クイックハント: 3ステップで重大な脅威を特定

SOC PrimeのDetection as Code 協調的サイバー防御、脅威ハンティング、発見のためのプラットフォームは進化を続け、よりアクセスしやすく効率的なサイバー防御能力で国際社会を支援します。より広範なサイバーセキュリティオーディエンスに脅威ハンティングを解放するために、SOC Primeは Quick Hunt、新たな最先端モジュールを導入しました。このモジュールにより、新規ユーザーから熟練した専門家までが、SIEMおよびEDR環境で最新の脅威を3つの簡単なステップで検索できます。 

ワンクリックハンティング体験を可能にするワンタイム設定

SOC Primeのモジュールを初めて使用する際には、選択したSIEMまたはEDRでハンティング環境を設定する必要があります。ワンタイム設定を完了すると、Quick Huntのユーザーは、事前に設定された環境で利用可能なログデータに対してシームレスにハントを行うことが可能です。統合の障害やパーシングの問題はありません。 

初期設定を行うには、 Integrate > Environments に移動し、SOC PrimeのDetection as Codeプラットフォームでプラットフォームタブと環境を選び、ハントを実行する際に使用される対応するURLと他の必要なフィールドを入力します。 

カスタムログデータでハントする際のデータスキーマの複雑さの課題を克服するには、デフォルトのカスタムフィールドマッピングプロファイルを適用するか、選択した環境用に新しいものを設定します。

3つの簡単なステップで最も関連性の高い脅威を検索

Quick Huntは、次の3つの簡単なステップに従うことで脅威の調査をこれまで以上に効率的にします。

1. 最も予想される脅威についての情報を収集 
2. 選択したSIEMまたはXDRでハントを実行 
3. 同僚とフィードバックを共有

ビジネスに最も関連する脅威の情報を得る

Threat Detection MarketplaceとSOC Primeのクラウドソーシングイニシアチブにより強化されたQuick Huntは、最新のMITRE ATT&CK® フレームワークバージョン10に合わせられた13万以上の検出に基づいており、年々指数関数的に増加するIT脅威、エッジ、クラウド、SaaS、IaaS、PaaSのユースケースに対応しています。 

20,000人以上のサイバーセキュリティ専門家のフィードバックとSOC Primeの推奨エンジンによってバックアップされており、セキュリティチームはビジネスニーズと使用中のプラットフォームに最も関連する脅威を即座に識別できます。 

注: 特定のプラットフォームと環境に合わせてカスタマイズされたクエリのリストを表示するには、リストからSIEMまたはEDRプラットフォームを選択し、次に セキュリティニーズに合った事前構成済みの環境 を選びます。

セキュリティの専門家は、最近リリースされた検出や最後に更新された検出でコンテンツを並べ替えることもできます。

特定のコンテンツ項目にリンクされているサイバー脅威インテリジェンスを深く調べるには、セキュリティチームが「 Hunt 」ボタンの横にある矢印アイコンをクリックし、ルールの重大度、メディアの言及、CVEとATT&CKリンク、ログソースタイプ、さらに詳細なコンテンツを調べます。

ハントの準備ができたら、ステップ2に進みます。

1クリックで自身のSIEMまたはXDRでハントする

選択したクエリを使用してハンティングセッションを実行するには、 Hunt ボタンをクリックします。システムは直ちに事前設定済みのSIEMまたはEDR環境にリダイレクトされ、ブラウザのアドレスバーにクエリが貼り付けられます。SOC Primeはデータプライバシー保護を確保するため、 ローカルで認証が行われ、すべてのクエリは現在のブラウザセッション内で開始され、Quick Huntサーバー側に送信されません。 

ハントのフィードバックを残す

クエリが結果を生成すると、Quick HuntユーザーはSOC PrimeのDetection as Codeプラットフォームに戻り、グローバルコミュニティや同僚とフィードバックを共有できます。セキュリティ専門家はヒット数に基づいて自らのハンティング体験を評価することを求められ、自らのフィードバックを残した後、他のユーザーの入力を見ることができます。

提供されたフィードバックは匿名であり、その単一の目的は — グローバルなサイバーセキュリティコミュニティと同僚がクエリの重要性を理解するのに役立てることです。これにより、ハンティングの効率が向上します。コミュニティ主導のフィードバックを収集することは、SOC PrimeチームとクラウドソーシングのThreat Bounty Program開発者が検出品質を継続的に向上させ、最新の脅威にコンテンツが更新されていることを確保するのに役立ちます。 

開始日 2021年11月22日、Quick Huntモジュールは、SOC PrimeのCyber Mondayディールの一環として、Threat Detection Marketplaceのコンテンツベースからトップ評価、最もトレンディなコミュニティクエリを使用した無料の無制限のハントを解放します。プロモコードをアクティブ化すると、企業のメールアドレスを持つSOC Primeユーザーは、2021年12月末までにSIEMまたはEDR環境で無料で脅威をスキャンできます。Cyber Mondayプロモーションの参加者は、SOC Primeの専門家と一緒にガイド付きセッションを予約して、モジュールを活用するためのハンティング環境を簡単に設定することもできます。お見逃しなく、私たちの ブログ に注目して、Cyber Mondayプロモ開始をお見逃しなく！

Quick Huntの概要を確認して、このモジュールによるワンクリック脅威ハンティング能力について詳しく知りましょう。組織のサイバー防御能力を加速させる方法をお探しですか？SOC PrimeのDetection as Codeプラットフォームに参加して、協調的なサイバー防御、脅威ハンティング、発見を可能にし、セキュリティチームがこれまで以上に簡単で、速く、効率的に攻撃から防御できるようにしましょう。

プラットフォームに行く Threat Bountyに参加