AI SecOps: 実装とベストプラクティス
セキュリティ オペレーション (SecOps) は、企業の機密資産への脆弱性やリスクの侵入を防ぐための個々のプロセスの集大成です。これは、セキュリティ インシデントを監視して防止する人員の組織単位であるセキュリティ オペレーション センター (SOC) とは少し異なります。
この区別は重要です。SecOps は運用パイプライン内にセキュリティ プロセスを統合することを目的としているのに対し、従来の SOC はセキュリティを IT から切り離し、基本的にセキュリティ プロセスを分離しているためです。これが、現代の SOC が脅威の防止と専用のインシデント対応機能のバランスを取る方法として SecOps を実装することが多い理由です。
SecOps は日常の IT および OT ワークフローと並行して実行され、妨げにならないようにする必要があるため、SecOps の自動化は戦略の重要な要素です。この記事では、AI SecOps がどのように進化しているか、SecOps での AI の使用例、および SecOps に AI を実装するためのベスト プラクティスについて説明します。
次世代SIEM
Stellar Cyber 次世代 SIEM は、Stellar Cyber Open XDR プラットフォーム内の重要なコンポーネントです...
AI を活用したセキュリティを実際に体験してください。
脅威を即座に検出して対応する Stellar Cyber の最先端の AI をご覧ください。今すぐデモをスケジュールしてください。
AI SecOps 入門
SecOps は、セキュリティを重視する組織で大きな支持を得ているアプローチです。企業が成長し、時間の経過とともに市場の変化に適応するのと同じように、すべての組織の SecOps は、組織独自のデジタル資産、インフラストラクチャ、機密データのレイアウトに適応する必要があります。SecOps は、IT 運用ライフサイクル全体にわたってセキュリティ対策を統合するため、開発と運用のすべての段階にセキュリティを組み込む必要もあります。
これを実現するには、SOC は基本的にすべてのユーザーのデバイス、ネットワーク、エンドポイントを継続的に詳細に把握する必要があります。これは、膨大な量のデータです。SOC チームが従来、開発者や IT 部門から切り離されていた理由の 1 つは、このすべてのデータを管理するためでした。アナリストの階層では、SOC チームはデータを抽出してグループ化するための多数のツールも必要としていました。セキュリティ情報およびイベント管理 (SIEM) ツール、ファイアウォール、エンドポイント検出および対応 (EDR) はすべて、このデータを処理し、意味のある情報に変換するのに役立ちました。
セキュリティ運用における AI は、セキュリティ データが生成されるのと同じ速度でデータを取り込むことができるようになりました。その結果、機械学習 (およびその新しい生成 AI) は、セキュリティ運用を継続的なプロセスに変え、セキュリティ運用が IT および開発の変化に対応できるようにする役割を果たしています。さらに、AI 駆動型プラットフォームはこれまで以上に優れた自動化オプションを提供するため、セキュリティ運用の進化は、テクノロジー スタックの合理化、複雑さの軽減、および ROI の向上へと進んでいます。
SecOpsにおけるAIのユースケース
誤検知の少ない脅威検出
AI モデルは大規模なデータセットから生まれます。AI を使用すると、かつてはセキュリティ チームを圧倒するほどの大量のアラートを取り込み、相互参照して、他のアラートの検出に使用できるようになります。これは、セキュリティ ツールをただ積み重ねるだけの従来の脅威検出アプローチとは大きく異なります。
これが状況です 米国に拠点を置く金融会社 次のような状況に陥っていました。SOC アナリストは、各アラートに付随する膨大な量のデータを精査することから、すべてのセキュリティ操作を開始する必要がありました。また、企業には複数のセキュリティ ツール ソフトウェアがあったため、各コンソールで同じアラートを手動で識別し、各手掛かりを個別にたどってアラートの有効性と潜在的な損害を判断する必要がありました。
AI は、ツールのアラート トリガーに入力される生のログ、ネットワーク、およびデバイス データをすべて取り込むことができるため、そのアラートを、問題のネットワーク、デバイス、またはアカウント上の対応するアクションと相関させることができます。その結果、誤ったアラートが大幅に減少し、実際のセキュリティ インシデントが発生した場合、AI はより広範な攻撃チェーンのコンテキスト内でアラートを配置できます。
自動インシデント対応
プレイブックは自動応答機能の基礎であり、これにより、 チューリッヒ大学のIT部門 特定のアラートに応じて、特定の監視および対応機能を迅速に実装します。たとえば、部門のエンドポイントに影響を及ぼすインシデントが発生した場合、対応する IT マネージャーに通知することができます。
自動化により、常にオンコールアナリストを配置できる人員がなくても、小規模なチームで 24 時間 7 日の対応が可能になります。自動化はプレイブックを通じてアクセス可能になります。プレイブックには、特定のアラート タイプやインシデントに応じて AI ツールが実行すべき修復手順が正確に示されています。
優先アラートとAIによる脅威検出
