機械学習による未知の脅威、内部不正、情報漏えいの発見。
既存のセキュリティソリューションが有効でない脅威領域に対応します。
雇用の流動化やリモートワークの導入が進む中、内部不正や標的型攻撃による情報漏洩のリスクが高まっています。
組織内のPCやシステムの操作ログを分析するツールとしてSIEM(Security Information and Event Management:セキュリティ情報イベント管理)を導入する企業も多くありますが、SIEMと併せて利用することで、セキュリティチームの生産性向上を実現できます。
Micro Focusの「ArcSight Intelligence」(旧Interset UEBA)は、教師なし学習によりユーザーやエンティティの行動を分析し、異常を検知します。SIEMと併せて利用することで、セキュリティチームの生産性向上を実現できます。
ArcSight Intelligence(Interset UEBA)の特集記事はこちら
リッチなログ出力という観点で、EDRは1データソースとしては非常に多くのArcSight Intelligenceがもつ検知モデルにかけることが可能です。
CrowdStrikeのEDRユーザーは、CrowdStrike Storeから簡単にArcSight Intelligence SaaSを始めることができます。
ご視聴にはご登録が必要です
字幕のみ・音声なし
次世代セキュリティ オペレーション センター (SOC)には、階層型分析の提供を簡素化するオープンな統合プラットフォームによるこれまで以上迅速に脅威を検知・対応する次世代SIEMが必要です。
脅威が進化し続ける中、SOCには膨大なタスクが待ち受けています。ArcSight ESMとInterset UEBAは、組織が既知と未知の両方の脅威に対する露出時間を最短にするのに役立つ階層化されたセキュリティ分析アプローチを提供します。
多種多様な攻撃の検知・対応には、3つのアプローチが重要です。SIEMは、脅威に対する最後の防御ラインとして最新の SOC で重要な役割を果たしますが、新しい脅威の検出にはUEBAのような機械学習を活用するツールが必要です。さらに2つのテクノロジーでカバーできない部分を補うためにハントチームを組み合わせれば、アラートの品質向上・誤検知の減少につながります。
MITRE ATT&CK™(敵対的戦術、テクニック、および共有知識)を利用する上で、リアルタイム相関 (SIEM) と機械学習 (UEBA) テクノロジは、重要な役割を果たしていますが、階層型分析ソリューションにまとめれば、セキュリティ適用範囲を拡大できます。
IntersetプロダクトマネージメントVPのMario Daigle が、ArcSight ESMと教師なし機械学習テクノロジーを持つInterset UEBAを組み合わせて、強靭なデジタル企業向けの次世代SOCを生み出す方法を説明します。
DXやリモートワークの普及からクラウドサービスなどの社外リソースの活用が進み、監視すべきセキュリティ領域も広がっています。
さらにサイバー攻撃が高度化・複雑化しているため、セキュリティ運用センター(SOC)は、さらに増加したアラートに対応し、巧妙化する攻撃や未知の脅威対策も行わなければなりません。
このような状況に対応するためには、マルウェア検知を主軸にした対応やポイントソリューションではなく、統合された組織的なセキュリティ対応が求められています。
また、運用監視における人材不足という課題もあります。
このホワイトペーパーは、このような課題を解決するために、振る舞い検知や自動化(SOAR)の機能、これらをSIEMやEDRと連携させるセキュリティプラットフォーム構築の重要性を記述しています。
ホワイトペーパーを見る
SOC における運用と検知の生産性を上げるには、SIEM、ふるまい検知、SOAR の各機能を統合し、多層分析を活用する必要があります。
Interset UEBA(User and Entity Behavioral Analytics)は、ArcSight Intelligenceへ名称を変更しました。
セキュリティ運用の自動化を担うSOARはこの課題を解決する有効策といわれていますが、SOARとは何か、導入後のメリットを知っていただける講演動画をご案内します。SOARによるアラートに対応や、いくつかのシナリオを交えてインシデント対応のプロセスなどもご覧いただけます。
【ArcSight リリース】
■ArcSight2022.1のリリースでは、脅威監視コンテンツを自動的に組み込む
Galaxy Threat Acceleration Program--Basicのインストールや
スマートでコスト効率の高いログストレージを提供できるカラム指向 / 共有ストレージが追加されました。
ArcSight2021.1のリリースで、ArcSight ESM(※1)とArcSight Recon(※2)に加え、ArcSight Intelligenceユーザーも追加ライセンスや追加費用なしでSOARが利用可能になりました。
(※1)ArcSight ESMはEnterprise Security Managerの略で、圧倒的なスケーラビリティ (100k EPS)を持つリアルタイム相関分析エンジンです。
(※2)ArcSight Reconは、超高速データベースVerticaのテクノロジーを採用し、ログ管理およびセキュリティ分析の包括的なソリューションを提供するだけでなく、ArcSightファミリの統合イベント管理基盤です。
Verticaが持つビッグデータの検索および分析機能により、高速なハンティングが可能で、フォレンジック調査の期間を短縮します。(日本語データシートはこちら)