SOC Primeの連続コンテンツ管理モジュールでSIEMとXDRのデータスキーマの複雑さを克服する

[post-views]
10月 13, 2021 · 12 分で読めます
SOC Primeの連続コンテンツ管理モジュールでSIEMとXDRのデータスキーマの複雑さを克服する

セキュリティ監視チームは、SOC PrimeのContinuous Content Managementモジュールを使用してスキーマ対応の検出ルールを直接展開することで、イベントデータの正規化に伴う大きな労力を回避できます。

今日のサイバーセキュリティの状況は、SIEMシステム、EDR、NTDRおよびSOARツール、次世代XDRソリューション、技術的なボトルネックを乗り越える革新的なアプローチで溢れています。組織は、柔軟に拡張可能なCI/CDワークフローを構築することで、技術進化の動的なペースに追いつこうとします。データも常に進化し続けており、その編成と管理には新たな課題が生じます。SIEM検出エンジニア、SOCアナリスト、またはSIEMやXDRを活用するセキュリティ専門家は、会社のインフラ内で新しいデータスキーマを採用して、これらの変化に対応しなければなりません。

業界をリードするSIEMおよびXDRプロバイダーは、既存のデータスキーマを進化させ、複数のタイプのデータを処理できる正規化されたソリューションを考案しようとしています。たとえば、MicrosoftはAzure Sentinel Information Model (ASIM) を採用し、Chronicle Security は同様の目的でUnified Data Model (UDM) を導入しました。一方、Elasticは各新バージョンのElastic Common Schema (ECS) で共通データ形式を詳述しています。

セキュリティデータのオンボーディングに何十万ドルもの費用を費やしている組織を見たことがあります。データ収集のために正規化を必要としないベンダーもいますが、標準に従わないデータの上にコンテンツを構築すると、セキュリティ運用チームに多大な負担をかける可能性があります。

アントン・ゴンチャロフ

SOC Primeのチーフプロダクトオフィサー

開発者がSIEMおよびXDRのデータスキーマを改善する一方で、企業はサイバーセキュリティデータを収集し続け、これらの変化に迅速に適応しなければなりません。新しい脅威が出現するとすぐに、組織はデータ収集のスケーラビリティを迅速に向上させ、複数の形式でデータを収集できるように準備する必要があります。ベンダー主導のデータスキーマフィールドに変化が生じると、新しいログは変更された形式で収集および解析されます。これはデータ管理にとって具体的な障害となり、SIEMやXDRを使用したログ検索や脅威検出のプロセスを悪夢に変えてしまいます。

図1. Azure Sentinel認証正規化スキーマリファレンスとASIM
図2. 最新のElastic Common Schema (ECS) リファレンス v.1.12

世界中のあらゆるSOCチームにとって重要なのは、脅威検出操作にダウンタイムを発生させずにデータスキーマの変更を管理する方法です。このデータスキーマの複雑さを乗り越える1つの方法は、すべての古いデータを再正規化し、すべての実装した脅威検出アルゴリズムと共にそれを新しいデータスキーマ標準に適合させることです。しかし、このデータ統一の方法は依然として時間がかかり、コストがかかるため、ダウンタイムが発生します。

SOC Primeの最高収益責任者として参加する前に、私はSIEMおよびSOAR技術を中核とする24時間体制の中央ヨーロッパ高度サイバー防衛センターの構築を主導し、ヨーロッパ最大の組織を保護していました。最新かつ高度な技術を導入しましたが、データスキーマと検出アルゴリズムの維持と調整に膨大なリソースを常に投資する必要がありました。SOC PrimeのContinuous Content Managementモジュールを使用することで、すべてのSOCチームはデータスキーマのメンテナンスに数日や数週間を無駄にすることなく 悪を見つけて組織のコア資産を保護することに集中できます。

アンドレアス・ズース

SOC Primeの最高収益責任者

The SOC Primeの業界初のプラットフォームは 協調サイバー防御、脅威ハンティングおよび脅威発見をサポートし、Sigmaの行動ベースの検出をベンダー標準に合わせたデータスキーマフォーマットでクロスツールの翻訳を対応しています。Sigmaを利用可能な20以上のSIEMおよびXDRフォーマットのいずれかに変換する際、フィールドは選択したセキュリティソリューションにネイティブなベンダー主導のデータスキーマに従ってマッピングされます。したがって、Azure Sentinel用のSOCコンテンツは、デフォルトでASIMデータスキーマに自動的に調整され、Elastic Stackの翻訳はそれに応じてECSフォーマットにマッピングされます。

さらに、SOC PrimeのDetection as Codeプラットフォームは、ベンダーの仕様を超えた非標準のデータスキーマソリューションを提供します。SIEMおよびXDRベンダーは常にデータスキーマを正規化して進化させており、すべてのカスタムユースケースに対応し、すべての可能なログソースをカバーするのは困難です。SIEM検出エンジニアとSOCアナリストは、ベンダーのドキュメントでカバーされていない対応するログソースがないままデータを処理しなければならないことが多いです。