AI モデルは過去の攻撃に基づいてトレーニングでき、企業の資産スタック全体に関する最新の情報を保持できるため、潜在的な爆発半径に応じてアラートを分類できます。これにより、確立するために長時間の困難な作業を必要とする手動の SecOps プロセスにかかる負担が大幅に軽減されます。
アラートの分類には多くの時間を費やしていた 市役所の1時間 – この場合、各アナリストは独自のセキュリティ ツールを操作する必要がありました。これにより、複雑な攻撃ベクトルが悪用する可能性のある大きなギャップが残されました。AI 支援によるトリアージにより、各アナリストに要求される手動の作業負荷が大幅に削減され、アナリストは数日ではなく 10 分以内にインシデントの原因を突き止めることができるようになりました。
しかし、実際に AI を SecOps のどこにどのように実装するかを知ることが、実装における最初のハードルとなることがよくあります。
SecOps における AI 実装のベスト プラクティス
AI導入のための測定可能な目標を定義する
SMART 目標は世界を動かすものであり、測定可能性に重点を置くことは、新しい AI ツールを定義して正常に実装するための鍵となります。可能な限り最高の ROI を引き出すには、アナリストの時間を最も多く費やしている SecOps プロセスを特定することから始めるのが最適です。
これは、SIEM のような特定のツールの場合もあれば、平均応答時間 (MTTR) のようなより広範な指標の場合もあります。アラートが受信トレイに届いた後、アナリストや IT スタッフが従うべきワークフローのステップの場合もあります。重要な点は、どのコンポーネントが最も大きな遅延を引き起こしているかを正確に特定することです。このプロセスにより、AI ツールが果たすべき役割が正確に把握できます。資産の検出が主な問題点である場合、AI ファイアウォールの統合はおそらく最大の優先事項ではありません。
また、これを共同作業として開始することも最善です。長期的な変化を達成するには、C レベルやその他の経営幹部の意思決定者を関与させることが重要であり、彼らは IT 部門とセキュリティ部門が必要な組織の変化をイメージするのに役立ちます。
既存のツールとワークフローにAIを統合する
AI テクノロジーは、データが豊富な環境で成功しますが、そのデータをどこかから取得できる必要があります。カスタム統合は難しく、時間がかかる可能性があるため、AI ベースのソリューションを検討するときは、現在のツールとの統合能力を評価してください。組織がゼロから始めなければならないことは非常にまれです。SIEM、EDR、またはファイアウォールがすでに正常に稼働していて、アナリスト自身の限られたリソースが原因で速度低下が発生している場合は、SIEM を交換するのではなく、AI で SIEM を補完するのが最適です。
ここで、AI には大量のセキュリティ データが必要であることを忘れないでください。データセットをゼロから構築する場合は、堅牢で回復力のあるデータ インフラストラクチャの構築に投資し、厳格なガバナンス プロトコルを組み合わせる必要があります。強力なインフラストラクチャには、安全なストレージ ソリューションの実装、データ処理機能の最適化、リアルタイムの脅威検出と対応をサポートする効率的なデータ転送システムの確立が必要です。一方、サードパーティ製品はこのすべてのデータを管理しますが、プロバイダーを信頼していることを確認してください。
AI 駆動型システムを使用するように SecOps チームを調整する
AI ツールは柔軟性が求められますが、アナリストの日常業務に何らかの変更を加える必要があります。それが AI ツールの目的です。影響を受けるチームは、これによってどのような変更が伴うのか、また、独自のワークフローがどのようになるべきかを知る必要があります。SecOps ではすでに包括的なセキュリティ運用トレーニングが求められているため、ポリシーと手順のフレームワークに精通している必要があります。同様に、AI の更新では、プロセスを測定可能なアクションと明確なガイダンスに細分化する必要があります。
そうは言っても、現在の SecOps メンバーのスキル セットと経験を考慮してください。まだ経験を積んでいる新しいチーム メンバーがいる場合は、自動化されたアクションやアラート プロセスを手順を追って説明してくれる、使いやすい AI ツールを選択することを検討してください。これにより、脅威に対処する際に自信をつけることができます。透明性により、人間のチームと AI 分析エンジン間の信頼関係も深まり、AI の判断を時間の経過とともに微調整することもできます。
プレイブックを作成する
プレイブックは AI セキュリティ実装の基盤であり、AI ツールには事前に設定されたプレイブックがいくつか付属している場合もありますが、必要な特定のユースケースに応じて独自のプレイブックを作成または変更することがベストプラクティスです。
たとえば、チームが多くの外部メール通信を扱っている場合、メール フィッシングの脅威に特に対処するためのプレイブックを作成することが重要です。この場合、中央 AI プラットフォームがフィッシング メールの疑わしい文法やメタデータを検出し、関連するプレイブックをトリガーします。この場合、プレイブックは自動的にメールを隔離し (または、侵害の証拠がある場合はエンドポイント自体を隔離し)、パスワードのリセットをトリガーします。メッセージは対応するセキュリティ管理者に送信され、セキュリティ管理者は 1 つのアラートにまとめられたすべての情報を受け取ります。AI モデルに必要なプレイブックは、組織独自の設定と責任によって異なります。
