一目でわかる結果
課題
数万の顧客とHashiCorp自体のクラウドインフラを包括的にサポートすることで、膨大な量の様々なイベントが生成されます。
このテレメトリーを精査して、関連する一連のイベントに関する単一のセキュリティ調査と検索を行うことは、セキュリティチームにとって時間がかかるプロセスであり、非常に遅い検索結果に悩まされていました。
「膨大なデータのために、すべてが遅くなっていました。「すべてのイベントを収集しアラートのコンテキストを得て、何が起こっているのかを把握するまでに、リアルタイムで調査を行い何が関連しているのかを理解したり、重要なものを見つけたりすることは不可能でした」と、HashiCorpのシニアセキュリティエンジニアであるライアン・ブリードは述べ、さらに「大規模な検索を実行するのに時間がかかりすぎてアナリストの集中力が途切れ、調査プロセスが遅くなっていました」と語りました。
ソリューション
眠らない技術革新で知られるHashiCorpは、それに対応できるセキュリティを必要としています。そのために、彼らはSumo Logicを選びました。
HashiCorpのセキュリティ可視性を解放するには、同社の複雑な運用環境全体でのリアルタイム監視が必要でした。この環境は、3つのインフラストラクチャ・アズ・ア・サービス(IaaS)クラウド環境と、各クラウドベンダーの製品群とのAPI統合を含んでいます。
Sumo Logicは、クラウドネイティブなソリューションとして、HashiCorpとその顧客のマルチクラウド環境全体で、セキュリティとセキュリティ情報およびイベント管理のための一元化されたスケーラブルなログ(Cloud SIEM)を提供します。
ブリード氏によると「Sumo Logic は、新製品の発売、顧客の追加、新しいツールの採用に伴い、セキュリティの可視性を拡張し、ビジネスのペースに合わせるのに役立っています。私たちが成長するにつれて、可視性を追加し、既存のものを強化するための限界コストは最小限に抑えられ、かなり根本的な変化を受け入れ、ビジネスをより迅速にスケールさせることができます。」
「Sumo Logicは、アラートが重要であるかどうかを積極的に理解する手助けをしてくれます。場合によっては、そのアラートを自動的に処理してくれます。」
—ライアン・ブリード、シニアセキュリティエンジニア
結果
低レイテンシー、リアルタイムインサイトに基づくセキュリティ調査
Sumo Logic Cloud SIEM を導入して会社のインフラストラクチャのあらゆる側面からテレメトリを統合して取り込んだ後、HashiCorp はセキュリティ調査を管理する上で最初のゲームチェンジャーを体験しました。それは、低レイテンシーの検索を行う能力です。
Sumo Logicのクラウドスケールにより、HashiCorpのセキュリティ専門家はリアルタイムで検索と調査が可能です。さらに、クラウドSIEMの合理化されたワークフローにより、セキュリティオペレーションセンター(SOC)チームは、アラートが自動的に検索を開始するシステムを導入できました。
「Sumo Logic は、アラートが重要かどうかを積極的に理解し、場合によってはアラートを自動的に処理するのに役立ちます」とブリード氏は述べ、「Sumo Logic を使用した低レイテンシー検索システムがあれば、このようなリアルタイムのワークフロー自動化が可能になります」と付け加えました。
警告と検出戦略(ADS)を適用してセキュリティ調査を最適化します。
クラウドSIEMは、HashiCorpの構造化データおよび非構造化データを取り込むと、解析、マッピング、正規化されたレコードを作成し、アラートを自動的にトリアージして、セキュリティ専門家に実用的なインサイトを提供します。毎日何万件ものアラートを絞り込むCloud SIEMのパフォーマンスをさらに最適化するために、SOCチームはPalantirのADSフレームワークを適用しています。
このフレームワークは、セキュリティチームが理論を構築し、調査中にクラウドSIEMを最大限に活用する方法について深く考えるのに役立ちます。例えば、チームは脅威ハンティングの検索をマッピングし、脅威アクターがインフラやワークフローに残す可能性のある痕跡を明らかにし、それらの痕跡を見つけた場合にアナリストが取るべき次のステップをサポートしています。
「ADSを活用すると、Cloud SIEM使用の際のパフォーマンス面に集中できます。探し始める前に何を探しているのかを把握することで、フィールドの抽出や最も一般的な検索パターンを素早く返すといったことを最適化することができます。「これにより、アナリストは調査に複数の抽象層があるときでも集中を保つことができ、Cloud SIEMがすべてのサポート情報を事前に提供してくれます」とブリードは述べました。
インタラクティブなダッシュボードで意思決定までの時間を短縮
Sumo Logicのセキュリティ分析とダッシュボードは、セキュリティチームにHashiCorpの広範なクラウド環境全体にわたる単一のインターフェースでの可視性を提供します。SOC はまた、チームのプレイブックと日常的な調査を実施するプロセスを推進するためさまざまなカスタムダッシュボードを実装しました。
アナリストが不審なログイン活動を調査している際、たとえば、ユーザーIDや時間範囲などの重要なパラメータをダッシュボードに入力することができ、その結果アナリストが具体的なデータをさらに掘り下げるために「クリック」できるインタラクティブなヘッドアップディスプレイが表示されます。
「インタラクティブなダッシュボードは、セキュリティ・アナリストが決断までの時間の最短化に役立つコンテキストとカラーを提供してくれます。パラメータを差し込めば、非常に素早く情報を得ることができるので、意思決定や行動を起こすために今やっていることを中断する必要はありません」とブリード氏。
