一目でわかる結果
課題
Kobalt.ioはSIEMを近代化し、セキュリティツールを統合する必要がありました。
Kobalt.ioは2つのSIEMを抱え、一般的なSOCの課題であるツールの乱立、アラートの疲労、スケーラビリティの低さ、メンテナンスコストの高さに悩まされていました。Splunk と Sentinel との契約更新が間近に迫り、運用を改善する方法を再評価すべき時期に来ていました。
Kobalt.ioのSOCマネージャーであるクリス・スピンドラー氏は、「私たちは前世代の2つのSIEMの管理と運用を担っており、提供しているサービスに対して費用が不当に高くなっていました」と述べました。
スピンドラ―氏の 14 名のチームは、アラート量と 2 つの SIEM の維持管理に圧倒されていたため、アナリストを 2 名増員することを検討していました。「我々のシステムはリソースを使い果たし、うまく拡張できていませんでした。」とスピンドラー氏は付け加えました。
ソリューション
Kobalt.ioは、より高いアラート精度、クラウドネイティブ機能、透明性の高い価格設定を求めて、IBM® QRadar®、LogRhythm、AlienVault、Sumo Logicなど、半ダースのSIEMソリューションを評価しました。
2週間のトライアルの後、Kobalt.ioは以下の理由で明確にSumo Logicを選びました:
使いやすさ
Sumo Logicの直感的な設計により、Sumo Logicプラットフォームの試用版を数時間いじっただけで、Kobalt.ioはソースをオンボードしてアラートを処理できるようになりました。
国際的なデータ居住性
Sumo Logicはまた、Kobalt.ioがデータ居住要件の対象となる国際的なクライアントにサービスを提供し、それぞれの地域でデータをホスティングします。
豊富な統合機能
Sumo Logicは、Azure、Google Cloud Platform、AWS、Kubernetes、Dockerなど、数百ものデータソースと統合し、最適なワークフローと顧客導入の容易さを実現します。
マルチテナントSIEMインスタンス
Sumo LogicのマルチテナントSIEMソフトウェアにより、Kobalt.ioのお客様はアカウントを設定およびカスタマイズできます。顧客データは組織ごとにタグ付けされ、分離された安全な状態に保たれます。これはデータのライフサイクルを通じて持続し、すべてのシステムレイヤーで実施されます。
実用的なインサイト
Sumo LogicのクラウドSIEMは、イベント管理と自動化されたエンリッチメント、およびインタラクティブなヘッドアップディスプレイから利用可能なコンテキスト認識とを組み合わせて誤検知を減らし、侵害の実際の指標からノイズをフィルタリングします。
透明な価格設定
Sumo Logicの価格モデルは、Kobalt.ioが分析するデータソースを選択する必要がないことを意味します。これにより、SOCチームは迅速かつ効果的なセキュリティ調査を実行し、適切な対応を開始するために必要な情報を必要なときに得ることができます。
「Sumo Logicと提携するのは当然の選択でした。」「シグナル、インサイト、行動アルゴリズムのシステムを持つことで、私たちの小規模チームが正しいことに集中できることを保証します。」
—クリス・スピンドラー、SOCマネージャー
結果
月間6,000件のアラートが600件へ
Sumo LogicのクラウドSIEMソリューションは、既知の脅威にはルールに基づくクラウド規模の相関を、新たに出現する脅威にはサブクエリベースの相関を提供します。Sumo Logicの強化されたアラート精度により、Kobalt.ioチームは、取るに足らないユーザーアクティビティのアラートに振り回されることなく、実際の潜在的なセキュリティ脅威に集中できます。
スピンドラー氏は説明します。「Sumo Logicでは、主要なSIEMコンソールに統合された調査ツールから始められます。これにより、WHOISやVirusTotalなどに行くために15個の異なるブラウザタブを開く代わりに、インターフェースからワンクリックでそれらを実行できます。」
Kobalt.ioは月間6,000件のアラートを600件に減らし、アラートによる疲労を軽減し、アナリストが重要なことに集中できるようにしました。
「我々のアナリストは最も貴重なリソースです。単純なアラームはストーリーを語らないし、調査の焦点も与えてくれません。Sumo Logicは、アナリストの時間を最も重要なことに費やせるようにします」とスピンドラー氏は説明します。
Kobalt.ioはまた、より良いアラート機能によって、より少ないリソースでより多くのことが可能になりました。Sumo Logicの導入前ならば、Kobalt.ioは膨大な量のアラートを処理するために、さらに2人のセキュリティアナリストを雇わなければならなかったでしょう。Sumo Logicの導入以来、スピンドラー氏はチームを12人程度に抑えることができています。彼は付け加えました。「Sumo Logicとの提携は当然の選択でした。「シグナル、インサイト、行動アルゴリズムのシステムを持つことで、我々の小規模チームの正しいことへの集中を保証します。」
何日もかかる顧客オンボーディングを15分に
Kobalt.ioの主な懸念は、顧客を新しいソリューションに移行させることでした。Sumo Logic により、監視している環境に直接アクセスすることなく、20 日間で 25 社の顧客を移行させることができました。Sumo Logic への移行は、スピンドラー氏が中級アナリストに顧客支援を任せるのに十分なほど簡単で、作業負荷が分散されました。移行後、Kobalt.ioはわずか15分で新規顧客を立ち上げることができます。
スピンドラー氏は説明します。「Sumo Logicは市場で主流の製品と互換性があり、お客様が使用しているものに対して良好なサポートがあります。一人の担当者がオンボーディングに専念するのではなく、チーム全体にタスクを分散させることができたので、顧客の移行は簡単でした」。
Kobalt.ioは、何百ものサードパーティの技術を簡単に導入し、サポートすることで、これまで以上に急速に成長できました。「Sumo Logicを導入して以来、顧客数は倍増しました。」とスピンドラー氏は言います。
6ヶ月以内に黒字化
Kobalt.ioのオリジナルのSIEMソリューションには、ツールやライセンスのコストを上回る隠れたコストがありました。スピンドラー氏は説明します。「例えばSplunkは、重いフォワーダー、サーバー、または仮想サーバーインスタンスに依存しており、それらには月額費用がかかります。Microsoft Sentinelでは、ロジックアプリ、関数、データ量料金を支払い・管理する必要があり、それらすべてを管理するためのインフラも必要です。」それに対して、Sumo Logicにはそのような追加料金は一切かかりません。
Sumo Logicの柔軟な価格設定モデルは、Kobalt.ioにとっても大幅なコスト削減を意味します。「Sumo Logicの利点は、小さなデータ量や単一のソースを監視してほしいという顧客が来ても、それに対応できることです。「いいえ、申し訳ありませんが、1日あたり半テラバイト必要です。それ以下だと、手頃なデータ取り込み料金を提供できません」と言う必要がありません。
スピンドラー氏によると、Sumo Logicの価格モデルは、Kobalt.ioがエントリーレベルのセキュリティ専門家を雇うコストよりも低コストで完全な監視サービスを提供できます。
4ヶ月以内に、Sumo Logic Cloud SIEMは投資回収を達成しました。Kobalt.ioがSplunkとMicrosoft Sentinelとの契約終了後、Sumo Logicの展開から6ヶ月以内に組織は収益性を達成しました。
