MSSP はすべて、毎日膨大な数のアラートに対処していますが、最も成功しているパートナーはどのようにしてアラートの流入を管理しているのでしょうか?
その MSSPs 業界ではMSPへの攻撃が大幅に増加しており、 MSSPパートナー 今年、あらゆるものに対する新たな攻撃がいくつか発生しました。 RMMツール アプリケーションに。私たちは皆、毎日膨大な数のアラートに対処しています。では、最も成功しているパートナーはこれをどのように管理しているのでしょうか?
キルチェーンから始めましょう。現在最も人気のあるフレームワークは マイター 攻撃フレームワーク。この視点からアラートを分析すれば、 SOC チームの作業負荷を大幅に軽減します。まずは偵察段階から始めましょう。なぜそこから始めるのでしょうか?攻撃者が足場を築く前に接続を遮断できれば、チームが現在行っている探索やクリーンアップの作業の多くを削減できるからです。
良い例は ログ4jこれはここ 1 か月ほど大きな問題となっています。現在、この脆弱性が大きな問題となっているため、多くの攻撃者がこの脆弱性を利用しています。ある意味では、複数の攻撃グループによるクラウドソーシングを通じてこの脆弱性が増幅されています。つまり、この脆弱性を利用する攻撃者が増えるほど、関連するアラートも増えることになります。
最初のスキャンではペイロードは配信されませんが、大量の作業が発生します。 SOCスキャンをネットワーク内の資産との通信に結び付けることができれば、顧客に対する実際の脅威への対応を限定することができます。これは、機械学習によって成功の可能性を大幅に高めることができる領域です。
教師なし機械学習を活用することで、特定のマシンが外部ホストと通信したことがあるか、または特定のアプリケーションを実行したことがあるかを基準にすることができます。 ログ4jさらに重要なのは、データが流出しているかどうかも検出できることです。Stellar Cyberは、これを マイター 攻撃フレームワークを使用して、この動作を迅速に特定し、キル チェーンに組み込んで、修復戦術を推奨します。このコンテキストを活用することで、より的を絞ったアプローチで対応することができ、複数のベンダーから特別な検出機能を購入したり展開したりする必要がなくなります。
さらに、既知の悪意のあるホストへの接続を検出した場合、ファイアウォールとデバイスで自動的に接続を終了できます。自動化された脅威ハンティングルールを使用すると、検出を選択し、条件を設定し、 ステラサイバープラットフォーム ファイアウォールとの統合を通じて応答を開始し、 EDRツール最終的に、これにより 3 つの非常に重要なことが達成されます。
- 実際のイベントの検出までの時間を短縮します。
- 雑音を遮断してください。
- リスクを軽減するために対応を自動化します。
これらのタスクを実行する完全に統合されたプラットフォームがあれば、それは簡単です。詳細を知りたい場合は、 ブライアン・ストーナー Stellar Cyberにて。
