今回、Amazon Security Lake 連携について発表できることをとても嬉しく思っています。今回の連携機能により、アマゾン ウェブ サービス (AWS) の新しいセキュリティ サービスである Amazon Security Lake によるクラウドとオンプレミスの統合されたデータ ソースとプライベート アプリケーションからのセキュリティログの集約、保存、正規化、分析の機能が強化されます。 SentinelOne は、これらのログを Singularity™ XDR プラットフォームに取り込み、脅威ハンティングとフォレンジック調査を行い、Singularity Cloud Workload Security からのセキュリティ アラートの調査と根本原因の特定を可能にします。
Amazon Security Lake は、Open Cybersecurity Schema Framework (OCSF) を使用してログを保存してエクスポートします。 OCSF 標準に対応することで、Amazon Security Lake は複雑さとコストを削減し、セキュリティ ソリューションのデータに容易にアクセスできるようにして、脅威の検知、調査、インシデント対応などのさまざまなユースケースに対応できるようになりました。
今回のシステム統合の一環で、SentinelOneでは、 OCSF を ネイティブのXDR データ スキーマとして採用しているため、顧客はデータ変換の手間をかけずに Singularity XDR プラットフォームでこれらのセキュリティ ログをネイティブに表示したりクエリしたりできます。今回の統合は、Singularity XDR Platform をパートナー データ ソースに拡張する Skylight ベータ プログラムに参加しているお客様が利用できます。
OCSFとは?
OCSF とは、AWS がセキュリティ ソフトウェア ベンダーと協力して共同設立したオープンソースのセキュリティ データ スキーマです。 オープン スタンダードを採用することで、任意の種類のソースから、セキュリティ データをさまざまなセキュリティ プラットフォーム間でより簡単に共有し関連付けることができようになったため、セキュリティについてより包括的なビューが表示できるようになり、セキュリティ対策の効果が改善することができます。例として、 MTTR(脅威への対応の所要時間) の短縮が挙げられます。
OCSF を利用するログとアラートは、ユーザーが解析して正規化する必要がないように、共通のフィールドと形式のセットを使用しています。 そうすることで、セキュリティ アナリスト、インシデント レスポンダー、脅威ハンターが、作業を合理化するためにより充実したデータセットを手に入れることができます。
セキュリティ データをより容易に共有することで、サイロ化されていたデータが一点に集約され、その価値をより有効に活用できる形でセキュリティ プラットフォームに統合されます。 より良いデータが、より良い結果をもたらします。
SentinelOne はどのように OCSF データを使用するのか?
SentinelOneは、AWS から Singularity XDR データ レイクに OCSF データを取り込むことで、クラウド ワークロードのセキュリティ アラートの調査を支援します。
可視性が向上されることで、セキュリティ アナリストは、Amazon Elastic Cloud Compute (Amazon EC2) インスタンス、Amazon Elastic Container Service (Amazon ECS)、 Amazon Elastic Kubernetes サービス (Amazon EKS)などでで実行されているAWS 内のワークロードに関連するセキュリティ アラートの根本原因をより容易に理解できるようになります。
例として、クリプトマイニング アラートが関連付けられている EC2 インスタンスに関連付けられた AWS CloudTrail ログを検索することで、そのインスタンスを作成したユーザーを特定し、そのユーザーが侵害されているかどうかを評価できます。 その詳細については、手動で開始されたか、セキュリティ ポリシーに従って自動的に実行されたかにかかわらず、修復アクションが通知されます。 お客様は、任意のソースを選択して、取り込む OCSF ログのタイプを制御することが可能です。
Amazon Security Lake から Singularity XDR データ レイクへの取り込みに使用できる OCSF ログは次のとおりです。
- AWS CloudTrail 管理イベント
- Amazon Virtual Private Cloud (Amazon VPC) フロー ログ
- Route 53 リゾルバー クエリ ログ
- Amazon Secure Storage Service (Amazon S3) データ イベント
- AWS Lambda 関数の実行アクティビティ
- AWS Security Hub を介した 8 つの AWS サービスからのセキュリティの調査結果
データがより多くなると、より多くのノイズが生じるとなどということはありません。 実際、SentinelOne では、特許取得済みの Storyline™ テクノロジによって、ノイズを抑制し、セキュリティ シグナルの正確性をより高くすることに成功しています。 Storyline は、クラウド ワークロード内で同時に動いている何千ものOS レベルのプロセス スレッドを自動的に監視し、インシデント シーケンス内の関連イベントを視覚化し、相関分析をして、一連の攻撃だと認識できるように組み立てていきます。
セキュリティ データが、MITRE ATT&CK フレームワークの戦術、テクニック、手順 (TTP) に自動的にマッピングされるため、組織のハイブリッド クラウドのシステム全体にわたる攻撃者の動きが常に監視できるようになります。 1 つのインシデントが数十の TTP で構成されている場合、Storyline はそれらすべてを 1 つのアラートにまとめます。 嵐のように大量出されるアラートや、それによるセキィリティチームのアラート疲れが生じることがありません。 自動的に抽出されたリアルタイムのフォレンジック調査結果の詳細のみが SOC に提示されるため、調査にかかる時間を大幅に短縮できます。 もちろん、構成可能なセキュリティ ポリシーを SentinelOne セキュリティ コンソール内で設定することで、インシデントを追跡中に自動的に停止させることも可能です。
このシステム統合の機能を利用開始したい場合は、まず SentinelOneの アカウント チームに連絡して、Skylight ベータ プログラムへのアクセスをお申し込みください。 SentinelOne側の対応が完了したら、Singularity Marketplace から、統合をセットアップすることができるようになります。
統合機能は、SentinelOne のクロスアカウント ロールをセットアップして、Amazon Security Lake ログが保存されているアカウントにアクセスするだけでをインストールできます。 その後、SentinelOne ではそれらのログを Singularity XDR Platform に自動的に取り込み開始します。 統合機能を展開するために別途インフラストラクチャを構成する必要はありません。 取り込み対象の新しいログがある場合に、Amazon Security Lake が継続的に SentinelOne に通知を行うようになります。
まとめ
セキュリティ データ共有のオープン スタンダードは、ゲーム チェンジャーと言えます。 お客様には、滞留時間の短縮、可視性とコンテキストの向上、インシデント対応の合理化 (MTTR の短縮)、脅威ハンティングの改善などのメリットがあります。 これらの大きなメリットに加えて、早期に導入されたお客様には独自の差別化されたユース ケースをご提供できます。 SentinelOne では、今後、お客様と協力して、セキュリティ データ マイニングの価値を高めていくことを楽しみにしています。
Singularity XDR Platform の詳細についてと、クラウド ワークロード、ID、ユーザー エンドポイントにわたるセキュリティ運用についてSentinelOneがどのような業務改革をもたらせるかや、ベータ プログラムについて詳細をお知りになりたい場合は、是非、お問い合わせください。