私たちの探求と統合から学んだ教訓 XDR
信頼できるインターネットが展開中 ステラサイバー XDR –として SOC監視ソリューションまたは Infrastructure as a Service として使用できます。
マーケティングの誇大宣伝 XDR 検討中の人にとっては耳をつんざくような話です XDR派手なウェブサイトやマーケティングの雑音を整理して、何が真実なのかを見極めるのは難しいものです。そこで、自費で運営している企業のCEOの視点から、そこから学んだ教訓をいくつか共有したいと思います。 MSSPsこれがあなたの購入決定に役立つことを願っています。
過去 7 年間、当社は Fortinet の MSSP として忠実に活動してきました。当社は Fortinet のファイアウォールを愛用しており、NSEXNUMX 認定を受けた従業員が、当社の意のままに機能満載の高速マシンを調整するために懸命に取り組んでいます。さまざまな理由から、約 XNUMX 年前、既存のセキュリティ システムを撤去して交換せずに済むようにしたいという潜在的なクライアントの要望に応える方法を探し始めることにしました。
同じように、 SOC、NOC、 EDR、MDR、NDR、 MSSPsなぜ誰かがそれらをすべて1つのボックスに統合し、すべてのログを理解し、少しの機械学習を使用してAIをトレーニングしてより優れた支援を提供しないのでしょうか? SOC アナリスト?昔からの友人がこれを「神の箱」と呼んでいました。全てを知っているんです。
XDR 神箱の始まりです。
私たちの要件:
- 既存のインフラストラクチャを撤去して置き換えることなく、クライアントの環境にある他のすべてのベンダーを統合する必要があります。
すべてのコンピュータにエージェントを導入したくありませんでした。すでに AV と Anti-Evasion が備わっているからです。別のエンドポイント システムに負荷をかけることはしたくありませんでした。
異常検出のためにネットワーク フロー分析を統合する機能が必要ですが、常にこれを必要とするわけではありません。フローは大量のデータを生成するため、必要に応じて他の指標に基づいてオン/オフを切り替えられるようにしたいと考えていました。
- NIST 800-171 ログ収集/分析のすべての要件を満たす必要があります。
ISO、CIS、HIPAA、PCI ではこれらすべてのログの集約と分析が求められますが、NIST 800-171 では、インフラストラクチャ、エンドポイント、セキュリティなど、あらゆるイベントについてほぼすべてのデバイスからのログ エントリを監視することが求められます。
これらのログを監視できるより良い方法を見つけ、それを中小企業に重点を置くクライアント ベースが負担できる方法で実行する必要があります。そのためには、必要なログをそれぞれ理解できる 1 つのシステムに統合できる必要があります。
-
マルチテナントである必要があります。
当時、私はAIに対してどれほどの疑問を抱くことになるか、様々な XDR実行します。賢いチームで準備を整えてください。
FortiAnalyzerとLuceneスタックの生のログデータをベースラインとしてA|Bテストを実行し、比較しました。
-
理想的には XDR あらゆるベンダーに対応できる必要があり、 XDR ベンダー。
一部 XDR 私たちが調査したベンダーは、独自の AV、IPS などを構築していました。他のベンダーは他社の OEM をしていましたが、それについては話しませんでした。
いずれにせよ、私は、 XDR 成熟し、テスト済みです。
- クラウド コンポーネントがある場合は、クラウド環境が安全であることの証明が必要です。
顧客の脆弱性データはすべてそこに保存されることになります。私たちの組織でデータ漏洩が起きるのは望ましくありません。 XDR ベンダーが顧客の脆弱性情報を漏洩している。スパイ活動の観点から見ると、これは非常に格好の標的だ。安全であるに違いない。
私たちはすべてのベンダーのバックエンドセキュリティを評価しています。調査中にこれを実行したところ、あるベンダーは XDR ベンダーは素晴らしい製品を販売していましたが、クラウド環境で提供されるサービスはセキュリティテストを受けたことがありませんでした。
コンプライアンスは良いことですが、もっと重要なことは何でしょうか? データをどのように保護しているかを詳しく説明してください。データ保護対策を講じていることを安心させてください。これを実行できない企業が複数あることに驚きました。
- 価格構造は 100% 予測可能でなければなりません。変動費は致命的です。予想外の事態が起きないようにしたかったのです。 XDR ベンダーから「エンドポイントは何台ありますか?」と聞かれたら、すぐに駆けつけてください。価格設定は、サブスクリプション費用に適切なマージンで組み込めるようにする必要があります。MSSPの世界では、 SOC コストは何よりも早く私たちを破綻させる可能性があります。MSSPは、ますます高騰する情報セキュリティの人件費に負担をかけることなく、どのように規模を拡大していくのでしょうか?
