SOC と SIEM: SOC における SIEM ソリューションの役割

セキュリティチームが セキュリティオペレーションセンター いくつかの一般的な課題に直面しています。

• 限られた視界 – 集中型 SOC は、常にすべての組織システムにアクセスできるわけではありません。これらには、セキュリティに影響を与えるエンドポイント、暗号化されたデータ、またはサードパーティによって制御されるシステムが含まれる可能性があります。
• ホワイトノイズ – SOC は膨大な量のデータを受け取りますが、その多くはセキュリティにとって重要ではありません。 SOC で使用されるセキュリティ情報およびイベント管理 (SIEM) およびその他のツールは、機械学習と高度な分析を活用することで、ノイズをフィルタリングする能力が向上しています。
• 誤検知とアラート疲労 – SOC システムは大量のアラートを生成しますが、その多くは実際のセキュリティ インシデントではないことが判明します。誤検知はセキュリティ アナリストの時間の大部分を消費する可能性があり、実際のアラートがいつ発生したかに気づくことがさらに困難になります。

これら 3 つの課題はすべて、セキュリティ情報およびイベント管理 (SIEM) システムを中心とするセキュリティ ツールのスタックによって解決されます。 SIEM は、最新の SOC での日常業務を強化します。

SOC とセキュリティ情報およびイベント管理 (SIEM)

SOC の基本テクノロジーは SIEM であり、組織全体のデバイス、アプリケーション ログ、およびセキュリティ ツールからのイベントを集約します。 SIEM は相関モデルと統計モデルを使用して、セキュリティ インシデントを構成する可能性のあるイベントを特定し、それについて SOC スタッフに警告し、調査を支援するコンテキスト情報を提供します。 SIEM は、SOC がエンタープライズ システムを監視できるようにする「単一画面」として機能します。

SIEM によって促進される SOC プロセス: 主な例

• マルウェアの調査 – SIEM は、セキュリティ スタッフが組織全体で検出されたマルウェアに関するデータを統合し、脅威インテリジェンスと関連付けて、影響を受けるシステムとデータを理解するのに役立ちます。次世代 SIEM は、セキュリティ オーケストレーション機能、インシデント タイムラインの視覚化を提供します。 マルウェアを自動的に「爆発」させる 脅威インテリジェンスサンドボックス内。
• フィッシングの防止と検出 – SIEM は、相関関係と行動分析を使用して、ユーザーが電子メールまたはその他の手段で配布されたフィッシング リンクをクリックしたかどうかを判断できます。アラートが発生すると、アナリストは組織全体およびタイムライン全体で同様のパターンを検索して、攻撃の全範囲を特定できます。
• 人事調査 – 従業員がセキュリティ インシデントに直接関与している疑いがある場合、SIEM は従業員と IT システムのやり取りに関するすべてのデータを長期間にわたって取り込むことで役立ちます。 SIEM は、異常な時間帯の企業システムへのログイン、権限の昇格、大量のデータの移動などの異常を発見できます。
• 退職従業員のリスク軽減 –ある人によると インターメディア研究, 離職した従業員の 89% は、少なくとも一部の企業システムへのアクセスを保持しており、それらの資格情報を使用してログインしています。SIEM は、どのシステムに未使用の資格情報があるのか​​、どのシステムに元従業員がアクセスしているのかを特定して、大規模な組織の問題を計画できます。システム、およびどの機密データが影響を受けるか。

基本的なインシデント対応モデルと SIEM の支援方法

SOC は変革を遂げ、追加の役割を引き受けていますが、その中核となる活動は引き続きインシデント対応です。 SOC は、組織に対するサイバー攻撃を検出、封じ込め、軽減することが期待される組織単位です。インシデント対応の責任者は Tier 1、Tier 2、Tier 3 アナリストであり、彼らが主に利用するソフトウェアは SOC のセキュリティ情報およびイベント管理 (SIEM) システムです。

TIER 1 – イベントの分類

アラートの生成と発券 – Tier 1 アナリストは、ユーザーのアク���ィビティ、ネットワーク イベント、およびセキュリティ ツールからの信号を監視して、注目に値するイベントを特定します。

TIER 2 – 優先順位付けと調査

データの検索と探索 – Tier 1 アナリストは優先順位を付け、最も重要なアラートを選択し、さらに調査します。実際のセキュリティ インシデントは、Tier 2 アナリストに渡されます。

