2024年セキュリティの現状:競争が激化するAIの活用
先進的なサイバーセキュリティ対策を推進する組織がどのように課題を克服し、AIを活用してイノベーションを推進し、デジタルレジリエンスを強化しているかをご確認ください。
Splunkの統合セキュリティプラットフォームでの運用を行う上で重要な意味を持つMission Controlがこの2月にリリースされました。Mission ControlはSplunkが提供する新しいセキュリティオペレーションプラットフォームです。
Splunkは業界をリードするSIEM(Security Information and Event Management)を実現するSplunk Enterprise Securityと、業界をリードするSOAR(Security Orchestration, Automation, and Response)をこれまでも提供してきました。Mission Controlは正に宇宙船や人工衛星を一箇所で管理するMission Control Centerのように、SplunkのSIEMとSOARを一箇所で有機的に結合しながら管理できる統合セキュリティオペレーションを実現できます。
実際にMission ControlとEnterprise Securityにはどのような違いがあるのか見てみましょう。
以下はEnteprise SecurityとMission Controlでインシデントレビューのページを見てみたところです。
Mission Controlでは左側に識別の容易なインシデントID(Human Readable IDと呼ばれます)が割り振られ、識別がしやすくなっていますが、これだけだとMission Controlの特徴は良く分からないのではないかと思います。Enterprise Securityのインシデントレビュー画面が不便であったためにMission Controlが作られたわけではないので、インシデントレビュー画面で大きな差が出ないのは当然のことなのかもしれません。
この二つの違いはインシデントレビューを始めると良く分かります。まず、ケースレビューを始めるためにMission Controlを開いた画面が以下のものです。
インシデントの内容に応じたResponse Templateが選択されていますが、こちらのResponse Templateを指定することによって、インシデントレビューの内容に応じたSOARのPlaybookが直接実行できるようになっていることがわかります。
Response Templateの設定は上部の「コンテンツ」より編集できますが、ここでインシデントレビューのタスクを定義し、統一された手順でインシデントレビューを行い、SOARのPlaybookにも効率よくアクセスできるようになります。
設定画面ではResponse Templateとインシデントタイプを紐づけることによって、インシデントタイプを指定すると自動的にResponse Templateが指定され、定型化されたインシデントレビューを効率よく実施できるようになります。
Mission ControlはSIEMとSOARにアクセスするただのポータルAppではありません。
検知や調査を統合し、定型化された対応を実現するテンプレートを提供しながら効率よくケースレビューを行うためのテンプレートと、最新のセキュリティオートメーションによる強力なSOARのPlaybookに効率よくアクセスするための統合セキュリティプラットフォームです。
Mission Controlでぜひ複雑化するセキュリティオペレーション(SecOps)へ備えてください。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。