従業員、契約業者、パートナー、および特権ユーザーは、いずれも内部ユーザーによる脅威になり得ます。摘発が難しく、もし脅威がうまくいってしまうと、痛烈な悪影響を伴います。ArcSight Intelligenceプラットフォームでは、セキュリティチームにエンドポイント、サーバー、ネットワーク、およびテラバイト規模のログデータに対する全体的な可視性が与えられます。ArcSightにより、バックエンドからエンドポイントまでの内部の脅威の全体像が提供されます。
機械学習を介して、ArcSight Intelligenceは正常な振る舞いの全体像を作成します。異常またはハイリスクのアクティビティを発見すると、関わったユーザーにその事象を紐付けし、ユーザーのリスクスコアを上げ(根本的に誤判定アラートを最小限に抑制)、インシデントのコンテキストを明確で実用的な対話型インターフェイスに表示します。ArcSight Intelligenceは内部ユーザーによる脅威を検出して表面化させ、同時にセキュリティチームがさらに迅速かつ効率的に脅威を軽減できるようにします。
最近のサイバー攻撃はたびたび、高度な多層防御の境界をも通り抜けます。企業はこうした脅威をネットワークの内部で監視しなければなりません。しかし、莫大な量のイベントデータをふるいにかけると、多くの場合に誤判定が生じることが常です。真のビッグデータプラットフォーム上に構築されたArcSight Intelligenceは、莫大な量のデータを取り込んで分析し、迅速かつ正確に攻撃を表面化させます。
ArcSight Intelligenceは、感染したアカウントからラテラルムーブメント、データの偵察、データのステージング、データの流出の動きに至るまで、攻撃の道筋を検出し、紐付けして、可視化します。このようにして、ArcSight Intelligenceは攻撃が現れたところで即座に表面化させます。インシデントの可視化とワークフローが即座に提供されるため、アナリストは効率良く検証、調査を行い、対応できます。Intelligenceの実際の動作をご確認のうえで、今すぐデモをお申し込みください。
多数のお客様が、データ中心型のセキュリティプログラムにArcSight Intelligenceを導入しています。リポジトリ、共有ドライブ、サーバーのプロジェクトなど、デジタル資産に対する分析によるリスクスコア付けが備わっているためです。
このプラットフォームは、ソースコード管理(SCM)といったIPリポジトリのアプリケーションログに振る舞い分析を適用することで、バックエンドの可視性の問題に独自に対応します。ArcSight Intelligenceはハイリスクのアクティビティをアナリスト向けに正確に特定するため、違反が起こる前に悪意のある振る舞いを止めることができます。
EDR (Endpoint detection and response、エンドポイントでの検出および対応)ソリューションは、脅威検出にあたって極めて詳細かつ正確なデータを与えてくれます。ArcSight Intelligenceと組み合わせて数十億ものエンドポイントイベントを分析し、セキュリティチームは感染したアカウント、ラテラルムーブメント、内部の偵察、あるいはデータ流出の兆候を迅速かつ効果的に検出することができます。ArcSight Intelligenceは、異常なログインの頻度、作業の日時、あるいは通常使われないマシンといったユーザー情報にスポットを当て、見つけにくい脅威を検出するために有用なコンテキスト情報を追加提供してくれます。
ArcSight Intelligenceの振る舞い分析とCrowdStrikeのリッチなエンドポイントデータを組み合わせることで、内部ユーザーによる攻撃や標的型攻撃など、見つけにくい脅威でも迅速に発見します。このソリューションでは、数十億件のエンドポイントイベントから優先順位をつけたリードのリストを抽出できるため、セキュリティオペレーションセンターはよりシームレスに攻撃に対処できるようになります。これで警戒疲れを低減することができ、重要な脅威に注力できるようになります。
今日のセキュリティオペレーションセンターの土台となった製品ではあるものの、SIEM、DLP、IAM、NACの各製品がセキュリティギャップを生み出しました。あまりに数多くの誤判定や複雑過ぎるポリシー構造により、脅威を正確に検出して評価し対応するセキュリティオペレーションセンターの能力を低下させています。アナリストはどれが真の脅威か推定するために時間を無駄にし過ぎています。ArcSight Intelligenceの高度な分析プラットフォームは、既存のセキュリティツールの効果を最大限に発揮し、セキュリティオペレーションを最適化するために作られました。
