業界の成果:十分に資金提供されたSOCのアナリストは、分析よりもデータクエリに多くの時間を費やすことがよくあります。調査のボトルネックは専門知識ではなく、専門知識が必要とするデータの収集にかかる時間です。
によって テイラー・ケイン による投稿
ユースケース
SOCの効率性とインシデント調査インテリジェンス
セキュリティオペレーションのメトリクスは、過去10年間でより洗練されてきました。MTTD、MTTR、偽陽性率、アナリストの利用率など、セキュリティオペレーションセンターの運用パフォーマンスは、他のあらゆるビジネス機能と同様の厳密さで測定されています。そして、それらのメトリクスが分析されると、一貫したパターンが現れます。アナリストの時間の不釣り合いな部分が、分析ではなくデータ収集に費やされています。
疑わしいアラートを調査しているアナリストは、複数のソースからログデータを取得し、ユーザーIDレコードを相互参照し、関与したシステムのアセット情報をチェックし、関連エンティティに関する以前のアラートを確認し、ソース間でタイムラインデータを相関させる必要があります。これらのデータ取得のそれぞれは、異なるクエリ、異なるシステム、異なる構文を必要とします。
セキュリティオペレーションのリーダーは、この問題に対処するためにSIEMプラットフォーム、SOAR自動化、脅威インテリジェンス統合に投資してきました。これらの投資は実際の改善をもたらしました。しかし、それらが解決していないのは、根本的なデータ断片化の問題です。調査に関連する質問の権威あるバージョンが、互いに通信するように設計されていなかったシステム間でデータを結合する必要がある場合、アナリストが統合レイヤーになります。
インシデントに関するあらゆる質問を秒単位で回答できるレベル2アナリストは、各部分の情報を取得するために3つのシステムをクエリしなければならないアナリストの5倍の分析を行っています。
Genieは、Lakewatch内のエージェントインターフェイスとして機能し、Anthropic Claudeモデルの高度な推論を活用して、エージェントベースのセキュリティオペレーションを提供します。Claudeの推論機能を統合することで、Lakewatchはセキュリティ、IT、ビジネスデータにまたがる複雑な信号を数秒で相関させることができます。これにより、アナリストは、データを検索するだけでなく、調査のコンテキストを理解して、手動のワークフローよりも高速に高忠実度の脅威を表面化させる防御セキュリティエージェントを展開できます。
GenieはLakewatch内のエージェントインターフェイスとして機能し、アナリストが人間参加型から人間主導型へと移行できるようにします。複雑なSQLを記述したり、独自の検索言語を学習したりする代わりに、アナリストはGenieを使用して、数秒でペタバイトのデータを検索、要約、相互参照できる自律エージェントをオーケストレーションします。
Genieにより、セキュリティオペレーションチームは、セキュリティデータ環境全体で自然言語で調査に関する質問をすることができます。アナリストは、「過去7日間のユーザーXのすべての認証イベント、アクセスしたシステム、機密データストアへの関連ファイルアクセスイベント、およびEDRからの関連アラートを表示してください」と質問できます。その調査の統合は、単一の会話型応答で表面化します。
MTTDの削減は単なる目標ではありません。それは生存要件です。Databricksの共同創業者兼CEOであるAli GhodsiがRSA基調講演で強調したように、私たちは脅威ランドスケープにおける大規模な世俗的シフトを目撃しています。Zero Day Clockによると、2018年にはCVEから悪用可能なエクスプロイトまでの平均時間は2年以上でした。今日、そのウィンドウはわずか1.3日に短縮されました。
この1.3日のエクスプロイトウィンドウは、従来のSIEMにとっての「アーキテクチャ上の行き止まり」です。最近のデータは、中央値の侵害検出時間が劇的に短縮されたことを示唆していますが、その中央値は、可視性のギャップのために数ヶ月間検出されないままの洗練された脅威の「ロングテール」をしばしば覆い隠しています。人間だけでは、この武器化のスピードについていくことはできません。私たちは、防御側がまだ手動のワークフローと、データの最大75%を破棄することを余儀なくさせる「セキュリティ税」に制約されている一方で、どこでも攻撃するAIエージェントの群れに直面しています。
メトリクス | 正式名称 | 定義 | ビジネス上の重要性 |
MTTD | 平均検出時間 | セキュリティツールまたはチームが潜在的なセキュリティインシデントを特定するのにかかる平均時間。 | 重要:MTTDが高いことは、攻撃者が自由に活動できる「可視性のギャップ」(「ロングテール」問題)を示します。 |
MTTR | 平均応答時間 | アラートがトリガーされてから最初の応答または緩和が開始されるまでの平均時間。 | SOCの俊敏性と自動化されたプレイブックの有効性を測定します。 |
MTTC | 平均封じ込め時間 | 脅威を隔離し、ネットワーク全体への拡散を防ぐのにかかる平均時間。 | 「爆発半径」と潜在的なデータ漏洩を制限するための主要なメトリクスです。 |
MTTI | 平均調査時間 | アナリストがアラートを検証し、根本原因と範囲を判断するのに費やす平均時間。 | 断片化されたシステム全体での手動データ結合によって引き起こされる「アナリストのボトルネック」を強調します。 |
群れと戦うには、群れが必要です。LakewatchとGenieは根本的な変化を表します。Lakewatchは、データが存在する場所にネイティブに検出、トリアージ、調査を自動化する防御エージェントの群れを展開します。私たちは人間ペースのトリアージから機械速度の防御へと移行し、防御者を指揮してエンタープライズ全体で自律的な防御をオーケストレーションできるようにします。
DATABRICKS GENIE · 主要な差別化要因
データのために構築され、ルールによって管理され、あらゆるビジネスリーダーに応答します。
Genieがあなたのチームに何ができるかをご覧ください
Databricks Genieは本日よりご利用いただけます。業界の同業他社がどのようにそれを使用して、データへのアクセス方法とデータに対するアクション方法を再考しているかをご覧ください。
(このブログ記事はAI翻訳ツールを使用して翻訳されています) 原文記事
ブログを購読して、最新の投稿を受信トレイにお届けします。