概要

Exaforceはカスタムログソースからの取り込みをサポートしているため、セキュリティチームはネイティブ統合でカバーされていないあらゆるテレメトリに検出と調査の範囲を広げることができます。カスタムデータをExaforceの統合スキーマにマッピングすることで、チームはカスタムパイプラインやパーサーを構築しなくても、AI主導のトリアージ、他のシステムとの相関付け、包括的な調査体験にすぐにアクセスできるようになります。

仕組み

チームは、未加工のイベントがExaforceの正規化されたスキーマフィールドにどのようにマップされるかを定義することで、カスタムログソースを構成します。マッピングされたログは継続的にプラットフォームに送られ、ID コンテキストを付加したり、システム間で関連付けたり、脅威の分析を行ったりするなど、他のテレメトリソースと同様に扱われます。Exaforceは、マッピングされたデータに基づいて即座に機能する一連のベースライン検出を提供しますが、チームは特定のユースケースや脅威モデルに合わせた追加のカスタム検出を作成できます。

コア機能

あらゆるデータ形式のスキーママッピング

Exaforceのスキーママッピングインターフェースにより、チームはカスタムログのフィールドが標準のExaforceエンティティにどのように対応するかを定義できます。この正規化により、カスタムログが既存の検出および調査ワークフローとシームレスに統合されます。

すぐに使える検出

マッピングが完了すると、カスタムログソースは、異常なアクセスパターン、失敗した認証試行、異常な ARN、疑わしいネットワークアクティビティなどの一般的な脅威を特定するベースライン検出ライブラリの恩恵を受けます。これらの検出は、統一されたスキーマを使用してすべてのデータソースで機能するため、すぐにセキュリティ上の価値が得られます。

カスタム検出オーサリング

チームは、Exaforceのクエリビルダーを使用して、カスタムログソースに固有のカスタマイズされた検出を作成できます。環境固有のリスクと運用パターンに合った条件、しきい値、相関関係を定義して、ノイズを最小限に抑えながら忠実度の高いアラートを作成できます。

統一されたトリアージと調査

カスタムログデータは、ネイティブインテグレーションと同じAI主導のトリアージおよび調査ワークフローに送られます。アラートは ID コンテキストで自動的に強化され、他のシステムからのアクティビティと関連付けられ、統一されたタイムラインに表示されるため、根本原因の分析と対応が迅速に行えます。

メリット

カスタムログソースのサポートにより、ベンダーや形式に関係なく、Exaforceの対象範囲をセキュリティ関連のテレメトリに拡張できるため、盲点を排除できます。チームが一度フィールドをマッピングすれば、カスタムパイプラインを構築しなくてもすぐに検出、トリアージ、調査機能が得られるため、統合の複雑さが軽減されます。すぐに使える検出とカスタム検出を組み合わせることで、チームは特定の環境に合わせた正確なチューニングとスピードのバランスを取ることができます。