米企業のExtraHopは、 同社が提供するネットワーク運用状態の可視化、およびNDR(Network Detection and Response)の統合プラットフォームである「Reveal(x)」と、Splunkの「Splunk SOAR」との新たな統合を発表した。
これにより今後、Splunk SOARユーザーはIoTからクラウドまでをカバーするパケットレベルの分析情報で可視性を強化でき、その対象には非マネージドデバイスやレガシーシステム、あらゆるネットワークアセットを含めることが可能になるという。また、ネットワークインテリジェンスでログを関連付けて脅威をより詳細に理解できるため、Tier1およびTier2のインシデント対応をより信頼度高く自動化できるとしている。
アナリストやITセキュリティを担当するマネージャーは毎日大量のアラートを受信しているものの、処理能力の都合上そのほとんどが無視されているという。米Tech Target Inc.の調査部門Enterprise Strategy Groupの調査研究によれば、調査対象のサイバーセキュリティチームの27%が、最優先事項ではなく、サイバーセキュリティの緊急事態に大半の時間を費やしていると回答。さらに回答者の23%が、ワークロードに対応できないことが過去2年のセキュリティインシデントの原因となっていたと回答しているという。
今回、ExtraHopと統合したSplunkを用いることでセキュリティチームは、検出、デバイス、ネットワークアーティファクト、完全なパケットのキャプチャに関する高度なデータを使用して、あらゆるSOARプレイブックを強化できるという。
今回の発表を受けて、ExtraHopの共同創設者兼CTOであるジェシー・ロースティンは次のように述べている。
「ネットワークは ITに関する状態やリスクに関する情報源であり、攻撃者がネットワークを通らず社内に侵入することは難しく、ネットワークを介さず攻撃を実行することは不可能です。そのため、ネットワークトラフィックを分析することは、不審な振る舞いや潜在的な脅威を、強いシグナルや弱いノイズで検出するための効果的な手段となります。この新しい統合は、コンテキスト情報が豊富なExtraHopのデータと、高度なSplunk SOARのプラットフォームを組み合わせるものです。これにより防御側は、アラートの優先順位付け、調査の加速、信頼できるプレイブックの実行が可能となり、最終的には脅威をより迅速に停止できるようになります」
【関連記事】
・三菱UFJ銀行、セキュリティインシデント対応を自動化する「Exabeamソリューション」採用
・セキュリティ投資では「データ侵害防止」と『リモートワーク』が重要視 ウィズセキュアが調査結果を発表
・マイクロソフト、セキュリティを強化する5つの新機能を発表 内部リスク低減や効率化を支援
