概要
エクサフォースはカスタムログソースからのデータ取り込みをサポートしており、ネイティブインテグレーションでカバーされていないあらゆるテレメトリに対して、検出および調査の対象範囲を拡張できます。カスタムデータをエクサフォースの統合スキーマにマッピングすることで、カスタムパイプラインやパーサーを構築することなく、AIによるトリアージ、他システムとの相関分析、および統合された調査機能を即座に利用できます。
仕組み
チームは、未加工イベントがエクサフォースの正規化スキーマフィールドにどのように対応するかを定義することで、カスタムログソースを設定します。マッピング後、ログは継続的にプラットフォームへ取り込まれ、アイデンティティコンテキストの付与、システム間での相関分析、脅威分析などが行われ、他のテレメトリソースと同様に扱われます。エクサフォースは、マッピングされたデータに対して即座に利用可能なベースライン検出を提供し、さらにチームは自社のユースケースや脅威モデルに応じたカスタム検出を追加で作成できます。
コア機能
あらゆるデータ形式に対応したスキーママッピング
エクサフォースのスキーママッピングインターフェースにより、カスタムログ内の各フィールドを標準のエクサフォースエンティティにどのように対応付けるかを定義できます。この正規化により、既存の検出および調査ワークフローとシームレスに統合されます。
すぐに利用可能な検出
マッピング完了後、カスタムログソースはベースライン検出ライブラリを活用でき、異常なアクセスパターン、認証失敗、異常なARN、疑わしいネットワークアクティビティなどの一般的な脅威を検出できます。これらは統合スキーマに基づきすべてのデータソース横断で機能し、即時にセキュリティ価値を提供します。
カスタム検出の作成
チームはエクサフォースのクエリビルダーを使用して、カスタムログソースに特化した検出ルールを作成できます。条件、しきい値、相関ロジックを定義することで、自社環境に特有のリスクや運用パターンに対応し、高精度かつノイズの少ないアラートを実現します。
統合トリアージと調査
カスタムログデータは、ネイティブインテグレーションと同様にAIによるトリアージおよび調査ワークフローに統合されます。アラートはアイデンティティコンテキストで自動的に強化され、他システムのアクティビティと相関され、統合タイムラインとして可視化されることで、根本原因分析と対応を迅速化します。
メリット
カスタムログソース対応により、ベンダーや形式に依存せず、あらゆるセキュリティ関連テレメトリに対してエクサフォースの適用範囲を拡張でき、可視化の抜け漏れを解消します。フィールドを一度マッピングするだけで、カスタムパイプラインを構築することなく検出・トリアージ・調査機能を即座に利用できるため、統合の複雑さを大幅に軽減します。さらに、標準検出とカスタム検出を組み合わせることで、迅速な価値創出と環境に最適化された精度の両立が可能になります。
