Trustwave社が提供するクラウド型スレットディテクション&レスポンスサービスとは 2

前回の続きからです。

Trustwaveのセキュリティ&コンプライアンス・モニタリングサービスにおいて、ログの収集・送付にはLCA(Log collector Appliance)か、あるいはTrustwave Endpoint Agent(Windowsのみ)が利用されます。クライアントはデータへのアクセスをTrustKeeperポータル(TKP)を通じて行います。データの保持期間は、イベントログ(TKP上)で7日、アラート(TKP上)で105日、インシデント(TKP上)で1年、オンラインストレージで1年となっています。サービスには、上位グレードから順に、脅威検出(MTD)・コンプライアンス・モニタリング(MCM)・クラウド・ログ・モニタリング(CLM)の3種類があります。MTDはMCM+アナリスト(人)による24×7のリアルタイム脅威分析を、MCMはCLM+日次のアナリストレビューを、CLMは基本的なログ管理、自動機械相関を行います。

Trustwaveが提供するこのサービスのもう一つの特徴は、料金システムです。一部のSIEMベンダーが1日あたりのログ容量に基づいて課金をし、また提供するオープンソース・ツール・キットには統合費用や人件費などの様々なコストが隠れているのと対照的に、Trustwaveセキュリティ・モニタリングの料金は全て織り込み済みで予測可能であり、双方合意のサービス・レベルに基づいています。さらに、前述したように3つのグレードが用意されているので、クライアントのニーズのレベルに柔軟に対応することができます。

これらをまとめると、このようになります。

Trustwaveのセキュリティ・モニタリングのメリット

▶︎複雑性の低減

インストール、管理、運用、クラウド・プラットフォームが全て含まれている

▶︎コストの削減

自社運用SIEMよりもコストが抑えられる

▶︎人員配置の容易化

退屈なログ・モニタリング作業から社内リソースを解放し、Trustwaveのエキスパートが24時間365日対応

▶︎料金の透明性

正確なコストを開始時に把握可能(≠ログ従量課金)

▶︎インシデントの検出・調査には必ず“人”が介在する

機械やAI任せではない高精度のサービス提供

また、このサービスの+αとして、Webゲートウェイサービスも分析対象に追加し、ファイアウォール設定を変更することもできます。

MDReサービスについて

TrustwaveではMDRe(Managed Detection & Response for End Point)サービスも行なっています。これは、エンドポイント向けのMDRサービスのことで、隔離・無害化オペレーションを含むEDR製品の運用管理を行います。このサービスでは、先進的なサイバースレットの検出とレスポンスを提供します。24時間365日体制で脅威検知と調査・対応の提供をし、リアルタイムな原因分析と攻撃の封じ込め、修復についてリコメンドします。また、業界をリードするサイバー脅威情報を継続的に適用し、悪意のある攻撃者または内部脅威を事前に識別します。さらに、Trustwaveの10のグローバルSOC、SpiderLabsのフォレンジック、IRマルウェアアナリストを含む250人以上のセキュリティプロフェッショナルを活用し、新しいトレンドやサイバー攻撃が認知された場合には手動による脅威ハンティングをクライアント環境で実施します。そして、脅威についてのレポートをTrustKeeperのポータル画面から簡単に入手します。リアルタイム検出→初期レスポンス→攻撃のスコープ→修復→防御のアップデート(→リアルタイム検出)のプロセスを追って行われるのです。

TrustwaveのAdvanced SOCは3段階構造とされており、コンソール・モニタリングやアクションの実行、深い調査とチューニング・緩和、集計と解析やアラート・スレットハンティングの順となっています。そこでは、適切な人材・標準化されたプロセス・レバレッジされたテクノロジーを成功への鍵としています。

Trustwaveは、セキュリティオーケストレーションの重要性について唱えています。MSSによる多層防御のオーケストレーションでは、Webゲートウェイサービス、セキュリティ&コンプライアンス・モニタリングサービス、MSSファイアウォール、MDReサービスを行い、それらの情報をTrustwave ASOCが一元的に管理することで、脅威への迅速な対応とより深い調査が可能になるのです。さらに、脆弱性の診断やIRサービス等も加わり、各サービスを超えた協調をもたらすことで、サイバー犯罪に対したより強固な体制を築いているのです。