TIER 3 – 封じ込めと回復

インシデントとセキュリティ オーケストレーションに関するコンテキスト – セキュリティ インシデントが特定されると、より多くのデータを収集し、攻撃元を特定し、封じ込め、データを回復し、システム動作を復元する競争が始まります。

TIER 4 – 修復と緩和

レポートとダッシュボード – SOC スタッフは、攻撃に関連する広範なセキュリティ ギャップを特定し、追加の攻撃を防ぐための緩和手順を計画します。

TIER 5 – 評価と監査

コンプライアンス報告 – SOC スタッフは、攻撃と緩和の手順を評価し、追加のフォレンジック データを収集し、最終的な結論と推奨事項を導き出し、監査と文書を完成させます。

SOC ツールとテクノロジの広範な考察

SIEM 以外にも、SOC ではさらに多くのツールが使用されています。

• ガバナンス、リスク、コンプライアンス (GRC) システム
• 脆弱性スキャナーと侵入テストツール
• 侵入検知システム (IDS)、侵入防御システム (IPS)、およびワイヤレス侵入防止
• ファイアウォールと IPS として機能できる次世代ファイアウォール (NGFW)
• ログ管理システム (通常は SIEM の一部として)
• サイバー脅威インテリジェンスのフィードとデータベース

従来の SOC テクノロジーと次世代の SOC テクノロジー

高度な SOC は、機械学習と高度な行動分析、脅威ハンティング機能、組み込みの自動インシデント対応を提供する次世代ツール、特に次世代 SIEM を活用します。最新のセキュリティ オペレーション センター テクノロジーにより、SOC チームは脅威を迅速かつ効率的に発見して対処できます。

伝統的なツール

• セキュリティ情報およびイベント管理（SIEM）
• ガバナンス、リスク、コンプライアンス (GRC) システム
• 脆弱性スキャナーと侵入テストツール
• 侵入検知システム (IDS)、侵入防御システム (IPS)、およびワイヤレス侵入防御
• ファイアウォール、IPS として機能できる次世代ファイアウォール (NGFW)、Web アプリケーション ファイアウォール (WAF)
• ログ管理システム (通常は SIEM の一部として)
• サイバー脅威インテリジェンスのフィードとデータベース

次世代ツール

• ビッグデータ プラットフォーム上に構築され、機械学習、高度な行動分析、脅威ハンティング、組み込みのインシデント対応、SOC 自動化を含む次世代 SIEM
• ネットワーク トラフィック分析 (NTA) およびアプリケーション パフォーマンス監視 (APM) ツール
• エンドポイントの検出と応答 (EDR)。ホストおよびユーザー デバイス上の不審なアクティビティを検出して軽減します。
• ユーザーおよびエンティティ行動分析 (UEBA) は、機械学習を使用して疑わしい行動パターンを特定します。

次世代 SOC ツールを使用する動機

• 次世代SIEM – アラートによる疲労を軽減し、アナリストが重要なアラートに集中できるようにします。新しい分析機能と膨大な範囲のセキュリティ データを組み合わせることで、次世代 SIEM は個々のセキュリティ ツールでは検出できないインシデントを検出できるようになります。
• NTA – 実装が簡単で、異常なネットワーク動作の検出に優れています。 SOC が調査中のトラフィックにアクセスでき、すでに境界内にいる攻撃者による横方向の動きを調査することに関心がある場合に役立ちます。
• UEBA  – 機械学習とデータ サイエンスの技術を使用して、悪意のある内部関係者を検出したり、セキュリティ制御をバイパスしたりします。外部の攻撃者によるものでも、内部の関係者によるものでも、アカウントの侵害を特定するのがはるかに簡単になります。
• EDR – ワークステーションまたはサーバーの侵害に対する強力な防御を提供し、モバイル労働力の管理に役立ちます。過去の調査を実行し、根本原因を追跡するために必要なデータを提供します。

3 つの必須 SOC ツールに焦点を当てる

SIEM 以外にも、最新のセキュリティ オペレーション センターのセキュリティ スタックの不可欠な��ンポーネントであるツールをいくつか紹介します。 

ファイアウォール、次世代ファイアウォール (NFGW) および Web アプリケーション ファイアウォール (WAF)

