セキュリティ運用と大規模会議には、ノイズが多すぎる、ツールが多すぎる、そして明確さが不十分であるなど、想像以上に多くの共通点があります。どちらにおいても、次から次へと出てくる頭字語や大胆な主張を整理していくうちに情報に圧倒され、答えよりも疑問の方が多くなってしまうことが一般的です。
RSAカンファレンスも例外ではありません。ブースには、 AIに関する約束や流行語が溢れていますが、それらの仕組みについての可視性はきわめて低くなっています。スタッフはチームメイトを「打ち負かす」ためにバッジをスキャンしようと躍起になりますが、多くの場合、自社の強引な主張を顧客中心の実際の証拠で裏付けることはできません。
ブース#6261では、Sumo Logicが一味違う取り組みを行っています。当社のセキュリティ専門家は、お客様をどのように支援できるかについての提案を行うだけでなく、解決が求められる問題をより深く理解することに取り組んでいます。
今年は、インテリジェントなセキュリティ運用の構築および操作を支援するための機能強化に重点を置いています。セキュリティログの大規模な集中管理により、 TDIRがどのようにリアルタイムの分析や自動化、そしてクラウド間の可視化を実現しているかをのぞいてみましょう。これらの機能は、セキュリティワークフローのあらゆる層にインテリジェンスを挿入し、摩擦を減らしながら、検出、調査、および対応にわたって高度なインサイトを提供することにより、日常業務を改善することを目的としたものです。
最新機能:
- より柔軟かつ正確な脅威検出を実現する複数の統合脅威フィード
- UEBAルールのベースライン作成のために数分で分析される履歴データ
- 関連データを迅速に表示する合理化されたリストビュー
- Automation Serviceでワークフロー内のアクションを実行するためのプレイブック
- GitHubのCI/CDプラクティスを通じたセキュリティとDevOpsワークフローの連携
- AI稼働型インサイトサマリーのプレビュー
RSACでの時間を価値あるものにしましょう。Sumo Logicのビジョンは明確です。それは、企業チームがノイズに埋もれることがないよう、脅威に対し先手を打てるように支援することです。当社では、セキュリティ上の最大の課題が存在し続けていることを把握しています。AIを活用した攻撃や、まとまりのないツールやアラートの増加、迅速な対応を必要とする限られたリソースなどにより、課題はさらに複雑化しています。
新たな脅威を早期に把握
脅威インテリジェンス
Sumo Logicは、プレミアムベンダーやSTIX/TAXII経由の顧客定義フィードなど、複数の脅威フィードをサポートしています。各フィードにより最大90%の固有データが提供されるため、インテリジェンスを階層化することで検出と調査が強化されます。
すべてのフィードは統合脅威スキーマに正規化され、分析パイプラインに直接統合されるため、強化されたアラートと迅速なトリアージが実現します。独自の脅威インテリジェンスフィードを導入することで、業界や組織に特化した必要なカバレッジを取得しましょう。 固有のコンテキストのために複数のフィードを持つことが重要となる理由については、こちらにてご覧ください。
新しいフィードCloud SIEMを追加する準備はできましたか? その方法は次のとおりです。
数分で設定可能な行動ベースライン
履歴ベースラインを使用したUEBA
従来の行動分析は静的なしきい値に頼るため、トレーニングは数日にも及びます。 Sumo Logic UEBA は、そのモデルを反転し、履歴データを活用することにより、数分でユーザーとエンティティの行動ベースラインを設定し、誤検出の低減とよりスマートなアラートを実現します。
このアプローチは、手動調整の必要性を最小限に抑えつつ、脅威(特に内部者脅威や資格情報の侵害など)を早期に検出する上で役に立つものです。結果として、動的な行動インテリジェンスを活用した、より迅速で確実な調査が実現します。
調査を高速化
よりスマートなアナリスト体験
Sumo Logicは、ノイズを低減し、応答を高速化するアップデートにより、アナリストの効率性水準を引き上げています。強化されたリストビューでは、重要なデータがより速く表示されるほか、カスタマイズ性と情報密度が向上しているため、より適切なコンテキストで迅速なトリアージを行うことができます。
Automation Service は、Cloud SIEMと広範なプラットフォーム全体にローコードのプレイブックを導入することで、アラートの強化や通知、封じ込め、ユーザー選択、そしてカスタムアクションをサポートします。このサービスでは、強化タスクの自動化(インジケーターにおける脅威情報の取得など)や、ステータスの更新、そして複数のプラットフォームにおける対象限定アラートの送信が可能です。また、専用のSlackチャンネルをその場で立ち上げることもできます。
インサイトが作成されたり閉じられたりすると、アクションが自動的にトリガーされ、ツールの切り替えにかかる時間が短縮されるため、脅威の解決により多くの時間を費やすことができます。これらのアップデートは、企業チームがワークフローを合理化したり、MTTRを削減したり、すべてのステップで自信を持って行動したりするための支援を行います。
GitHubで検出ルールを管理
コードとしての検出
コードとしての検出は、最新のソフトウェア開発プラクティスをセキュリティの領域に導入します。企業チームは、完全なバージョン管理やピアレビュー、およびCI/CDパイプラインを備えた GitHub にて、検出ルールを管理できるようになりました。これらはすべて、ライブのSumo Logicインスタンスに直接同期されます。
構造化されたコード駆動型のアプローチにより、ルール逸脱の防止や一貫性の強化、セキュリティとDevOps間での共同作業が可能となります。自動化され、監査が可能なこのアプローチは、現代の企業チームの働き方に沿った最高のセキュリティエンジニアリングといえるでしょう。
RSACに参加されていて、詳細についてお知りになりたいという方は、ポール・トビアの 検出エンジニアリングセッションにぜひお立ち寄りください。
数秒で複雑さを明瞭さに
AI駆動型インサイトサマリー(プレビュー)
AI駆動型のインサイトサマリーは、調査における煩雑な作業を軽減します。生成AIを搭載したこの機能は、大量のログと検出データを明確で実用的な情報へと抽出し、根本原因や攻撃パス、次のステップを数秒で明らかにします。
これにより、認知的負荷が大幅に軽減されるため、アナリストは脅威に優先順位を付けることができ、高プレッシャーのシナリオでもより迅速に行動できるようになります。速度と明瞭さが重要となる場合において、AIによる要約はその両方を提供することで、データ過多を迅速かつ集中的な意思決定へと変えます。
これらの機能やその他の機能が組み合わさることで、テレメトリやコンテキスト、自動化、そしてAIを統合したインテリジェントなセキュリティ運用の基盤が形成されるため、企業チームはより正確に行動し、効率的な運用を行うことができるようになります。Intelligent SecOpsは単なる戦略ではありません。それは、現代のセキュリティチームが点と点を結び、重要なアセットをより迅速に保護して、ビジネスの継続性とイノベーションを促進する姿勢そのものなのです。
ブース#6261でインテリジェントセキュリティ運用の実例を確認
RSACに参加されていて、カンファレンス疲労からの回復をご希望の方は、RSACの北ホールにあるSumo Logicブース#6261にお立ち寄りの上、Intelligent SecOpsのデモを直にお試しください。 RSACの情報ページ より講演セッションの詳細をご確認ください。また、Intelligent SecOpsを使用して検出・対応戦略の変革を行う方法について相談することをご希望の場合は、 こちらより会議をご予約ください 。
今年はRSACに参加されませんか?その場合でも、 デモを予約 して、ショーフロアの展示物をご覧いただくことが可能です。
