ユースケース
インシデント調査とフォレンジック
大規模かつ高度な分析で脅威に立ち向かい、処理を自動化することで、セキュリティインシデントの調査と対応を迅速化できます。
課題
インシデントの調査と対応の遅れ
攻撃者はすばやく防御をかいくぐり、密かにデータを盗み出します。その速さは、組織が脅威を検出、調査、トリアージし、対応するまでの通常の速度を上回ります。多くの場合、調査や対応には数分から数時間、ときにはそれ以上かかります。
解決策
マシンスピードで調査
必要な情報を可視化
不審な挙動を発生と同時に検出し、すばやく調査を開始
点と点を結ぶ
異なるソースのデータやアラートを相関付けて、インシデントをコンテキストに即して理解できる
判断とアクションを自動化
調査を自動化してインサイトをすばやく取得し、即座に対応
すべてを可視化して何も見逃さない
環境内での脅威の拡散を阻止するには、隅々まで目を光らせる必要があります。Splunkなら、深いインサイトを得て、問題に発展する前に脅威を見つけ出すことができます。
製品に精通した知識を習得せずとも運用できるのはとても魅力的でした。さほど詳しくない人間でもそれなりに使えますし、少人数で運用する意味でも我々として十分使いこなせると判断したのです
脅威をすばやく調査
複数のセキュリティ製品にまたがる調査タスクのオーケストレーションと、プレイブックによるセキュリティ対応の高速な自動実行によって、脅威のMTTD (平均検出時間)とMTTR (平均対応時間)を短縮できます。
チームの能力を強化
繰り返し行うセキュリティタスク、調査、対応のオーケストレーションと自動化により、今いる人数でより多くの作業をこなすことができます。
以前はSOC側では着弾したメールの行動をウォッチするなど、後追いでの防御が中心でしたが、今は脅威インテリジェンス側で不正ドメインが取得されたことを迅速に検知し、Splunk SOAR側で自動対処しています。自動的な防御が可能となったことで業務そのものが大きく効率化できています。
