なぜSOC Primeは継続的コンテンツ管理を作成したのか

連続コンテンツ管理（CCM）モジュールの 公開前 に、弊社の Threat Detection Marketplaceのユーザーは、コンテンツアイテムをダウンロードし、SIEMに手動でインポートしなければなりませんでした。私たちはAnton Chuvakinの “Detection as Code” アプローチの大ファンであり、SOCコンテンツのデプロイメントにおける自動化の強化を追求してきました。これにより、脅威検出の運用を効率化し、強化されたセキュリティ機能を実現する方法を再考する必要がありました。今では、CCMの発売により、顧客はコンテンツアイテムをSIEMに自動的にデプロイし、必要に応じてリアルタイムで変更を加え、使用中のプラットフォームに再デプロイすることができます。

CCMはMicrosoft Azure SentinelおよびElastic Cloudで利用可能であり、Sumo Logicその他のクラウドネイティブなSIEMサポートも近日公開予定です。使用するSIEMソリューションに応じて、次の種類のコンテンツアイテムをデプロイできます：

• Azure Sentinel用

1. • クエリ
   • ルール
   • 関数/パーサ

• Elastic Cloud用

1. • ルールアラート
   • ウォッチャー
   • 保存された検索

連続コンテンツ管理の設定方法

CCMを設定する前に、Microsoft Azure SentinelまたはElastic Cloudの統合を Automation ページまたはユーザー設定から構成する必要があります：

1. Automation > 統合
2. ユーザー設定 > プラットフォーム統合設定

コンテンツタイプとSIEMに応じて、特定のシステム要件を満たす必要があります。

Microsoft Azure Sentinel

Azure Sentinelプラットフォームでは、適切なワークスペースでリソースを読み込みデプロイするための権限を持つAzure SentinelサブスクリプションへのAPIアクセスが必要です：

• クライアントID
• クライアントシークレット
• テナントID
• サブスクリプションID
• リソースグループ
• ワークスペース

これらの認証情報を取得するには：

• 左下の 認証情報の取得方法 リンクをクリックします。 プラットフォーム統合設定 ページ

• 該当のポップアップウィンドウに記載されているガイドラインに従ってください。

Elastic Cloud

Elastic Cloudプラットフォームでは、以下にアクセスする必要があります：

• Kibanaでの検索とルールアラートのデプロイ
  • Kibanaホストとポート
  • ログイン
  • パスワード
  • スペース名
  • インデックスパターン

インデックスパターンIDを取得するには、 インデックスパターンIDの取得方法 リンクをクリックします。 プラットフォーム統合設定 ページをクリックし、表示されるガイドラインに従ってください。

• ウォッチャーをデプロイするためのElasticsearch API
  • Elasticsearchホストとポート
  • ログインとパスワード、またはAPIキー

設定が完了すると、CCMは Automation ページまたはユーザー設定から構成する必要があります：

1. Automation > コンテンツ管理と自動化 セクションから利用可能になります
2. ユーザー設定 > 連続コンテンツ管理

The コンテンツ管理 セクションには以下の機能が含まれます：

• リスト コンテンツの適切な編成のために
• インベントリ 包括的なコンテンツの概要のために
• 履歴 すべてのコンテンツ管理アクション（ジョブ、手動デプロイ、コンテンツ更新など）のログを効率化するために

The Automation セクションには以下が含まれます：

• ジョブ 自動ルールデプロイメントやその他のコンテンツ管理アクションのために
• テンプレート カスタムテンプレートに基づいてコンテンツアイテムを作成・管理し、ジョブにリンクするために

CCMを試してみる準備はできましたか？Universeサブスクリプションティアをお持ちの場合、このプランの一環としてCCMを無料で最大限に活用できます。代わりに、別ライセンスとしてCCMサブスクリプションを購入することもできます。 お問い合わせ先 sales@socprime.com 詳細を参照してください。

それでも、もう一つのオプションがあります。SOC Primeは常にセキュリティ専門家がコミュニティを探検し、利用可能なSOCコンテンツやプラットフォームの機能から価値を見出すための機会を提供しようとしています。CCMモジュールは今ではFree Trialの一部としても利用可能であるため、Communityサブスクリプションを持つThreat Detection Marketplaceユーザーは 完全自動化されたコンテンツ管理システムを14日間試用することができます. Free Trialの一環としてCCMモジュールを有効にするには、 プロファイル > 試用設定を選択し、その後、 試用版をリクエスト ボタンをクリックしてください 連続コンテンツ管理 試用オプションの横にあります。

CCMモジュールの無料試用アクセスは、セールスチームの代表者との通話後、またはThreat Detection Marketplace管理者の承認後に直接アクティブにすることができます。

サインアップ Threat Detection Marketplace で、キュレーションされたSOCコンテンツから価値を見出し、プラットフォームの脅威検出と対応能力をお楽しみください。