SOC Primeプラットフォームでの継続的なコンテンツ管理の実現
目次:
SOC Primeプラットフォームのリリースにより、協力的なサイバー防衛、脅威ハンティング、および脅威発見が提供され、検出コンテンツストリーミングの完全な自動化が新たなレベルに引き上げられました。今、 Continuous Content Management モジュールは、アクティブなサブスクリプションプランに応じた閾値ベースの利用可能性で、企業のメールアドレスでSOC Primeプラットフォームに登録されているすべてのユーザーが利用できます。
統合のための幅広いセキュリティソリューションセットにより、Continuous Content Managementは次のクラウドベースのSIEM & XDRプラットフォームにおけるスムーズな脅威検出オペレーションを可能にします:
- Microsoft Azure Sentinel
- Elastic Cloud
- Humio
- Sumo Logic
- Google Chronicle Security
クラウドネイティブなSIEM & XDRスタックに加えて、Continuous Content ManagementモジュールはオンプレミスのSplunkおよびElastic Stackソリューションもサポートしています。SOC Prime CCM App for Splunkを活用することで、セキュリティエンジニアは新しいルールを継続的にストリーミングし、既存のルールをオンプレミスのSplunkインスタンスにアップデートできます。インストールガイドラインを確認し、 Splunk用のSOC Prime CCM App をSplunkbaseから直接取得してください。SplunkおよびElastic Stackのオンプレミスインスタンスへの検出コンテンツストリーミングは、 TDM API Integration Tool.
を介して利用可能です。Splunk Appのクラウドネイティブサポートは間もなく提供予定で、これによりセキュリティエンジニアはSOC Prime Threat Detection Marketplace APIを通じて検出をクラウドのSplunkインスタンスにストリーミングすることが可能になります。
Content Lists
使用されているセキュリティソリューションに自動的に検出を展開するために、SOCチームはコンテンツを構造化された Content Listsに配置できます。SOC Primeでは、最も一般的な懸念事項に対応した検出を含むグローバルコンテンツリストを準備しています。
これらのリストは、SOC Primeプラットフォームを利用しているすべてのセキュリティチームで利用可能です。同様に、セキュリティエンジニアは、コンテンツリストを作成してSOC Primeプラットフォーム内でチームと共有することができます。
- を使用して、 Static Content Lists、チームは特定の目的に選ばれたコンテンツを配置することができます。
- Dynamic Content Lists では、必要とされるコンテンツの事前設定されたパラメータに従って更新された検出を継続的に提供することができます。
- を使用して、 Inventory Content Listsを使用すると、セキュリティエンジニアは異なるSIEM & XDRインスタンスにコンテンツを個別のジョブを通じて展開でき、また、 Inventory ページの検出コンテンツに対する変更のローカルコピーを保持することができます。
SOCチームは、新しいリストをゼロから作成したり、既存のリストをコピーしてカスタマイズしたりできます。また、Threat Detection Marketplaceからのコンテンツの自動配信と採用を最大限に活用するために、リスト内のフィルタリングパラメータを指定して、ニーズに合ったコンテンツのみを受け取ることができます。
Continuous Content Managementは、セキュリティエンジニアが自動コンテンツ採用のプロセスを管理し、展開結果の明確な全体像を得ることを可能にします。
Jobs
をスケジュールして実行することにより、SOCチームは最新の検出を自動的にSIEMまたはXDRインスタンスに展開することができます。コンテンツ管理操作により柔軟性を追加するために、単一のジョブを特定のコンテンツリストに作成し、選択したプラットフォームおよび特定のコンテンツタイプとリンクすることができます。同様に、複数のジョブを単一のリストにリンクし、同じまたは異なるSIEMまたはXDRインスタンスにプッシュすることができます。さらに便利なように、ジョブをカスタムデータスキーマに基づいて設定し、コンテンツ展開をよりコントロールし、好みのデータスキーマ形式でコンテンツをストリーミングすることもできます。さらに、Azure Sentinel、Sumo Logic、およびElastic Cloud環境の代替翻訳形式に基づいてコンテンツ展開のジョブを設定することができます。 Jobs, SOC teams can automatically deploy the latest detections into their SIEM or XDR instance. To add more flexibility to content management operations, a single Job can be created specifically for a certain Content List, linked to the selected platform and a specific content type. Similarly, multiple Jobs can be linked to a single List and pushed to the same or different SIEM or XDR instances. For more convenience, Jobs can be set based on a custom data schema to have more control over content deployment and stream content in the preferred data schema format. In addition, security engineers can set up Jobs for content deployment based on the alternative translation formats for Azure Sentinel, Sumo Logic, and Elastic Cloud environments.
