ログ転送と収集の利点については長年聞いてきました。すべてのデータを SIEM セキュリティプログラムはより良く、より成熟したものになるでしょう。実際、私が過去5年間に話したCISOは皆、 SIEM コンプライアンス目的以外では、 SIEM ほとんど価値がない。情報セキュリティコミュニティの一部の人々は、10年前のアンチウイルス(AV)と同様に、 SIEM は死んでいます!率直に言って、現状では私も同意します。
皆さんの中には、「もし SIEM 「もし死んだら、私たちは何をすべきか?」これは百万ドルの価値がある質問です。私の答えは Open XDR。 Open XDR ブログのタイトルと何か関係があるのでしょうか?そうですね、普通はCIAといえば機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の略だと思いますよね(中央情報局(CIA)の略ではありません)。今回は相関関係(Correlation)、統合(Integration)、自動化(Automation)の略です(V(Visibility)の略称があればそうしていたのですが)。 Open XDR それ以上のものを提供します!
Open XDR定義上、Xは拡張された(X)検知と対応です。iPhoneで使っているApp Storeについて考えてみてください。iPhone(プラットフォーム)を初めて購入したときには、いくつかのアプリがプリインストールされていましたが、その後、そのプラットフォームで実行するためにいくつかのアプリを追加しました。撮影した写真をテキストで送信したり、Facebookにアップロードしたりするのも、すべて共通のプラットフォームに基づいています。 Open XDR 同じ概念です。
Stellar Cyberは、情報セキュリティに特化した初のApp Storeを開発しました。これはお客様にとってどのような意味を持つのでしょうか?それは、セキュリティツールセット全体を可視化する、相関・統合・自動化されたプラットフォームです。このプラットフォーム(今回の場合はStarlight)では、エンドポイント、アンチウイルス、ファイアウォール、プロキシなどのアプリを、Stellar Cyberが提供するアプリと連携させることができます(SIEM、SOAR、機械学習駆動型(ML)IDS、マルウェア、欺瞞など)。その背後では、正規化、強化、相関付け、検出の提供、そして最終的にはアクティブかつ自動化された対応によってこれらのリスクを軽減しています。
Starlight がオープンである理由は何でしょうか? まず、RESTful API を通じて、既存のエンドポイント ツール、ファイアウォール、CASB ツールと統合し、それらの価値を拡張できます。緊密に統合された App Store の価値は、ベンダーのエコシステムがより効果的に連携できるようにすることです。つまり、Starlight は、統合後に関連性の高いイベントをより多く確認し、独自のカスタマイズされたソリューションを作成するのに役立ちます。Starlight は、ネイティブ アプリと統合アプリの両方を Interflow™ テクノロジーに結び付け、イベント間のコンテキストを作成することで異常検出と調査を効率化します。Interflow は、統合アプリケーションとサードパーティ アプリケーション間で共有されるセキュリティ データを正規化し、セキュリティ ツールセット全体で単一の画面での可視性と制御を実現します。
さらに、Stellar Cyber は、ユーザー コミュニティが独自のアプリ、独自のパーサー、独自の ML-IDS 署名を作成し、すべてをコミュニティと共有する手段を提供します。このコミュニティ アプローチは、すべてのユーザーが各自の企業のセキュリティ体制と成熟度を向上させるのに役立ちます。
あらゆるセキュリティ対策を一元的に可視化し、それらを相関分析し、脅威に対応できる、一元管理された画面を想像してみてください。これにより、セキュリティツールの拡散、アラートの減少、そして対応時間の短縮につながります。そして、正確で実用的なイベントに基づく相関分析と自動化により、セキュリティ運用の監視と管理に必要なアナリストの数は、最終的に削減されます。 SIEM 死んだ!CIA万歳!
著者: Dave Barton、Stellar Cyber の CISO
