** 本記事は、Sophos MDR: Full environment detections for faster threat response の翻訳です。最新の情報は英語記事をご覧ください。**
高度なサイバー脅威を未然に防ぐには、環境全体を可視化することが何よりも大切です。侵入の試行、ネットワークへの不正侵入、その他の攻撃が疑われる行動を確認できれば、迅速かつ容易に対処して無力化できるようになります。
また、次世代エンドポイントプロテクションやファイアウォールなどの高度なテクノロジーソリューションも重要な保護レイヤーですが、サイバー攻撃者が手動で実行している高度な攻撃を阻止するには、24時間365日の監視と可視化が重要となります。
多くの企業は、セキュリティへの投資を進めており、これらのリスクを特定するために役立つ多くのテレメトリデータをすでに収集しています。
エンドポイント、ファイアウォール、アイデンティティ、メール、クラウド、ネットワークの各セキュリティソリューションはすべて貴重な知見を提供することができ、熟達したセキュリティアナリストが高度な攻撃を検知し対応するために役立ちます。
テレメトリを組み合わせることで、迅速に有用な知見を得ることができる
各ソースから提供されるテレメトリはそれぞれ有用です。環境全体から多くのテレメトリを脅威アナリストが収集できれば、さらに迅速に対応することが可能になります。テレメトリソースを組み合わせて、脅威に迅速に対応するいくつかの例を紹介します。
上図のシナリオ 1 に示すエンドポイントのシグナルとシナリオ 2 のメールのシグナルは、それぞれ攻撃を示している可能性があります。この時に、ファイアウォールやアイデンティティ (ID) のテレメトリなどのデータを活用することで、アナリストは、シナリオ 1 ではデータの流出、シナリオ 2 ではビジネスメール詐欺 (BEC) であることをより正確に特定できます。
防御側の課題:複雑なテレメトリ
セキュリティテレメトリから実用的な知見を獲得して、脅威を可視化するためには、専門的なスキルが必要です。多くのテクノロジーは、高度な訓練を受けたアナリストにとって有益なセキュリティアラートや知見を生成しますが、その情報を活用することは容易ではありません。
防御側が直面している問題:
- 膨大な量のデータ
- 一貫性のない多くの重大度の評価方法 (1~10、5~1、高/中/低など)
- 各プロバイダーから提供されるデータのタイプと量が異なる
- アラート報告する形式が多岐にわたる
これらの課題があるため、多くの組織ではデータを相関し、タイムリーに問題を特定することが困難になっています。ITチームは膨大なアラートに圧倒され、これらのアラートの関連性を特定することも、優先すべき脅威を特定することもできなくなっています。
Sophos MDR のアプローチ
Sophos MDR は、より多くの情報を収集し、迅速に対応します。ソフォスは、顧客のセキュリティ環境全体に導入されている以下のようなさまざまなソリューションのシグナルやアラートを使用して、テレメトリを収集します。
- 受賞歴のあるソフォスのエンドポイント、メール、ネットワーク、ファイアウォール、クラウドセキュリティソリューション
- Amazon Web Services (AWS)、Check Point、CrowdStrike、Darktrace、Fortinet、Google、Microsoft、Okta、Palo Alto Networks、Rapid7などの多数のサードパーティテクノロジー
- ソフォスとサードパーティテクノロジーのソリューションの任意の組み合わせ
次に、Sophos MDR のイベントフローを使用して、これらの膨大なセキュリティテレメトリを、アナリストが調査できるように、優先順位が設定された実用的な知見へと変換します。
これらのテレメトリはソフォスのデータレイクに入れられ、ソフォスが特許を取得した次の検出パイプラインの 6 つの段階を経て処理されます。
- 取り込みとフィルタリング – テレメトリの取り込みと不要なノイズのフィルタリング
- クリーンアップ – 正規化されたスキーマへのデータ変換とMITRE ATT&CK® へのマッピング
- エンリッチ化 – サードパーティの脅威インテリジェンスとビジネスコンテキスト情報の追加
- 相関 – エンティティ、MITRE ATT&CKカテゴリ、時間に基づいてアラートを分類・集約
- 優先順位付け – アラートやアラートクラスタをスコアリングし、優先順位を付ける
- エスカレーション – 分類・集約した特定のアラートを調査するためにケースにエスカレートさせるロジック
クリーンアップ、エンリッチ化、相関、分類されたアウトプットが、ソフォスの MDR オペレーションチームの専門家に渡され、調査と対応が行われます。
ソフォスが通常 1 日に処理するイベントは約310億件に達しており、検出される脅威は3億5800万件です。これらの脅威の中で 367 件がケースとしてチームによって調査され、47 件がエスカレーションされ、進行中の 1 件の脅威が特定されています。
このように環境全体から収集されるテレメトリを活用することで、Sophos MDR は他のベンダーよりも早く脅威を検知し、無力化できます。Sophos MDR が脅威を特定して対応するまでに要する平均時間はわずか 38 分であり、他のセキュリティベンダーよりも圧倒的に速く、処理が最も迅速な社内のセキュリティチームと比較しても 5 倍以上早く問題を解決できるという利点がもたらされます。
詳細情報
ハッカーが手動で実行する高度なサイバー攻撃を、攻撃チェーンの早期の段階で阻止するためには、環境を可視化することが不可欠です。多くの組織はすでにセキュリティテレメトリを生成しており、熟練したアナリストがこれらのテレメトリを活用すれば攻撃を検出して対応できるようになります。Sophos MDR は、これらのテレメトリデータを活用し、独自のセキュリティイベントフローと比類ない専門知識を適用して、被害が発生する前に脅威を迅速に特定し無力化します。
Sophos MDR の詳細と、脅威に迅速に対応を加速するために環境全体のテレメトリを活用する方法について、ソフォスのセキュリティ専門家にぜひご相談ください。