NDRとSIEMの統合

全面的な可視化を実現

ネットワーク検知とレスポンス (NDR)とセキュリティ情報イベント管理(SIEM)を統合し、ゼロトラストや拡張された検知とレスポンス(XDR)などのセキュリティ戦略を実現して、脅威を早期に阻止しましょう。

Verbund

オーストリア最大の電力会社がNDRとSIEMをどのように統合したかをご覧ください。

NDRとSIEMを統合する理由

ExtraHop Reveal(x) 360のNDRを既存のSIEMに統合することで、高度な回避戦術と技法を用いる未知の脅威に対する検知能力を高められます。Reveal(x)はあらゆるデバイスを検出して特定し、常に最新のインベントリを提供します。また、データを復号し、相関するフォレンジックへの即時アクセスを可能にするとともに、お客様のセキュリティ・オーケストレーション自動応答ツール(SOAR)とシームレスに連携してレスポンスを自動化します。ExtraHop Reveal(x) 360は、ルールベースと行動ベースの分析の強力な組み合わせに加えて、ガイド付きの調査でティア1のアナリストがティア3の専門家レベルの職務を遂行できるようにすることで、お客様の課題を解決します。企業の前には、ログを削除したりエンドポイント・エージェントを回避したりして検知を逃れる方法を熟知した高度な脅威が立ちはだかります。現時点では、攻撃者が優位な立場にあります。攻撃者は、監視対象外のトラフィック、管理対象外のデバイス、そして暗号化されたデータに自らの痕跡を隠しながら、アクセスする範囲を広げていき、権限を昇格させ、横方向に移動した後、最終的にデータを流出させます。ExtraHop Reveal(x)をご使用のSIEMと統合することで、お客様はこの形勢を逆転できます。

NDRとSIEMの統合による主な利点:

未知の脅威をより迅速に捕捉
多くの攻撃戦術はネットワーク上でしか検知できません。NDRとSIEMを統合することで、より多くの脅威をカバーできます。信頼性の高い調査とレスポンス
ネットワークの検知結果とSIEMイベントを相関させることで、より迅速な調査と信頼性の高いレスポンスを実現できます。時間短縮と迅速なレスポンス
Reveal(x)は、攻撃に関する詳細を自動収集して相関させることで、アナリストの手作業を減らし、レスポンスに要する時間を短縮します。完全な可視性と復号
Reveal(x) 360は、解析とフォレンジックのためにネットワーク・トラフィックを復号します。NDRからの復号済みネットワーク・フォレンジックをSIEMのアクティビティ・ログと相関させ、フォレンジックをより詳細化します。セキュリティ人材の育成
NDRの豊富なデータとコンテキストにより、若手のセキュリティ・アナリストが短期間で業務に慣れ、自信を持って対応できるようになるので、社内のセキュリティ人材の育成につながります。ノイズの低減と誤検知の抑止
Reveal(x)は、他のNDRソリューションと比べて10倍もの詳細情報をネットワーク・トラフィックから抽出します。誤検知を抑止して精度を高められるだけでなく、最も信頼性の高いネットワーク検知結果をSIEMに提供できます。

NDRとSIEMの統合のユースケース:

1. SIEMのUIからReveal(x) 360のネットワーク脅威の検知結果にアクセス: 多くのSOCにとって、SIEMはセキュリティ上の検知と調査を行うための主要なコンソールです。NDRの重要な検知結果を取り込むことで、より信頼性の高い検知結果やフォレンジックの詳細にシームレスにアクセスできるようになります。2. ネットワーク・トラフィックを復号し、より迅速な検知と即時のフォレンジックを実現: Reveal(x) 360はパケットをキャプチャして復号し、あらゆる調査でフォレンジックの詳細に即時にアクセスできるようにします。SIEMとの統合により、ネットワーク・フォレンジックとログの詳細を相関させ、攻撃キャンペーンの全体像を明らかにできます。3. MITRE ATT&CKとD3FENDのセキュリティ・カバレッジを拡大: MITREフレームワークのすべての攻撃手法を検知したい場合には、NDRの採用が不可欠です。ExtraHopは、MITRE ATT&CKフレームワークに貢献する企業として名前が挙げられている唯一のNDRプロバイダです。Reveal(x)では、MITRE D3FENDで規定されたセキュリティ対策の多くを実現しています。4. あらゆるデバイスの常に最新のインベントリをパッシブに作成: CISコントロール(v8、2021年)では、ネットワークに接続された資産を特定するために、パッシブな資産検出ツールを使用することが推奨されています。Reveal(x) NDRは、常に最新のインベントリと完全な監視カバレッジを確保しながら、各種機能を提供します。5. SOARおよびEDRパートナーを介してレスポンス・アクションを自動化: Reveal(x) 360は、堅牢なREST APIと当社のOpenDataStreamテクノロジーを使用して、ご希望のSOARおよびEDRベンダとのターンキー統合を可能にします。これにより、お客様のニーズに最適なテクノロジーを活用した、脅威に対する迅速な自動レスポンスを実現します。6. SIEMとEDRのカバレッジを監査: Reveal(x)はあらゆるデバイスとネットワーク・セグメントを検出し、各資産がエンドポイント・エージェントを搭載しているかどうか、またはログをSIEMに送信しているかどうかを判断し、お客様のSOCが全体的なセキュリティ・カバレッジを確保し、継続的に検証するために役立ちます。

ネットワーク検知とレスポンス:
現代のSOCの基盤

SOCの3本柱の図

死角を

排除

East-West、North-South、および
暗号化されたトラフィックを完全に可視化

95%高速な

脅威検知

完全なコンテキストを持つ調査ワークフローで
アナリストの効率性を向上

84%高速な

脅威解決

脅威の侵害を事前に阻止して
レスポンス・ワークフローを自動化

Quote Icon

ExtraHopのおかげで、あらゆる状況における全体像を捉え、接続されたすべてのシステムに対して各イベントが与える影響を把握できるようになりました。これは当社にとって大きな強みです。

Florian-Sebastian Prack
Project Manager SOC兼OT Security Specialist, Verbund

ご自身で
確かめてみませんか?

完全版の製品デモで、データ流出やインサイダー脅威などを阻止しましょう。

cloud graphic Reveal(x) Product UI