総合的に、これらの AI 主導の SecOps のベスト プラクティスにより、最大の ROI を実現しながら、AI 主導の SecOps へのスムーズな移行が保証されます。
Stellar Cyber が AI SecOps を強化する方法
自動インシデント検出
Stellar Cyberは、手動による脅威検出とルールベースの脅威識別への依存を排除し、 複数層の AI。
これらの AI の最初のものは検出に重点を置いています。Stellar Cyber のセキュリティ研究チームは、公開されているデータセットと内部で生成されたデータセットを組み合わせて、教師ありモデルを作成し、トレーニングします。ゼロデイ脅威と未知の脅威は、並列の教師なし機械学習モデルによって検出できます。これらのモデルは、数週間にわたってネットワークとユーザーの行動のベースラインを確立します。データ信号が取り込まれると、GraphML ベースの AI が検出と他のデータ信号を相関させ、関連するデータ ポイントを自動的にリンクしてアナリストを支援します。プロパティ、タイミング、行動パターンを分析することで、さまざまなイベント間の接続強度を評価します。
他の形態の AI は、これらのコア検出機能に基づいています。これにより、Stellar Cyber を活用した組織に、より優れたアクセシビリティと対応機能がもたらされます。
SecOps をアクセス可能にする
組織のリアルタイム セキュリティ データはすべて、2 つの主要な形式で表示されます。1 つ目はダッシュボードにあるキル チェーンで、2 つ目は Copilot 経由です。
XDR キル チェーン ダッシュボードは Stellar Cyber のデフォルトのホームページとして機能し、全体的なリスクと検出された脅威を一元的に表示します。アクティブなインシデント、高リスク資産、攻撃戦術へのドリルダウンを提供することで、迅速な評価を可能にします。この合理化されたアプローチにより、セキュリティ チームは、個々の焦点に関係なく、さらに詳しく調査できる重要な問題の優先順位付けが可能になります。
一方、Copilot AI は LLM ベースの調査ツールであり、クエリに即座に応答することでアナリスト自身の脅威分析プロジェクトを加速します。これにより、迅速なデータ取得と説明に最適となり、ツールを SecOps プロジェクトにさらに統合できます。
全表面可視性
Stellar Cyber は、複数の種類のセンサーを介してログとセキュリティ データを取り込みます。ネットワーク センサーとセキュリティ センサーは、物理スイッチと仮想スイッチからメタデータを収集し、ログを集約して包括的な可視性を実現します。Deep Packet Inspection (DPI) は、ペイロードをリアルタイムで分析します。一方、サーバー センサーは、Linux サーバーと Windows サーバーからデータを収集し、ネットワーク トラフィック、コマンド、プロセス、ファイル、アプリケーション アクティビティをキャプチャできます。Windows 98 以降、および Ubuntu、CoreOS、Debian などの Linux ディストリビューションとの完全な互換性が期待できます。
このプラットフォームは、可視性が必要なあらゆる場所に設置できます。クラウドベース、ハイブリッド、完全なオンプレミス、テナントベースのいずれであっても、Stellar Cyber はどこからでもデータを取り込みます。
高度なレスポンスAI
Stellar Cyber の対応機能は、ツールと既存のセキュリティ ツールとの統合を拡張します。ただし、単にデータを取り込むのではなく、Stellar は同じツールを介して自動的にアクションを実行できます。
Stellar は迅速な実装に重点を置いているため、Windows ログイン失敗、DNS 分析、Microsoft 40 など、攻撃対象領域全体をカバーする 365 個の構築済み脅威ハンティング プレイブックが付属しています。これにより、セキュリティに関する深い専門知識を持たないチームでも、脅威の検出と対応が容易になります。
Stellar Cyber は、ファイアウォール、エンドポイント セキュリティ、ID およびアクセス管理ツール、チケット システム、メッセージング アプリとシームレスに統合し、セキュリティ運用を拡張します。より高度なオーケストレーションのニーズに対応するため、主要な SOAR プラットフォームとの統合をサポートし、脅威への対応を合理化して効率化します。Stellar Cyber を導入した企業は、各プレイブックのトリガー、条件、出力を細かく制御できるため、SecOps のベスト プラクティスに厳密に従うことができます。プレイブックは、グローバルに展開することも、テナントごとに展開することもできます。
Stellar Cyber AI SecOps を探索
Stellar Cyberのプラットフォーム 迅速な実装に重点を置くことで、SecOpsにおけるAIの導入を簡素化します。企業は、長々とした、またはベンダーによってブロックされた実装プロセスなしで、より効果的で効率的なセキュリティ運用を実現できます。自動化機能はすぐに使用できます。Stellar Cyberの環境と機能を調べるには、 デモを予約する.