シンデレラ探し XDR (私たちにぴったり合うもの!)
私たちは、皆さんも聞いたことがあるであろう、数十のベンダーを調査しました。2年近くにわたる競合分析、デモ、そして12社近くのベンダーによるトライアルを経て、 XDR 最終的に、私たちは焦点を 2 社に絞りました。両社とも試験運用中で、最終的に Stellar Cyber 社に決定しました。
これは私たちにとって大きな資本投資でした。私たちはこれを正しく実行し、投資額をボリュームの増加と効率化で回収できるようにしたいと考えました。クラウド バージョンではなく、88 コア、20 テラバイトのサーバーを購入しました。このシステムは、多数のインフラストラクチャ デバイス、エンドポイント ログ、セキュリティ システムからの膨大な量のデータを解析して分析するように設計されています。私たちはそれを保護したかったので、Iron Mountain データセンターのセキュリティ保護された施設にそれを設置して、昨年の初夏に最初の「自社製品を試す」トライアルを実施しました。
私たちはたくさんの教訓を学びました。そのすべてを 1 つの短い論文で共有することはできませんが、大きな教訓をいくつか共有するのはよいことだと思いました。
-
XDR 想像できるあらゆる情報を一枚のガラス板にまとめる素晴らしいソリューションを提供しています。私たちは圧倒されました。
-
これはエントリーレベルのツールではありません。 XDR 曖昧さが生まれる可能性があります。あらゆる要素を評価するには、優秀なチームが必要です。 XDR SOARを発動する前に攻撃する。AIは攻撃から学習する。 XDR ベンダーのより大きな顧客基盤だけでなく、 アナリストは賢くなければなりません。
-
ブリッジ XDR ソリューション エンドポイントごとに価格設定したい。これは取引を台無しにします。営業担当者が「エンドポイントはいくつありますか?」と尋ねたら…逃げてください。
XDR 想像できるあらゆる情報を一枚のガラス板にまとめる素晴らしいソリューションを提供しています。私たちは圧倒されました。
XDR 素晴らしいアイデアですが、実行を誤ると1日が台無しになります。IT担当者は、この魔法の箱にあらゆるもの(そしてあらゆる道具)を投入したくなるでしょう。「データは多ければ多いほど良い」というオタクの欲求は十分に理解できますが、私たちのトレーニング曲線は SOC アナリストたちは非常に厳しい。
これらの機器は、詰め込めるだけの量のデータを消費します。少なくとも、機械が吐き出すデータに慣れるまでは、一度に複数のストリームを入力することはお勧めしません。なぜでしょうか?機械は事前に設定されたルールに基づいて、自動的に結果を生成します。中には良い結果もあるでしょうが、全てではないでしょう。そして、良い結果はたくさんあります。 SOC アナリストはもっとよく知っておく必要があります。彼らはまず、すべてのアラートを検証し、検証しなければなりません。 XDR それを「良い」と判断するでしょうか?間違っていたでしょうか?どのような対策を講じるべきでしょうか?AI、自動化?魔法の箱?どれも良いものですが、機械が何を良いと悪いと判断するかについてしっかりとした基礎知識がなければ、圧倒されてしまうかもしれません。私たちはそうでした。ブラックボックスには多くのことが隠されています。ゆっくりと進めましょう。アナリストに学習させましょう。一度に1つのデータストリームを取り込むようにしましょう。
スタッツマンの推薦: スピードは命取りです。ゆっくり進めてください。まずは 1 つのデータ フィードから始め、それを正規化してから次のデータ フィードを追加します。
これを知っています。 XDR エントリーレベルのツールではありません。
私はいくつか取る SOC スキルを磨くために四半期ごとにシフトしています。 SOC、そしておそらくこれが私の好きな仕事の一つだからやっているのでしょう!とにかく、新しい運用可能なステラーとの最初のシフトで、 XDR クライアントのアカウントを作成した際、午前2時頃、ファイアウォールの背後ではあるものの明らかにネットワーク上で内部アクティビティが発生していることに気づきました。そこには、平文のパスワードが15の異なるシステムに大量に送信されているという警告が表示されていました。この銀行は午前2時には開いていませんでした。
考えられる説明は、セキュリティ侵害か脆弱性スキャンの 60 つしかないと思っていました。結局、クライアントは OpenVAS を実行して私たちの対応をテストしていました (私たちは合格しました!)。しかし…私たちはそれをどう見たのでしょうか? これまで見たことのない場所から内部データを見ているのです! 私たちは、40 人の銀行員から Windows ログ、インフラストラクチャ ログ、認証ログ、ネットワーク フローをキャプチャしていました。XNUMX 日あたり約 XNUMX GB のログを取得していました。私は、ようやく良いメガネを手に入れて初めて色が見えたマグー氏になったような気分でした!
