ブログ
/
パートナーとインテグレーション

強力なセキュリティオペレーション、パワフルなセグメンテーション

イルミオエディトリアル
November 22, 2019
23 最小読取り

組織が効果的なSecOpsの一部として導入できる強力なツールをすべて考えると、あまりにも良いことが多すぎるのではないかという疑問が残ります。

改善するには セキュリティオペレーション このように多くのツールと、それらが生成するアラートの中でも、SIEMは、決まり文句にもあるように、「一元管理」でセキュリティを一元管理するために私たちの多くが頼りにしているものです。

チームがセキュリティ体制全体から得たインサイトを SIEM に頼るのには、いくつかの主な理由があります。まず、組織が直面する可能性のある重大な脅威を迅速に特定します。2つ目は、攻撃に関連するコンテキストと詳細を把握するための調査時間を短縮できることです。そして3つ目は、アクションやワークフローを自動化することで、チームがより迅速に対応できるようになることです。

このような状況を踏まえ、ベンダーはセキュリティチームの負担を軽減するために、SIEMとのクリーンな統合を提供する必要があります。

このため、イルミオはSplunkと緊密に統合されています。共同顧客は自社のセキュリティ体制をよりよく理解し、数回クリックするだけで攻撃に対応できます。Illumio のインテグレーションでは、直感的で精巧に作成されたビジュアライゼーションが使用されるため、チームは何が起きているかを一目で確認して理解し、ワンクリックで対応できます。Splunk と Illumio では、データセンター内のどのマシンが危険にさらされているのか、セグメンテーションポリシーに欠陥があるのかをチームに知らせています。

しかし、これらの重要な質問に答えられることは、Splunk統合のメリットの始まりに過ぎません。

  • 貴重なチームリソースをどこに置くべきかを知っている:イベントアラートでは、発生しているセキュリティイベントがわかりやすく表示されるため、どの資産が影響を受ける可能性があるか、どこに直ちに対応すべきかがわかります。
  • セグメンテーションが安全かどうかを確認: 経験豊富な攻撃者は、ファイアウォールやセグメンテーション設定を改ざんしてデータにアクセスしようとする可能性があります。このため、iptables や Microsoft WFP (Windows フィルタリングプラットフォーム) でのファイアウォールの改ざんの試みを強調して、セグメンテーションがどれほど安全かを示します。これにより、サーバーが不正な権限を取得しようとしたり、セキュリティポリシーをバイパスしたりしていないかどうかがすぐにわかります。
  • 進行中の攻撃を確認: 攻撃では、横方向の動きの前にポートスキャンが行われることがよくあります。ポートスキャンは本質的に悪いものではありませんが、内部でどこに移動できるかを確認するために誰かが偵察を行っていることがよくわかります。このインテグレーションでは、差し迫った攻撃を示す不審なアクティビティがあることがすぐにわかるように、ポートスキャンが強調表示されます。
  • どのマシンが疑わしい動作をしているかを確認してください。 ブロックされた上位トラフィックをホスト別に明確に視覚化することで、ホストが攻撃されているかどうかをすばやく把握できます。さらに、この視覚化により、ホストのセグメンテーションポリシーが間違っていて予期せぬトラフィックのブロックが発生しているかどうかもわかります。
  • ビジネスとセキュリティ担当者の間を完璧に切り分ける: 一目見ただけで、何でもわかります 潜在的にポリシーを施行する前にトラフィックをブロックしました。つまり、保護しようとしているビジネスアプリケーションを壊さないように、本番稼働前にセグメンテーションポリシーを簡単に確認できるということです。
  • 迅速に調査: 異常な動作を示すワークロードを調査するときは、何が問題なのかをすぐに突き止めたいと思うでしょう。すべてのワークロードの詳細、トラフィックイベント、監査イベントが 1 つのビューにまとめられるため、必要な調査作業が軽減されます。
  • ワンクリックで攻撃を阻止: この統合により、Splunkのセキュリティを鮮明に可視化できますが、それと同じくらい重要なのは、チームが行動を起こせるようになることです。Splunk から直接、疑わしいワークロードをワンクリックで隔離できます。
  • 数回クリックするだけでアラートを作成できます。 アラートを作成するには、チームがSyslogメッセージをマスターし、その内容とコンテキストを深く理解し、正規表現を作成する必要があります。Illumio PCE が生成した最も重要なメッセージに対して新しいアラート設定を作成できるグラフィカルインターフェイスがあれば、ユーザーは Splunk のアラートを迅速に活用して Illumio 導入の管理に役立てることができます。

Splunk統合の機能については、別のブログ記事で詳しく見ていきますので、どうぞお待ちください。

最新バージョンを使い始めるには、Splunkbase にアクセスしてダウンロードしてください。https://splunkbase.splunk.com/app/3658/

関連トピック

アイテムが見つかりません。

関連記事

Illumio、CRN パートナープログラムガイドの「5つ星評価」を受賞
パートナーとインテグレーション

Illumio、CRN パートナープログラムガイドの「5つ星評価」を受賞

CRNは、2022年版のCRNパートナープログラムガイドで、業界をリードするテクノロジーに対してIllumioのグローバルパートナープログラムに5つ星を付けました。

もっと読む
RSA カンファレンスで IBM Security + Illumio と一緒にゼロトラスト戦略を構築
パートナーとインテグレーション

RSA カンファレンスで IBM Security + Illumio と一緒にゼロトラスト戦略を構築

IllumioとIBM SecurityがRSAC 2023でどのように協力して組織のサイバー・レジリエンスの構築を支援しているかを学びましょう。

もっと読む
Illumio、Splunkと統合してセキュリティ業務の対応時間を短縮
パートナーとインテグレーション

Illumio、Splunkと統合してセキュリティ業務の対応時間を短縮

イルミオの適応型マイクロセグメンテーションテクノロジーは、急速にセキュリティスタックの基盤となり、データセンターやクラウド環境で実行されるアプリケーションを保護するための不可欠なツールになりつつあります。

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく