フォローする 
問題: 脅威検出を大規模に達成すること
SOC Primeでは、検出エンジニアリングをあらゆる規模の組織にとって容易にするために、10年以上にわたり取り組んできました。毎年、脅威が増え、環境が複雑化するにつれて、従来のアプローチはSOCマネージャーを困難な立場に追い込みます — すでにあるツールとチームでは達成できないカバレッジの責任を負っています。 DetectFlowは、エンジニアリングのオーバーヘッドなしで大規模に検出を展開するための道筋を提供します。ここで解決する問題は次の通りです:
- あなたのチームはノイズに埋もれており、脅威を見つけられていません: 誤検知はアナリストを圧倒し、本当のシグナルが見逃されます。アラート疲れは人の問題ではなく、システムの問題です
- あなたの検出カバレッジには、エンジニアリングで克服できない限界があります: 512ルール以下で動作することは、どんな人手を増やしても埋めることのできないMITRE ATT&CKマトリックスの盲点をあなたのチームに生み出します
- あなたのチームが脅威を認識した時には、攻撃者はすでに移動しています: バッチ処理が数分から数時間単位で検出の遅れを生み出し、制御可能なインシデントを侵入に変えてしまいます
- SIEM予算が不要なデータに消費されています: テラバイト規模でのローグログの強制取り込みがストレージコストを引き上げ、経営層に説明可能な範囲をはるかに超えてしまいます
DetectFlow応用: コスト削減と速度の向上
DetectFlowは脅威検出の経済性とスピードを根本から変えます。生のカオスを取り込み後で整理するのではなく、DetectFlowは:
- テラバイトの生のログデータをクリーンでラベル付けされたイベントにギガバイト単位で圧縮します(瞬時に、SIEMに触れる前に)。
- 検出はフライト中、ワイヤ速度で行われ、リアルタイムで50000以上を適用し、平均検出時間を0.005〜0.01秒にまで短縮します
- データパイプライン全体が取り込み前に管理され、フィルタリングされるため、SIEMには正規化され、タグ付けされ、事前に検証されたイベントのみが入り、SIEMコストを劇的に最適化します: ノイズではなくシグナルのストレージと分析に支払います。
最終目標: 攻撃連鎖が全体像を伝える
DetectFlowが他と一線を画すのは、重要なものを浮き彫りにする方法です。アナリストに何千もの断片的でコンテキストの少ないアラートを手動で相関させる代わりに、DetectFlowは:
- そのノイズを優先度の高い攻撃連鎖のキューに統合し、AI生成のエグゼクティブサマリーが敵対者の活動をギガバイトから明確なブリーフに凝縮します。
- 脅威推論はリアルタイムで行われ、異なるベクターやホスト名にわたる活動を自動的に相関させ、手動による調査を必要としません。
- 出力はアラートのリストではなく決定です。経験レベルに関係なく、どのアナリストでも侵入の全体像を即座に把握し、直接修復に移ることができます。
詳しく知りたい方は、 DetectFlow の概要ページへ。
FAQ
DetectFlowはどのようにしてSIEMコストを削減するのですか?
DetectFlowはSIEMの上流に置かれ、取り込む前に生のイベントストリームを処理します。それは生のログデータをテラバイトから約7%のオリジナルボリュームに圧縮し、ノイズを除去し、正規化された脅威タグ付きのイベントのみをSIEMに通過させます。その結果、SIEMライセンスとストレージコストは信号に対して計算され、生要容量ではありません。大規模に取り込みを行う組織にとって、このシフトだけでも持続可能なセキュリティ予算と、CFOに防衛不能なものとの差を生み出すことができます。
MTTDとは何ですか、そしてDetectFlowはそれをどのように改善するのですか?
MTTD(平均検出時間)は、脅威が始まってからあなたのチームがそれを特定するまでに要する時間の測定値です。従来のSIEMアーキテクチャはバッチ処理を頼りにしており、検出クエリが遅延して実行されることを意味し、イベントが発生してから15分以上かかることもよくあります。DetectFlowはライブデータストリームに直接リアルタイムで検出ルールを適用し、MTTDを0.005秒から0.01秒にまで減少させます。実際には、これは攻撃者を最初の動きで捕らえるか、すでに横方向移動が発生してから侵入を発見するかの違いです。
なぜSIEMにもっと検出ルールを追加するだけではいけないのですか?
ほとんどのエンタープライズSIEMには、同時に実行できるルールの数に厳しい上限があります。例えば、Microsoft Sentinelでは512が上限です。それ以上のルールはクエリオーバーヘッドを増やし、検出を遅くし、コストを増加させます。DetectFlowはApache Flinkを使用してパイプライン層で検出を実行し、これらの制約なしに数万のSigmaルールを同時に適用することができます。それにより、SIEMアーキテクチャ内では対処不可能なMITRE ATT&CKカバレッジのギャップを埋めることができるのです。
DetectFlowは既存のSIEMを置き換えるのですか?
いいえ。DetectFlowは既存のSIEMと統合され、置き換えるのではありません。それは取り込み前にKafkaパイプライン層に存在し、SIEMにはクリーンで事前に強化された脅威タグ付きイベントが、すでに使用している同じコネクタを通じて送られます。アナリストは慣れ親しんだダッシュボードで作業を続けます。彼らが感じる違いは、データ品質の向上、誤検知の減少、より迅速な調査であり、新しいツールを学ぶことではありません。
「攻撃連鎖」とはどういう意味で、なぜチームにとって重要なのですか?
「攻撃連鎖」は、DetectFlowが個々のアラートではなく相関した脅威をどのように浮き彫りにするかを示しています。なぜなら、数千の孤立したイベントをアナリストに手動で調査させる代わりに、DetectFlowはAIを利用して、異なるベクターやホスト名にまたがる関連する活動を単一の優先キューに統合し、敵対者が何をしているのかを説明する3文のエグゼクティブサマリーとともに提供するからです。SOCマネージャーにとって、それはチームが進行中の攻撃に関するコヒーレントなストーリーを把握することを意味し、全体像が明らかになるまで数時間の調査を必要とする断片化したシグナルの塊を処理することではありません。
