがんに打ち勝つことをミッションとしています。そのデータは患者のゲノム情報と臨床情報であり、セキュリティは患者ケアの直接的な延長線上にあるものとなります。同社はHIPAAおよびSOC 2の義務を負っており、Guardantが自社に課すのと同じ基準をベンダーにも求めているため、これらの要件があらゆるベンダー選定の決定に影響を与えます。Guardantの規模では、社内SOCは現実的ではないため、チームは24時間体制のカバーのためにマネージドパートナーに依存しています。
Exaforce導入前、Guardantは別のSIEMを使用していましたが、それは作業を削減するどころか、かえって増やす結果となっていました。その製品は独自のクエリ言語を必要としたため、チームはそれを知っている人材を雇うか、チームに習得させる必要がありました。ログ取り込みの予算には常に制約があり、どのデータを保持するかというトレードオフが生じ、CloudTrailログはSIEMに取り込まれることはありませんでした。それらを検索するには、チームはAWSにアクセスしてAthenaクエリを実行する必要がありましたが、これは非常に時間がかかるものでした。
より根本的な問題は、データに対して実質的な検知が行われていなかったことでした。SIEMは、チームが事後に参照し、必要な情報が含まれていることを期待する古いログのリポジトリと化していました。実際の調査では、チームはSIEMをスキップし、Oktaのエクスポートをスプレッドシートに取り込み、手作業でフィルタリングするなど、直接ソースにアクセスしていました。MDRは別のベンダーから提供されていましたが、その調査結果は表面的で一般的であり、役立つ情報よりもノイズを多く生み出していました。
Exaforceの導入により、チームが回答を得る方法から変化が始まりました。Guardantチームはクエリを書く代わりに、Exabotに平易な言葉で質問し、以前のSIEMよりも速く結果を得られるようになりました。CloudTrailは現在完全にインジェストされ、Okta、CrowdStrike、およびその他のスタックと単一のビューで相関付けられているため、以前は遅いAthenaクエリの背後にあったデータがすぐに利用可能になりました。そのデータに対してリアルタイムで検知が実行され、Exaforce MDRチームがGuardantに情報が届く前に、一次および二次トリアージを処理します。
「以前のSIEMでは、すべてのAWSログを保持して検索可能にする予算がありませんでした。そのため、私はAWSにアクセスしてAthenaクエリを実行していました。それを経験した人なら誰でも、それが非常に遅いことを知っています。今では、すべてのログがボタン一つでそこにあり、EDR、Okta、その他すべてのツールと一箇所で相関させることができます」と、Guardant Healthのセキュリティエンジニアリング担当ディレクター、マイク・シャノン氏は語ります。
その違いは、チームの人手が足りない日に明確に現れました。EC2のアラートが入った際、GuardantのITチームはそれを理解するためにAWSサポートに連絡し、AWSからは関連するアカウントが侵害されたとの回答がありました。マイクはExaforceに、AWSが指摘したアカウントが問題のEC2インスタンスと実際に関連しているかどうかを尋ねました。約15秒で、Exaforceは裏付けとなる証拠へのリンクを含む完全な回答を返しました。結果として両者は無関係であり、AWSが間違いを犯していたことが判明し、Exaforceは何時間もの調査時間を節約しました。
結果は測定可能です。平均調査時間は12分に短縮され、過去90日間でExaforceのAIエージェントは30人分の作業を完了しました。その影響は計画にも及んでいます。チームが第2四半期に予定していたエンジニアリング作業は、Exaforceがそれを構築したため、スケジュールから外され、マイクの採用計画もAIエージェントが現在カバーしている範囲に基づいて変更されています。
Guardantのセキュリティリーダーシップにとって、その決定は、限られたチームが機密性の高い環境を長期的に防御するために何が必要かという点に帰結しました。
「私たちは、攻撃者が私たちよりもはるかに多くの力を持っており、それを行使している時代の初期段階にいます」とシャノン氏は語ります。「追いつくためには、本当に優秀な人材と本当に優れたツールが必要です。そして幸いなことに、Exaforceのおかげで今、その両方を持っていると感じています。」
Guardant Healthは、データでがんに打ち勝つために存在し、Exaforceがあれば、そのデータを保護するチームは、ミッションが要求する速さで動くことができます。
