グローバル調査:クラウドの整合性、人材不足、緊急度の高い脅威に直面するセキュリティリーダーが優先すべき対策をご確認ください。
アラート処理を効率化
SLCCには年間で数千件のアラートが届くため、潜在的な脅威をフィルタリング、分類、優先順位付けするソリューションが必要でした。その解決策として、Splunkのリスクベースアラート(RBA)ソリューションを導入したところ、これらのニーズをすべて満たしただけでなく、アラート処理の平均時間を13分にまで短縮することができました(時間は、SLCCがアラートを受け取ってから次の関連支部に転送するまでの時間)。
では、どのようにしてそれを実現したのでしょうか。SLCCは、Splunk Enterprise Securityの機能を社内のニーズに合わせてカスタマイズし、アラートのダッシュボード、機能、ルール、サーチをそれぞれ調整しました。リスクベース機能も活用し、イベントにリスクスコアを割り当てて、スコアが特定のしきい値に達したときにアラートを生成します。これにより、潜在的な脅威や不審なアクティビティを包括的に検出できるようになりました。また、誤検知が10分の1に減ったため、アナリストは緊急性の高い実際の脅威への対応に集中し、より効率的に作業を行えるようになりました。
社内で連携して新たな脅威に対処
リスクが絶えず変化する中、Splunk Enterprise Securityの脅威インテリジェンス管理機能は、フランス郵政公社にとって貴重な武器になっています。SLCCチームでは、新たな脅威を検出すると、脅威インテリジェンス管理機能によって分析し、技術的なメトリクスに変換しています。このメトリクスを取り入れてアラートを強化することで、以降、その新たな脅威の特定と分類が可能になります。重要なのは、過去に遡って検出する点です。イベントを遡って調査し、新たな脅威が以前に発生していたかどうかを確認します。
脅威を阻止し、組織を守るには、組織全体で協力する必要があります。同公社のサイバーセキュリティ組織は200人規模で、これにはSLCCのほかに、各支部のさまざまなSOCメンバーが含まれています。Splunkなら、すべてのチームのインサイトを統合し、共通のツールを使いながら、高度な分析、KPIの監視、手動でのサーチなど、ユースケースに応じてカスタマイズしたインターフェイスで作業できます。これにより、サイバーセキュリティの各チームは、徹底した調査をすばやく行うだけでなく、他のチームと密接に連携できるようになりました。
