一目でわかる結果
課題
Knauf の SOC チームは非効率な SIEM ソリューションを使用していたため、会社の成長ペースに合わせて拡張ができていませんでした。
1932年創業の老舗企業であるKnauf社のITインフラは年々拡大し、分散化されたSCADAシステム、生産ツール、多くの地域拠点を持つ大規模なレガシーオンプレミス環境となっていました。Knauf は、拡張環境でのリアルタイムセキュリティ監視のために、SIEM ソリューションとして McAfee Enterprise Security Manager (ESM) をオンプレミスで運用していました。しかし、マカフィーのソリューションは信頼性がありませんでした。
Knauf社のSOCマネージャーであるダヴィド・クロフマル氏は、「McAfee ESMは非常に非効率的でした。アナリストはコーヒーを飲みに行くだけでなく、クエリが実行されるまでの間にランチにも行けます。ただ、1時間後にクエリがエラーになり、もう一度やり直してさらに1時間待たなければならないこともありました」。
ソリューション
McAfee ESM は同社のニーズを満たしていませんでしたが、それと並行して、Knauf は急成長を遂げており、IT 環境の大幅な改革を考えていました。目標は、レガシーなオンプレミスシステムからクラウドネイティブアーキテクチャに移行し、KnaufのITセキュリティと運用をより効率的、効果的、円滑に実行することでした。
新しい SIEM ソリューションのクラウドネイティブ戦略を追求する Knauf は、10 社のベンダーのソリューションを徹底的に評価し、Sumo Logic Cloud SIEM をセキュリティプラットフォームとして採用しました。
「同社は深刻なサイバー攻撃に遭遇しましたが、Sumo Logicのダッシュボードが感染した箇所と適切な対応措置に集中するのを助けてくれました。」
—ダヴィド・クロフマル、SOCマネージャー
結果
導入と使用が容易な最新のクラウドSIEM
SOC チームがクラウド SIEM を導入して最初に得た大きな成果は、組織の環境全体のすべてを一元的に確認できる能力と、すぐに使える 600以上のルールなどの使いやすい機能でした。そのため、セキュリティチームは2時間以内と迅速に立ち上げを開始できました。
「Sumo Logicは非常にユーザーフレンドリーです。親切なサポートチーム、すぐに使えるルール、”クリック&ゴー “の統合機能により、難しい作業をせずに済みました。私たちは2、3時間でルールを使い始め、その後2、3日かけてチューニングしました。そうしたら、もう大丈夫でした」とクロクマル氏。
脅威の調査を管理するための貴重なインサイト
クラウドSIEMは、SOCチームが脅威調査に対応する際に大幅な改善をもたらします。このソリューションのクラウドネイティブ・アーキテクチャにより、チームはログの取り込みに必要なディスク容量や、検索結果を得るまでの待ち時間を心配する必要がなくなりました。クラウドSIEMの高度な分析機能により、Knaufは何百万もの脅威シグナルをSOCチームが集中的に取り組むべきインサイトに絞り込めます。
サイバー攻撃は、意味のあるインサイトを提供するクラウドSIEMの能力を直ちに試しました。「同社は深刻なサイバー攻撃に遭遇しましたが、Sumo Logicのダッシュボードが感染した箇所と適切な対応措置に集中するのを助けてくれました」とクロフマル氏は述べ、さらに「Cloud SIEMで私が一番気に入っているのは画面に表示されるもので、調査の方向性を示してくれる派手なレーダーと赤いスポットです」と付け加えました。
新しいユースケースをサポートする柔軟性
現在Knaufは強力なSIEMの基盤を手に入れたため、SOCはSumo Logicプラットフォームで新たなユースケースを追求する準備が整いました。次に、より一般的で容易な対応ワークフローのインシデント対応アクションを自動化する計画で、チームの修復作業を迅速化し、企業のセキュリティ体制を強化する計画です。
さらに、チームはクラウドSIEMを活用して、積極的な脅威ハンティングと脅威インテリジェンスを導入し、あらゆるセキュリティプラクティスを収束させてサイバー融合を導入します。不正検知と脆弱性管理を含むサイバー・フュージョン機能を追加することで、チーム機能の橋渡しとチーム間のコラボレーションを促進することにより、潜在的な脅威に対処する統一されたアプローチが可能になります。
