セキュリティオペレーションのためのリファレンスアーキテクチャ
Databricksを使用して、脅威を検出し、異常を探し、アラートを豊かにすることで、より速く、より賢くセキュリティオペレーションを構築します。このアーキテクチャは、SIEM、アイデンティティ、エンドポイント、脅威インテリジェンスからのデータを統一した調査と対応のワークフローに接続します。
コアセキュリティオペレーションを強化する
このリファレンスアーキテクチャは、セキュリティオペレーションチームがDatabricks Data Intelligence Platform上でコアセキュリティオペレーション機能を構築し、スケールアップする方法を概説しています。これはテレメトリを集約し、構造化されたエンリッチメントと変換を可能にし、検出エンジニアリング、脅威対応、コンプライアンス、レポーティングを横断する高度なワークフローを強化します。
アーキテクチャの概要
セキュリティ運用チームは、柔軟でデータ駆動型のワークフローに依存して、脅威の検出、対応、およびコンプライアンスを大規模に管理します。レガシーアーキテクチャは、検出、調査、レポーティングを切断されたシステム間で分離することがよくあります。セキュリティオペレーションのためのセキュリティレイクハウスは、これらの機能を統一し、統制されたストレージ、オープンアナリティクス、スケーラブルな自動化を一つのプラットフォームに組み合わせます。
このアーキテクチャは、エンドポイント、アイデンティティ、ネットワーク、クラウドソースからのテレメトリーが、バッチおよびストリーミングパイプラインを使用してレイクハウスに流れ込む方法を示しています。セキュリティチームは、OCSF、ECS、CIMなどのオープンスキーマモデルを使用して、このデータを検証し、正規化することができます。イベントは、ユーザー、資産、脅威のコンテキストで豊かになり、検出品質と調査結果を改善します。
処理された後、このデータは、アラート、脅威ハンティング、検出エンジニアリング、メトリクスレポート、異常検出など、幅広いセキュリティ運用ユースケースを支えます。キュレーションされた出力は、SIEM、SOAR、ケース管理システム、レポーティングツールと統合して、インシデントワークフローとクロスチームのコラボレーションをサポートすることができます。
収集とルーティング
テレメトリと脅威インテリジェンスは、エージェント、ブローカー、アグリゲーター、APIを使用して収集されます。このステップは、構造化および非構造化の形式をサポートし、リアルタイムとバッチの両方の取り込みを可能にします。データソースには、エンドポイントログ、アイデンティティイベント、クラウドテレメトリ、脆弱性データ、商用脅威フィードが含まれます。
変換とエンリッチメント
生データは品質とスキーマの整合性のために検証され、その後、運用使用のために正規化され、エンリッチされます。エンリッチメントには、ユーザー、デバイス、アプリケーション、脅威インテリジェンス、資産コンテキストが含まれることがあります。OCSFやECSのようなスキーマモデルは、分析と自動化のためのフィールドを標準化するのに役立ちます。
レポーティングと観測性
セキュリティアナリストとステークホルダーは、構造化データを使用してダッシュボードを作成し、トレンドを視覚化し、主要なメトリクスを追跡します。これらの出力は、チームがカバレッジを監視し、ギャップを特定し、コンプライアンスと監査要件を満たすのに役立ちます。
検出と対応
検出エンジニアは、脅威や疑わしい行動を識別するためのルールを作成し、管理します。アラートは、インシデント対応ワークフロー、DFIRランブック、脅威ハンティング調査にフィードされます。チームはプレイブックをオーケストレーションするか、アラートをケース管理システムにプッシュすることができます。
データサイエンス・ML
セキュリティチームは、高度な分析と検出のために機械学習モデルを適用することができます。ユースケースには、脅威モデリング、行動ベースライン設定、異常検出、ユーザーエンティティ行動分析が含まれます。これらのモデルは優先順位付けを改善し、偽陽性を減らします。
外部システムとの統合
キュレーションされたアラート、ダッシュボード、コンテキストは、SIEM、SOAR、レポーティング、チケットシステムなどの下流プラットフォームに配信されます。これにより、Databricksが分析のバックボーンとして機能しながら、Splunk、Sentinel、Jira、ServiceNowなどのツールでの馴染み深いアナリストのワークフローを維持することが可能になります。