SOC PrimeのDetection as Codeプラットフォームの一部として利用可能なContinuous Content Management (CCM)モジュールは、セキュリティ実務者がカスタムデータスキーマを適用し、SIEMまたはXDRベンダー側でのフォーマット変更に関わらず、それらに固執することを可能にします。CCMモジュールはコンテンツ配布前に関連するカスタムフィールドマッピングバージョンをあらかじめ設定し、それからSOC環境にルールとクエリをストリーミングすることを可能にします。

たとえば、Winlogbeatを通じてWindowsログを収集する場合、ツールはそれらを自動的にECSデータスキーマに適合させ、Elasticsearchに構文解析の問題なく保存します。しかし、非標準のツールを通じてカスタムデータを使用してログを収集し、デフォルトのデータスキーマに自動的にマッピングできない場合は、追加の微調整が必要であり、SOCチームのかなりの時間を要します。ここに、Windowsログ収集のためにSOC Primeチームが作成した非標準フィールドを使用したグローバルカスタムフィールドマッピングプロファイルの例があります。

この柔軟なアプローチにより、1つのデータスキーマを1つのルールセットに適用し、別のデータスキーマを異なるコンテンツアイテムのスタックに適用することができ、これらをCCMジョブを通じて展開する前に設定できます。最終的に、環境のニーズに応じて自動的にカスタマイズされたルールのバージョンを持つことができます。

カスタムデータスキーマによって強化されたCCM正規化機能は、主にSOCアナリストと検出エンジニアのためのものです。彼らの貴重な時間と多大な手間の削減に貢献します。ビジネスの視点から見ると、CISOやSOCマネージャーは、チームの生産性を最大化し、コストを十分に削減し、最も重要なSOCタスクに集中し、データスキーマ移行のリスクを減少させることができます。

Continuous Content ManagementモジュールおよびそのAPIは、現在サイバーセキュリティコミュニティ全体で利用可能です。新しくリリースされたSOC PrimeのDetection as Codeプラットフォームは、CCM機能への無料アクセスを開放し、プラットフォームユーザーがその機能を利用できることを意味します。制限はしきい値に基づく性質のもので、ダウンロード可能なコンテンツの数、コンテンツリストの数、またはユーザーごとに構成できるフィルタやプリセットの数などです。組織のビジネスニーズに応じた有料サブスクリプションでCCMモジュールの完全なスケールの利用が可能になります。

CCMモジュールは現在、Microsoft Azure SentinelやGoogle Chronicle Security、Humio、Sumo Logic 、Elastic Cloudなど、世界をリードするSIEMおよびXDRのクラウドソリューションをサポートしており、変換されたSigma検出を対応するクラウドネイティブなフォーマットに継続的にストリーミングおよび管理することができます。クラウドへの検出コンテンツのストリーミングに加えて、CCMモジュールはSplunkとElastic Stackに対するオンプレミスのサポートも提供しています。セキュリティエンジニアは SOC Prime CCM App for Splunk

SOC Primeは、Sigmaの行動ベースの検出をアラートとクエリに自動的に環境へ展開することで、重要なアップデートを実現しました。SOCチームは自分たちの目的に最も適した検出カテゴリを選ぶことができます。 誤検知を生成する可能性が低く、完全にテストされたアラート より実験的な性質のクエリ 脅威を調査またはハントする。これにより、コンテンツの意図した目的に関するあいまいさが取り除かれ、SOCチームの作業負荷が減少し、SOCの業務を効率化するのに役立ちます。 of a more experimental nature また、コンテンツ管理の完全自動化システムに関する技術的な洞察を得るには、この

専用ブログ記事 を読み、CCMモジュールの能力をフルスケールで検証しましょう。SOCチームは、 SOC Prime’s Detection as Codeプラットフォーム 今、より広いサイバーセキュリティのオーディエンスに利用可能です。ベンダー固有のデータスキーマへの依存を最小限に抑えたまま、データの複雑さの限界を打破し、煩わしさのない、コスト効率の高いコンテンツの展開と管理を可能にします。 に参加することで、CCM機能の実際の動作を確認できます。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Uncoder CTI: ステップバイステップガイドライン
SOCプライムプラットフォーム, ブログ — 8 分で読めます
Uncoder CTI: ステップバイステップガイドライン
Eugene Tkachenko
SOC Primeプラットフォームでの継続的なコンテンツ管理の実現
SIEM & EDR, ブログ — 12 分で読めます
SOC Primeプラットフォームでの継続的なコンテンツ管理の実現
Veronika Telychko
Azure Sentinelの完全ガイド:Microsoftのクラウドプラットフォームを探る
SIEM & EDR, ブログ — 15 分で読めます
Azure Sentinelの完全ガイド:Microsoftのクラウドプラットフォームを探る
Sergiy Prystaiko