一目でわかる結果
課題
少人数のセキュリティチームで、リアルタイムの可視性を向上させるためにセキュリティ体制強化の必要がありました。
オーストラリア、ニュージーランド、カナダ、シンガポールの顧客にサービスを提供する金融サービス企業として、Latitude Financialは、さまざまな地域のコンプライアンス要件を遵守する必要があります。このため、同社はITセキュリティへの投資とプロセスを再検討する必要がありました。
当時、セキュリティチームは 3 人のアナリストで構成され、全体的なセキュリティ運用はサードパーティのマネージドセキュリティサービスプロバイダ(MSSP)に大きく依存していました。内部的には、Latitude Financialはログ管理にSumo Logicを採用していましたが、セキュリティ面では、セキュリティ情報とイベント管理(SIEM)ソリューションを導入しておらず、環境のセキュリティ状態をエンドツーエンドでリアルタイムに可視化することはできていませんでした。
ソリューション
社内にセキュリティオペレーションセンター(SOC)を構築するというミッションのもと、Latitude Financial は複数の SIEM ソリューションを評価し、Sumo Logic Cloud SIEM を有力な選択肢として選びました。セキュリティチームがSumo Logic の採用を決定するにあたり、次のようないくつかの要因がありました。
- 卓越したベンダーの関与とサポートレベル
- わずか数日での迅速な展開
- 他のツールに移動することなく、エンティティ情報を簡単に調査して掘り下げられるユーザーフレンドリーなインターフェイス
- バックアップ管理の必要性を軽減するクラウドネイティブなアーキテクチャとストレージ
「我々は今、従来のSIEMツールをはるかに超える、堅牢で信頼性の高いソリューションを手に入れられました。Sumo Logicの強力なダッシュボードと組み合わせることで、さまざまなツール間を行き来する必要がなくなり、このソリューションのおかげでSOCの検出と対応能力が成熟しました」。
ーポール・マディックス、シニア・セキュリティ・オペレーション・アナリスト
結果
可視化と実用的なインサイトによるセキュリティの強化
セキュリティチームにとって最初のステップは、Sumo Logic Cloud SIEMを導入して会社のインフラ全体を可視化することでした。Latitude Financialでは、3,000人の従業員が地理的に異なる場所で勤務しており、さまざまなワークステーション、サーバー、その他のツールがオンプレミスとAWSクラウド環境の両方で稼働しています。統合の設定は、Sumo Logic が環境からテレメトリデータを取り込むための簡単なプロセスで完了し、今では Sumo Logic がチームの SOC ダッシュボードに入力するために分析する 46 のセキュリティソースがあります。
セキュリティ分析のためにデータを Sumo Logic に一元化することで、Latitude Financial はインフラとセキュリティスタック全体にわたるリアルタイムのセキュリティに関するインサイトを効果的に得られました。Sumo Logicの1日のインジェスト量は100GBで、6,100万レコードと10万以上のシグナルが生成されます。これにより、セキュリティチームは毎日8~10の実用的なインサイトを得ることができます。
Cloud SIEM の強力な相関と分析により、チームは注意を要する日々のインサイトに効率的に集中できます。すぐに使えるソリューションとカスタムダッシュボードを武器に、セキュリティチームは 184 のセキュリティダッシュボードを活用して、調査プロセスを簡単に管理しています。ダッシュボードはインタラクティブで、「ワンクリック」アクションによりセキュリティエキスパートが調査の詳細をさらに深掘りでき、統合ツールからエンティティの詳細も取得できます。この効率性と使いやすさにより、チームは調査ワークフローを迅速に完了できます。
「従来のSIEMツールをはるかに超える、堅牢で信頼性の高いソリューションを手に入れることができました。Sumo Logicの強力なダッシュボードと組み合わせることで、さまざまなツール間を行き来する必要がなくなりました。このソリューションのおかげで、SOCの検知・対応能力が大幅に向上しました」と、Latitude Financialのシニアセキュリティオペレーションアナリストであるポール・マディックス氏は述べています。
Sumo Logicの認定を通じてチームをアップスキル
Latitude Financial の SOC チームには現在 10 人のベテランセキュリティアナリストが在籍しており、チームのセキュリティスキルの向上と深化を図る取り組みに注力できるようになっています。チームの発展の一部は、Sumo Logicのトレーニングと認定プログラムをフル活用することで可能になりました。インタラクティブなトレーニングと仮想認定ジャムが非常に高い価値を提供したため、Latitude Financialはセキュリティアナリストに対してこのトレーニングの完了と必要な認定の取得を必須としています。
「Sumo Logicのトレーニング資格のおかげで、アナリストのスキルが向上し、製品に関する知識が増え、自信がつきました。その結果、私たちのチームはより効率的になり、迅速な対応、トリアージ、インサイトの調査ができるようになりました」とマディックス氏は述べています。
IOC を調査、検証、修復するための俊敏な脅威ハンティング
Sumo Logic Cloud SIEMを活用し、Latitude FinancialはSOCのプレイブックとプロセスを継続的に成熟させています。セキュリティチームはまた、厳格な脅威ハンティングの実践を適用しており、これにより侵害の指標(IOCs)を明らかにするだけでなく、Cloud SIEMの検出能力を調整・強化する機会も特定しています。このプラットフォームの包括的なデータとシンプルなクエリ言語を組み合わせることで、脅威ハンティングの専門家が不審な活動を検索して発見することが簡単かつ強力になります。
例えば、マディックス氏は、「Sumo Logic は、未承認のリモート・アクセス・ツールに関するインサイトを生成し、チームの脅威ハンティング活動を開始しました。彼らはすぐにラップトップ上のTeamViewerのインスタンスを発見し、ラップトップの名前、ユーザー名、IPアドレス、ラップトップのビーコン発信先を特定するためにSumo Logicのログデータを掘り下げました。」脅威ハンターは、IOCの可能性に関するインサイトが実際に脅威であることを検証し、直ちにその脅威の修正に成功しました。