ArcSight Intelligenceは、アイデンティティ管理とアクセス管理、リモートアクセス、Webプロキシ、ソースコードリポジトリシステムといった既存のセキュリティツールから収集されたデータを相互に関連付け、システムレベルおよびアプリケーションレベルで、ユーザーアカウントとサービスアカウント、認証、アクセスを全社的に可視化します。また、ハイリスクデータのアクセスやムーブメントに見識を加え、SIEMまたはインシデント対応ツールに前後関係のあるデータを自動で送り込みます。さらに、認証、DLP、またはNACシステムでITコントロールを有効にするAPI呼出を行うことができます。
感染アカウントは、フィッシング、マルウェア、あるいはデータ侵害の結果として生じる場合があります。攻撃者は金銭的な利益のため、あるいは他のアプリケーションやネットワークの機密データにアクセスするために、お客様や従業員の認証情報を盗みます。高度な機械学習を活用するArcSight Intelligenceプラットフォームでは、ユーザーおよびサービスアカウントの中の感染アカウントの検出に重点を置いた数百種類のアルゴリズムが使用されています。ArcSight Intelligenceは、エンドポイント、ディレクトリ、ACL、複数のコードコラボレーションおよびバージョンコントロールソフトウェアプログラムから得たアプリケーションログのインジケーターを相互に関連付けることができます。これにより、アカウントを狙ったあらゆるタイプの攻撃がカバーされます。
ArcSight Intelligenceの広範囲にわたる可視性により、セキュリティチームはアカウントの感染を検知し、関連するIOCにそうした攻撃を紐付けすることができます。言い換えれば、脅威を迅速かつ正確に表面化させるだけでなく、その一歩先を行き、攻撃が標的にたどり着く前に、攻撃の根底にあるコンテキスト情報を提供します。
ArcSight Intelligenceは、標的に攻撃が到達する前に攻撃を表面化させます。しかしこれはほんの始まりに過ぎません。次に、攻撃を検証するセキュリティアナリストをアシストし、ビジネスのインシデント対応プロセスと統合して、組織全体にわたってチームにインシデント情報を提供します。また、攻撃の止め方を早急に理解するために重要な、攻撃の3方向の画像を配信します。エンティティリスクビューでは、攻撃の発見を受けて、アナリストは攻撃のタイムライン、リスクの傾向、新しい異常を視覚的に確認できます。タイムラインピューでは、他のセキュリティ製品からのアラートや、特定の攻撃に関連する脅威インテリジェンス情報も含めることができます。これによって、検証と対応のプロセスが最適化されます。
調査研究者や脅威ハンターは、インシデントの詳細なイベントレベル情報にワンクリックでアクセスできます。加えて、RESTful APIおよび他の複数のArcSightコンポーネントとのネイティブな統合により、対応と検証のプロセスが最適化され、セキュリティチームはデータが感染する前に攻撃を止めるために必要なツールを手にすることになります。
内部ユーザーによる脅威を含む高可視性インシデントは、特権アカウントユーザーの行動をいかに見ていないか、ということを思い出させます。従業員が脅威だとしたら、あるいはその認証情報が感染してしまったら、このタイプのアカウントへのアクセスは多大な損失になりかねません。
それぞれの特権アカウントに対し、ArcSight Intelligenceは、時間、認証、アクセス、アプリケーション使用状況、データの動きといった振る舞いを考慮に入れて、多数の振る舞いをベースラインとします。あるアカウントがそのベースラインから逸脱すると、ArcSight Intelligenceの分析によって、特権ユーザーのアクティビティが可視化されます。リスクスコアを用いることで誤判定が取り除かれ、その後、取るべきセキュリティ対策がアラートとして通知されます。
どのようなユースケースがビジネスの最重要課題となっていますか? 当社のセキュリティのプロが行うデモに登録して、SOCを強化するツールがArcSight Intelligenceによってどのように提供されるのかをご確認ください。
