Meet New SOC Prime Platform for Collaborative Cyber Defense
目次:
脅威検知マーケットプレイスから業界全体の協力による優れたサイバー防御へ
SOC Primeの立ち上げにあたって、私たちは脅威検知をグローバルにより簡単で迅速かつシンプルにする夢を抱いていました。これには技術革新が求められ、特に攻撃行動に重点が置かれました。そのため、2016年以降、SOC PrimeチームはMITRE ATT&CKフレームワークとLockheed MartinのCyber Kill Chainをカスタマイズして、グローバルなコミュニティに私たちのアプローチを紹介し、実践に応用する方法を提供しました。さらに、脅威検知をより効率的かつ効果的にするという使命には、検知アルゴリズムを作成し共有するためのシンプルな方法が求められました。それが、SOC PrimeがSigmaプロジェクトを早期に支援し、大多数のSIEM & EDRバックエンドに貢献し、Uncoder.IOを作成し、私たちの貢献を継続的に進化させている理由です。
さらに重要なことは、SOC Primeを設立する際に、業界最大のセキュリティ実務者のコミュニティを結集するという夢を抱いていたことです。しかし、この野心的な意図は、サイバーセキュリティ業界のすべての側面に実用的な価値をもたらす製品がなければ達成できません。そして、まさにこれは私たちが脅威検知マーケットプレイスで目撃していたことです。
私たちのSaaS製品を継続的に磨き上げながら、検知をコード化するという概念をMVPから生産段階へと進化させ、世界中の数千の企業に認められ、広く受け入れられるよう手助けしました。これらの組織は世界の150を超える国から来ており、小規模から大規模のものまで、伝統的な企業、政府機関、テクノロジー企業、セキュリティ技術ベンダー、MSSPおよびMDRプロバイダーなどです。私たちは一緒に作業し、実際に機能していることと改善が必要な点についてフィードバックを交換する中で、私たちのビジョンが非常に明確になりました。私たちは、サイバーセキュリティ業界でのグローバルな協力を可能にする正しい道を進んでいます。
今日、私たちは次のステップを踏み出しています。 世界的な 協力を進めるために、脅威検知マーケットプレイスを新たに立ち上げたプラットフォームに追加し、これまで以上に広範なインフォセックの観衆が利用できるようになりました。SOC Primeは、直接コンテンツを配布することから、一層実用的な業界の問題を解決する方向に進化しています。そして私たちは、コストを削減し、速度を上げ、品質を向上させることでこれを実現しています。
新しいプラットフォームでは、熟練したインフォセックの専門家やサイバーセキュリティ分野の新人、脅威ハンター、検知エンジニア、IR、レッドチーム、パープルチーム、DevSecOpsチーム、SOCおよびCTIアナリスト、そしてもちろんセキュリティマネージャーやCISOのためのより優れたツールがあります。そしてこれらすべてのツールは、プラットフォームのエレメントと呼ばれ、協力、フィードバックの交換、動的なセキュリティメトリクス、スマートな自動化、データ共有のプライバシーに密接に結びついています。
SOC Primeの確立された伝統に従って、これらすべての機能は、フリーミアムレベルでもフルスケールでも、商用アクセスとサポートが含まれており、コミュニティに提供されています。
言うまでもなく、「百聞は一見に如かず」と言いますので、皆さんにプラットフォームをライブでご覧いただくことを歓迎します。 https://tdm.socprime.com/login/platform.
FAQ
以下には、新しく立ち上げた協力サイバー防御プラットフォームについてよく聞かれる質問の答えが掲載されています。
Q: 脅威検知マーケットプレイスに何が起こるのでしょうか?
A: 脅威検知マーケットプレイスは、新しいSOC Primeプラットフォームのコア要素の一つとして残ります。現在、機能が改善された状態で、すべての登録ユーザーが利用可能です。脅威検知マーケットプレイスを使用していた場合、アクセスは自動的にプラットフォーム全体のスケールにアップグレードされ、新しい要素と機能がコミュニティサブスクリプションレベルで利用できるようになります。特に以前のアクセスはそのまま維持されます。 「発見」 カテゴリに配置されており、重要な機能が改善され、すべての登録ユーザーが利用可能です。脅威検知マーケットプレイスを使用していた場合、アクセスは自動的にプラットフォーム全体のスケールにアップグレードされ、新しい要素と機能がコミュニティサブスクリプションレベルで利用できるようになります。特に以前のアクセスはそのまま維持されます。
Q: プラットフォームリリースでどのような機能が利用可能になりますか?要素とは何ですか?そして新しい点は何ですか?
