クラウドの保護、イベントを一度に1つずつ
トピック: データ保護、Barracuda Forensics and Incident Response、頭字語で表されるクラウドセキュリティ
2020年7月30日、Rich Turner
SIEM(セキュリティ情報イベント管理)ソリューションは、CWPP(Cloud Workload Protection Platform)ソリューションより前から存在しており、標準的なネットワークレポートを論理的に拡張したものです。SIEMソリューションは、標的型攻撃とデータ侵害を早期に検出するために、イベントデータのリアルタイムの分析を重視します。また、主に、インシデント対応、フォレンジック、および企業コンプライアンスの要件を満たすために、このようなデータを収集、集計、およびレポートします。
SIEMソリューションは、最初は、ログデータを分析するだけのソリューションでしたが、現在は、ネットワークテレメトリなどの他のセキュリティデータを処理することもできます。また、このような情報をユーザ、資産、攻撃、既知の脆弱性などの他のさまざまな側面にわたるコンテキスト情報と組み合わせることができます。SIEMは、最初は、外側から内側へのアプローチ(つまり、攻撃の検出と防止を重視)によってワークロードを保護していた可能性がありますが、現在は、クラウドワークロードを保護するための信頼性の高いオプションになっています。
現在、ほとんどのSIEMシステムは、デバイス、サービス、ネットワーク、およびファイアウォール、IPS(侵入防止システム)などのセキュリティソリューションからセキュリティ関連のすべてのイベントを収集するために、1つの階層に複数の収集エージェントを導入します。このようなデータすべては中央管理コンソールに集計されます。一部の処理は、AI(人工知能)によって自動化できます。しかし、ほとんどの場合は、セキュリティアナリストが、データを確認し、インシデントの優先度を設定する必要があります。
つまり、SIEMは、過去にさかのぼってイベントから動作し、その際に、クラウドワークロードをデフォルトで保護します。SIEMソリューションは進化しています。SIEMベンダのほとんどはデータ収集分野の出身であるため、SIEMベンダがSOAR(Security Orchestration, Automation and Response)に移行することは自然な流れです。しかし、本格的な攻撃検出および防止システムであるコンプライアンスおよびポスチャ管理に注力しているSIEMベンダは、ほとんどありません。また、ITコンプライアンスの観点からこのような問題に対処しているSIEMベンダは、まったくありません。
次のブログでは、最新のカテゴリであるCSPM(Cloud Security Posture Management)について説明します。
原文はこちら:
Protecting the cloud, one event at a time
July 30, 2020 Rich Turner
https://blog.barracuda.com/2020/07/30/protecting-the-cloud-one-event-at-a-time/