一目でわかる結果
課題
SIEMソリューションを導入する際、Rokuはアラート疲労を回避し、真の問題に迅速に対処できる俊敏性を維持する必要がありました。
強固なセキュリティ態勢の維持は、Rokuにとって不可欠な要素です。「当社のセキュリティチームは、インフラを保護しお客様に信頼性の高いサービスを提供するため、昼夜を問わず活動しています。お客様、信頼を獲得することが当社にとり重要事なのです」と、Rokuのシニアセキュリティエンジニア、Huseyin Karaarslan氏は語りました。
この戦略の重要な一環として、Rokuはサイバー状況認識と自社の環境に関する継続的な把握を得るため、SIEMソリューションの導入を望んでいました。
ソリューション
サイバー状況認識において、Rokuは自社の領域で何が起きているかを理解し、対応担当者が迅速かつ正確な判断を下せるよう、迅速かつ正確な洞察を求めていました。これには、Rokuのインフラストラクチャの継続的な状況を把握するために、データ収集と分析への投資が必要であり、そのためにRokuはSumo Logic Cloud SIEMを選択しました。
「Cloud SIEMの標準装備ルールは非常に強力です。当社組織とインフラに合わせて調整することで、ツールへの習熟度を高め、投資価値を実証し、プラットフォームを最適化できました。これにより、真に注意を要するアラームに集中できるようになりました」
—Huseyin Karaarslan氏、シニアセキュリティエンジニア
結果
ルール調整による状況認識の最適化
クラウドにネイティブに構築されたCloud SIEMは、既成のアプリケーション(すぐに使えるダッシュボード、クエリ、ルールを含む)により、深いセキュリティインサイトを素早くそして容易に獲得できます。MITRE ATT&CKフレームワークに関連する戦術と手法にそれぞれ対応する700以上のルールにより、Rokuのセキュリティチームはセキュリティインサイトを得るための強力な出発点を手に入れました。
最初のステップとして、チームはCloud SIEMルールの調整に着手しました。「Cloud SIEMのルールは強力であり、私たちはそれらを自社組織とインフラに特に合わせて調整したかったのです。ルール調整は、ツールに慣れること、投資の価値を証明すること、そしてプラットフォームを最適化して、注意を要する真のアラームに集中できるようにするために重要でした」とKaraarslan氏は述べました。
セキュリティチームの調整プロセスは非常に効率的で、Sumo Logicプラットフォームを使用してクエリを記述し、最も多くのアラートを生成するルールを特定することから始まりました。そこから、Karaarslan氏はクエリ結果をより適切に評価するため、ルール用のダッシュボードを作成しました。「1000件以上のアラートを扱っていたため、ルール分析ダッシュボードによって環境内で何が起きているのかを詳細に把握し、調整作業のためのパターンを発見することができました」とKaraarslan氏は述べました。
この調整フェーズを通じて、セキュリティチームはルールが機能しているか、さらなる調整が必要か、あるいは組織に適用されなくなったため無効化すべきかを迅速に判断しました。その結果、RokuはCloud SIEMにより最適化されたサイバー状況認識を実現し、セキュリティチームが重大なアラートを迅速に特定し対応することを可能にしています。