上の Jobs ページで、チームは特定のジョブによって行われた成功および失敗したコンテンツリスト展開を追跡し、ログを簡単にデバッグすることができます。特定のコンテンツリストに展開の問題が発生した場合、セキュリティエンジニアはHistoryページに詳細に入り、リスト内の各コンテンツアイテムのエラー詳細を見つけることができます。
Inventory
を使用して、 Inventory、SOCチームは、選択したSIEMまたはXDRインスタンスおよび特定の環境にリンクされた検出をレビューおよび更新することができます。このページでは、コンテンツの作成者とそのソース、展開日、ヒット数、各コンテンツアイテムに関するその他の詳細を追跡できます。 Inventory リスト。セキュリティエンジニアはまた、 Inventory ページから直接検出を更新し、その後変更を彼らの環境に配備することができます。
The Inventory ページは、選択されたコンテンツアイテムを一箇所で管理し、それらを有効化または無効化したり、既存または新しいコンテンツリストに追加したり、もはや必要とされないコンテンツを削除することを可能にします。単一のコンテンツアイテムまたはその集合を削除することを選択する際、セキュリティエンジニアはこれを Inventory リストオだけで、またはSIEMまたはXDRインスタンスからも削除することができます。
Presets and Filters
Continuous Content Managementを使用すると、セキュリティチームは自動化されたコンテンツ展開条件をカスタマイズして、セキュリティ要件に対応し、大量の誤検知を避けることができます。
Filters は、特定のユーザー、ホストなどを含めたり除外したりするなど、展開前に検出ロジックに追加の条件を追加することをセキュリティチームに許可します。
を使用して、 Presetsでは、セキュリティエンジニアはSIEMまたはXDRインスタンス設定の特性を考慮に入れて自動展開をカスタマイズすることができます。Presetsをジョブにリンクすることで、コンテンツ管理操作を効率化し、コンテンツを手動で編集する際に発生する可能性のあるエラーを回避することができます。
History
セキュリティチームは、Continuous Content Managementモジュール内の自動および手動アクションの完全な履歴を閲覧することができます。ここでは、エンジニアはすべてのジョブログ、手動での展開、更新のログをチェックすることができます。ログ表示の設定を選択することで、チームは彼らにとってより情報量が多いログをチェックすることができます――例えば、展開結果などのコンテンツ関連の活動に集中し、Service Logsを History ページから非表示にしておくことができます。Continuous Content Managementはまた、ログ履歴を閲覧し、特定のログをLucene検索クエリの構文を使用して調査することを可能にします。
Historyにログされたアクションに関する情報も利用可能で、コンテンツ展開のステータス関連の詳細――成功した展開の結果、または失敗したコンテンツ展開試みの問題やエラーの詳細が含まれています。
あなたが使用しているSIEM、EDR、およびNTDRソリューションに互換性のある最高のSOCコンテンツを探していますか?SOC Primeプラットフォームを探索して、あなたのカスタムユースケースに対応し、脅威の発見と脅威ハンティングを強化し、チームの進捗の完全な可視化を得ることができます。 脅威ハンティングに情熱を持ち、業界初のSOCコンテンツライブラリに貢献したいですか?私たちのThreat Bounty Programに参加してください!