A: SOC Primeプラットフォームの立ち上げから、次の新しい要素が利用可能になります。
- Uncoder CTI
- クイックハント
- ログソースカバレッジとMITRE ATT&CKカバレッジライブダッシュボード
すべての要素は、ビジネスおよびセキュリティのニーズに基づいた対応するカテゴリの下に配置されています。例えば、脅威検知マーケットプレイスは「発見」セクションの最初の要素で、検知コンテンツの発見、関連するセキュリティインテリジェンスの取得、ログソース要件の学習に使用されます。Uncoder CTIとクイックハントは、「ハント」セクションに利用可能な新しい要素で、シニアおよびジュニアの脅威ハンターやサイバー脅威インテリジェンスアナリストを支援するために構築されています。さらに、2つの新しい要素が2021年に登場予定です。 「発見」 section, as it is used to discover detection content, get relevant security intelligence, and learn log source requirements. Uncoder CTI and Quick Hunt are new elements available under the Hunt section, as they are built to assist senior and junior threat hunters and cyber threat intelligence analysts. Moreover, two more new elements are on the way, going live in 2021.
Q: 継続的な変更を行うことで、プラットフォームになりますが、製品の機能拡張にはなりませんか?
A: SOC Primeプラットフォームリリースは、日々のサイバー防御タスクを実行するための、確立された製品と完全に新しい協力アプローチの組み合わせを導入します。SOC Primeのコア製品であるThreat Detection Marketplaceは、2016年以来存在し、世界最大のセキュリティインテリジェンスおよびSOCコンテンツリポジトリとして知られています。また、Detection as Codeがグローバルに確立された属性となっている事実を喜ばしく思いながらも、それを使用する19,000人以上の方々からの膨大なフィードバックを受け取っています。このフィードバックは、検知コンテンツの使用方法が多くあり、行動TTPベースのルールを超えて、それを補完する領域に進む必要があることを理解するために重要です。
例えば、行動ベースの検索(脅威ハンティング)はIOCベースのもの(CTI)と組み合わせると効果的に機能します。私たちは前者を極めることに専念していますが、CTIチームはIOC検索を実行することがより迅速で時間効率が良く、高性能であることをフィードバックとして提供します。これにより、以前の Uncoder.IO から学んだことを活用して、 Uncoder CTIという、コアに類似のアプローチを持つツールが作成されています。さらに、 クイックハント は、行動ベースのハントを容易かつ迅速に、コンテンツロジックに深入りせずに開始するために構築されました。その結果、業界のどの人でも狩猟仮説を迅速に検証するツールを持つことができ、可能な限りリアルタイムに仲間からのフィードバックを提供し受け取ることができます。
Q: プラットフォームへのフリーミアムコミュニティアクセスは異なりますか?
A: より良い形になっています!初の協力サイバー防御プラットフォームを立ち上げるにあたり、私たちはコミュニティをその中心に置いております。アクセスの主な変化は、コミュニティと有料サブスクリプションの機能の差を無くし、あらゆるレベルでの世界的な協力を解放することです。コミュニティアクセスの唯一の制限はそのしきい値ベースの性質です。
例えば、フィードバックを与えることなく クイックハント セッションを行うことができるのは一度だけで、フィードバックを提供することで無料のハントを繰り返しリセットすることができます。のケースでは、クエリ制限がユーザーベースで日単位で適用され、同僚を招待すると無料でクエリ制限が2倍になります。 Uncoder CTIまた、そのクエリ制限がユーザーベースで日ごとに適用されます。そのため、同僚を招待すると2倍のクエリ制限を無料で得ることができます。その際に 継続コンテンツ管理 (CCM)モジュールとそのAPIは、専用のプレミアム機能でした。しかし、プラットフォームのリリースにより、ダウンロード可能なコンテンツの量、コンテンツリストの数などに制限があるものの、コミュニティレベルでも利用可能になります。その結果、CCMへのコミュニティアクセスは、個人的な研究室やパイロットプロジェクトにも適合しますが、製品使用のしきい値には届かないでしょう。
Q: プレミアムサブスクリプションのライセンスに変更はありますか?
A: プラットフォームの立ち上げに伴い、各新要素は個別にライセンスされます。脅威検知マーケットプレイスはコア要素の一つとなり、ライセンスは非常に協力的なものになり、推奨されたSOCアナリストの席やプラットフォームユーザー数の制限がありません。プレミアムサブスクリプションを持っている場合、カスタマーサクセスチームが脅威検知マーケットプレイスの新ライセンスへの移行計画を個別にご案内し、最大のROIをチームに提供しながらもコスト効率を維持するためのプラットフォームライセンスオプションの簡単な説明を行います。
新しい要素と機能が一目でわかるSOC Primeプラットフォームについての詳細な技術的洞察を得るために、専用の 記事をご覧ください。そして、9月14日に向けて、ヘルプセンターガイドとインタラクティブなプラットフォームツアーを活用して、洞察に満ちた旅に備えましょう。