Sumo Logicによる業務効率化の推進

Sumo Logicはログをスキーマに解析し、コアプラットフォームで生ログからフィールド抽出を行います。これによりクエリが効率化されます。SIEMログマッピングは、プラットフォーム間でフィールドを整合し、統一された検索を実現します。これにより、アナリストは構造化データと非構造化データからシームレスにイベントを相関させ、インサイトを抽出できるようになります。

Google Security Operations（旧称 Google Chronicle）では、独自の統合データモデル（UDM）スキーマを採用しており、ログは事前に固定形式に解析される必要があります。Google Cloud Storage（GCS）に保存された生ログにはフィールド抽出ルールがないため、セキュリティ運用センター（SOC）アナリストは検索に複雑な正規表現を使用せざるを得ません。この設定では、統計演算や、生データと解析済みデータ間の相関関係に対するサポートが欠けています。

Sumo Logicのインサイト・エンジンは、MITRE ATT&CKフレームワークとの連携により、アラート疲労の軽減に取り組んでいます。適応的なシグナルのクラスタリング・アルゴリズムを使用して、関連するシグナルを自動的にグループ化し、アラートの優先順位付けを効率化します。集約されたリスクが事前に定義されたしきい値を超えると、実行可能なインサイトが生成され、最も深刻な脅威に注意が向けられます。

Google SecOpsには洗練されたリスクベースのアラートがありません。高度な相関関係とカスタマイズ可能なリスクのスコア付けがないと、SecOpsはアラートに効果的な優先順位を付けることができません。その結果、リスクの高い脅威に迅速に対処できず、セキュリティ侵害の可能性が高まります。 

Sumo Logic Cloud SIEMには、より広範なセキュリティカバレッジを提供するアプリがあらかじめ組み込まれています。これらのアプリケーションには、MITRE ATT&CKフレームワークおよびコンプライアンス基準に既に対応済みの検知ルールが標準で組み込まれています。これにより、既知の脅威や設定ミスを即座にカバーし、検知の盲点を低減します。

Google SecOpsには組み込みのセキュリティコンテンツが不足しています。ダッシュボード、検知ルール、ワンクリックでインストール可能なアプリなどが存在しないため、導入期間の長期化、プロフェッショナルサービスのコスト増加、価値実現までの時間の遅延が生じます。

Sumo LogicのSIEM、ログ、自動化機能に共通する統一されたUIは、複数の信頼できる情報源（カスタムフィードを含む）から集約されたリアルタイムの脅威インテリジェンスを基盤とした、効率化されたワークフローと充実した実用的なアラートにより、アラート疲労を軽減します。

Google SecOpsはSOCの基本的な運用機能を提供していますが、脅威の検知、調査、対応の各フェーズにおけるワークフローの調和を効果的に管理するには不十分です。タイムリーな対応に不可欠な、リアルタイムで送信され、迅速なアクションを可能にするアラートにアクセスできないSOCチームは、大量のクエリ応答の処理に苦慮することになります。