完全に統合するにあたり、FortiAnalyzerとLucene Stackは保持し、アナリストが XDR 環境に慣れ親しんだ方法でデータが表示されるようになります。古いライセンスの有効期限が切れる時点で、並行して切り替えを行う予定です。しかし、移行に伴い、Tier 1アナリスト(トリアージアナリスト)はより高度なスキルを習得する必要に迫られています。トリアージは過去のものとなるでしょう。 XDR 新しいスキャナーをブロックしたり、ツールの検出結果を検証してからアクションにエスカレーションするなど、より日常的なタスクに対して自動化されたアクションを実行します。
スタッツマンの推薦: アナリストは、AI と自動化が引き継いで新しい機械が間違いを植え付ける前に、データで何が起こっているかを理解できるほど賢くなければなりません。私は 60 歳で、長い間この仕事をしていますが、それでももう一組の目が欲しかったのです。これは初心者向けのツールではありません。専門家向けのツールです。
ブリッジ XDR ソリューションはエンドポイントに応じて価格設定をします。これは取引を阻害する要因となります。
もし XDR ベンダーが「エンドポイントは何個ありますか?」と尋ねます。逃げてください!エンドポイントのカウントは XDR 価格設定。驚きは気に入らないでしょう。これはいくら強調しても足りません。
私たちは、このことを苦労して学びました。MSSP にとっての理想は、複数のデバイスからのデータを 1 つの画面に表示することです。昨年の夏、私たちは社内業務のために Stellar Cyber を運用的に導入しました。私たちは、販売を開始する前に「自社のドッグフードを食べる」ことを信条としています (販売したものはすべて使用しています)。
ITディレクターに、一つずつ手順を踏んでみるように指示しました。システムに一つの情報フローを導入し、それがどのように正常化するかを見てみましょう。ところが残念ながら、ベンダーの指示に従って、彼はコアスイッチにスパンポートを設置し、既存のすべての情報をStellarにプッシュしてしまいました。すると、ファイアホースが活性化してしまいました。 XDR 4万台以上のデバイスに擬似フローを生成しました。あらゆるIoT、モバイル、コンピューター、サーバー、そしてクライアントポートフォリオ内のファイアウォールの背後にあるIPアドレスを持つあらゆるデバイスがエンドポイントとしてカウントされるようになりました。営業チームの対応は素晴らしかったです。正規化の方法を検討している間は料金が発生しなかったので、ファイアホースを停止し、自社のインフラからクライアント1社ずつ、段階的に導入を進めました。信頼性を損ないたくなかったため、エンドポイント数ではなくデータ量に基づいたボリュームライセンスを採用することにしました。
スタッツマンの推薦: 最初にこれを要求し、その後は好きなだけ投入してください。
弊社のシステムを導入してからほぼ 800 年になります。最初は昨年 171 月に価値の証明として導入し、その後夏に運用を開始し、現在は完全に運用中です。弊社が関わってきた多くの NIST 100-XNUMX 関連プロジェクトのサポートとして、また異機種環境を持つクライアント向けに展開しています。素晴らしい成果を上げています。XNUMX% ですか? いいえ。まだ利用できないツール用のパーサーを作成する必要があります。SOAR はまだ完全には有効化していません。正直なところ、自動化されたアクションがどのような波及効果をもたらすかわからない、より脆弱な顧客拠点の一部では、これを躊躇しています。
買ってよかったのか? XDR? その通りです。このシステムのコストは優秀なアナリスト数名を雇うのとほぼ同じですが、これまでアクセスできなかった顧客にも拡大できると確信しています。
シェアは思いやりです。私たちは厳しい教訓を学び、このプロジェクトのために多額の小切手を切らなければならないかもしれないと不安に思った時期もありました。1年間の口座残高を上回る金額です。Stellarチームは、私たちが彼らの大きな池の中の小さな魚であるにもかかわらず、素晴らしいサポートをしてくれました。皆さんがご自身のプロジェクトを検討する際に、この記事が少しでもお役に立てれば幸いです。 XDR ご購入ください。または、ご希望の場合はお問い合わせください。喜んで作成いたします。 XDR 新しいマルチテナント Stellar Cyber 環境で。