ファイアウォールは、あらゆるサイバーセキュリティ兵器の標準的な部分です。 2 つの新しいテクノロジーが従来のファイアウォールを補完または置き換えます。

• NGFW – ディープパケットインスペクション機能による侵入防御と侵入検出を提供することで、ファイアウォールを拡張します。 NGFW は、URL フィルタリング、動作分析、地理位置情報フィルタリングなどの技術を使用して、ネットワーク エッジで脅威をブロックできます。リバース プロキシを使用して接続を終了し、Web サーバーに到達する前にコンテンツを検査します。
• WAF – WAF は Web アプリケーションの前に展開され、トラフィックを検査し、悪意のあるアクティビティを表す可能性のあるトラフィック パターンを特定します。 WAF は、許容される URL、パラメータ、ユーザー入力を学習することで、誤検知を最小限に抑えながら攻撃を検出でき、このデータを使用して標準から逸脱したトラフィックや入力を特定します。

これらのテクノロジーは最新の SOC で活用され、Web サイトや Web アプリケーションの攻撃プロファイルを軽減し、重要な Web プロパティにアクセスする正規のトラフィックと悪意のあるトラフィックに関する高品質のデータを収集します。

エンドポイントの検出と応答（EDR）

EDR は、SOC チームがユーザーのワークステーション、携帯電話、サーバー、IoT デバイスなどのエンドポイントに対する攻撃に対応できるようにする新しいカテゴリのツールです。これらのツールは、攻撃が発生するという前提に基づいて構築されており、SOC チームは通常、リモート エンドポイントで何が起こっているかに対する可視性と制御が非常に限られているという前提に基づいて構築されています。 EDR ソリューションはエンドポイントに展開され、悪意のあるアクティビティに関する正確なデータを即座に提供し、SOC チームがエンドポイントをリモート制御して即時の緩和を実行できるようにします。

たとえば、SOC チームは EDR を使用して、ランサムウェアに感染した 50 のエンドポイントを特定し、それらをネットワークから隔離し、マシンを消去して再イメージ化できます。これらすべてを数秒で行うことができ、攻撃が発生したときにそれを特定し、拡散を防ぎ、根絶をサポートします。

SOC監視ツール

モニタリングは、SOC で使用されるツールの重要な機能です。 SOC は、IT システムとユーザー アカウントの企業全体の監視に加えて、セキュリティ ツール自体の監視も担当します。たとえば、すべての組織システムにウイルス対策がインストールされ、更新されていることを確認します。監視を調整する主なツールは SIEM です。組織は、ネットワーク監視やアプリケーション パフォーマンス監視 (APM) など、多くの専用監視ツールを使用しています。ただし、セキュリティ目的では、IT およびセキュリティ データを組織横断的に表示できる SIEM のみが、完全な監視ソリューションを提供できます。

どのツールから始めるべきでしょうか?

ツール導入のこれらの段階は、Gartner によって提案されました。

• グリーンフィールド SOC – SIEMのみ
• 確立されたSOC – 自動化された脅威インテリジェンス サンドボックス、NTA、EDR を追加します。
• 前傾姿勢 – UEBA と完全な社内脅威インテリジェンス プラットフォームを追加（次世代 SIEM の一部として提供）

SIEM が SOC の基礎テクノロジーであること、および行動分析、機械学習、SOC 自動化などの新機能を含む次世代 SIEM がセキュリティ アナリストに新しい可能性をどの��うに切り開くかを説明しました。

次世代 SIEM が SOC に与える影響

次世代 SIEM ソリューションは、SOC に大きな影響を与える可能性があります。

• 警戒疲労を軽減する – 相関ルールを超えたユーザーおよびエンティティの行動分析 (UEBA) により、誤検知を削減し、隠れた脅威を発見します。
• MTTDの改善 – アナリストがインシデントをより迅速に発見し、すべての関連データを収集できるように支援します。
• MTTRを改善する – セキュリティ システムと統合し、セキュリティ オーケストレーション、自動化、応答 (SOAR) テクノロジを活用します。
• 脅威ハンティングを有効にする – アナリストに、無制限のセキュリティ データへの迅速かつ簡単なアクセスと強力な探索を提供することによって。

Exabeam はその一例です 次世代SIEM これは、データ レイク テクノロジー、クラウド インフラストラクチャの可視性、行動分析、SOAR 機能、強力なデータ クエリと視覚化を備えた脅威ハンティング モジュールを組み合わせたものです。